Hack het pretpark: elk weekend een gratis uitje voor scriptkiddies

Het was een opvallende rel afgelopen zomer: Walibi Holland wilde aangifte doen tegen de melder van een datalek. 'Afpersing', zo oordeelde het pretpark over de melder, die informatie over het lek wilde ruilen voor kaartjes. De melder in kwestie, Jan van Kampen, deelt op 13 februari tijdens de Developers Summit zijn ervaringen. "Veel organisaties hebben data online staan die zijn te misbruiken."

Of hij nog in de problemen is geraakt door Walibi-gate? "Nee hoor, ik heb er eigenlijk meer profijt dan last van gehad. Ik sta nu bijvoorbeeld op de Developers Summit", zegt de Beverwijker (28), in het dagelijks leven developer, kunstenaar en bezig aan een opleiding om voor de klas te staan. "Toen Walibi zei aangifte te gaan doen, heb ik zelf ook bewust de media opgezocht. Ik heb daar veel reacties op gehad. Positief, maar ook kritisch. Wat dat betreft heb ik ook veel gehad aan de reacties vanuit de Tweakers-community."

Melder of afperser?

Voor wie precies wil weten hoe de affaire zich ontwikkelde, staan in een open brief aan Walibi op de blog van Van Kampen de nodige details. Hij vat het kort samen: "Ik vond in januari 2019 een lek waardoor verkoop- en omzetgegevens voor iedereen waren in te zien. Daarover raakte ik in gesprek met een IT-manager van Walibi. We hadden al een akkoord dat ik langs zou komen om het lek toe te lichten, en daarbij waren me ook al gratis toegangskaartjes toegezegd. Alleen viel het contact stil, zelfs nadat ik meerdere herinneringen had gestuurd. Omdat het niet zo'n heel ernstig lek was, heb ik het maar zo gelaten. Tot ik een paar maanden later een nieuw lek vond: Walibi toonde onbedoeld informatie over omzet in hun endpoints. Ik heb toen een bericht gestuurd met de ludiek bedoelde onderwerpregel 'Datalek ruilen voor kaartjes?'. Nou, dat viel dus helemaal verkeerd ...”

Ondanks alle heisa is er nooit aangifte gedaan. Van Kampen denkt dan ook dat het vooral bluf was. Toch heeft hij er wel van geleerd: "Als je een lek vindt, mag je eigenlijk geen beloning vragen. Ook niet als grap, het is gewoon niet zo netjes. Onder meer verschillende leden van de Tweakers-gemeenschap hebben me daar op gewezen." Toch zou het een organisatie als Walibi sieren om iets aan te bieden als het nog geen Responsible Disclosure-beleid heeft richting melders, vindt hij. "In dit geval was dat er niet. Dus dan vul je maar een contactformulier in en hoop je dat het bij de juiste persoon terechtkomt. Nu was dat de pr-manager. Dat is niet iemand met verstand van IT, dus weet je ook dat ze het op een vreemde manier gaan oplossen."

Data als hobby

Van Kampen heeft ‘iets’ met pretparken. Deze hobby ontstond enkele jaren geleden, toen hij student Computer Science (VU) was. "Ik vond die studie verschrikkelijk, de hele dag achter een scherm zitten is niks voor mij. Maar het was leuk om te werken met datasets. Bijvoorbeeld met alle data van wedstrijden uit de Eredivisie, waar ik dan query’s op uitvoerde om de winkansen per wedstrijd te voorspellen." Deze kennis paste hij toe op het moment dat de Efteling wachttijden per attractie beschikbaar maakte. Van Kampen beheert de website Eftelstats.nl en bouwde toepassingen om onder meer wachttijden te voorspellen en ideale looproutes te bepalen.

Wat is er zo bijzonder aan pretparken? "Ze hebben iets magisch. Bijna iedereen heeft er iets mee. Het is ook een overzichtelijke markt: in Nederland zijn er zo'n twaalf parken die meedoen. En als je data gaat publiceren, zijn er al snel korte lijntjes met websites zoals Looopings.nl." Van Kampen benadrukt dat het een hobby is waar hij geen geld mee verdient. Tot niet zo lang geleden was hij vooral actief als zelfstandige ontwikkelaar, en sinds kort volgt hij de opleiding Beroepskunstenaar in de Klas. "Al zes jaar ben ik met een groep vrienden actief op festivals, met kunstcollectief #Kunsdt waarmee we opstellingen vol sensoren en dat soort zaken maken. Dan ben je ook aan het programmeren, maar op een andere manier. Code staat voor mij altijd centraal."

Hacken? Welnee!

Een hacker zou Van Kampen zichzelf niet noemen. "Als ik data vind is dat niet het gevolg van ongeoorloofde toegang. Het heeft meer te maken met hoe ik websites benader. Ik zoek altijd naar de fouten die ik zelf ook zou kunnen maken bij het maken van een website. Goed, die probeer ik te exploiten, maar dat is wel wat anders dan kijken of er bijvoorbeeld een veiligheidslek in een database zit." Anders dan de media-aandacht het afgelopen jaar deed vermoeden, was Walibi niet het enige park met lekken. Van Kampen vond lekken bij twaalf van de twintig meest populaire uitjes van Nederland (een door de ANWB gepubliceerde lijst). "Het ging om soortgelijke fouten met gratis kaartjes en dat soort dingen. De meerderheid van deze attracties reageerde positief wanneer ik het meldde, maar dat kan natuurlijk ook te maken hebben met de berichtgeving na Walibi."

Wanneer je voordeur openstaat, ben je blij wanneer iemand dat tegen je zegt. Met die analogie zouden pretparken blij moeten zijn met melders als Van Kampen. "Dat dacht ik ook altijd. Alleen is dat misschien niet wat ik doe, zei een vriend laatst tegen mij. 'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.' Dat komt toch iets bedreigender over." Wat de juiste vergelijking ook is, tijdens de Developers Summit wil Van Kampen laten zien dat veel data zijn te misbruiken. "Zoals bijvoorbeeld bij musea, waar je heel makkelijk de ticketverkoop kunt omzeilen en gratis kaarten kunt regelen, met slechts twee klikken. En veel pretparken werken met Javascript, waardoor alle validatie van data in je browser plaatsvindt. Ze gaan er blind vanuit dat daar niet mee wordt gerommeld. Ten onrechte."

Meer weten? Bezoek de Developers Summit op 13 februari in DeFabrique in Utrecht. Meer informatie over tickets en het programma vind je hier.