Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Pretpark dreigt met aangifte tegen ontdekker van datalek die om kaarten vraagt

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Volgens het pretpark heeft de ontwikkelaar het pretpark gechanteerd. De ontwikkelaar zegt juist dat die kaartjes hem eerder zijn beloofd.

Ontwikkelaar Jan van Kampen tipte het pretpark in maart dit jaar over een datalek. Tegenover Looopings verduidelijkt hij dat het gaat om computercode in de bron van de webshop, die aangeeft hoeveel entreebewijzen, kaartjes voor losse attracties en Fast Lane-tickets het pretpark heeft verkocht. Deze informatie zou via 'element inspecteren' zichtbaar zijn in json-formaat.

Toen hij het pretpark inlichtte over het lek, werd hem naar eigen zeggen door een it-manager gevraagd of hij dit in het pretpark zelf wilde toelichten. Daarbij zegt hij dat hem per mail werd aangeboden om 'een rondje park' te doen. Van Kampen zegt dat er na dit aanbod, ondanks herhaalde pogingen geen contact meer is geweest met Walibi.

Van Kampen zegt in de afgelopen week op basis van een tip te hebben geconcludeerd dat er weer 'iets niet klopte'. Ook bij dit lek is de kaartverkoop in te zien, ook die voor de speciale halloweendagen van het pretpark. Van Kampen claimt dit direct aan Walibi te hebben gemeld, met als mailonderwerp 'Datalek ruilen voor kaartjes?'. In de mail vroeg hij om vier kaartjes voor het park en de spookhuizen; hij zegt dat hij niet om geld heeft gevraagd.

De ontwikkelaar zegt op 14 oktober een reactie te hebben ontvangen van Walibi Holland-directeur Mascha van Till. Daarin zou zij zeggen dat Walibi zich niet laat chanteren en dat Van Kampen geen tickets ontvangt. In die mail zou zij hebben gezegd op 14 oktober aangifte te doen.

RTL Nieuws zegt het mailverkeer tussen Van Kampen en Walibi te hebben ingezien. Een woordvoerder van Walibi zegt tegenover de nieuwssite inderdaad 'grond voor afpersing' te zien en verduidelijkt daarbij dat de aangifte niet is omdat het datalek werd gemeld, maar omdat Van Kampen het pretpark zou hebben afgeperst. Of er daadwerkelijk aangifte is gedaan, is niet bekend.

Van Kampen is een ontwikkelaar die vaker bedrijfslekken opspoort en daarvoor een beloning kan krijgen. Zo heeft hij volgens RTL Nieuws een app ontwikkeld waarmee hij toegangscodes voor de Python-achtbaan in de Efteling kon genereren. Die app deelde hij niet, in samenspraak met de Efteling is dat lek toen gedicht. Op zijn site schrijft Van Kampen ook door de Efteling te zijn benaderd om it-projecten te testen.

Door Hayte Hugo

Nieuwsposter

15-10-2019 • 16:28

257 Linkedin Google+

Submitter: williamvdh

Reacties (257)

Wijzig sortering
Ben benieuwd of er ook daadwerkelijk persoonsgegevens bloot hebben gelegen of nog steeds liggen, en ten tweede of het lek gemeld is door Walibi bij de Autoriteit Persoonsgegevens? Gezien de arrogantie van de directrice en haar kinderlijke reactie op de melding van de klokkenluider doet me vermoeden dat dit niet netjes is gemeld bij de AP. Dat zou nog wel eens nare gevolgen kunnen hebben voor Walibi Nederland.
Er is vrijwel zeker geen melding bij het AP gedaan omdat er geen persoonsgegevens gelekt zijn.
Dat is ook een beetje het punt, er is geen echt belangrijke info zichtbaar gemaakt, er zijn kaartjes-aantallen gevonden die an sich niet heel erg geheim waren gezien "in de halloween wereld" dit al wel bekend was.
Het gaat niet om persoonsgegevens maar verkochte aantallen kaartjes. Deze getallen hebben alleen nut voor de concurrentie en zijn nauwelijks een datalek te noemen.
We hebben het hier wel ffies over Mascha van Till he?
Zij is al niet zo snugger, heeft immers het Land van Ooit laten falen.

Daarbij "woordvoerder" lees dit als "stagiaire communicatie" .

Nu mijn nuttige aandeel bij dit bericht:

Ik heb ook wel eens lekkages ontdekt in de website (voornamelijk webshop) van Tony's Chocolonely. En dit ook netjes aan ze gemeld, waardoor het IT team erachter de boel kon afsluiten. En werd zonder iets te vragen bedankt met een doos chocola.

Ik vind het overigens wel brutaal, een lekkage als leverage gebruiken om zo een paar kaarten los te peuteren, maar anderzijds zulks informatie zou misbruikt / doorverkocht kunnen worden dus Walibi had ook wel wat milder mogen / kunnen reageren. Aangifte is dus een beetje overdreven en afpersing zijn grote woorden. Weten zij wel eens wat echt afpersen inhoudt? Een simpel bedankje was genoeg geweest met een leuk telefoonhoesje en gratis condooms. (Boos aflevering https://youtu.be/1mrIGFlbI78?t=541)
Ik ben van mening dat als je een bedrijf wijst op een potentiele fout. Die "mogelijk" financiele consequenties kan hebben voor het bedrijf zelf. Je prima gecompenseert mag worden voor je uren. Zei het dmv een financiele tegemoetkoming, of zoals in dit geval een lekker dagje in Walibi met een aantal vrienden. Ik zie het probleem niet. Lijkt mij dan ook prima dat je er om vraagt. De zon komt gratis op, daar houdt het dan ook wel z'n beetje mee op.

Het antwoord dat je krijgen kan is nee, of ja. of zoals in dit geval totaal uit de context getrokken(gebasseerd op de informatie uit de beschikbare bronnen).

Als hij had gedreigt de data te verkopen, als hij geen kaartjes krijgt. Was het wat anders geweest. Ook dan valt er achter je oor te krabben als Walibi, want jouw eigen website was niet op orde. maar de manier waarop is dan een goed argument.

Lijkt mij op dit moment een no brainer. Gewoon compenseren.
Direct vragen om kaarten is zeker "brutaal". Maar dat is hier niet van toepassing.
Hij heeft eerder een lek gemeld. En er was hem een soort van compensatie geboden. Een rondje door het park. Daarna hebben ze niets laten horen.

Dus dan nu wat directer er om vragen, soort van terugkomen op die afspraak... Is toch wat anders vind ik.

Los daarvan: damn hoe overtrokken kan je reageren :'(
Dat krijg je wanneer zo'n mail bij de juridische dienst terechtkomt in plaats van bij de IT dienst: een puur juridische reactie. Als je enige hulpmiddel een hamer is, ziet elk probleem eruit als een nagel: je kan enkel meppen, wat je ook voor je krijgt.
Kennelijk is de mail juist niet bij de juridische dienst terecht gekomen, die zouden een juridisch correcter antwoord gestuurd hebben.
juristen zijn zoals wilde dieren: eerst een schijnaanval waarbij je jezelf niet in gevaar brengt, en enkel als je aanvaller niet wijkt doe je een echte aanval. Een strategie die evolutionair succesvol gebleken is.

[Reactie gewijzigd door bdbfz op 15 oktober 2019 19:37]

Een techneut met gevoel voor humor. Da's blijkbaar even wennen.
Mijn gevoel zegt ook dat de IT manager van Walibi de boel een
beetje onderschat heeft.
De IT manager had hem begrepen (zover ik het begrepen had) maar omdat andere afdelingen het niet nakomen gaat het fout.
Datalek is een erg groot woord voor "de data die lekt".
Het is wat aantallen verkoop informatie van hun webshop, waarbij verkoop ook nog via andere kanalen plaats vind (oa in het park zelf) en in de vakwereld de aantallen ook niet echt een geheim zijn.

Is het handig aangepakt van Walibi: Nee
Is het handig aangepakt van de "ontdekker" (veel meer mensen wisten van deze data af maar vonden t vooral onbelangrijk): Nee
Had de ontdekker misschien contact moeten leggen met die ontwikkelaar-toko die die json aanbied voor dat systeem: Ja
"Had de ontdekker misschien contact moeten leggen met die ontwikkelaar-toko die die json aanbied voor dat systeem: Ja"

Mijn inziens: Nee

Die reageren dan natuurlijk gewoon helemaal niet. Walibi is de partij en verantwoordelijke hier.
Chanteren? Staat er dan bij "anders geef ik het aan het grote publiek en zijn jullie de sjaak"? :{
Ik zie dit meer als een vrijblijvend voorstel tot beloning. Ik ken de inhoud van de mail niet en geen idee of een ‘chunk’ meteen duidelijk maakt wat het lek is dus exact beoordelen kan ik het natuurlijk niet, maar als er niks gedreigd is dan lijkt me dat Walibi de plank flink mis slaat en zo een aantal bezoekers zal mislopen. Voor mij in iedergeval geen aanleiding om er toch eens heen te gaan, een bericht dat ze de man een vip arrangement hadden aangebonden als bedankje had me eventueel nog kunnen overhalen.
Dat hij het alsnog openbaar heeft gemaakt zorgt ervoor dat het wellicht al iets meer richting chantage gaat...
* Jester-NL probeert zich een voorstelling te maken van de aangifte...

Volgens mij wordt daarbij tijd en energie van de Politie verdaan. En van de advocaat van Van Kampen... en uiteindelijk van een rechter, omdat er bij Walibi mensen zijn die niet snappen hoe een website werkt.
Precies mijn geachte inderdaad; ik vraag me zo nu wel eens af waarom het rechtsysteem toch zo duur kan zijn. Als je het met dit soort 'kruimelzaken' gaat belasten is dat niet zo gek meer natuurlijk 8)7

Als politie zijnde die deze aangifte ontvangt zou ik bijna willen zeggen; 'Afgewezen en kom zelf maar tot een oplossing' of iets in die trend.
Tsja, wie gaat er vanaf nu ooit nog een datalek melden bij Walibi? :?
Zou eerder de neiging krijgen om ze (Walibi management) een paar vrijkaarten te sturen :) uit hun eigen lekke systeem.
Mascha van Till is een beetje een 'dramaqueen'.

Die paar toegangskaartjes zijn kruimels voor het werk wat in dit soort research zit. Ik heb geen rechten gestudeerd maar van afpersen is pas spraken als iemand dreigt met schade (zoals een DDoS) als er niet 'betaald' wordt.

Maar Mascha kan in plaats van die toeganskaartjes ook zelf een beveiligingsonderzoeker inhuren a 1000 euro per dag om de gaten in hun applicaties te vinden[1].

Wat is de betere deal? :D

Het is beter om dit vrijwel gratis advies met beide handen aan te pakken, je fout te erkennen en de boel te fiksen. Meneer van Kampen had die vier kaartjes gekregen en een kratje bier als toegift.

Als Mascha nou eens een beetje relaxed zou zijn, het issue in perspectief zou zien (en de eigen verantwoordelijkheid erkennen) dan was dit negatieve bericht - waarmee Walibi zich volstrekt belachelijk maakt - nooit de wereld in gekomen.

Als ICT-er zou ik in ieder geval nu niet voor Walibi willen werken want dit lijkt een beetje een kneuzencircus.

[1]: het is altijd verstandig om op internet-facing applicaties een security audit te laten uitvoeren. :)

[Reactie gewijzigd door Q op 15 oktober 2019 16:51]

wat er ontbreekt in het artikel is dat hij al eerder de directrice op zijn dak heeft gekregen.
De dame houdt er niet van wanneer ze geconfronteerd wordt met haar incompetenties, dat is duidelijk

Door een ict-blunder zijn cijfers over verkochte tickets door iedereen te bekijken. Dat ontdekte ontwikkelaar Jan van Kampen, die het pretpark met het lek confronteerde. Vervolgens kreeg hij een persoonlijke mail terug van Walibi-directrice Mascha van Till. Zij kondigt aan naar de politie te stappen om aangifte te doen tegen Van Kampen.
wat er ontbreekt in het artikel is dat hij al eerder de directrice op zijn dak heeft gekregen.
Die e-mail is toch van nu? Hoezo eerder?
Lees even de bron (eerste link in het artikel ;))
Daar lees ik niet dat hij al eerder met die directrice te maken zou hebben gehad. En wat is de logica van de cursieve aanhaling in je post, als die daar ook niet over gaat?
Nee, u hebt gelijk. Verkeerd geinterpreteerd van mij. :D
Het was wel het tweede lek

Ict-manager
Van Kampen weet nu ook hoeveel entreebewijzen Walibi online verkoopt. "Alle voorverkoop ligt dus op straat." Toen hij Walibi eerder dit jaar met het lek confronteerde - toen nog zonder de halloweeninformatie - werd hij naar eigen zeggen van het kastje naar de muur gestuurd. Uiteindelijk kwam hij bij een ict-manager uit, die hem uitnodigde in het park om het probleem te bespreken.

"Maar na wat heen en weer gemail heeft hij niks meer van zich laten horen." Nadat Van Kampen afgelopen weekend een nieuw lek ontdekte, waagde hij weer een poging. Hij eiste vier tickets voor de moeite. Tot zijn grote verbazing kreeg hij vandaag een persoonlijk antwoord van directrice Mascha van Till.
Als serieus icter zou ik ook vanwege het salaris (zie elders in de comments) niet voor Walibi willen werken.
Klinkt als opgeblazen verhaal. Je mag toch vragen of men het datalek wil ruilen voor 4 kaartjes? Wat heeft Walibi geantwoord en hoe is dat verder gegaan? Misschien had hij het datalek gewoon alsnog gemeld zonder de kaartjes te krijgen. 4 kaartjes is geen groot afpersingsbedrag ook.
Eens, het klinkt ook alsof het onderwerp van de email gewoon luchthartig bedoeld was. Bij een park waar het slogan "Fuck slow, hard gaan", en #hardgaan condooms worden verkocht in het parkwinkeltje, mag je toch verwachten dat ze om zoiets "stouts" wel kunnen lachen. Jammer voor Walibi, dit, gemiste kans om er wat leuks mee te doen voor goede PR.

[Reactie gewijzigd door TechandMusic op 15 oktober 2019 22:02]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True