Hyves.nl, een immens populaire community website, met momenteel ruim twee miljoen leden heeft enige tijd privacy gevoelige gegevens gelekt via persoonlijke berichten (PB's). Het was erg eenvoudig om een heleboel berichten van anderen te bekijken: door het wijzigen van een nummer in de adresbalk was het mogelijk om, tijdens het reageren op een bericht in de Inbox, te reageren op een ander bericht van een ander persoon, waardoor diens oude bericht in beeld verscheen. De sessie van de ingelogde gebruiker werd bij de URL-parameters 'reply_id' en 'reply_all_id' niet gevalideerd.

Leden van Hyves kunnen elkaar berichten versturen en onderzoek heeft aangetoond dat ook persoonsgegevens (06-nummers, e-mail adressen, adressen, bankrekeningnummers en -de gemiddelde internetter kennende- ook andere privacy gegevens) naar elkaar verstuurd worden. Het is voor iedere Hyves lid mogelijk geweest deze berichten op tevragen en in te zien.

Zo schreef ene Liesbeth aan ene Bas:

heb je mijn nieuwe adres????
****laan 1d **** zeist!
zie je kaartje met spanning tegemoet.

Rogier bevestigt nog even zijn bankrekeningnummer:

rekening nummer is 4485*****
naam Rogier vd E***, te H****

DSINet.org heeft 499 berichten gedownload, voor onderzoek. In één van de berichten was een, op dat moment, geldige 'wachtwoord vergeten, klik hier' link opgenomen. Hiermee was het mogelijk om op het betreffende account in te loggen, berichten te lezen, instellingen te wijzigen en de gehele Hyves-identiteit van die betreffende persoon over te nemen. Na contact met de beheerders van Hyves was het lek snel gedicht. Wel is het aan de hand van de foutmelding nog mogelijk te bepalen of een bericht bestaat ("Helaas mag je dit bericht niet zien.") of verwijderd is ("Dit bericht bestaat niet meer. Het is waarschijnlijk verwijderd, door jezelf of door de afzender"). Deze informatie kan verder gebruikt worden voor het footprinten van de verdere website.

Over Hyves:
Het vrienden netwerk Hyves is binnen een jaar uitgegroeid tot een van de grootste sites van Nederland. Meer dan een half miljoen Nederlanders communiceren met hun vrienden en netwerk op Hyves via weblogs, foto albums, persoonlijke tips, marktplaatsen en hyves (clubs) bij een netwerk van directe vrienden en 2e graads vrienden.

Tijdpad:
2006/06/01: lek ontdekt, verder onderzocht;
2006/06/02: lek gemeld aan Hyves;
2006/06/09: vanwege geen response een PB (ironisch hè) gestuurd aan een Hyves medewerker en het lek gemeld naar een ander e-mailadres;
2006/06/12: bevestiging dat het lek gedicht is;

Hyves.nl is om een reactie gevraagd maar had nog niet gereageerd op moment van schrijven.