Home    DPC    Info

26-02-2010
Beveiligingslek op prinses.nl

Vandaag heb ik met mijn blog met testen begonnen, simpel weg omdat ik iets belangrijks te melden heb. Mijn vrouw heeft onze dochter als prinses geupload bij www.prinses.nl, mijn vrouw heeft veel mensen gevraagd om te stemmen op onze dochter. Na een tijd viel het haar op dat telkens als ze een stem kreeg een andere niet nader te noemen deelnemer er ook één kreeg. De vraag aan mij was of de beveiliging wel deugden.

Ik heb de website bezocht, gestemd en gekeken hoe het proces werkt, al snel moest ik tot de conclusie komen dat het mogelijk was om, meerder keren op dezelfde persoon te stemmen en zelfs om in één keer stemmen 5 of 10 stemmen te versturen. Uiteraard heb ik de deelnamen van andere personen niet geriskeerd door op hun te testen en heb ik deze exploit alleen getest op mijn dochters account.

Helaas vermoed ik dat de exploit ook gebruikt kan worden voor een SQL injectie, dit heb ik niet getest om de website en/of database niet te beschadigen. Ik heb daarna Dr Oetker en Partout Interactive de bedrijven achter de website op de hoogte gesteld van dit lek, doormiddel van een duidelijke uitleg van de fout en heb daarbij zelfs een mogelijke oplossing aangedragen.

In deze mail die ik om 9:49 heb verstuurd, geef ik aan dat er een exploit optie is op hun website en dat het niet mijn intentie was de stemming te manipuleren en geef daarbij aan hoeveel valse stemmen ik op mijn dochter heb uitgebracht met het vriendelijke verzoek deze stemmen te verwijderen maar mijn dochter account online te laten, simpelweg omdat er ook heel veel echte stemmers zijn geweest. Hierop is nog geen reactie gekomen behalve dat ze een half uur later het account van mijn dochter hebben verwijderd.

Update 13:10
Na telefonisch contact met Dr Oetker geven ze aan dat zei de mail nog moeten worden afgehandeld. Ze zullen mij op de hoogte houden van de besluitvorming. Dat het account al verwijderd is, was niet bekend bij hun.

Tags : Website, Beveiliging, Dr Oetker, Partout, SQL, Exploit

Delicious Facebook Linkdin Twitter Rstat Bookmarks Hyves

Gerelateerde artikelen

Laat gerust een reactie achter!