Website Walibi Nederland kwetsbaar voor cybercriminelen
Een kwetsbaarheid in de Nederlandse website van Walibi kon hackers toegang geven tot de site en de gegevens van app-gebruikers. Het probleem is intussen opgelost.
Het lek werd gemeld aan Joost Schellevis, techredacteur van de NOS, die het door iemand anders kon laten reproduceren. Hij lichtte Walibi Nederland in die de kwetsbaarheid intussen heeft aangepakt. Sindsdien heeft het Nederlandse park ook een responsible disclosure beleid, waarbij ethische hackers zulke problemen kunnen melden zonder het risico te lopen om te worden aangeklaagd voor hacking.
Nieuwtje: na eerdere hacks waarbij je gratis kaartjes kon bestellen, had Walibi nu een kwetsbaarwaarheid waarbij iedereen admin op de site kon worden ????
— Joost Schellevis (@Schellevis) April 2, 2020
In deze corona-weken geen tijd voor een verhaal hierover, dus even via Twitter ????
In het kort was het mogelijk om de browserheaders te manipuleren. Daardoor kon elke gebruiker van de site zichzelf administratorrechten toewijzen.
Vervolgens was het mogelijk om een gebruikersdatabase van zo'n zevenhonderdduizend gebruikers van de Walibi-app en in sommige gevallen hun mailadres in te kijken. Ook was het mogelijk om de site aan te passen.
Ook in België?
Data News nam contact op met Walibi Belgium. Daar zegt men niet te kunnen bevestigen dat het lek ook op de Belgische sites voorkwam. Nochtans toont een van de screenshots van Schellevis dat er vanaf de gehackte site ook kon worden gesprongen naar Walibi België, Aqualibi, Bellewaerde en moederbedrijf Compagnie Des Alpes. Maar of dit ook echt kon is dus niet zeker. Ook het responsible disclosure beleid is enkel van toepassing op de website van het Nederlandse park.
Walibi Nederland wist aan Schellevis wel te melden dat niemand anders de persoonsgegevens zou hebben ingezien. De kans dat er data is gelekt is dus klein.
In samenwerking met Datanews
