12-02-10 12:36
Op LinkedIn laten zien wat je zojuist hebt getwitterd, of een rss feed met nieuws automatisch doorplaatsen op een community: sociale netwerksites zoals Hyves, LinkedIn, Twitter en webcommunities worden steeds vaker aan elkaar geknoopt. Dat brengt wel gevaren met zich mee. Zo ontdekten honderden Twittergebruikers gisteren dat ze berichten uitstuurden die helemaal niet van hen afkomstig waren. Een lek in een gekoppelde dienst bleek de oorzaak.
Application programming interfaces (api’s) zijn het smeermiddel van web 2.0. Elke zichzelf respecterende netwerksite of (micro)blogdienst maakt het mogelijk om informatie door te sluizen naar andere sites. Je geeft één keer toestemming voor het aanbrengen van een koppeling, waarna LinkedIn automatisch je statusupdates overneemt van Twitter, je website blogberichten van anderen toont of je positie – bepaald aan de hand van gps – wordt doorgegeven aan Hyves. Dergelijke toepassingen, waarbij functionaliteiten van verschillende diensten worden gecombineerd heten ook wel mashups.
Deze mashups en onderliggende api’s brengen wel gevaren met zich mee. Zo bleek gisteren dat honderden Twitteraars berichten plaatsten die helemaal niet door hen geschreven waren; een api van een derde partij bleek te zijn gehackt. Veel gebruikers hadden de betreffende partij ooit toestemming verleend om hun dienst te koppelen aan de Twitteraccount, maar waren dat allang weer vergeten. Hackers die inbraken in de betreffende dienst konden derhalve - zonder het wachtwoord van die gebruikers te hoeven achterhalen - in korte tijd berichten verspreiden via honderden gekoppelde accounts.
Dat kan leiden tot genante maar onschuldige situaties, bijvoorbeeld als het bericht seksueel getint is. Maar het is niet ondenkbaar dat zo’n spookbericht een link bevat naar een malafide site, die vervolgens een virus tracht te installeren op de pc van de persoon die argeloos op de link klikte; immers, het bericht was afkomstig van een bekende en daardoor vertrouwd. Dat is al veel ernstiger.
Natuurlijk is dit fenomeen niet nieuw, maar de toenemende mate waarin websites met elkaar verstrengeld raken, mede door ‘vergeten’ koppelingen die in het verleden gemaakt zijn, vormen wel aanleiding tot enig nadenken over de potentiële risico’s, vooral als je bedrijfsmatig gebruik maakt van web 2.0 toepassingen: Hoe groot is de kans dat je accounts worden gehackt, direct of via een api? Hoe herstel je de reputatieschade als je Twitteraccount van je bedrijf wordt gekaapt met misschien wel duizenden followers, waarna er schunnige berichten of berichten met virussen worden verzonden? Of wat te doen als je website ineens heel vervelende nieuwsberichten van concurrenten toont?
Je doet er goed aan – als persoon, of als bedrijf – om eens in kaart te brengen welke diensten je precies gebruikt en welke koppelingen er tussen die diensten gemaakt zijn. Als je een dienst niet meer gebruikt, meld je dan af en/of verbreek de koppeling. Houd altijd een vinger aan de pols en neem maatregelen bij afwezigheid, zodat je niet na je vakantie pas te weten komt dat er op je site misschien al weken reclame staat voor Viagra. En bedenk dat veel ellende voorkomen kan worden met gewoon gezond verstand, maar je loopt altijd een risico, geen systeem is 100% waterdicht.
