Door een lek in de website van pretpark Walibi was het mogelijk de accountgegevens van 700.000 klanten in te zien. Het ging om gebruikersnamen en in sommige gevallen bijbehorende e-mailadressen. Het lek is inmiddels gedicht.
Het lek bevond zich op de webpagina van het pretpark en van het moederbedrijf, meldt NOS-journalist Joost Schellevis op Twitter. Gebruikers konden een POST-request doen in hun browser en de uitkomst daarvan gebruiken om de browserheader te manipuleren. Vervolgens was het mogelijk de authenticatie van de beveiligde admin-omgeving te omzeilen. In die Drupal-omgeving was het mogelijk gegevens in te zien van klanten van niet alleen Walibi Nederland, maar ook de Franse en Belgische parken. In het admingedeelte van de site waren rond de 712.000 gebruiker-id's te zien. Van sommige gebruikers was ook het e-mailadres in te zien, maar niet van iedereen.
Het lek kwam aan het licht kort voordat het pretpark een responsible-disclosurebeleid in het leven riep. Inmiddels is het lek gedicht. Het pretpark kwam vorig jaar meerdere keren negatief in het nieuws nadat het dreigde met aangifte tegen een ethisch hacker die een kwetsbaarheid op de site vond. Uit serverlogs zou blijken dat de gegevens niet misbruikt zijn. Walibi nam onlangs een nieuw platform in gebruik waar zowel de website als de bestelmodules op draaien. Het pretpark liet die vooraf door een extern beveiligingsbedrijf doorlichten op kwetsbaarheden.