Gratis: 6 (of 2?) onbeveiligde vrienden

Door EdwinG op zaterdag 21 februari 2009 13:56 - Reacties (8)
Categorie: -, Views: 4.422

Viral marketing blijkt al tijden erg effectief te zijn. Vooral via e-mail, indien de ontvanger nieuwsgierig wordt gemaakt.

Blijkbaar heb ik 6 'vrienden' die mij willen toevoegen op een, voor mij nog onbekende, social-network site. Geen van de zes, die volgens de e-mail en de registratiepagina overigens met z'n tweeen zijn, is echter op het idee gekomen om mij via andere wegen (zoals msn, directe e-mail, of gewoon telefonisch/direct contact) hiervan op de hoogte te brengen. En aangezien ik nog nooit van die site gehoord had, heeft niemand mij ooit verteld op deze site te zitten. Eenmaal op de site aangekomen, via de speciale link in het e-mail bericht, zie ik twee personen staan die mij 'toe willen voegen'. Klikken op de foto of naam om meer details te zien kan niet. Om hun profielen te bekijken schijnt registratie noodzakelijk te zijn.....

Of natuurlijk gewoon hun profielnaam achter de url van de hoofdpagina zetten, dat helpt ook. Tot zo ver de les 'security through obscurity'.

Overigens is het gebruik van de nickname in de url geen rare constructie. Dit maakt het overigens geen veilig constructie: "Username enumeration for dummies", zogezegd.

Even verder kijken naar de inlogpagina (overigens zonder het registratieformulier in te vullen). Daar wordt om een nickname en/of e-mail adres gevraagd, in combinatie met een wachtwoord. Voor het wachtwoord gelden overigens, volgens tips bij het registratieformulier, geen eisen.

Dan maar eens kijken naar de 'nickname of e-mail adres vergeten' functionaliteit. Deze pagina toon de volgende tekst:
Hieronder vind je accounts die via jouw pc of internet verbinding zijn aangemaakt.
Gelukkig, niemand heeft mijn pc misbruikt om zich te registreren. Maar stel nou dat deze pagina benaderd wordt vanaf een 'open' netwerk, zoals een school? Zal ik dan ook de e-mail adressen van andere profielen te zien krijgen?

De volgende optie 'wachtwoord vergeten':
Vul hieronder je nickname in. Er wordt dan naar het bijbehorende e-mailadres een e-mail gestuurd met je wachtwoord.
Nu hoop ik toch echt dat ze een e-mail sturen met een methode om het wachtwoord opnieuw in te stellen, of desnoods (liever niet, eigenlijk) direct een nieuw wachtwoord. Ze gaan toch niet vertellen dat de wachtwoorden onversleuteld zijn opgeslagen?

Waarschijnlijk zal de beveiliging niet eens zo heel veel schelen in vergelijking met andere websites. Maar toch, deze sla ik over. Iemand nog een paar vrienden hebben?

Tot slot de disclaimer in de e-mail.
De informatie verzonden met dit e-mail bericht is uitsluitend bestemd voor de geadresseerde. Zij kan van vertrouwelijke aard zijn en/of persoonlijke standpunten bevatten die niet noodzakelijk met die van <site> stroken. Gebruik van deze informatie door anderen dan de geadresseerde is verboden. Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden is niet toegestaan. <site> staat niet in voor juiste en volledige overbrenging van de inhoud van een verzonden e-mail, noch voor tijdige ontvangst daarvan.
Oei, ik heb de disclaimer gepubliceerd. Ben ik nu in overtreding?