Wanneer gaan de pretparken weer open? Check looopings.nl/open voor alle data.
Walibi Holland

Weer bizarre ICT-blunder Walibi: website blijkt zo lek als een mandje

02-04-2020, 14:02 uur | Reacties

Walibi Holland wordt opnieuw geconfronteerd met een ICT-blunder van formaat. Een anonieme hacker heeft op de website van het attractiepark een gigantisch lek aangetroffen. Daardoor kon in theorie iedereen sitebeheerder worden en op die manier informatie aanpassen en privégegevens van gebruikers bekijken.

Walibi wordt al maanden achtervolgd door hackers die grove fouten aantreffen op de website van het park. Zo kwamen afgelopen najaar vertrouwelijke bedrijfsgegevens op straat te liggen konden de prijzen van entreekaarten en vakantiehuizen aangepast worden.


ZIE OOK: Directrice Walibi Holland trekt keutel in: toch geen aangifte tegen 'hacker'

Het bouwen van een nieuwe site en een samenwerking met beveiligingsspecialist Fox-IT had ervoor moeten zorgen dat de problemen verleden tijd zouden zijn, maar ook de nieuwe site bleek al op dag één makkelijk te kraken. En de gifbeker is kennelijk nog steeds niet leeg.

Manipuleren
Dit keer was het mogelijk om het controlepaneel van de site te binnen te dringen. "Door zogenoemde browserheaders te manipuleren, kon elke gebruiker admin worden op walibi.nl", schrijft NOS-techjournalist Joost Schellevis vandaag op Twitter. "Daarmee kon je onder meer de gebruikersdatabase inzien." Die telt zo'n 700.000 accounts. De journalist geeft ook nog wat technische details. "Je moest een POST-request vanuit je eigen browser onderscheppen en de tekst daarvan toevoegen aan een authorization-header."

Hoe ernstig is het lek? "In principe had een aanvaller veel kwaad kunnen aanrichten." Kwaadwillende personen hadden bijvoorbeeld malware kunnen installeren om gegevens te onderscheppen, aldus Schellevis. "Dat is een bekend gevaar." Verder was het niet alleen mogelijk om de website van Walibi Holland aan te passen, maar ook verschillende andere sites van moederbedrijf Compagnie des Alpes.

Anoniem
Nadat Schellevis werd getipt door een hacker die zelf anoniem wil blijven, lichtte hij Walibi in. "We hebben het probleem kunnen oplossen", meldt een woordvoerster van het park aan Looopings. "Uit onze serverlogs blijkt dat niemand persoonsgegevens heeft ingezien."

Maar hoe kan het gebeuren dat er bij Walibi zo vaak ICT-flaters aan het licht komen? En hoe kan de Walibi-site zo lek zijn als een mandje, terwijl er wordt samengewerkt met een gerenommeerde partij als Fox-IT? "De website is volledig getest door de beveiligingsspecialisten, maar daarna is niet alles op de juiste manier doorgevoerd door de sitebouwer", reageert de voorlichtster. "Hierdoor is er een fout in de code blijven staan."

Vrijkaartjes
Vorige week lanceerde Walibi een speciaal programma waarbij ethische hackers beloond worden met vrijkaartjes als ze op de site van het pretpark kwetsbaarheden aantreffen. Dit nieuwe lek viel daar nog niet onder, zegt de woordvoerster. "Er zijn dus geen kaartjes uitgedeeld."

ZIE OOK: Website Walibi Holland gekraakt: journalist regelt entreekaarten voor 50 eurocent

Reacties