Datalek: afgeschermde Hyves foto’s zichtbaar door bug
- 07 januari 2011
Bits of Freedom heeft haar Zwartboek datalekken weer eens bijgewerkt. Door een fout in de achterliggende software waren afgeschermde foto’s van Hyves-gebruikers gedurende enige tijd voor iedereen in te zien.
Een van de modules van Hyves maakt het mogelijk om een foto als postkaart te versturen. Door een fout in deze module waren foto’s die afgeschermd waren voor andere gebruikers, alsnog zichtbaar. Een gebruiker merkte op dat hij elke foto op een kaart kon plaatsen, ook foto’s waar de gebruiker niet het recht van heeft om deze in te zien. Dat was mogelijk door het adres van de foto’s aan te passen.
Het lek maakte het mogelijk willekeurige andere foto’s op te vragen. Het was niet mogelijk om de foto’s van een specifieke gebruiker op te vragen, ook werden geen andere gegevens openbaar gemaakt.
Hyves bevestigt de fout en heeft de module direct uitgezet. Na een aanpassing is de module weer beschikbaar, de foto’s van andere gebruikers zijn niet meer in te zien.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML).