Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Pretpark dreigt met aangifte tegen ontdekker van datalek die om kaarten vraagt

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Volgens het pretpark heeft de ontwikkelaar het pretpark gechanteerd. De ontwikkelaar zegt juist dat die kaartjes hem eerder zijn beloofd.

Ontwikkelaar Jan van Kampen tipte het pretpark in maart dit jaar over een datalek. Tegenover Looopings verduidelijkt hij dat het gaat om computercode in de bron van de webshop, die aangeeft hoeveel entreebewijzen, kaartjes voor losse attracties en Fast Lane-tickets het pretpark heeft verkocht. Deze informatie zou via 'element inspecteren' zichtbaar zijn in json-formaat.

Toen hij het pretpark inlichtte over het lek, werd hem naar eigen zeggen door een it-manager gevraagd of hij dit in het pretpark zelf wilde toelichten. Daarbij zegt hij dat hem per mail werd aangeboden om 'een rondje park' te doen. Van Kampen zegt dat er na dit aanbod, ondanks herhaalde pogingen geen contact meer is geweest met Walibi.

Van Kampen zegt in de afgelopen week op basis van een tip te hebben geconcludeerd dat er weer 'iets niet klopte'. Ook bij dit lek is de kaartverkoop in te zien, ook die voor de speciale halloweendagen van het pretpark. Van Kampen claimt dit direct aan Walibi te hebben gemeld, met als mailonderwerp 'Datalek ruilen voor kaartjes?'. In de mail vroeg hij om vier kaartjes voor het park en de spookhuizen; hij zegt dat hij niet om geld heeft gevraagd.

De ontwikkelaar zegt op 14 oktober een reactie te hebben ontvangen van Walibi Holland-directeur Mascha van Till. Daarin zou zij zeggen dat Walibi zich niet laat chanteren en dat Van Kampen geen tickets ontvangt. In die mail zou zij hebben gezegd op 14 oktober aangifte te doen.

RTL Nieuws zegt het mailverkeer tussen Van Kampen en Walibi te hebben ingezien. Een woordvoerder van Walibi zegt tegenover de nieuwssite inderdaad 'grond voor afpersing' te zien en verduidelijkt daarbij dat de aangifte niet is omdat het datalek werd gemeld, maar omdat Van Kampen het pretpark zou hebben afgeperst. Of er daadwerkelijk aangifte is gedaan, is niet bekend.

Van Kampen is een ontwikkelaar die vaker bedrijfslekken opspoort en daarvoor een beloning kan krijgen. Zo heeft hij volgens RTL Nieuws een app ontwikkeld waarmee hij toegangscodes voor de Python-achtbaan in de Efteling kon genereren. Die app deelde hij niet, in samenspraak met de Efteling is dat lek toen gedicht. Op zijn site schrijft Van Kampen ook door de Efteling te zijn benaderd om it-projecten te testen.

Door Hayte Hugo

Nieuwsposter

15-10-2019 • 16:28

257 Linkedin Google+

Submitter: williamvdh

Reacties (257)

Wijzig sortering
Misschien is het toch verspreiden van het lek ZONDER aankondiging nog wel erger? Dat is namelijk wat hij nu heeft gedaan.
Hij bedoelt het duidelijk als een soort van tegenprestatie en doet daarvoor een suggestie, dat is geen afpersing.
Jij omschrijft een manager wat ook meteen een goede leider is, welke je ook het liefste wilt hebben.
Helaas zijn er veel managers welke geen goede leiders zijn en andersom, ondanks dat je ze allebei nodig hebt.

Een manager is over het algemeen een rationele doener. Werkt en stuurt in het nu. Boeken resultaat d.m.v. doelstellingen en policy. Pure managers houden over het algemeen meer rekening met het bedrijf (zie doelstellingen en procedures) dan met het personeel.

Een leider is over het algemeen een motiverende persoon met visie is. Werkt en stuurt naar een punt in de toekomst. Boeken resultaten d.m.v. het team met de neus dezelfde kant op te laten kijken en zodoende te laten samenwerken. Denk meer aan wat gaat komen (anticiperen) dan wat nu is.

De beste managers zijn de gene die zowel manager als leider kunnen zijn. Het goed kunnen structureren en aansturen in het nu maar wel met een oog op de toekomst, het bedrijf en het personeel.

Helaas vind je niet heel vaak een combinatie van die twee en zal @dycell vooral de pure manager tegengekomen zijn (al ben ik het er niet mee eens dat ze overbodig zijn). Ik heb onder zowel pure manager als goede manager/leider combinatie gewerkt en het is een wereld van verschil.

[Reactie gewijzigd door Joever op 16 oktober 2019 13:13]

Jij omschrijft een manager wat ook meteen een goede leider is, welke je ook het liefste wilt hebben.
Helaas zijn er veel managers welke geen goede leiders zijn en andersom, ondanks dat je ze allebei nodig hebt.
Klopt! Er zijn helaas ook meer slechte software developers dan goeie, één kenmerk dat die lui delen met slechte managers is dat ze zélf denken dat ze het allemaal helemaal goed doen.

Om op basis daarvan te constateren dat software developers overbodig zijn omdat we nu ook codeless development systemen hebben, is wat kort door de bocht :-) Maar daar hoef ik jou al niet meer van te overtuigen.
Een manager is over het algemeen een rationele doener. Werkt en stuurt in het nu. Boeken resultaat d.m.v. doelstellingen en policy. Pure managers houden over het algemeen meer rekening met het bedrijf (zie doelstellingen en procedures) dan met het personeel.
Klopt mijns inziens niet helemaal. Een middle manager (en ook een politicus) werkt vaak aan z'n eigen toekomst, en moet daarvoor op korte termijn resultaat behalen. De lange termijn is minder belangrijk.
Ik zie het bij sommige klanten ook gebeuren; mijn indruk is dat het mis gaat zodra aandeelhouders niet meer betrokken zijn bij de organisatie. Ben om die reden dan ook geen fan van beursgenoteerde bedrijven, of bedrijven die overnames doen puur op de cijfers; een goede equity partner kan echter weer een uitkomst zijn, en je als ondernemer zowel financieel als met ervaring naar het volgende level brengen.
Een leider is over het algemeen een motiverende persoon met visie is. Werkt en stuurt naar een punt in de toekomst. Boeken resultaten d.m.v. het team met de neus dezelfde kant op te laten kijken en zodoende te laten samenwerken. Denk meer aan wat gaat komen (anticiperen) dan wat nu is.

De beste managers zijn de gene die zowel manager als leider kunnen zijn. Het goed kunnen structureren en aansturen in het nu maar wel met een oog op de toekomst, het bedrijf en het personeel.
Klopt! Daar kom je overigens al een stuk dichterbij door je kwetsbaar op te stellen, en transparant te zijn, al moet je daar als manager dan wel weer toestemming voor krijgen. Al wordt een mededeling als "het gaat slecht, ik hoop dat we volgende maand halen, we hebben je inzet volop nodig om het te doen slagen" vaak vooral vertaald als "als je mogelijkheden hebt, ga dan nú solliciteren".
Helaas vind je niet heel vaak een combinatie van die twee en zal @dycell vooral de pure manager tegengekomen zijn (al ben ik het er niet mee eens dat ze overbodig zijn). Ik heb onder zowel pure manager als goede manager/leider combinatie gewerkt en het is een wereld van verschil.
Klopt helemaal, ik heb ze ook beide meegemaakt. Leuk detail daarbij is dat toen de beste manager die ik meemaakte ontslagen werd, om vervangen te worden voor een hork die we al kenden, het hele team direct begon te solliciteren. M.a.w.: met de verkeerde manager valt je bedrijf uit elkaar.
Je hebt de lingo in ieder geval goed op orde...
Een aandeelhouder wil niet praten met een team, die wil 1 partij spreken voor de updates.
Als je aandeelhouders hebt, kun je daar ook gewoon een team voor aanstellen. Daar heb je geen manager voor nodig.

Er is niet altijd "het beste voor het team/bedrijf". Er is ook wel eens kiezen en hopen.
Ik zie niet waarom je daar een manager voor nodig hebt.

En naar je manager stappen moet inderdaad niet. De manager moet er gewoon zijn, onderdeel uitmaken van het team.
Dat zou inderdaad zo moeten zijn. Maar loop ieder bedrijf in van enige omvang en je ziet managers die in hun eigen kantoor met hun eigen zaken belang bezig zijn. Niemand vertelt ze blijkbaar wat precies hun functie inhoud. En als je kijkt naar hun inhoudelijke taken, die zijn overbodig en kunnen prima door een teamlid worden uitgevoerd (eventueel roulerend). Als voorbeeld, binnen een scrum team heb je ook geen managers...

Ik heb wel degelijk ervaring met holacratie, en ook met hoe een paar rotte appels daarbij de dynamiek kunnen verstoren.
Die rotte appels worden dan vanzelf uit het team gezet als ze echt niet functioneren. Je hebt niet altijd perfectie, daar moet men ook mee leren leven. Als dit niet functioneert dan voer je het niet correct.

Als laatste: Ik ben niet alleen manager, ook ondernemer. Draag alleen verantwoording af aan de klant en m'n team.
Ik snap niet hoe dat relevant is.. In een team is iedereen verantwoordelijk. Je klinkt inderdaad wel als een manager ;)
Dat zeggen ze nu, maar voor je het weet wordt je door je baas aangeklaagt omdat om toegang vragen om je werk te kunnen doen volgens haar chantage is :')

[Reactie gewijzigd door JCG op 16 oktober 2019 11:02]

Wanneer het voor minder is dan dat moet je je afvragen of iemand loyaal is of dat de persoon niet capabel is en zijn tijd uit zit.
Hij is onze opdrachtgever, heel prettig om mee te werken en zeker wel capabel.
Wel ook iemand die besloten heeft dat hij van het salaris nu prima kan rondkomen, en die alleen voor geld de mogelijkheden die hij heeft niet aan de kant wil schuiven.
Mee eens. Een beetje manager verdient zo € 8000. En dat zijn nog niet eens managers ICT. En dan maar mopperen dat de IT-functies niet vervuld raken. Ondertussen wel een externe tut hola inhuren voor 20k per maand. Hier loopt er ook zo eentje rond. Het enige wat ze in een jaar gepresteerd heeft, is het verplaatsen van de rookruimte. En dat was geen goede verandering, de rook komt nu in ieders kamer...
Uit het feit dat ze het afpersing willen noemen zonder een daadwerkelijk dreigement lijkt mij wel duidelijk dat er een interesse is. Het zegt eigenlijk indirect dat zonder (wat ze opvatten als) dreigement de deur wel had opengestaan. Anders had men beter in een heel andere vorm kunnen reageren als men dat niet had willen impliceren; als ceo dien je wat dat betreft juist het hoofd koel genoeg te kunnen houden om ongewenste implicaties te mijden; zéker als die diezelfde persoon ook maar wil pógen argumenteren dat de vorm van door hun ontvangen contact afpersing zou impliceren; je moet dan wel met gelijke maten meten, zegmaar.
Als het onderwerp 'Datalek ruilen voor kaartjes?' is zonder enige uitleg verder in de mail snap ik de aanleiding tot chantage wel.
Dat kun je op basis van alleen de titel van het mailtje niet zeggen, daarvoor moet je de inhoud erbij pakken. Twee voorbeelden van de extremen:

== Optie 1 ==
Datalek ruilen voor kaartjes?
Ik heb een datalek gevonden. Als jullie me kaartjes geven dan vertel ik waar het lek zit. Zo niet dan verkoop ik de details aan jullie concurrenten.

== Optie 2 ==
Datalek ruilen voor kaartjes?
Ik heb een datalek gevonden: (uitleg over wat er mis is). En als ik jullie nu toch aan de lijn heb, toen ik in maart een ander lek meldde heeft een van jullie medewerkers mij kaartjes beloofd, maar die heb ik helaas nooit gekregen. Dit leek me wel een mooie gelegenheid om dat nog even in herinnering te brengen.

Zelfde titel, compleet andere inhoud; eentje is wel chantage (hoe kinderachtig ook; chantage is chantage), de tweede (in elk geval in mijns inziens) absoluut niet. Afgaande op wat RTL zegt (het staat er niet met zoveel woorden, maar "De IT-manager van Walibi beloofde als beloning gratis toegang tot het park, maar daarna hield het contact op, zo stelt de ontwikkelaar. Als bewijs heeft hij de e-mailconversatie met RTL Nieuws gedeeld." suggereert dat RTL vindt dat Van Kampen gelijk heeft) zal het echte mailtje waarschijnlijk veel en veel dichter bij "optie 2" hebben gelegen dan bij "optie 1".
Offtopic:

Je kan het de mensen zelf even vragen wat ze kosten :)

[{first_name:"Sjaak",last_name:"weggehaald",email:"sjaak@tamtam.nl",email_check:"sjaak@tamtam.nl",street:"Zonnestraat",house_number:"340",zip_code:"3043VA",city:"Zoetermeer",country:"NL",phone_number:"+31645341234",birthdate:"1980-04-02",avatar_filename:"member_avatars/yF3MeNWMvKW1FrXx9ysPGvu3YKiF07ZFadgpPeN3.jpeg"},{first_name:"Iris",last_name:"weggehaald",email:"iris@tamtam.nl",email_check:"iris@tamtam.nl",street:"Willemstraat",house_number:"4",zip_code:"3243FF",city:"Gouda",country:"NL",phone_number:"+31645341234",birthdate:"1992-03-02

Bron: https://www.walibi.nl/fri...n/static/js/main.js?v=1.x

[Reactie gewijzigd door Repel-EHV op 17 oktober 2019 13:10]

4 kaartjes Walibi? Ik zou eerder van gijzeling door Walibi praten dan chantage door de hackert.
In Walibi wil je niet dood gevonden worden!
Als ik het artikeltje zo lees, dan lijkt Walibi bij monde van zijn IT manager wel degelijk een aanbod gedaan te hebben om Van Kampen gratis toegang te verlenen tot het park in ruil voor uitleg over het lek.

Aangezien je redelijkerwijs mag aannemen dat een manager bevoegd is een dergelijk aanbod te doen kan Van Kampen zich op het standpunt stellen dat Walibi zich met die uitnodiging verplicht heeft hem gratis toegang te verlenen (in ruil voor uitleg natuurlijk). Dat hij Walibi daarop aanspreekt lijkt dan niet zo vreemd meer, al zou hij toch eens moeten uitleggen hoe hij aan het aantal van 4 kaartjes komt.

Als het echt klopt dat Walibi hem dit aanbod gedaan heeft om het naderhand eenzijdig in te trekken, dan zou je dat met een beetje goede wil prima kunnen bestempelen als contractbreuk. Dat Walibi hem vervolgens vaan chantage beticht zou je in deze context dan weer goed kunnen opvatten als smaad. Het schaadt Van Kampen immers in zijn reputatie, en (als alles klopt wat het artikel zegt) zonder enige rechtvaardiging.

Het geheel klinkt allemaal als een opgeblazen misverstand dat je in 5 minuten met een telefoontje kan rechtzetten: Van Kampen krijgt die stomme 4 kaartjes (goedkoper advies is nauwelijks denkbaar) en vertelt de IT afdeling in detail wat hij gevonden heeft.

Helaas, met name de reactie van Walibi klinkt als een onvolwassen en kijvende poging om miiddels blinde ' prinzipienreiterei' de zaken eens lekker op de spits te drijven. Daar kan je voor kiezen natuurlijk.
Walibi beschouwt deze data weldegelijk als confidential.
Ze doen atlijd krampachtig over vragen betreft verkochte tickets/bezoekers aantallen.
Ander pretparken geven deze gegevens wel gewoon netjes af als je er naar vraagt.

Vraag me niet waarom, maar de enige reden waarom ze hier zo moeilijk over doen lijkt me dat de verkopen een beetje tegenvallen. Anders zeg je toch gewoon hoeveel bezoekers je hebt?

Sowieso is de directrice van Walibi een beetje vreemd imho. Ze doet wel vaker rare uitspraken die je niet verwacht van iemand in een functie als deze. (Ik krijg bij haar altijd zo'n William Story/Rich Enenergy gevoel... Vreemde uitspraken en vreemde bedrijfsvoering)
Er hangt nogal een angst cultuur binnen Walibi denk ik zo want iedereen wordt gelijk op de vingers getikt door Van Till zelf als ze iets zeggen wat niet mag volgens de "bedrijfs policy"...
Tja sommige bedrijven zien alles als confidential
Mogen ze wikipedia ook aanklagen iig, zo geheim lijken de getallen niet

https://nl.wikipedia.org/...olland#Bezoekersaantallen
Precies dit. Ik zie ook niet echt in waarom dit een datalek is, in geen enkele betekenis van het woord. Dat je in een webshop kunt zien hoeveel kaarten er verkocht zijn en hoeveel er nog te koop zijn is nou niet echt schokkend. Het kan een keuze zijn om dit niet te tonen (en die keuze hebben ze blijkbaar in de front-end gemaakt), maar verder kun je er niet heel veel mee, toch?

Wel een beetje slordig. Soit.
Het begrip datalek is binnen dit verhaal juridisch niet echt relevant, maar als je een definitie zoekt kijk dan eens op wikipedia. Persoonsgegevens zijn een specifiek soort data die gelekt kunnen worden, maar hier is daar geen sprake van. De door jou gebruikte definities zijn daarom niet van toepassing.

[Reactie gewijzigd door BsBb op 18 oktober 2019 00:09]

Tja, aan de andere kant er wordt wel om een zekere quid-pro-quo gevraagd voor het geven van info over het datalek. En dat quid-pro-quo vertegenwoordigt toch zeker wel een monetaire waarde.

Als dit geen chantage is, dan valt er bijna niks meer onder chantage te plaatsen door het taktisch te verwoorden...

Als de Hells Angels een mailtje sturen : "Betalen, of we komen een kopje koffie drinken" dan wordt daar ook niet over geweld gesproken.
Om BsBb te quoten: "Voor afpersing en afdreiging (de juridische termen voor chantage) is ook vereist dat er óf sprake is van (bedreiging met) geweld (afpersing) óf bedreiging met smaad, smaadschrift of openbaring van een geheim. Hier is geen sprake van."

Zolang hij niet heeft bedreigd met het openbaar maken van het lek of een andere dreiging, dan is dit dus geen chantage.
Hij is volledig in zijn recht om een beloning te vragen en indien dit wordt afgewezen, het lek niet te delen.

Jouw Hells Angels voorbeeld kan dan weer wel als chantage geïnterpreteerd worden, maar hoeft het niet te zijn. Er is hier geen sprake van een bedreiging met geweld, smaad of openbaring van een geheim, maar een 'bedreiging' met een kopje koffie komen drinken.
Dit zal al snel als een bedreiging met een andere betekenis geïnterpreteerd worden, maar het hoeft dus geen bedreiging te zijn.
Dit kan ook een simpel gesprek zijn om het geld misschien toch te krijgen en dat onder het genot van een kopje koffie.

Dit soort verschillen zijn juridisch erg belangrijk.
Het herinneren aan een gedane belofte (los van of deze wel of niet is gedaan of bedoeld) vergeleken met de combinatie 'Hells Angels' en ' koffie komen drinken' heeft wat mij betreft qua suggestie weinig overeenkomsten.
Dan is elk supermarktbezoek ook te bestempelen als quid pro quo, namelijk: als jij mij zoveel euro geeft (quid), krijg jij van mij deze tros bananen (quo).
Ehm, ja... elk supermarkt bezoek is ook quid pro quo. Ik zie de relevantie even niet...

Er is inherent ook niets mis met quid-pro-quo, dat is gewoon handel drijven. Alleen op sommige vlakken wordt het niet echt gewaardeerd... (bijv als je president bent, of als je wilt claimen een white-hat hacker te zijn en je doet dit soort dingen onaangekondigd)
Jouw argument leek te zijn dat het chantage is omdat het een quid pro quo was. Nu geef je zelf ook aan dat er niets mis is met quid pro quo / handel drijven. Wat is het verschil tussen het proberen te verkopen van een tros bananen en informatie over een datalek op een website?

Ik zie niet in waarom je als white hat hacker geen tegenprestatie mag vragen voor je informatie of diensten.
Ligt eraan of dat 'lek' een geheim is of niet. Als het geheim is, dan heeft Van Kampen iets fout gedaan door het openbaar te maken, omdat hij z'n zin niet kreeg.
De aangifte van Walibi gaat over chantage/afpersing. De wettekst is heel duidelijk. Bij afdreiging in deze situatie moet er sprake zijn van bedreiging met openbaring van een geheim. Wat jij schetst is schending van ambtsgeheim, waar naar mijn mening geen sprake van kan zijn omdat Van Kampen in dit geval vanuit zijn beroep niet verplicht is. Dat de verkoopinformatie gewoon zichtbaar is met de inspector functie van een webbrowser, betekent verder dat die informatie in feite al op straat ligt, en er dus ook geen sprake is van een geheim.
Als ze het niet boeiend vinden hoeven ze toch niets te doen. Kun je gechanteerd worden als het je niet boeit of hetgene waar gedreigd mee wordt (er was hier niet eens een dreigement) publiek wordt?
Zolang niet duidelijk is op welke basis het bedrijf aangifte heeft gedaan is het speculeren of die enige valide grond heeft.

Er zijn zelfs scenarios mogelijk dat iemand last van chantage meent te hebben omdat men het gevoel heeft gechanteerd te worden met iets. We weten immers niet wat men als chantage geinterpreteerd heeft. Wie weet voelde ze zich gechanteerd met het punt dat ze (nog steeds) weinig tot niets met de melding gedaan hadden.
Dat zijn de bedrijven die snappen dat je "de burger" (lees: hackers en degenen die al dan niet per ongeluk tegen een lek aan lopen) beter aan je kant kan hebben dan tegen je.
Daarnaast komt het ook een stuk sympathieker over als je op een normale manier kan reageren op een gevonden lek: genoeg mensen die dit verhaal lezen en een stuk minder denken nu over Walibi.

Helaas blijven er altijd figuren wat achter en snappen niet dat goede PR beter is dan slechte. Die denken dat ze, door de boodschapper zwart te maken, de sympathie van het volk wel krijgen.
Ja, techbedrijven die snappen hoe IT werkt. Maar het gemiddelde bedrijfje waarvam IT niet hun core business is, met een website van een random beunhaas, voelen zich doorgaans meteen bedreigd door dit soort meldingen en snappen niet hoe ze daar fatsoenlijk mee om moeten gaan.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Nederland

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True