Welkom!
Je maakt helaas gebruik van software die onze advertenties blokkeert.
Dankzij reclamebanners kan onze website blijven bestaan.
Help Looopings door je advertentieblocker op dit domein uit te schakelen.
De site is dan weer zichtbaar. Bedankt!
Walibi Holland

Weer bizarre ICT-blunder Walibi: website blijkt zo lek als een mandje

02-04-2020, 14.02 uur

Walibi Holland wordt opnieuw geconfronteerd met een ICT-blunder van formaat. Een anonieme hacker heeft op de website van het attractiepark een gigantisch lek aangetroffen. Daardoor kon in theorie iedereen sitebeheerder worden en op die manier informatie aanpassen en privégegevens van gebruikers bekijken.

Walibi wordt al maanden achtervolgd door hackers die grove fouten aantreffen op de website van het park. Zo kwamen afgelopen najaar vertrouwelijke bedrijfsgegevens op straat te liggen konden de prijzen van entreekaarten en vakantiehuizen aangepast worden.

Het bouwen van een nieuwe site en een samenwerking met beveiligingsspecialist Fox-IT had ervoor moeten zorgen dat de problemen verleden tijd zouden zijn, maar ook de nieuwe site bleek al op dag één makkelijk te kraken. En de gifbeker is kennelijk nog steeds niet leeg.

Manipuleren
Dit keer was het mogelijk om het controlepaneel van de site te binnen te dringen. "Door zogenoemde browserheaders te manipuleren, kon elke gebruiker admin worden op walibi.nl", schrijft NOS-techjournalist Joost Schellevis vandaag op Twitter. "Daarmee kon je onder meer de gebruikersdatabase inzien." Die telt zo'n 700.000 accounts. De journalist geeft ook nog wat technische details. "Je moest een POST-request vanuit je eigen browser onderscheppen en de tekst daarvan toevoegen aan een authorization-header."

Hoe ernstig is het lek? "In principe had een aanvaller veel kwaad kunnen aanrichten." Kwaadwillende personen hadden bijvoorbeeld malware kunnen installeren om gegevens te onderscheppen, aldus Schellevis. "Dat is een bekend gevaar." Verder was het niet alleen mogelijk om de website van Walibi Holland aan te passen, maar ook verschillende andere sites van moederbedrijf Compagnie des Alpes.

Anoniem
Nadat Schellevis werd getipt door een hacker die zelf anoniem wil blijven, lichtte hij Walibi in. "We hebben het probleem kunnen oplossen", meldt een woordvoerster van het park aan Looopings. "Uit onze serverlogs blijkt dat niemand persoonsgegevens heeft ingezien."

Maar hoe kan het gebeuren dat er bij Walibi zo vaak ICT-flaters aan het licht komen? En hoe kan de Walibi-site zo lek zijn als een mandje, terwijl er wordt samengewerkt met een gerenommeerde partij als Fox-IT? "De website is volledig getest door de beveiligingsspecialisten, maar daarna is niet alles op de juiste manier doorgevoerd door de sitebouwer", reageert de voorlichtster. "Hierdoor is er een fout in de code blijven staan."

Vrijkaartjes
Vorige week lanceerde Walibi een speciaal programma waarbij ethische hackers beloond worden met vrijkaartjes als ze op de site van het pretpark kwetsbaarheden aantreffen. Dit nieuwe lek viel daar nog niet onder, zegt de woordvoerster. "Er zijn dus geen kaartjes uitgedeeld."

Meer Walibi Holland
Looopings op Instagram
Looopings op Facebook
Looopings verscheen eerder bij o.a.:
NOS NU.nl RTL Nieuws AD De Telegraaf de Volkskrant NRC Handelsblad EenVandaag Hart van Nederland Editie NL ANP NPO Radio 1 NPO Radio 2 VPRO Gids BNR Nieuwsradio Radio 538 Omroep Brabant 1Limburg Omroep Flevoland Omroep West Omroep Gelderland RTV Oost RTV Drenthe Dagblad van het Noorden De Limburger de Gelderlander de Stentor Tubantia BD ED BN DeStem Het Laatste Nieuws Het Nieuwsblad De Morgen Gazet van Antwerpen Het Belang van Limburg Sudinfo.be