Megajobs zo lek als een mandje
MarketingFacts, AdManager en wellicht nog meerdere nieuwssites zijn vandaag getipt over de beveiliging van de vacaturesite Megajobs. Wat blijkt? De administratie-omgeving van de vacaturesite staat open voor de buitenwereld. Hierdoor is het voor iedereen mogelijk om de contactgegevens van klanten aan te passen en alle vacaturegegevens in te zien. Het is zelfs mogelijk om logingegevens van de site aan te passen waardoor de daadwerkelijke klant de toegang kan worden ontzegd.
MegaJobs is met ruim 80.000 vacatures in haar bestand, de grootste online vacaturebank van Nederland. Helaas laat de beveiliging van de site op dit moment nogal te wensen over.
[Update 6:20 uur] Directie en team van MegaJobs hebben inmiddels gereageerd op de fout in de beveiliging. Ivm wijziging van tijd-instelling, is het bericht tussen de overige reacties gekomen.
MegaJobs maakt voor het administratiegedeelte gebruik van inlogsessies. Merkwaardig genoeg blijven deze sessies onbeperkt geldig. Normaal gesproken blijft een sessie slechts enige tijd geldig, waardoor een gebruiker die bijvoorbeeld een kwartier niet actief is, opnieuw moet inloggen. Dat is echter niet het enige: op MegaJobs wordt de code waaraan een sessie te herkennen is, de session id, meegestuurd in de URL’s van de pagina’s. Voeg deze twee punten samen, en je krijgt een dodelijke combinatie.
Wanneer een klant van MegaJobs is ingelogd en via de MegaJobs-site naar een andere website surft, wordt de session id aan die andere website doorgegeven als referrer: een verwijzing naar de pagina waar een bezoeker vandaan komt. Wanneer die referrers worden opgeslagen op een openbare locatie – bijvoorbeeld via gratis bezoekerstellers – kan iedereen die van daaruit zo’n referrer aanklikt, zonder enig probleem de inlogsessie voortzetten op MegaJobs. Daarmee kunnen alle handelingen verricht worden die normaliter alleen zijn voorbehouden aan klanten van MegaJobs.
MegaJobs heeft dit weekend wat huiswerk vrees ik.
Screenshot van de onbeveiligde administratie-omgeving van Megajobs.nl
Oprichter/partner Upstream, Marketingfacts, Arnhem Direct, SportNext, TravelNext, RvT VPRO, Bestuur Luxor Live, social business, onderwijs, fotografie en vader!
Je uitleg is technisch gezien nogal vaag Marco. Volgens mij doel je dus op het feit dat een login niet gekoppeld wordt aan een IP-nummer?
zeker een FUD… wel veel hits 😉
Ik ben benieuwd of de afzender van de e-mail achterhaald wordt. En of deze een claim kan verwachten.
Ik kreeg vandaag een email van de tipgever met links naar het admingedeelte. Binnen een uur kreeg ik een email van AdManager die blijkbaar dezelfde email hadden ontvangen. VK is blijkbaar weer ingelicht door AdManager, Hyped heeft dezelfde tipgever als Marketingfacts, ie H.V. en waar Webwereld het vandaan heeft weet ik niet. Feit is wel dat het bericht over het lek goed lijkt te zijn voorbereid.
Wie zijn de concurrenten of vijanden van Megajobs? Wellicht dat er in die hoek gezocht moet worden?
Vanmiddag ontdekten we bij MegaJobs dat door een fout in de beveiliging van afzonderlijke usersessies, in bepaalde gevallen gedurende korte tijd een usersessie kon worden ‘overgenomen’. Concreet is dit gebeurt met slechts een adverteerdersaccount, waardoor kwaadwillenden, die deze sessie open bleven houden, gedurende enige tijd fake-advertenties op MegaJobs konden laten verschijnen. De fout waardoor dit ontstond, is inmiddels hersteld, zodat herhaling hiervan niet meer kan plaatsvinden.
Het team achter MegaJobs hecht eraan te benadrukken:
– in tegenstelling tot wat het verspreide gerucht meldt, is er nooit en te nimmer toegang tot het ‘admin-gedeelte’ geweest, slechts tot 1 gebruikersaccount.
– We hebben helaas moeten constateren dat onze sterke focus op een goed matchingsysteem dat beantwoordt aan verwachtingen van adverteerders en oriënteerders, er toe heeft geleid dat we op dit punt een beveiligingslek lieten ontstaan, waarvoor excuses.
– Hoe graag we ook zouden willen, blijkt telkens weer dat geen enkele site kan garanderen waterdicht te zijn, ook MegaJobs niet. Velen blijven telkens weer zoeken naar gaten die menselijkerwijs onvermijdelijk ontstaan.
Tenslotte: wij zij diegenen dank verschuldigd die ons informeerden, i.p.v. te pogen hier publicitair munt uit te slaan. De tips en steun die we kregen, worden zeer gewaardeerd. Voor ons is dit een reden om onze beveiliging nog eens systematisch na te lopen. De extra traffic vandaag, nemen we dan maar graag voor lief!
Directie en team van MegaJobs
he, servertje loopt een uurtje voor zie ik… of is dat al heel lang bekend? Feb 04, 05 | 6:19 pm
Je hebt gelijk schief, ik zal de klok aanpassen. Bij alle berichten en reacties vandaag een uurtje aftrekken dus (het is nu 5:25 uur)!
Ik snap echt niet dat een fout als deze gemaakt kan worden door een speler als YellowMind.
Ongeloofelijk.
Directie en team van MegaJobs hebben inmiddels gereageerd op de fout in de beveiliging. Ivm wijziging van tijdinstelling, is het bericht tussen de overige reacties gekomen (zie reactie 6:18 pm).
Eric, goede reactie van MegaJobs! Iemand enig idee wie de tipgever Henry Valentine is?
Los van het gebeurde zal megajobs het nooit maar dan ook nooit redden tegenover VNU/NVB Reed/Totaljobs en Monster WorldWide. Een hoop vacatures op een site krijgen kan iedereen tegenwoordig met een netwerk binnen de arbiedsmarkt. Het gaat echter om de gunst van de kandidaat. Zolang je die niet hebt zijn er per vacature te weinig hits, te weinig rendement voor de werkgever en zal er dus ook nooit betaald worden voor plaatsing van vacatures..
Ik durf er 5000,- op in te zetten dat Megajobs binnen nu en 3 jaar niet binnen de top5 vacaturesutes staat op het gebied van omzet.
Nou Eric?
Omzet? Wie maalt er om omzet? De winstgevendheid is veel interessanter. Aangezien er bij de NVB een hele stapel duurbetaalde comissarissen (Wiegel, Vermeend) zitten en gangen vol met werknemers, terwijl bij MegaJobs gewoon een paar servers volautomatisch hun werk staan te doen, kunnen op dat gebied nog wel eens hele interessante verhoudingen ontstaan.
Te weinig rendement voor de werkgever is bovendien niet snel een argument wanneer het plaatsen van vacatures gratis is, en zeker wanneer ook dat volautomatisch kan gebeuren.
Ik zie MegaJobs nog best een aardige luis in de pels worden van de andere sites, zeker als ze het plaatsen van vacatures kosteloos houden. En waarom zouden ze dat niet? Inkomsten kun je, zeker als je de clientèle en het publiek eenmaal hebt, via andere middelen genereren (banners, spotlightposities, aanvullende diensten). Zeker als MegaJobs nog een en ander verbetert aan het gebruiksgemak en technische onvolkomenheden, en wanneer het de informatie intelligenter (gerelateerde vacatures, RSS, favourites, suggesties etc etc) ontsluit, zullen ze lastig genoeg zijn voor de concurrentie. Het echte grote geld komt tegen die tijd wel met een overname.
Bedenk wel dat de makers van MegaJobs al met JobNews een succes hebben behaald. Pas toen JobNews werd gekocht door een uitgever (Wolters Kluwer) ging het bergafwaarts, omdat die het medium internet onvoldoende begreep. Uitgevers als VNU en Reed doen het wat beter, maar spiegelen websites m.i. nog steeds teveel aan print, en hanteren te snel de regels die voor print gelden. Ik moet het nog maar zien of ze een internetminded partij als MegaJobs af weten te houden.
BETRAPT!
Eric Bremer, nu weten we het zeker! jij kent ‘John Hendrikx’ vast ook nog wel heh?
Hij liep overal op internet te comments te geven over hoe geweldig megajobs wel was!
Als jij zoiets over iemand anders denkt, dan neem ik aan dat zo’n soort idee al vast eerder is uitgevoerd….
Na een postje van mij op emerce.nl, is ‘John Hendrikx’ zomaar iemand anders geworden?….
???? Beland ik nu in The Matrix of zo?
Kom, Chantal, neem je pilletje weer, dan gaat het echt wel.
En als jij een alter ego van Marc bent, om aan de weddenschap mee te doen, moet je je echt bekend maken.
MarketingSoap.nl : voor al uw corporate intriges.
Marco, goed concept!! 🙂
De discussie gaat inderdaad de verkeerde kant op. De fout is duidelijk niet goed, dat hebben we allemaal gezien en daar zijn we (zelfs Megajobs) het over eens. Megajobs.nl geeft dit ook toe en ik vind dat het snel opgelost is (ik ken sites waar ze er langer over doen, Wanadoo met de emailadressen bijv) en dat MegaJobs.nl er netjes op reageert. Toch?
@Janm – Dat Marco het goed lijkt te hebben opgezet klopt volgens mij ook. Maar, ik vind wel dat als Marco een echt goeie was, had hij dit al eerder aangekaart, ook bij Megajobs. Hoe moeilijk is het nu om iets te cracken, een mailtje naar de site te sturen en dan pas de pers op te zoeken? Heeft hij zijn doel bereikt en zijn ‘hackerseer’ hoog gehouden, geeft die voer aan de pers en kan Megajobs gewoon herstellen… Nu krijgt hij de schijn tegen en wie de bal kaatst… Als er echt andere vacaturesites achter zitten dan laten die zich wel echt kennen… bang voor een nieuwkomer? Hah, dat is pas nieuws.
Groetjes
Eric, complimenten voor de snelheid en wijze waarop megajobs de situatie onder controle heeft gekregen (voor zover ik nu kan inschatten). Ik moet eerlijk zeggen dat ik gisteren heb getwijfeld of ik het bericht van de tipgever wel of niet moest plaatsen. Heb na overleg met een aantal mensen besloten dit wel te doen. Wij pretenderen een nieuwsblog te zijn op het gebied van interactieve marketing en daar horen dit soort zaken dan ook bij. Bovendien biedt het plaatsen van het bericht tevens een serieus discussieplatform.
Althans, dat laatste geldt natuurlijk alleen als mensen zich niet verschuilen achter een nickname. Ook daar complimenten voor Megajobs om met open vizier de discussie aan te gaan. Jammer dat een aantal anderen dat niet doen.
@ Marco Ik zie nu dat ik Marc en Marco (het lijkt ook zo op elkaar) door elkaar heb gehaald. Excuus, mijn eerdere respons was aan de anonieme Marc gericht, maar dat doe jij ook al zie ik en ik sluit me dan ook aan bij je laatste post… Wat denk je, durft hij net als Eric gewoon te zeggen wie die is en waar die voor staat?
Groetjes
Ik zat niet achter de tv maar lag lekker in bed, de weddenschap met Eric ben ik onder door mij ietwat andere gestelde voorwaarden aangegaan.
Verder wil ik duidelijk maken dat ik niet loop te stoken of de nieuwkomers op de markt (total,megajobs) zwart probeer te maken. Ik wens Eric met Megajobs hetzelfde succes toe als de NVB in de afgelopen vier jaar in Nederland. ( of Monster de afgelopen vijftien jaar wereldwijd.;-)
Ik heb alleen duidelijk geprobeert te maken dat ik het persoonlijk niet zie gebeuren.
Haha, wel grappig dat Eric zegt dat Marc door niet te reageren op zijn akkoord op de weddenschap 5000,- euro laat LOPEN..
Hiermee geeft hij aan dat Megajobs het inderdaad niet zal redden??
Lijkt me een erg kromme redenatie, Ric 🙂
Marc is ervan overtuigd dat ie met de weddenschap 5000 euro binnensleept. Als hij de weddenschap niet aangaat, moet je wel concluderen dat hij dat geld laat lopen.
Of leek te laten lopen, want ik begrijp dat de weddenschap nu dus wel degelijk staat? Ik ben erg benieuwd welke voorwaarden Marc er aan heeft verbonden.
Marc schrijft:
Eric,
“Ik had niets anders verwacht. Echter wil ik mijn vorstel aanpassen naar de
top3 qua omzet. Binnen internetland telt eigenlijk alleen de nummer 1 positie, maar dat zou niet reeel zijn. Ik hoor graag van je!”.
Ik reageer: Marc, meld eerst maar wie je bent en wat je dagelijks doet, alvorens de spelregels tijdens de race te willen veranderen. Open vizier graag.
Marco, dank voor de complimenten, en dank ook voor de consideratie die uit je woorden spreekt. Die dank geldt overigens nog een aantal mensen hier; in nood leer je je collega’s kennen;-). En collega’s hoeven echt geen vrienden te zijn, maar hebben wel begrip voor het feit dat mensen fouten maken. En dat deden wij ditmaal flink.
Uiteraard zijn verschillende mensen binnen dit boeiende vak soms elkaars concurrent, en in de concurrentiestrijd willen we allen winnen. Maar tegelijkertijd proberen we ook allen dit vak verder te helpen, en als dat soms met strijd gepaard gaat, dan in elk geval met open vizier. Het is jammer te constateren dat sommigen dat niet kunnen/durven.
Neem van mij aan dat dit voor ons allen bij MegaJobs een paar kl*tedagen zijn, en dat wij ons voor het hoofd hebben geslagen, maar nu des te meer op onze qui vive zijn.
Complimenten nu ook naar jou voor dit forum, want -de enkelingen daargelaten- blijkt dit een plek waar men serieus met de materie bezig blijft. En dat maakte jij mogelijk.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!