Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tweakers Events

Hack het pretpark: elk weekend een gratis uitje voor scriptkiddies

13-01-2020 • 09:50

56 Linkedin

Het was een opvallende rel afgelopen zomer: Walibi Holland wilde aangifte doen tegen de melder van een datalek. 'Afpersing', zo oordeelde het pretpark over de melder, die informatie over het lek wilde ruilen voor kaartjes. De melder in kwestie, Jan van Kampen, deelt op 13 februari tijdens de Developers Summit zijn ervaringen. "Veel organisaties hebben data online staan die zijn te misbruiken."

Of hij nog in de problemen is geraakt door Walibi-gate? "Nee hoor, ik heb er eigenlijk meer profijt dan last van gehad. Ik sta nu bijvoorbeeld op de Developers Summit", zegt de Beverwijker (28), in het dagelijks leven developer, kunstenaar en bezig aan een opleiding om voor de klas te staan. "Toen Walibi zei aangifte te gaan doen, heb ik zelf ook bewust de media opgezocht. Ik heb daar veel reacties op gehad. Positief, maar ook kritisch. Wat dat betreft heb ik ook veel gehad aan de reacties vanuit de Tweakers-community."

Melder of afperser?

Voor wie precies wil weten hoe de affaire zich ontwikkelde, staan in een open brief aan Walibi op de blog van Van Kampen de nodige details. Hij vat het kort samen: "Ik vond in januari 2019 een lek waardoor verkoop- en omzetgegevens voor iedereen waren in te zien. Daarover raakte ik in gesprek met een IT-manager van Walibi. We hadden al een akkoord dat ik langs zou komen om het lek toe te lichten, en daarbij waren me ook al gratis toegangskaartjes toegezegd. Alleen viel het contact stil, zelfs nadat ik meerdere herinneringen had gestuurd. Omdat het niet zo'n heel ernstig lek was, heb ik het maar zo gelaten. Tot ik een paar maanden later een nieuw lek vond: Walibi toonde onbedoeld informatie over omzet in hun endpoints. Ik heb toen een bericht gestuurd met de ludiek bedoelde onderwerpregel 'Datalek ruilen voor kaartjes?'. Nou, dat viel dus helemaal verkeerd ...”

Ondanks alle heisa is er nooit aangifte gedaan. Van Kampen denkt dan ook dat het vooral bluf was. Toch heeft hij er wel van geleerd: "Als je een lek vindt, mag je eigenlijk geen beloning vragen. Ook niet als grap, het is gewoon niet zo netjes. Onder meer verschillende leden van de Tweakers-gemeenschap hebben me daar op gewezen." Toch zou het een organisatie als Walibi sieren om iets aan te bieden als het nog geen Responsible Disclosure-beleid heeft richting melders, vindt hij. "In dit geval was dat er niet. Dus dan vul je maar een contactformulier in en hoop je dat het bij de juiste persoon terechtkomt. Nu was dat de pr-manager. Dat is niet iemand met verstand van IT, dus weet je ook dat ze het op een vreemde manier gaan oplossen."

Data als hobby

Van Kampen heeft ‘iets’ met pretparken. Deze hobby ontstond enkele jaren geleden, toen hij student Computer Science (VU) was. "Ik vond die studie verschrikkelijk, de hele dag achter een scherm zitten is niks voor mij. Maar het was leuk om te werken met datasets. Bijvoorbeeld met alle data van wedstrijden uit de Eredivisie, waar ik dan query’s op uitvoerde om de winkansen per wedstrijd te voorspellen." Deze kennis paste hij toe op het moment dat de Efteling wachttijden per attractie beschikbaar maakte. Van Kampen beheert de website Eftelstats.nl en bouwde toepassingen om onder meer wachttijden te voorspellen en ideale looproutes te bepalen.

Wat is er zo bijzonder aan pretparken? "Ze hebben iets magisch. Bijna iedereen heeft er iets mee. Het is ook een overzichtelijke markt: in Nederland zijn er zo'n twaalf parken die meedoen. En als je data gaat publiceren, zijn er al snel korte lijntjes met websites zoals Looopings.nl." Van Kampen benadrukt dat het een hobby is waar hij geen geld mee verdient. Tot niet zo lang geleden was hij vooral actief als zelfstandige ontwikkelaar, en sinds kort volgt hij de opleiding Beroepskunstenaar in de Klas. "Al zes jaar ben ik met een groep vrienden actief op festivals, met kunstcollectief #Kunsdt waarmee we opstellingen vol sensoren en dat soort zaken maken. Dan ben je ook aan het programmeren, maar op een andere manier. Code staat voor mij altijd centraal."

Hacken? Welnee!

Een hacker zou Van Kampen zichzelf niet noemen. "Als ik data vind is dat niet het gevolg van ongeoorloofde toegang. Het heeft meer te maken met hoe ik websites benader. Ik zoek altijd naar de fouten die ik zelf ook zou kunnen maken bij het maken van een website. Goed, die probeer ik te exploiten, maar dat is wel wat anders dan kijken of er bijvoorbeeld een veiligheidslek in een database zit." Anders dan de media-aandacht het afgelopen jaar deed vermoeden, was Walibi niet het enige park met lekken. Van Kampen vond lekken bij twaalf van de twintig meest populaire uitjes van Nederland (een door de ANWB gepubliceerde lijst). "Het ging om soortgelijke fouten met gratis kaartjes en dat soort dingen. De meerderheid van deze attracties reageerde positief wanneer ik het meldde, maar dat kan natuurlijk ook te maken hebben met de berichtgeving na Walibi."

Wanneer je voordeur openstaat, ben je blij wanneer iemand dat tegen je zegt. Met die analogie zouden pretparken blij moeten zijn met melders als Van Kampen. "Dat dacht ik ook altijd. Alleen is dat misschien niet wat ik doe, zei een vriend laatst tegen mij. 'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.' Dat komt toch iets bedreigender over." Wat de juiste vergelijking ook is, tijdens de Developers Summit wil Van Kampen laten zien dat veel data zijn te misbruiken. "Zoals bijvoorbeeld bij musea, waar je heel makkelijk de ticketverkoop kunt omzeilen en gratis kaarten kunt regelen, met slechts twee klikken. En veel pretparken werken met Javascript, waardoor alle validatie van data in je browser plaatsvindt. Ze gaan er blind vanuit dat daar niet mee wordt gerommeld. Ten onrechte."

Meer weten? Bezoek de Developers Summit op 13 februari in DeFabrique in Utrecht. Meer informatie over tickets en het programma vind je hier.

Koop je ticket

meer-informatie-transparant

Reacties (56)

Wijzig sortering
Ik vind het best een mild oordeel zo achteraf. De PR manager had natuurlijk geen verstand van ICT en ging daarom rare dingen doen. Daar had nog best achter kunnen staan: "Die erop wezen dat ze ook geen verstand had van PR."
En, heeft er al iemand gratis kaartjes voor die summit weten te hacken? :+

Aangepast: Ik zie dat er al mensen zo slim waren deze opmerking te plaatsen...

[Reactie gewijzigd door TwiekertBOB op 13 januari 2020 13:11]

Nederland heeft meer van dit soort hackers nodig, Ik meld ook met regelmaat exploits bij mkb, maar is echt per bedrijf verschillend hoe ze reageren. Ik vraag alleen niets vooraf als het bedrijf me wat wil geven is dat leuk, soms vragen ze me om langs te komen en netwerk na te kijken voor ze als consultant.

Sommige dreigen met politie, en dan vraag ik ze waarom? Ik bedreig niemand, vraag geen geld. Ik meld alleen dat er een onveilige situatie is waardoor mensen toegang tot data kunnen krijgen. En meld hoe ze dit kunnen voorkomen.

De Nederlander en het bedrijfleven zijn allemaal zo slecht op de hoogte van hoe je veilig online werkt. De meeste kleine bedrijven werken met particuliere verbindingen met van die speelgoed routers zoals: live box, generix, zyxel of andere troep die je krijgt van de provider met alle poorten open. En dan ook geen firewalls hebben, nog nooit van encryptie gehoord en slaan paswoorden op in word docs. admin admin iemand ik kom het nogsteeds met regelmaat tegen.

Ik vind dat de overheid boetes moet gaan uitdelen aan bedrijven die hun IT en data niet goed beveiligen.
Maar is meestal niet de schuld van het bedrijf, maar de overbetaalde, luilak van een ITer die de dader is, Het is zijn baan om bedrijf veilig te houden. En ik zorg meestal dat, dat soort mensen ontslagen worden 2400 euro pm verdienen terwijl er 600 maleware programma's op de hyper V laag van de server staan.

En een exploit kun je dan melden bij de overheid en bij het bedrijf in kwestie dan krijgt een bedrijf tijd relatief aan de moeilijkheid van de exploit om het te fixen. Doen ze niets boete en 10% van de boete naar de melder.

Ik zie het zo als jij langs fiets en je ziet iemand op een flat staan die wil springen rij je dan door of probeer je hem te helpen of de instanties in te schakkelen om een ongeval te verkomen. Data diefstal kan grote gevolgen hebben, dat lijken mensen maar niet te begrijpen.

Had deze hacker de website plat gelegd of kaartjes gestolen van hun website dat is wat anders maar hij heeft niets anders gedaan dan naar de webpagina code gekeken via zijn browser.

[Reactie gewijzigd door dispie op 13 januari 2020 18:47]

Je begint je relaas goed en herkenbaar. Ook ik heb in het verleden mee mogen maken dat het melden van een lek een dreigende reactie teweeg bracht. Okay, dan zoek je het maar lekker uit.

Dat de meeste Nederlanders en het bedrijfsleven (met name de kleine bedrijven) zo slecht op de hoogte zijn komt vooral door slechte informatieverstrekking (oftewel: communicatie). Wie moet er nu zorgen dat je internet veilig kunt gebruiken bijvoorbeeld? Als het aan de providers ligt zoek je het zelf maar lekker uit.

Oh, je wilt een eigen modem kiezen? Nee, sorry, doen we niet. Hier heb je ons standaard hotseflots ding dat je mag gebruiken.

Vervolgens fakkel je de IT-er af, overbetaald en lui. Die is de dader! Het is zijn baan om het veilig te houden!!

Om te beginnen worden die IT-ers als makkelijkze zondebok gebruikt. Zo overbetaald zijn ze niet. Zeker niet wanneer je in acht neemt dat ze maar moeten accepteren voor rotte vis uitgemaakt te worden wanneer er een keer iets niet werkt (98% van de tijd gaat het goed en hoor je niets, maar o wee, die 2% van de tijd dat het fout gaat).

Veelal zijn er te weinig FTE's aanwezig waardoor je dus niet alles kunt doen. Hoe vaak je iets dergelijks ook aangeeft, er komt geen gehoor (geen budget "beschikbaar" of een andere rotsmoes). Zeker wanneer je de enige IT-er bent is dit soort dingen een ramp en ben je meer bezig met schipperen tussen wat belangrijk is en wat niet (en onderwijl ook nog even al die - vaak onzinnige, want al meermaals gevraagd en beantwoord - gebruikersvragen beantwoorden).

Uit interesse, wat doe jij wanneer iemand op een flat staat die wil springen?

Er vanuitgaande dat je al door hebt dat iemand wil springen, want dat schreeuwen ze niet van de daken.
Dat hotseflotsding, dan heb je het over huis-tuin-en-keuken internet? ok, we hadden ooit ziggo voor MKB toen ik net bij mijn bedrijf kwam werken. ook een hotseflots. Toen we gingen verhuizen hebben we gekozen voor een provider en een modem die we zelf helemaal konden instellen. Het kan dus wel, maar je moet wel even goed kijken en, idd, het budget krijgen...

@dispie: de overheid geeft ook boetes voor datalekken, via de autoriteit persoonsgegevens moet je ze melden, doe je dat niet, dan kan daar een flinke sanctie op staan.

https://datalekken.autori...sgegevens.nl/actionpage?0.
https://www.justitia.nl/privacy/datalekken
Dat hotseflotsding is wat er vaak meegeleverd wordt. Iets wat voldoet in ogen van de providers, maar het eigenlijk gewoonweg niet is voor wat betere beveiliging.

Zeker voor privé en kleine bedrijven waar veelal "iemand met technische kennis" ook wat IT doet is het al haast niet te doen een fatsoenlijk apparaat uit te zoeken en te installeren (of een provider waarbij dat mogelijk is).

Er is wat dat betreft beperkte keuze. Op mijn locatie heb ik zoveel problemen gehad met internet via de KPN lijnen dat de enige optie Ziggo is. Eigenlijk zou KPN de aansluitkasten moeten vervangen (en mogelijk deel van de bekabeling), maar dat gaan ze echt niet doen.
Ja communicatie is een probleem, en vooral wie die communicatie moet doen, want onze overheid zijn er ook niet goed in kijk naar al die gefaalde projecten die ze telkens aan nemen voor veel te veel geld of juist te weinig willen uitgeven voor goede oplossingen.

Was het maar zo dat je altijd je eigen router zou mogen kiezen, op dit moment zit ik aan een generix vast van mijn provider die niet eens een brigde functie heeft, Gelukkig ben ik handig genoeg om een DMZ op te zetten en een professionele router van me zelf er achter te plaatsen maar daar heb je kennis voor nodig die niet iedereen heeft.

Ja ik fakkel ITers af maar eigenlijk zijn die mensen geen ITers, meestal zijn het administratie personeel die denken dat ze iter zijn omdat ze een printer kunnen bedienen en simpel problemen met outlook kunnen oplossen. Maar ja een server beheren is even wat anders.

Daarom ben ik geen in house ITer of admin meer uitgescholden worden iedere keer als de users fouten maakt en jij maar weer een wonder moet verrichten om het te fixen. Sorry, maar na een kop koffie over je laptop is er weinig wat ik kan doen en maar lokaal werken op systemen, terwijl ze weten dat ze alles op de server moeten doen en toch doen. En dan schrijf je snel koppel scripts voor back ups naar de server voor thuis gebruikers en dat gebruiken ze dan niet.

Ik heb hele stappen plannen uitgeschreven, helpt allemaal niet. Maar je hebt ook wel gelijk, ik heb jaren lopen zeuren bij bedrijven voor meer geld voor goede security en jaren lang krijg je het budget niet om het op te lossen. En als dan mis gaat dan word jij er weer op aangekeken. Ik ken jammer genoeg maar al te goed.

Het was natuurlijk een voorbeeld.
Politie bellen en daarna met conversatie technieken, proberen de persoon rustig te krijgen en aan de praten te houden en af te leiden van waarom hij wil springen. Meestal is zelfmoord poging een schreeuw voor aandacht, hulp en begrip. Als iemand echt dood wil kom je daar meestal pas achteraf achter en zul je niet aan zien komen en doen ze meestal in privé, zodat niemand kan helpen springen en voor de trein zijn dus meestal een schreeuw voor hulp omdat er een grote kans is dat er mensen ingrijpen.
Dank voor je reactie en verheldering in deze.

Overheid en communiceren en IT projecten (waar je dan ook nog te maken hebt met op geldbeluste bedrijven die de overheid als ideale melkkoe zien). Begin er maar niet over. Gelukkig is het niet hun geld... 8)7

Hou er rekening mee dat die surrogaat IT mensen er vaak ook niet voor kiezen en het er "even" bij moeten doen. Ik snap je manier van opschrijven nu beter. Echter, het zijn de mensen die dat bedenken (managers / eigenaren e.d.) die eigenlijk afgefakkeld zouden moeten worden in deze.

Overigens, ik was vrij makkelijk met dat soort fouten (vloeistof over computer, bestanden lokaal). Mijn reactie bij die laatste was "jammer dan, succes met opnieuw maken van je documenten". Het bizarre is dat dat eigenlijk altijd geaccepteerd werd omdat ze wisten dat ze zelf foute zaten.

Zoals die laptop die besmet was door een "via via verkregen" diskette van de belastingdienst vol met virussen (laptop mocht niet persoonlijk gebruikt worden bij ons destijds). Die persoon had helemaal niet zo hard een laptop nodig en na dit gedoe hebben we die ook eerst 3 weken in de kast gelegd voor er naar te kijken. Dit alles kwam destijds mede van de IT manager af (wie niet horen wil moet maar voelen).

Ik dacht overigens aan de Mel Gibson methode in Lethal Weapon... Naast die persoon op het dak en samen springen zodra het kussen er ligt O-)

Maar zonder dollen, ik kan me situaties voorstellen waarbij mensen uiteindelijk denken "zo hoeft het niet meer". Niet zozeer schreeuw voor hulp, maar letterlijk de wanhoop nabij en geen uitweg meer zien.

Inderdaad kom je er bij mensen die zelfmoord met voorbedachte rade uitvoeren er meestal pas te laat achter.

Overigens, ik heb geen idee wat ik zou doen wanneer ik iemand in zo'n situatie zou tegenkomen. Proberen af te leiden (aan de praat houden, luisteren, enz.) en hopen dat hulp op tijd komt. Hopelijk zal ik zoiets nooit meemaken.
Maar is meestal niet de schuld van het bedrijf, maar de overbetaalde, luilak van een ITer die de dader is, Het is zijn baan om bedrijf veilig te houden.
Ik weet niet bij wat voor bedrijf jij werkt, maar hier is het toch echt wel anders hoor. Wie beslist of ergens budget voor is? Niet de IT-er. Wie beslist of er bepaalde maatregelen genomen mogen worden? Niet de IT-er. Wie luisterd er niet als er weer eens geroepen word dat security toch echt belangrijk is? Niet de IT-er?

Wie dan wel, de persoon die het voor het zeggen heeft en de zak geld beheerd. En die geeft het liever elders uit dan aan IT.

En 2400 euro per maand vind ik best weinig voor het moeten aanhoren van alle shit van iedereen maar niet de tijd en middelen krijgen om er wat aan te doen.

Ik weet nu al hoe het hier gaat lopen. Maanden lopen zeuren over het feit dat er geen users zijn voor onze software, en dat het toch echt wel belangrijk is. Nee dat is niet belangrijk. Al andere security dingen er in gesneakt, maar daar krijg je dan gezeik over want dat is gebouwd in tijd die er niet voor bedoeld was.

En wie krijgt straks de shit als er iets misbruikt word? U raad het al, niet de meneer die het geld beheerd en beslissingen neemt. Nee, de persoon waar iedereen de vinger heen wijst maar niets te zeggen heeft.

Maar goed om te zien dat jij het falend management laat zitten en liever iemand vervangt die vervolgens niets kan veranderen. En dan is die natuurlijk ook lui.
[oops]

[Reactie gewijzigd door SilentLucidity op 13 januari 2020 10:25]

Voor het eerst dat ik even heb getwijfeld om er heen te gaan. Helaas is de rest van het programme niet aan mij besteed.
Uhm verklaar je nader. Welk persoon word bedoeld?
Ik denk dat hij of de PR manager bedoeld of de directie?
A ik las hem als de melder Jan van kampen

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True