Walibi start met responsible-disclosurebeleid na zwakheden in verkoopmodules

Pretpark Walibi begint vanaf volgende week een eigen responsible-disclosureprogramma. Het pretpark deelt toegangskaarten uit aan ethische hackers die problemen in het verkoopplatform op de site opsporen. Hackers vonden vorig jaar meerdere keren gaten in het oude platform.

Walibi gaat het beleid zelf uitvoeren, vertelt een woordvoerder aan Tweakers. Het beleid heeft geen afgekaderde scope, maar is volgens de woordvoerder van toepassing op de website van het pretpark en de kaartverkoopmodules. Ook de sites waar klanten kaarten voor het vakantiepark kunnen kopen, vallen onder het beleid. Hackers die daar gaten in vinden, krijgen geen cashbeloning, maar wel toegangskaarten voor het pretpark. "Als hackers of andere mensen met ons willen samenwerken om zwakke plekken in de site te vinden, dan zijn we daar alleen maar blij om", zegt de woordvoerder.

Het pretpark zegt dat het enkele weken geleden een nieuw platform in gebruik heeft genomen waarop zowel de websites als de interne systemen werken. "We hebben dat allemaal laten testen door een extern bedrijf, maar we zijn ook maar een klein team en het kan natuurlijk altijd gebeuren dat er ergens in de code nog zwakheden zitten. We willen daarom graag samenwerken met mensen als ze die zwakheden vinden."

Walibi kwam enkele maanden geleden meerdere keren in het nieuws vanwege zwakheden in de systemen. Dat gebeurde eerst toen ethisch hacker Jan van Kampen een manier ontdekte om gratis kaarten voor het pretpark te bemachtigen. Walibi reageerde daarop door met aangifte te dreigen, al besloot het dat later toch niet te doen. Enkele weken later bleek er een ander lek op de site aanwezig te zijn waarmee wederom goedkope tickets konden worden gekocht. "Gezien de hele situatie van toen wilden we nu iets hebben om dat te voorkomen", zegt de woordvoerder.

Door Tijs Hofmans

Nieuwscoördinator

26-03-2020 • 12:42

69 Linkedin

Reacties (70)

70
69
34
9
0
23
Wijzig sortering
Ik vraag me af of Jan nu alsnog een seizoenskaart krijgt van Walibi.

Beter laat dan nooit: voor déze actie complimenten. Voor wat er hiervoor plaats heeft gevonden: grote schande.
Anoniem: 1350842
@don_jorg26 maart 2020 15:57
Zoals ook aangegeven door @Blokker_1999, 'grote schande' is voornamelijk gebaseerd op een eenzijdig verhaal. Uiteindelijk heeft de man gewoon geprobeerd Walibi af te persen, waarschijnlijk niet met die volledig intentie, maar het is wel wat hij heeft gedaan.
In mijn ogen 2 partijen die fout hebben gehandeld, de reactie van Walibi is niet volledig goed te praten, maar het afpersen van een bedrijf ook niet.
Huh, afgeperst? Heeft hij gedreigd met een negatief gevolg dan?
Sinds wanneer gebiedt de wet ons een meldplicht voor dit soort dingen?
Ja super lullig als hij zijn tijd en energie niet wenst te investeren in het informeren van potentieel slo., maar strafbaar? Welke wet. Geen wet? Dan einde discussie "legal".
Anoniem: 1350842
@Suspiria26 maart 2020 20:38
Nee en daar komt misschien de niet zo handige reactie van Walibi er in, ik zeg ook, ze zijn allebei niet goed. Maar je kunt bedenken als je naar een bedrijf gaat 'Ik heb een lek, mag ik kaarten' dat een bedrijf dat op kan vatten als afpersing en daar zo mee door gaat. Dat is wel een risico waar je rekening mee moet houden, en dat je niet zegt dat je iets vrijgeeft mag je dan qua rechtszaak helpen, maar ieder bedrijf gaat je zien als afperser.
ze zijn allebei niet goed
Jij bent niet goed 8)7
Lees nog eens wat voor lasterlijks je allemaal opschrijft over afpersen, dat jij voor iemand even bepaalt wat zijn intenties zijn, en hoe het volgens jou qua rechtszaak zit. Die er überhaupt niet is...

Het is maar goed dat jij veilig achter een computer zit en geen toga draagt. Als jij iemand een drankje aanbied dan is dat gewoon wat er gebeurt en hoop ik niet dat er mensen zijn die even jouw intenties voor je gaan bepalen en er een poging tot aanranding van gaan fantaseren.

Realiseer je dat je gewoon een mede-Tweaker zit zwart te maken!
Anoniem: 1350842
@Tweaker27 maart 2020 09:09
Dat was een typefoutje en moest natuurlijk niet goed bezig zijn.

Ik zeg niet dat er een rechtszaak is, lees even goed wat ik zeg. Ik reageer toch op iemand die het heeft over het wettelijke gedeelte. Reageer eens op mijn reactie als een reactie, niet als los iets omdat je niet ka lezen.

En tja, een mede-tweaker. is ook gewoon een mens die ook gewoon fouten kan makren. Tweakers zijn niet goddelijke wezen. Ik zeg ook eerder (nogmaals, je reageert niet op een losstaand bericht, houd daar eens rekening mee) dat het misschien niet zijn intentie is, maar dat het niet gek is dat het zo over komt.

Jij bent anders ook lekker op de man bezig met je 'het is maar goed dat jij geen toga draagt', en die vergelijking slaat echt nergens op

Houd er rekening mee dat jouw mening niet de absolute waarheid is. Ik doe ook niet alsof dat zo is, dus doe gewoon normaal en ga lekker op tijd naar bed, misschien dat je dan ook wat scherper wordt :+
Afpersen is allesinds een terminologie die heel duidelijk in de woordenboek staat beschreven als een actie die iets probeerd te verkrijgen op een dwangmatige manier door er een negatieve gevolg aan te koppelen indien het slachtoffer er niet op in gaat.

Als jij vond dat het overkwam als afpersen dan ken je gewoon het woord niet goed.

Eerlijk gezegd vind ik het al straf dat walibi niet eens goed investeerd in het veiligstellen van de gegevens van haar bezoekers door een brakkige website applicatie op te leveren en geen veilgheidscontroles te bouwen in hun development process.

Persoonlijk ben ik van mening dat elk bedrijf die een publieke website heeft dat toegang kan verschaffen tot informatie van derden (klanten/leveranciers/personeel/..) altijd voldoende moet investeren om die informatie echt proberen beveiligd te hebben. Dat kunnen ze bewijzen door aan te tonen welke veiligheidsinvesteringen ze gedaan hebben voor deze persoonsgegevens te beveiligen.
Nu heb ik het gevoel dat ze er nog altijd niet vele aan doen, ze gaan gewoon de veiligheid aan het lot overlaten aan hackers die een walibi ticketje willen...vertrouw jij dit bedrijf dat misschien gegevens van je dochterje in hun databank staan heeft???

Ik begrijp ook langs geen kanten dat jij dan ook walibi in dit verhaald verdedigde, het lijkt er wel opd at je de kern van het probleem niet in ziet. Enkel den sensatie.
Dat is een verstandige keuze. aangifte doen tegen 'goedwillenden' helpt niets,en geeft een slechte image weer.
Nuja, het had er iets genuanceerder mogen staan want zo eenvoudig is het verhaal niet. De ontdekker van die lekken werd gevraagd om het eerste lek te komen toelichten in het park zelf waarbij hij kaartjes zou krijgen, maar dat is uiteindelijk niet doorgegaan omdat het park stopte met communiceren. Toen hij het tweede lek vond heeft hij onhandig gecommuniceerd waardoor het kon overkomen als een poging tot chantage. Dat Walibi dat zo oppakt was spijtig, maar op dat moment was het logisch voor hen om aangifte te doen.

Het hele verhaal is ook onderdeel van het imago, alleen gaat men al te vaak voor beperkte informatie en aandachtgrijpende hoofdpunten.
Toen hij het tweede lek vond heeft hij onhandig gecommuniceerd waardoor het kon overkomen als een poging tot chantage. Dat Walibi dat zo oppakt was spijtig, maar op dat moment was het logisch voor hen om aangifte te doen.
Volgens Van Dale is chantage :"door te dreigen met openbaring van een geheim dwingen tot afgifte van geld e.d."
Volgens mij heeft van Kampen helemaal niet gedreigd met openbaar maken van het datalek. Het woord chantage is m.i. compleet misplaatst.
Wat Van Dale zegt is minder relevant dan wat er in het wetboek staat:

Artikel 318

1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
2. Indien het feit wordt gepleegd met het oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken, wordt de op het feit gestelde gevangenisstraf met een derde verhoogd.
3. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd is.
Wat Van Dale zegt is minder relevant dan wat er in het wetboek staat:
Artikel 318
1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed
Kan zijn, maar de strekking is hetzelfde. Van kampen heeft dus helemaal niet gedreigd met hetgeen in het wetboek staat. Hij had kennis van een geheim(?) en wilde de eigenaar hiervan op de hoogte stellen tegen een wederdienst. Dus niet eens "afgifte van een goed" zoals in 318 staat.
Dus niet eens "afgifte van een goed" zoals in 318 staat.
Ik weet niet of vrijkaartjes geven telt als "afgifte van een goed", maar zo niet, dan valt de belofte om vrijkaartjes te geven wel onder "het aangaan van een schuld" iets verder in diezelfde zin. Of ie daadwerkelijk schuldig is kan alleen een rechter beoordelen, maar jouw "hij is overduidelijk niet schuldig" gaat in elk geval niet op.
maar jouw "hij is overduidelijk niet schuldig" gaat in elk geval niet op.
Waar zeg ik dat?
> maar jouw "hij is overduidelijk niet schuldig" gaat in elk geval niet op.
Waar zeg ik dat?
Dat leek het hele doel van je post te zijn? Maar als je wilt dat ik een specifieke zin aanwijs: "Van kampen heeft dus helemaal niet gedreigd met hetgeen in het wetboek staat.".

@reactie @Geim
Dat klopt toch ook? Waar heeft van Kampen volgens jouw gedreigd met het openbaar maken van het lek (i.e. geheim)?
Ja ho eens even, ik beantwoord je vraag precies en dan ga je nu opeens een andere uitvlucht zoeken? Op zo'n manier heeft een discussie totaal geen zin.

[Reactie gewijzigd door robvanwijk op 27 maart 2020 16:14]

Dat klopt toch ook? Waar heeft van Kampen volgens jouw gedreigd met het openbaar maken van het lek (i.e. geheim)?
Van Dale is ook maar een clubje dat een woordenboek samenstelt op basis van hoe taal in de praktijk wordt gebruikt. Het is geen definitiebron, dat is immers het specificeren. Dat verschil wordt nog wel eens door elkaar gehaald. In juridische context is het wetboek de definitiebron, bij technische standaarden bijvoorbeeld de ISO etc. Een bekend voorbeeld is ook dat 'storm' in de Van Dale staat als 'hard waaien' terwijl in de meteorologische definitie het windkracht 9 betekent (en nog wat aspecten). Puur naar Van Dale verwijzen is dus meestal weinig zinvol.
In principe ben ik het met je eens. Maar in dit geval klopt het wel, zie mijn uitleg hierboven.
Mee eens, wij in Den Haag zijn ook ineens Hagenaar geworden ipv Hagenees.
Arme van Dale of wij ;) .
Maar in deze context slaat het niet helemaal de plank mis
Om heel eerlijk te zijn vond ik het niet echt heel erg logisch meteen aangifte te gaan doen. Normale volwassen mensen gaan eerst even in gesprek met elkaar gaan niet meteen met een gestrekt been er vol op in.
Dat zo een directrice wel meteen met een gestrekt been er vol in gaat zegt meer over haar dan over de rest.
Normale volwassen mensen gaan eerst even in gesprek met elkaar gaan niet meteen met een gestrekt been er vol op in.
Tot op zekere hoogte, maar er zijn grenzen. Als jij in je huiskamer een briefje vindt "Oh wow, jouw sloten zijn echt bagger. In ruil voor 'een bedankje' ter waarde van honderden euro's wil ik je best uitleggen welke wel stevig zijn." met wie ga je dan praten, de inbreker of de politie...?
Dat gaat wat mij betreft niet helemaal op. Dan zou ik dus al eerder contact gehad moeten hebben met die inbreker, weten wie het is en dus ook weten dat hij niet uit is op het inbreken an sich maar op het aantonen van de kwaliteit van de sloten.
Dan nog kan je gewoon eerst in dit geval met hem in gesprek gaan en kijken hoe hij reageert.
De politie bellen en moord en brand schreeuwen waarbij je jezelf compleet voor gek zet kan altijd nog.
Het was logischer om het verhaal eens goed te onderzoeken, kijken wat de voorgeschiedenis was en niet gelijk gaan dreigen met aangifte. Ook niet wanneer je uitleg krijgt.

Maar iedereen verdient een 2de kans, en blij dat ze nu hiermee begonnen zijn.
Nuja, het had er iets genuanceerder mogen staan want zo eenvoudig is het verhaal niet. De ontdekker van die lekken werd gevraagd om het eerste lek te komen toelichten in het park zelf waarbij hij kaartjes zou krijgen, maar dat is uiteindelijk niet doorgegaan omdat het park stopte met communiceren. Toen hij het tweede lek vond heeft hij onhandig gecommuniceerd waardoor het kon overkomen als een poging tot chantage. Dat Walibi dat zo oppakt was spijtig, maar op dat moment was het logisch voor hen om aangifte te doen.

Het hele verhaal is ook onderdeel van het imago, alleen gaat men al te vaak voor beperkte informatie en aandachtgrijpende hoofdpunten.
Nee, het was via een melding. dus de 'ontdekker' staat hier geheel buiten. na verder onderzoek door V Kampen heeft hij dit gemeld en zijn gemaakte uren willen ruilen voor een gratis toegang. En het via Skype willen toelichten. De IT-manager heeft een tijd niets van zich laten horen en is toen akkoord gegaan. door familiare omstandigheden bij V Kempen is dat niet gelukt in korte tijd. na een paar weken
heeft hij weer contact gezocht, maar dat is allemaal op niets uitgelopen. tot hij meer lekken ontdekte(na tip) gevolgd door het bekende verhaal.
"waardoor het kon overkomen als"

Mwaaaa, hier zijn altijd twee partijen bij betrokken.
Je moet als ontvangen partij ook echt wel een beetje je best doen om dat meteen zo negatief te interpreteren.

Wat Walibi deed is net als meteen de politie bellen i.p.v. communiceren als je buren eens wat overlast veroorzaken. Zelfs al zou hij er iets mee bedoeld zou kunnen hebben, dan ga je niet jezelf eerst volledig onbereikbaar opstellen om vervolgens vanuit die duisternis ineens aangifte te doen.

In zo'n geval los je één helder waarschuwingsschot om dit soort misverstanden te voorkomen.
En pas daarna is het einde verhaal voor hacker.

Als je zoiets simpels als manager niet begrijpt dan sla je toch de plank mis.
Logisch was anders. In zo'n geval vraag je om opheldering in plaats van aangifte te doen.
Zou ik nu kaartjes krijgen met terugwerkende kracht voor de afgelopen vijf dingen? 😬 Zou ze wel sieren.
Zullen er veel mensen gebruik gaan maken van deze responsible disclosure? Heel leuk dat ze zeggen dat ze vanaf nu mensen belonen, maar hun voorgaande gedrag (direct dreigen met aangiftes en rechtszaken) werkt niet echt veelbelovend.

Als ik een lek zou vinden in hun site zou ik het alsnog stil houden, of uiterlijk anoniem melden. "Vanaf volgende week gaan we niet meer direct aangifte doen als je een lek meldt" is niet bepaald overtuigend en klinkt meer als een PR-persoon die probeert het bedrijf er beter uit te laten zien.

Ook vind ik kaartjes nogal jammer eerlijk gezegd. Stuur dan wat Walibi-souvernirs ofzo, aangezien het park de komende tijd waarschijnlijk toch dicht is/gaat vanwege de coronacrisis.
Jaweeel, die zullen hun lesje nu echt wel geleerd hebben.
Niet alleen qua negatieve PR maar ook wat betreft spotgoedkope pentest diensten.
Ik vind het een "wakkere" beweging van ze.
Schade beperking na hun eerste rare reactie.

Slapend pr team.

Ik zeg niet dat het aan beide kanten goed verliep toen, maar ze hadden er een stuk minder dom mee kunnen omgaan.

Dit zorgt er in mijn ogen in iedergeval voor dat het lijkt op damage control in slowpoke modus.

Dom, en werkt alleen maar averechts.
Ik weet niet of het fair is om de PR-medewerkers van incompetentie te beschuldigen. Het was de directrice zelf die als een complete koekwaus tekeer ging. Daar valt weinig meer tegenop te damagecontrollen door een PR-afdeling, die kunnen moeilijk tegen hun eigen baas zeggen dat ze d'r kop moet houden. Tenminste, ze komt op mij niet over als iemand die wat dat betreft voor enige rede vatbaar is.
Tenminste, ze komt op mij niet over als iemand die wat dat betreft voor enige rede vatbaar is.
Da's nogal een extreme conclusie gebaseerd op heel weinig informatie.

Heb je indertijd alleen het eerste bericht meegekregen of ook de verdere updates? Ik dacht in eerste instantie ook dat Walibi helemaal fout zat, maar toen er wat meer details naar buiten kwamen bleek die "ethische hacker"... hoe zeg je dat netjes, "andere ideeën over ethiek te hebben dan ikzelf". In zijn communicatie naar de media klonk die gast heel netjes en redelijk, maar toen (een deel van) zijn email aan Walibi opeens openbaar werd ("uitlekte"?) bleek die een compleet ander toon te hebben; daar zat echt wel iets van "geef me wat ik wil of anders...!" in. De beschuldiging van afpersing was lang niet zo absurd als het in eerste instantie leek.

Aangezien de aangifte is ingetrokken zullen we nooit weten wat een rechter ervan vindt. Maar ik vraag me af wat er gebeurd zou zijn als de media het niet voor de hacker hadden opgenomen, als de publieke opinie Walibi niet had "gedwongen" om de aanklacht te laten vallen. Stel dat de rechter uiteindelijk had bepaald dat die hacker toch echt fout zat, dan was de reactie van de directrice (achteraf gezien) opeens volkomen redelijk en correct...

Edit:
Zie mijn volgende reactie voor een onderbouwing van bovenstaande.

[Reactie gewijzigd door robvanwijk op 27 maart 2020 16:02]

Ja dit blijf ik mij ook afvragen. Heb zijn website eens bekeken en (ook) hij heeft een fantastisch verhaal in elkaar gedraaid, maar de mailconversatie zelf ho maar. Nergens te bekennen.
Walibi wordt bij wijze van spreken bijna aangeklaagd voor laster, maar waar is het bewijs....

Je beweert hier stellig dat er echt wel iets van "of anders" in zat.
Wat was dat dan precies? Hoe blijkt het voor jou precies daaruit dat hij een dreigende toon had?
Mogen wij het ook zien, of moet iedereen jou er maar gewoon effe op vertrouwen dat dit afpersing was.

Zou een dolle boel worden als we de bewijsplicht af zouden schaffen.
Dan sta je als rechter toch wel vreemd uit je ogen te kijken.
Je beweert hier stellig dat er echt wel iets van "of anders" in zat.
Wat was dat dan precies? Hoe blijkt het voor jou precies daaruit dat hij een dreigende toon had?
Mogen wij het ook zien, of moet iedereen jou er maar gewoon effe op vertrouwen dat dit afpersing was.
Ik dacht dat dat in een de vorige nieuwsberichten van Tweakers stond (die hier netjes gelinkt staan), daarom had ik niet de moeite genomen om de bron te vermelden. Dat bleek niet te kloppen, het stond in de reacties onder een vorig artikel, om precies te zijn hier. Dat is inderdaad niet makkelijk terug te vinden als je niet weet waar je naar zoekt; achteraf gezien had die link in mijn vorige post moeten staan. Goed dat je het zegt, dankjewel!

Voor het gemak, hier de stukjes waar ik het specifiek over heb. Eerst zijn blog, dan de email. Dit is waarop ik mij baseer:
Ik zou bij deze vondst niet eens durven vragen om geld, als ik eerlijk ben. Bij de eerste mail die ik stuurde, heeft er niet meer dan 20 minuten werk in gezeten aan mijn kant, waarbij het begrijpen van de data meer tijd kostte dan het vinden van de data. Vandaar de vraag om tickets, volgens jullie gebruik, onder de voorwaarden als in door jullie gesteld in maart (niet publiceren hoe en wat, en niet de data verspreiden).
Zullen we de bron van de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?
De compleet andere toon lijkt me duidelijk. Of de manier waarop de email geformuleerd is daadwerkelijk strafbaar is durf ik niet te zeggen, maar ik vind dat het op zijn minst erg dicht in de buurt komt van afpersing en ik kan het Walibi niet kwalijk nemen dat ze het op die manier opgevat hebben.

[Reactie gewijzigd door robvanwijk op 27 maart 2020 15:58]

Oef... ik zie wat je bedoelt.

Het verschil zit 'm in het feit dat hij het voorstel zelf niet verzonnen heeft.
Zijn gesprekspartner stelde eigenlijk eerder zelf een afpersing voor.
Zoiets komt een klein beetje in de buurt van uitlokking.

Dat hij nou niet op zit te letten en zo goed als klakkeloos de woorden van contactpersoon herhaalt, wil nog niet zeggen dat het volmondig zijn intentie is geweest om af te persen. Als zijn contactpersoon niet was gaan verwoorden als "het niet-publiceren in ruil voor" dan zou dit nooit gebeurd zijn. Diegene heeft de toon kennelijk eerder zelf gezet.

Contactpersoon had het daarentegen ook op de volgende andere manier kunnen verwoorden:
"Heeeel graag NIET publiceren. EN als u het lek met ons deelt krijgt u x toegangskaartjes als beloning."

Disclaimer: Dit is vanuit de aanname dat het waarheid is dat contactpersoon op die manier gewoord heeft.
Zoals Jan nadrukkelijk beweert in: https://janvankampen.nl/?p=433
Specifiek: "Vandaar de vraag om tickets, volgens jullie gebruik, onder de voorwaarden als in door jullie gesteld in maart (niet publiceren hoe en wat, en niet de data verspreiden)"

Of er nog zoiets als "onbewuste uitlokking" bestaat weet ik niet.
Maar je zou het juridisch gezien op een autistisch/enthousiast trekje van Jan kunnen gooien dat ie klakkeloos het woordgebruik van contactpersoon herhaalt zonder daar zelf vanuit cognitieve empathie correctie aan te geven.
Aan de andere kant kan het dankzij dit beleid dus alleen maar beter gaan en dat is altijd het doel, dus hoezo dit averey gaat werken zie ik zo even niet. Als ethical hacker heb je nu de keuze om het te melden of niet, doe je dat wel, krijg je toegangskaarten en vast een NDA, doe je dat niet, ook geen probleem meer.
Waarom denk je dat dit avererechts zou werken? Ik vindt het vriendelijk gevraagd. Niks mis mee. En als het avererechts zou werken dan krijgen ze precies wat ze nodig hebben. Feedback op het systeem.
Dus ze gaan hackers die zonder te betalen toegang tot het park weten te krijgen belonen met gratis toegang tot het park? 8)7
Sommige mensen (en hackers) hebben gelukkig principes.
Nee, hackers die uitvinden hoe je zonder betalen toegang kan krijgen en dat doorgeven aan Walibi zodat Walibi het kan verhelpen worden beloond met gratis toegang.
Gratis kaartjes van een paar tientjes voor een berg werk, whooptiedoo. Wie gaat zijn uren daar in steken?
Mensen die het leuk vinden om zwakheden te vinden.
Sommige mensen vinden het een prestatie voor hun zelf. Ook zijn er mensen die gevonden zwakheden in hun portfolio zetten :)
Mensen die de zwakheden toevallig vinden, of omdat ze het gewoon een sport vinden om te doen.

Wordt jij betaald voor elk commentaar dat je hier achter laat?
Wordt jij betaald voor elk commentaar dat je hier achter laat?
Ja, d.w.z er zijn er genoeg die hier in de baas zijn tijd commentaar achterlaten ;)
Dat zal de afdeling HR van jouw werkgever wel interessant vinden ;-)
Dat het idd ook, ik zel het mijzelf eens vragen hoe ik mijzelf op mijn donder moet geven.

Maar alle gekheid op een stokje er wordt hier natuurlijk ook veel gereageerd door mensen in de tijd van de baas. Mijn opmerking wat een beetje sarcastisch bedoeld maar gezien ik -1 krijg lijkt op weer een op wat teentjes gestaan te hebben.
Slim bedacht he?
Ipv € 4000 om een pentest te laten uitvoeren een paar tientjes per hacker die wat vind.

Ik mag hopen dat ze toch eerst die pentest hebben gedaan en dit als bonus er bovenop doen.
Volgens mij staat er letterlijk dat ze een extern team het nieuwe platform hebben laten testen en dat dit extra is.
Ik heb één ding van zakendoen geleerd:
Als je te weinig vraagt wordt je van alle kanten gedisrespecteerd.
Sterker nog: men loopt (daardoor) over je heen.

Had hij zichzelf uitgegeven voor professioneel pentester-bedrijf en €1000 gezegd, dan was dat gesprek ineens heel anders gegaan.
Jij blijkbaar niet.
Als er nooit meer iemand naar zwakheden in hun site zoekt zijn ze ook blij.

Degenen die dat ook al deden toen er niets tegenover stond (er zijn ook mensen die dingen doen uit interesse zonder dat er geld tegenover staat) zullen dat ook wel blijven doen en hebben nu iig een incentive om lekken netjes te melden.

Iedereen blij toch?
Gratis kaartjes van een paar tientjes voor een berg werk, whooptiedoo.
Een ethische hacker? Deze gast in elk geval niet, die eiste gratis kaarten ter waarde van vele honderden euro's (de duurste die Walibi heeft, inclusief alle priority passes en dergelijke). Ja, dat was ie "vergeten" te vermelden in zijn eigen communicatie naar de pers, dat werd pas duidelijk toen een deel van zijn email aan Walibi opeens openbaar werd.
Nu nog excuses aan dhr. van Kampen, gezien de manier waarop men de vorige keer heeft gehandeld en gecommuniceerd.
Goed dat ze zo'n programma opzetten, maar ik vind een beloning in de vorm van toegangskaarten wel behoorlijk schamel. Dat klinkt mij vooral als "we willen geen budget besteden aan deze opdracht, maar je krijgt wel exposure en je vindt het toch leuk om dit te doen?" in de oren.

Natuurlijk zijn er mensen die dit als een leuke puzzel zien en dat ook als een beloning vinden, maar als Walibi dit programma serieus bedoelt, moeten ze ook een serieuze beloning bieden.
Niet iedereen zit te wachten op vrijkaarten (die Walibi overigens nauwelijks iets zullen kosten), en je kunt er ook niet je vaste lasten mee betalen. Als je doel is zoveel mogelijk geïnteresseerden te trekken, dan moet je een betere incentive bieden.

Doe het goed, of doe het niet. Het hoeven geen gouden bergen te zijn, maar nu komt het over alsof ze gewoon een goedkope extra testronde willen.
Het is geen betaalde opdracht ofzo hè, niemand die mensen verplicht te proberen lekken te vinden in die sites.
Dat snap ik, maar mijn punt is dat als je mensen wil stimuleren om hun (vrije) tijd en specialistische kennis te steken in het opsporen van een lek op je site, je daar best een betere incentive tegen over kan zetten dan een paar vrijkaartjes, die Walibi vrijwel niks zullen kosten. Dan trek je meer geïnteresseerden dan alleen degenen die het een leuke puzzel vinden.

Niemand is iets verplicht, maar ze roepen ethische hackers wel nadrukkelijk op om het te proberen. Het komt zo over alsof ze voor een dubbeltje op de eerste rij willen zitten (profiteren van de specialistische kennis van ethische hackers die er hun tijd in steken, en er vervolgens nauwelijks iets voor terug geven).

[Reactie gewijzigd door Tc99m op 26 maart 2020 21:46]

Beter laat dan nooit.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee