Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tweakers Events

Feedback • 13-01-2020 09:5056

Hack het pretpark: elk weekend een gratis uitje voor scriptkiddies

13-01-2020 • 09:50

56 Linkedin Google+

Het was een opvallende rel afgelopen zomer: Walibi Holland wilde aangifte doen tegen de melder van een datalek. 'Afpersing', zo oordeelde het pretpark over de melder, die informatie over het lek wilde ruilen voor kaartjes. De melder in kwestie, Jan van Kampen, deelt op 13 februari tijdens de Developers Summit zijn ervaringen. "Veel organisaties hebben data online staan die zijn te misbruiken."

Of hij nog in de problemen is geraakt door Walibi-gate? "Nee hoor, ik heb er eigenlijk meer profijt dan last van gehad. Ik sta nu bijvoorbeeld op de Developers Summit", zegt de Beverwijker (28), in het dagelijks leven developer, kunstenaar en bezig aan een opleiding om voor de klas te staan. "Toen Walibi zei aangifte te gaan doen, heb ik zelf ook bewust de media opgezocht. Ik heb daar veel reacties op gehad. Positief, maar ook kritisch. Wat dat betreft heb ik ook veel gehad aan de reacties vanuit de Tweakers-community."

Melder of afperser?

Voor wie precies wil weten hoe de affaire zich ontwikkelde, staan in een open brief aan Walibi op de blog van Van Kampen de nodige details. Hij vat het kort samen: "Ik vond in januari 2019 een lek waardoor verkoop- en omzetgegevens voor iedereen waren in te zien. Daarover raakte ik in gesprek met een IT-manager van Walibi. We hadden al een akkoord dat ik langs zou komen om het lek toe te lichten, en daarbij waren me ook al gratis toegangskaartjes toegezegd. Alleen viel het contact stil, zelfs nadat ik meerdere herinneringen had gestuurd. Omdat het niet zo'n heel ernstig lek was, heb ik het maar zo gelaten. Tot ik een paar maanden later een nieuw lek vond: Walibi toonde onbedoeld informatie over omzet in hun endpoints. Ik heb toen een bericht gestuurd met de ludiek bedoelde onderwerpregel 'Datalek ruilen voor kaartjes?'. Nou, dat viel dus helemaal verkeerd ...”

Ondanks alle heisa is er nooit aangifte gedaan. Van Kampen denkt dan ook dat het vooral bluf was. Toch heeft hij er wel van geleerd: "Als je een lek vindt, mag je eigenlijk geen beloning vragen. Ook niet als grap, het is gewoon niet zo netjes. Onder meer verschillende leden van de Tweakers-gemeenschap hebben me daar op gewezen." Toch zou het een organisatie als Walibi sieren om iets aan te bieden als het nog geen Responsible Disclosure-beleid heeft richting melders, vindt hij. "In dit geval was dat er niet. Dus dan vul je maar een contactformulier in en hoop je dat het bij de juiste persoon terechtkomt. Nu was dat de pr-manager. Dat is niet iemand met verstand van IT, dus weet je ook dat ze het op een vreemde manier gaan oplossen."

Data als hobby

Van Kampen heeft ‘iets’ met pretparken. Deze hobby ontstond enkele jaren geleden, toen hij student Computer Science (VU) was. "Ik vond die studie verschrikkelijk, de hele dag achter een scherm zitten is niks voor mij. Maar het was leuk om te werken met datasets. Bijvoorbeeld met alle data van wedstrijden uit de Eredivisie, waar ik dan query’s op uitvoerde om de winkansen per wedstrijd te voorspellen." Deze kennis paste hij toe op het moment dat de Efteling wachttijden per attractie beschikbaar maakte. Van Kampen beheert de website Eftelstats.nl en bouwde toepassingen om onder meer wachttijden te voorspellen en ideale looproutes te bepalen.

Wat is er zo bijzonder aan pretparken? "Ze hebben iets magisch. Bijna iedereen heeft er iets mee. Het is ook een overzichtelijke markt: in Nederland zijn er zo'n twaalf parken die meedoen. En als je data gaat publiceren, zijn er al snel korte lijntjes met websites zoals Looopings.nl." Van Kampen benadrukt dat het een hobby is waar hij geen geld mee verdient. Tot niet zo lang geleden was hij vooral actief als zelfstandige ontwikkelaar, en sinds kort volgt hij de opleiding Beroepskunstenaar in de Klas. "Al zes jaar ben ik met een groep vrienden actief op festivals, met kunstcollectief #Kunsdt waarmee we opstellingen vol sensoren en dat soort zaken maken. Dan ben je ook aan het programmeren, maar op een andere manier. Code staat voor mij altijd centraal."

Hacken? Welnee!

Een hacker zou Van Kampen zichzelf niet noemen. "Als ik data vind is dat niet het gevolg van ongeoorloofde toegang. Het heeft meer te maken met hoe ik websites benader. Ik zoek altijd naar de fouten die ik zelf ook zou kunnen maken bij het maken van een website. Goed, die probeer ik te exploiten, maar dat is wel wat anders dan kijken of er bijvoorbeeld een veiligheidslek in een database zit." Anders dan de media-aandacht het afgelopen jaar deed vermoeden, was Walibi niet het enige park met lekken. Van Kampen vond lekken bij twaalf van de twintig meest populaire uitjes van Nederland (een door de ANWB gepubliceerde lijst). "Het ging om soortgelijke fouten met gratis kaartjes en dat soort dingen. De meerderheid van deze attracties reageerde positief wanneer ik het meldde, maar dat kan natuurlijk ook te maken hebben met de berichtgeving na Walibi."

Wanneer je voordeur openstaat, ben je blij wanneer iemand dat tegen je zegt. Met die analogie zouden pretparken blij moeten zijn met melders als Van Kampen. "Dat dacht ik ook altijd. Alleen is dat misschien niet wat ik doe, zei een vriend laatst tegen mij. 'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.' Dat komt toch iets bedreigender over." Wat de juiste vergelijking ook is, tijdens de Developers Summit wil Van Kampen laten zien dat veel data zijn te misbruiken. "Zoals bijvoorbeeld bij musea, waar je heel makkelijk de ticketverkoop kunt omzeilen en gratis kaarten kunt regelen, met slechts twee klikken. En veel pretparken werken met Javascript, waardoor alle validatie van data in je browser plaatsvindt. Ze gaan er blind vanuit dat daar niet mee wordt gerommeld. Ten onrechte."

Meer weten? Bezoek de Developers Summit op 13 februari in DeFabrique in Utrecht. Meer informatie over tickets en het programma vind je hier.

Koop je ticket

meer-informatie-transparant

Lees meer

Websites en communities Developers summit 2020

Reacties (56)

-Moderatie-faq
-156055+141+24+30Ongemodereerd8
Wijzig sortering
+2ataryan
13 januari 2020 11:14
Waarom zou je zo veel herrie van zo'n bedrijf of instantie op willen vangen, denk ik dan. Als er geen disclosure programma is het lekker gewoon zo laten, wachten op escalatie van andere partijen en dan kijken hoeveel bitcoin ze moeten lappen wanneer het zo ver is.

Je denkt toch niet dat er niemand in Maastricht wist van die shit daarzo, of in VW-land ? Zelfde geldt voor bijna alle exposures. Ergens heeft iemand of meerdere iemanden gewaarschuwd en is er meerdere malen niet geluisterd.

Na meer dan 25 jaar in de IT zie ik die afstand tussen IT en de business alleen maar groter worden, en is het budget en ruimte voor security na een escalatie nu eenmaal groter. Dus. Wederom:

Als er ruimte is in de vorm van een programma is: posten die zooi. Zoniet, dan is dat een signaal dat de afstand door jou overbrugd gaat worden en ze dus over jou heen gaan lopen. Zo simpel is 't. Wil je dat ?

Laat het echte boevengilde hun werk dan maar doen, denk ik dan. Er gaat de komende jaren zo ontzettend veel shit loskomen, denk hierbij bijvoorbeeld ook aan fysieke beveiliging zoals RFiD, cryptografische zwakheden en remote exploits.
Reageer
+1Cergorach
@ataryan13 januari 2020 12:10
Ik ben het met je eens, behalve dit:
Na meer dan 25 jaar in de IT zie ik die afstand tussen IT en de business alleen maar groter worden
Dat zie ik juist anders, waarbij vroeger de 'systeembeheerder' 'god' was en wel even besliste wie wat mocht doen, is dat nu over het algemeen anders en absoluut niet meer geaccepteerd. Dat betekend niet dat ITers communicatief vaardiger zijn geworden en dat is waar het vaak aan schort. Als je iets wil van een politie agent, spreek je deze ook niet aan met "Hey Smeris, lekker bezig het gepeupel af te persen!", hetzelfde geld voor ITers, als je niet weet hoe je iets moet communiceren naar een niet-ITer dan zal men er ook erg weinig waarde aan hechten. Ik zou zelfs willen zeggen dat ITers onderling niet altijd even goed communiceren, zeker voor een discipline waar ze zich te 'min' voor voelen.

Vaak hoor je "Niet denken in problemen, maar in oplossingen!" en ook dat is wat een ITer vaak niet doet. Ze geven alleen maar het issue aan, maar niet wat de oplossing is met een redelijk kosten plaatje. Zelfs als ze dat wel doen probeert men juist een hele berg issues in een keer op te lossen ipv. het in begrijpbare en betaalbare hapklare brokken op te splitsen. Veel ITers hebben nog steeds geen benul van kosten en hoe dat relatief staat tot ondernemen. Een enorme Enterprise omgeving zal een heel ander budget hebben een kleine(re) MKB.
Reageer
+1ataryan
@Cergorach13 januari 2020 12:28
Aan de IT kant klopt die opsomming. Echter. IT heeft door die jaren heen diverse abstractie lagen gekregen waar de business/management en ITers zelf maar heel selectief oren en ogen naar hebben.

Praktijk voorbeeld: stel, je hebt een project. RFiD kaartjes voor gemeentelijk afval. Externe partij word na aanbesteding ingehuurd om dit traject op poten te zetten. Project word uitgevoerd, iedereen blij, burger aan de bak.

Tijdje later komt iemand er achter dat de kaartjes nogal niet beveiligd zijn.

Mijn vraag is: wat is er in dat proces mis gegaan ?
Antwoord: helemaal niets, security zat niet in de scope.

Dus die gast die de gemeente aanschrijft/mailt is de boosdoener.

Dat is even in het kort wat ik verkeerd zie gaan. En dat komt door abstractiescheiding, tunnel scopes.
Bij de belastingdienst zie dat ook heel mooi, maar ook corporate NL kan daar heel wat van denk ik zo.
Voorheen was die abstractie minder, maar door schaalvergroting en -sign-o'-the-times- stijlverandering is de impact tegenwoordig veel reeler.

Heeft IMHO niets met techniek te maken, techniek is, het is een proces wat hier faalt. Dat proces heeft escalatie nodig om er uit te komen. Dus niets doen is wel degelijk een hele goede optie.
Reageer
+2GateKeaper
@ataryan13 januari 2020 13:08
Antwoord: helemaal niets, security zat niet in de scope.
Of zat wel in de scope, maar dat maakte het project 2x zo duur, en is er dus bewust uitgehaald.

Gemeente: "Wij willen een RFiD systeem voor afval, wat kost dat?"
Software bedrijf: "RFiD systeem, beveiliging, identificatie, x, y , z", kost je X euro en Y tijd.
Gemeente: "Hoe kan dat goedkoper/sneller".
Iemand aan tafel: "Hoe groot is het risico op misbruik? En wat is de impact daarvan"?
Gemeente: "Nihil, gooit iemand zijn afval in de bak ipv er naast".
Gemeente: "Laat beveiliging maar achterwege".

En zo komt er een kosten/risico afweging om bepaalde dingen weg te laten.
Reageer
0Nystran
@GateKeaper13 januari 2020 21:22
Waarom wordt er dan een RFID systeem geplaatst als het risico op misbruik nihil is? Is nog gebruiksvriendelijker ook...
Reageer
+1FuaZe
@Nystran13 januari 2020 23:21
Omdat de drempel hoger is voor het misbruiken van een bak met RFID beveiliging.

Als er helemaal geen beveiliging op zit, is er helemaal geen drempel.
Reageer
0ataryan
@GateKeaper13 januari 2020 13:31
mja, dat dus. Doen ze ook met Boeing vliegtuigen.
Reageer
0Byron010
@GateKeaper15 januari 2020 14:23
Maarja dat was dus een verkeerde inschatting qua mogelijk misbruik anders kwam er niet een rechtzaak uit voort.

Resultaat: Extra kosten
Reageer
+1Cergorach
@ataryan13 januari 2020 14:41
IT heeft door die jaren heen diverse abstractie lagen gekregen waar de business/management en ITers zelf maar heel selectief oren en ogen naar hebben.
<snip>
Heeft IMHO niets met techniek te maken, techniek is, het is een proces wat hier faalt. Dat proces heeft escalatie nodig om er uit te komen. Dus niets doen is wel degelijk een hele goede optie.
Ik noem dat altijd 'oogkleppen' en veel ITers hebben daar heel erg last van. Deel van het issue is dat IT steeds complexer wordt, waardoor er steeds meer bewegende onderdelen zijn die buiten 'eigen beheer' vallen van de betreffende ITer en er dus veel meer momenten zijn waarbij 'miscommunicatie' de kop op steekt.

Een 'proces' gaat ook maar zover, je gaat er hier vanuit dat de issues duidelijk zijn gecommuniceerd en dat is ook iets waar zelfs een 'proces' geen uitkomst in bied als wat er in wordt geschoten niet wordt begrepen aan de uitgang. En soms is dat een management issue, maar vaak is dat een IT-medewerker issue.
Reageer
+1trapper
@Cergorach13 januari 2020 16:55
Managers vinden vaak dat technici zich beter moeten verdiepen en op de hoogte blijven m.b.t. de milestones en planning, en vooral goed moeten communiceren.
Technici vinden vaak dat managers zich wel meer mogen verdiepen in de technische aspecten van projecten, en enige technische kennis van zaken over het domein mogen hebben.
Beiden hebben waarschijnlijk wel een goed punt, maar om dan de technici verantwoordelijk te houden voor gebrekkige communicatie, is mij een brug te ver.
Reageer
+1Ghxst
@ataryan13 januari 2020 16:47
Om eerlijk te zijn is het best wel leuk om credit te krijgen voor een vulnerability, ik snap dan ook wel dat dat genoeg motivatie kan zijn voor mensen. :9

Uiteraard vind ik een bounty / disclosure programma wel gepast bij elk bedrijf van deze grote.

Als consument ben ik in ieder geval blij met mensen zoals Van Kampen, grote kans dat ook mijn data in de database van Walibi te vinden is. :X
Reageer
+1FuaZe
@Ghxst13 januari 2020 23:24
We zouden bijna per wet zoiets moeten regelen?

Je kan dan bedrijven aangeven die niet voldoen aan de privacywetgeving of lekken doorgeven.

Dan krijgt het bedrijf een boete en gaat een x-bedrag naar de melder?
Reageer
0ataryan
@FuaZe14 januari 2020 09:29
nou, ja dat dus idd
Reageer
0Ghxst
@FuaZe14 januari 2020 11:41
Geen slecht idee!
Reageer
0fommes
@ataryan15 januari 2020 09:51
Mee eens, ik was een aantal jaren terug ook vaak bezig met rapportjes schrijven over datalekken naar bedrijven die klantgegevens, en dan voorzichtig contact zoeken alvorens ik meer informatie verstrekte. Tegenwoordig denk ik als er geen responsible disclosure programma is, laat maar zitten.

Je neemt toch een zeker risico, hoewel het 9 van de 10 keer niet tot aangifte komt, kan het je toch duur komen te staan. één manager die (zonder enige reden) op z'n teentjes getrapt is door jou aangeboden hulp is voldoende (en uit ervaring kan ik zeggen dat de meeste mensen niet super enthousiast waren na een melding).
Reageer
+2svenk91
13 januari 2020 10:34
'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.'
Dat is idd vreemd als een vreemdeling dat doet in een buurt. Maar zou minder raar zijn als het vanuit een burger/buurtwacht georganiseerd wordt.

Is er geen soort van digitale burgerwacht die bemiddeld? Bug/leak speurders conformeren zich aan richtlijnen voor ethisch hacken vanuit die organisatie, lekken worden gemeld via die burgerwacht die dan het eerste contact legt. Daarna kunnen de bedrijven/personen met het lek mogelijk direct contact opnemen met de vinder van het lek om snel een oplossing te zoeken en eventueel een beloning aan te bieden. Ondertussen blijft de wacht wel betrokken bij het contact om in te grijpen als het niet respectvol/ethisch verder verloopt. Ik denk dat bedrijven zich meer zullen openstellen voor zo'n instantie bij eerste contact dan een wildvreemde, terwijl de vinders van een lek zich gesterkt voelen en met meer vertrouwen het lek kunnen melden.
Reageer
+1CAPSLOCK2000
@svenk9113 januari 2020 14:25
Dat is idd vreemd als een vreemdeling dat doet in een buurt. Maar zou minder raar zijn als het vanuit een burger/buurtwacht georganiseerd wordt.
Wat is het verschil? Zo'n buurtwacht heeft toch geen enkele officïele macht? Het zijn ook maar gewoon wat burgers die voor zichzelf besloten hebben dat ze politieagent gaan spelen. Ongetwijfeld met de beste bedoelingen, maar dus niet anders dan wat hier is gebeurd.
Reageer
+1svenk91
@CAPSLOCK200013 januari 2020 14:28
Klopt inderdaad, maar je hebt wel een aanspreekpunt en platform voor overleg over zulke zaken (al is het maar om te zeggen: "oprotten bij mijn auto").
Reageer
+1Olaf van der Spek
@svenk9113 januari 2020 11:14
Ik vind het meer vergelijkbaar met alle geheime documenten ergens in een hoekje in de parkeergarage laten liggen en hopen dat niemand ze vind.. |:(
Reageer
+1ThaStealth
13 januari 2020 10:35
Jullie begrijpen natuurlijk wel dat als je een artikel schrijft over "gratis" kaartjes en eronder een link plaatst met "Koop je ticket" op een community als Tweakers dat iedereen even gaat proberen hoe secure het ticketsysteem is :P
Reageer
+2Inspector
@ThaStealth13 januari 2020 10:52
Helemaal OK natuurlijk! Wel whitehat style dan he ;)

https://hackerone.com/eventbrite
Reageer
+1winkbrace
13 januari 2020 10:25
De voordeur - parkeergarage vergelijking vind ik heel sterk. Dat helpt het van twee kanten te zien.
Reageer
+1bwerg
@winkbrace13 januari 2020 11:01
Behalve dat hij vooral heel sterk is als je niet bekend bent met digitale beveiliging.
1) Fysieke inbraak kan voorkomen worden met sociale controle: er is altijd kans dat een inbreker betrapt wordt door iemand die net de hond aan het uitlaten is, en die druk werkt preventief en corrigerend. Een digitale inbreker wordt zelden aangesproken - tenzij hij zo netjes is om white-hat te werken, maar de schade vindt juist plaats door black-hats.
2) Fysieke inbraak kan niet eenvoudig geautomatiseerd en opgeschaald worden. 1000 mensen die fysiek een heel dorp uitkammen op niet-afgesloten auto's trekt geheid een politiekorps aan, 1000 scriptjes die vanuit China een domein afspeuren is compleet normaal en onopgemerkt. Op dat eerste geval hoef je redelijkerwijs niet te anticiperen terwijl dat bij het laatste geval gewoon noodzaak is.

Dus nee, eigenlijk is de vergelijking eigenlijk helemaal niet zo zinnig. Gewoon verontwaardigd zijn helpt bij auto-inbraken (sociale druk) maar slaat de plank mis bij een digitale inbraak.

De enige manier waarop je als hacker die vergelijking mee kan nemen, is om er rekening mee te houden dat je misschien communiceert met iemand die het wél zo ziet, zoals hier gebeurde.

[Reactie gewijzigd door bwerg op 13 januari 2020 11:07]

Reageer
+1Nystran
@bwerg13 januari 2020 21:27
Die "sociale controle" bestaat in de digitale wereld ook, logging is er om gemonitord te worden. Helaas krijg je dat niet gratis bij je buurt, maar de betere digitale buurten hebben wel zo'n beveiliger die de 1000 Chinese scriptjes herkent.
Reageer
+1bwerg
@Nystran14 januari 2020 08:51
Ja, dat is dus precies mijn punt: logging en beveiliging tegen Chinese scriptjes zijn maatregelen die van tevoren al goed moeten staan. Dat heb je gewoon nodig. Als je dat niet hebt en je hebt een gat in je beveiliging, dan heeft het weinig zin om boos te worden op de white-hat hacker die je daarop attendeert. Terwijl boos worden op iemand die aan je achterdeur rammelt meer effect sorteert, vanwege de verschillen tussen digitaal en 'anoloog'.

[Reactie gewijzigd door bwerg op 14 januari 2020 08:52]

Reageer
+1Aerophobia1
@winkbrace13 januari 2020 10:33
Ja, maar echte dieven volgen de zelfde methode.
Die zouden met die data veel meer schade aan een bedrijf kunnen aanrichten als een missende laptop die van een achterbank wordt ontvreemd.
Dus wees blij dat er iemand met goede intenties voelt of alle deuren op slot zijn.
Reageer
+1SinergyX
@winkbrace13 januari 2020 11:43
Maar in combinatie met zijn email-onderwerp, maakt het opeens andere situatie, jij loopt huis binnen en vraagt meteen 'zal ik zelf even een biertje pakken uit de koelkast'?
Reageer
+1CAPSLOCK2000
@winkbrace13 januari 2020 14:31
De voordeur - parkeergarage vergelijking vind ik heel sterk. Dat helpt het van twee kanten te zien.
Ik vind het in dit geval juist geen goede vergelijking.
Deze persoon is niet aan willekeurige deuren gaan voelen.
Hij heeft alleen gevoeld aan de deur waar hij zelf gebruik van wilde maken.
Daarbij heeft hij weliswaar een stevige duw gegeven, maar dat is een andere vergelijking.

Als ik in een taxi stap dan kijk ik (zeker in het buitenland) eerst even of er nog profiel op de banden zit, of er niet te veel krassen op de auto zitten en of de gordels werken. Als ik een ruk aan de gordel geeft en de gordel breekt af dan stap ik uit. De taxi-chauffeur moet dan niet komen klagen dat ik z'n auto kapot heb gemaakt als ik zeg dat z'n gordel stuk is.
Reageer
+1Toine1
13 januari 2020 10:09
Is het niet zo, dat die ICT manager toen al ontslagen was en hij daarom niet die beloofde kaartjes kon geven?
Reageer
+1Elazz
@Toine113 januari 2020 11:16
Geen idee van de situatie maar de contactpersoon was inderdaad niet meer dezelfde. De rol werd door iemand anders ingevuld. Deze persoon vond het verdacht (waarschijnlijk niet wetende van wat er voordien afspeelde).

Ik dacht dat er een andere pretpark was die gebruik maakte van de situatie om zelf gratis kaartjes uit te delen bij het vinden van exploits en dergelijke na het lezen van de titel.
Reageer
+1Bjorn89
@Elazz13 januari 2020 12:20
Als je wisselt van baan maak je toch een transitie document, met benodigde data voor je opvolger? Bovendien, archiveer je toch ook de mail m.b.t deze belangrijke zaken.

Snap niet dat men altijd ineens van niks weet als ze daar op z'n functie komen, zo van... je voorganger is weg zoek het maar uit, we weten niet wat er allemaal loopt.
Reageer
+1magician2000
@Bjorn8913 januari 2020 23:23
Serieus? Een transitiedocument? Waar heb jij dat meegemaakt? Ik zelf heb dat werkelijkwaar nog nooit meegemaakt.

Hooguit, als je geluk hebt, wat documentatie m.b.t. de systemen.

Mocht er al wel een transitiedocument zijn, denk je dan werkelijk dat zoiets daar in zou belanden? Daar komen enkel de belangrijkste zaken in te staan. Niet iets dat totaal niet relevant is (belofte voor kaartjes inzake melden lek).

Daarnaast weten wij niet wat er gebeurd is inzake wisseling contactpersoon. Wellicht had de vorige persoon al x keer gewaarschuwd voor mogelijk kwetsbare situaties en/of is hij inzake deze melding met zijn hoofd tegen de muur gelopen omdat iemand hogerop het niet belangrijk genoeg achte.

Denk je dan dat dit ergens genoemd gaat worden mocht er al een transitiedocument zijn of denk je dat zo iemand denk "F you!".

Maar heb je enig idee wat ze met de mail doen van oud medewerkers? Vermoedelijk zal die veelal weggegooid worden. Wellicht na het maken van een soort backup o.i.d. waar vervolgens nooit en te nimmer meer iemand naar gaat kijken. Mede omdat ze geen idee hebben waar ze naar moeten kijken / zoeken.
Reageer
+1Rho d Berth
13 januari 2020 10:36
Ik wilde ooit kaartjes bestellen op vakantie voor m'n gezin bij een groot zwembad in Duitsland. Dat kon alleen de dag van tevoren, maar door het vergeten van de tijd (vakantie) begon ik pas om 00:03. De browser had toen de juiste datum niet meer selecteerbaar.

Maar met behulp van de debugger en wat copy/paste van javascript lukte het me om de datum toch nog beschikbaar te krijgen, en warempel, ik kon ze bestellen (en netjes betalen).
Toch wel spannend als je dan in de rij staat.

Ik denk zomaar dat er met een debugger en wat kennis van javascript heel veel mogelijk is bij heel veel pretparken, etc. en bovenstaand verhaal bevestigt dat eigenlijk.
Reageer
+1Rembert
@Rho d Berth13 januari 2020 12:14
Foei. Dat is hacken.

Aan andere kant, als iemand zoveel moeite doet om toch die kaartjes voor elkaar te krijgen, dan is dat in feite ook een compliment. Zoiemand wil je graag als gast.
Reageer
+1Rho d Berth
@Rembert13 januari 2020 12:48
Ja, het is hacken, en de foei zal ik accepteren!
Ik deed het voor mijn kinderen, is dan mijn verweer. :)
Reageer
0jeroen79
@Rembert15 januari 2020 12:51
Je kunt je dan ook afvragen of hij de ander schade heeft toegebracht.
Als hij netjes voor de kaartjes heeft betaald dan zou ik zeggen van niet.

Kennelijk was het bestelsysteem zo ingericht dat je op de dag zelf niet meer kan kopen.
Dit kan met een gewichtige reden zijn (er wordt precies genoeg eten besteld of voor de veiligheid wordt er om 00:00 een presentielijst gemaakt) maar evengoed hadden ze willen voorkomen dat iemand om 23:59 voor 'vandaag' besteld en er dus morgen geen geldig kaartje heeft.

En heeft hij wel 'ingebroken' als hij alleen aanpassingen heeft gedaan in code die op zijn eigen PC zou worden uitgevoerd?
Reageer
+1TimoDimo
13 januari 2020 13:36
Extra schadelijk is wel dat die aangifte destijds gedaan is met goedkeuring van de directrice (als ik mij goed herinner). Dat zelfs zij niet eerst de geschiedenis erop naslaat of eerst het contact zoekt is wel heel schandelijk.
Reageer
+1magician2000
@TimoDimo13 januari 2020 23:31
Daar zijn managers helemaal niet voor. Die boeit dat veelal niet of hebben er het inzicht niet voor.

Jammergenoeg is dat wat ik bij het overgrote deel van de managers die ik ken zie. Ze hebben geen flauw benul wat er nu eigenlijk allemaal speelt. Veelal doordat ze absoluut niet luisteren naar wat mensen te melden hebben. Tenzij ze van een gelijk of hoger management niveau zijn, dan willen ze nog wel eens een poging tot luisteren wagen (eigenbelang enzo).

Communicatie is vaak het grootste probleem in deze. Naast het niet gebruik van het gezonde verstand. Combineer dat met de huidige wetgeving aangaande lekken en bij een groot bedrijf gaan alle seinen op rood en is de reactie al gegeven voordat er even tot 10 geteld wordt om vervolgens nogmaals alles op een rij te zetten.
Reageer
+1WhatsappHack

13 januari 2020 10:41
“Als je een lek vindt, mag je eigenlijk geen beloning vragen.”

Toch is dat discutabel, dat ligt helemaal aan de situatie en wat je gedaan hebt.

“ Dat is niet iemand met verstand van IT, dus weet je ook dat ze het op een vreemde manier gaan oplossen.”

Ja bij Walibi hebben ze daar een handje van, zoals condooms sturen naar een minderjarig meisje ipv d’r telefoon te vergoeden. :+
Reageer
+1Mel33
13 januari 2020 11:15
Wat is er zo bijzonder aan pretparken? is dat serieus een vraag geweest van Tweakers,
Pret pret pret, parken, heel veel pret, en pret is leuk, dat snapt iedereen toch wel haha.

Nee grapje, maar heelmooi dat je hier op T.net goed bent opgevangen ook. ik vind dat Tweakers community daar ook heel veel kudos voor verdiend, je zal maar op de verkeerde site(of mensen) posten, die jou helemaal stuk maakt.

Ergens pleit ik er wel voor dat daar een algemene site voor komt of organisatie die dit in goede banen leidt. of meer info geeft hoe je dit melden van bugs aanpakt als onwetende.


Edit oh @svenk91 deed zelfde suggestie

[Reactie gewijzigd door Mel33 op 13 januari 2020 11:34]

Reageer
+1mutley69
13 januari 2020 12:02
Door zo te handelen, zoekt Walibi eigenlijk miserie. Ze staan bij mij alvast op de zwarte lijst - men had daar humorvol moeten mee omspringen, en beseffen dat een IT-deskundige mens er zijn kost qua tijdsinvestering niet eens mee terugverdient. Dat dit vaak vrijwillig is - wil wel zeggen dat er erg veel respect voor terug dient te komen. En vooral geen dreigementent!
U moet in feite als white-hat hacker als een afperser te werk gaan om enige compensatie voor de moeite te krijgen - dat op zich is al een schande.
Helaas moeten wij vaststellen dat it-ers beschouwd worden als een soort van gratis werkende slaaf - die je nog mag uitschelden, afpersen en voor de rechter dagen als't mis loopt.
Dus: vrijwilligerswerk doen voor een vereniging - HELLL NO!
Dankzij Walibi zou ik zeggen meteen op hun facebookpagina gooien voor het hele publicum.
Reageer
1 2


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True