MSN Reporter makkelijk te hacken

Bij een bericht op eKudos over een bug in onze nieuwe eKudos-widget, verscheen een reactie met daarin een opmerking over de spamgevoeligheid van die andere sociale nieuwssite: MSN Reporter. MSN haalde de site onlangs uit het beta-stadium en maakt deelname voor haar bezoekers erg makkelijk aangezien je voor het 'kicken' of 'dumpen' van een bericht niet ingelogd hoeft te zijn.

Het wegnemen van de inlog-barriere levert uiteraard een actievere gemeenschap op, maar het maakt de site ook gevoeliger voor spam. Dat de kicks en dumps vastgelegd worden met een cookie is nog tot daar aan toe, maar daarnaast is voor het uitbrengen van je stem slechts een URL-aanroep nodig, een actie die met enige programmeerkennis vrij eenvoudig te faken is. Dat wilden we uiteraard wel eens testen.

En inderdaad, met een eenvoudig script stond een door ons geplaatst artikel binnen no-time bovenaan en frontaal op de voorpagina van Reporter, met een niet gering aantal kicks.

Deze actie is natuurlijk leuk voor even (het artikel zal waarschijnlijk snel verwijderd worden) maar geeft wel een heel groot lek in MSN Reporter weer! Die bug in onze widget gaan we uiteraard snel fixen...