Het lek is succesvol getest door NU.nl na bericht van een tipgever die anoniem wil blijven. Second Love heeft het lek kort nadat NU.nl hier melding van maakte gedicht.
Second Love is een datingwebsite voor mensen met een relatie die willen vreemdgaan. Daarom zou het uitlekken van gebruikerslijsten voor gênante situaties kunnen zorgen. Second Love stelt op zijn homepage dat er meer dan een half miljoen geregistreerde gebruikers zijn.
De site biedt de mogelijkheid om een wachtwoord opnieuw in te stellen als de gebruiker deze is vergeten. In de adresbalk van de site viel aan een cijfer af te lezen of een bepaald e-mailadres wel of niet in de database van de datingwebsite voorkwam.
Zo kon worden gecontroleerd of bepaalde personen een profiel bij Second Love hadden. Via een programma was het mogelijk om dit proces te automatiseren en in één keer een grote hoeveelheid e-mailadressen te checken.
Foutje
Second Love-oprichter Erik Drost bevestigt het lek: “Dit is veroorzaakt door een foutje tijdens het programmeren. Het is echter niet vanzelfsprekend dat gebruikers naar het cijfer in het webadres kijken.”
Volgens Drost wordt de beveiliging van Second Love door experts gecontroleerd, maar is het lek door hen niet opgemerkt.
Het lek is volgens hem waarschijnlijk niet misbruikt, omdat er geen ongewone pieken van wachtwoordaanvragen waargenomen zijn.
Ander ‘lek’
Nadat het lek gedicht was, kwam via een tweede tipgever nog een andere mogelijkheid aan het licht om op e-mailadres te controleren.
Dit kon door met het e-mailadres in kwestie een nieuw account te registreren. Bleek het adres al in gebruik, dan kwam er “E-mail is al geregistreerd” te staan.
Second Love heeft die boodschap, en daarmee ook de controle of een e-mailadres al in gebruik is, inmiddels weggehaald. Dat bevestigt het bedrijf vrijdagavond tegenover NU.nl.
Het bedrijf zegt bovendien nooit eerder gevallen te hebben geconstateerd waarbij de registratiefunctie op een dergelijke manier werd aangewend.
Anoniem
Drost claimt bovendien dat meer dan de helft van de gebruikers een anoniem e-mailadres gebruikt, maar erkent vervolgens dat dit niet met zekerheid valt vast te stellen. “We zien wel dat veel gebruikers zich registeren met een Gmail- en Hotmail-adres dat geen volledige naam bevat”, legt hij uit.
Er valt echter niet vast te stellen of deze adressen door mensen worden gebruikt als regulier e-mailadres.
Volgens Drost moedigt Second Love zijn gebruikers aan om anoniem te blijven door een ‘geheim’ e-mailadres te gebruiken en geen persoonlijke informatie aan de site te geven.
Bij het registratieformulier van Second Love wordt hier echter geen melding van gemaakt. Alleen op een pagina met tips worden gebruikers geadviseerd om speciaal voor Second Love een apart e-mailadres aan te maken.
Beveiligd
De registratie- en inlogprocedure van Second Love verloopt niet via een beveiligde https-verbinding. Beveiligingsonderzoeker Mark Loman van Surfright noemt dat “heel slecht”.
“Als je met inlognamen en wachtwoorden werkt, dan hoor je dat soort beveiliging in ieder geval in te zetten”, zegt hij. Als een verbinding niet wordt versleuteld met https worden alle gegevens als leesbare tekst verstuurd en is dit op openbare hotspots af te luisteren.
Mensen die op Second Love en op andere sites hetzelfde wachtwoord gebruiken, lopen hierdoor het risico dat ook andere accounts worden gehackt.
“We stimuleren mensen om geen echte gegevens op te geven en anonieme e-mailadressen te gebruiken”, zegt Drost hierover. “Daarom hebben we geen beveiligde verbinding, omdat gebruikers zorgvuldig met hun gegevens omgaan.”