Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tweakers Events

Hack het pretpark: elk weekend een gratis uitje voor scriptkiddies

13-01-2020 • 09:50

56 Linkedin Google+

Het was een opvallende rel afgelopen zomer: Walibi Holland wilde aangifte doen tegen de melder van een datalek. 'Afpersing', zo oordeelde het pretpark over de melder, die informatie over het lek wilde ruilen voor kaartjes. De melder in kwestie, Jan van Kampen, deelt op 13 februari tijdens de Developers Summit zijn ervaringen. "Veel organisaties hebben data online staan die zijn te misbruiken."

Of hij nog in de problemen is geraakt door Walibi-gate? "Nee hoor, ik heb er eigenlijk meer profijt dan last van gehad. Ik sta nu bijvoorbeeld op de Developers Summit", zegt de Beverwijker (28), in het dagelijks leven developer, kunstenaar en bezig aan een opleiding om voor de klas te staan. "Toen Walibi zei aangifte te gaan doen, heb ik zelf ook bewust de media opgezocht. Ik heb daar veel reacties op gehad. Positief, maar ook kritisch. Wat dat betreft heb ik ook veel gehad aan de reacties vanuit de Tweakers-community."

Melder of afperser?

Voor wie precies wil weten hoe de affaire zich ontwikkelde, staan in een open brief aan Walibi op de blog van Van Kampen de nodige details. Hij vat het kort samen: "Ik vond in januari 2019 een lek waardoor verkoop- en omzetgegevens voor iedereen waren in te zien. Daarover raakte ik in gesprek met een IT-manager van Walibi. We hadden al een akkoord dat ik langs zou komen om het lek toe te lichten, en daarbij waren me ook al gratis toegangskaartjes toegezegd. Alleen viel het contact stil, zelfs nadat ik meerdere herinneringen had gestuurd. Omdat het niet zo'n heel ernstig lek was, heb ik het maar zo gelaten. Tot ik een paar maanden later een nieuw lek vond: Walibi toonde onbedoeld informatie over omzet in hun endpoints. Ik heb toen een bericht gestuurd met de ludiek bedoelde onderwerpregel 'Datalek ruilen voor kaartjes?'. Nou, dat viel dus helemaal verkeerd ...”

Ondanks alle heisa is er nooit aangifte gedaan. Van Kampen denkt dan ook dat het vooral bluf was. Toch heeft hij er wel van geleerd: "Als je een lek vindt, mag je eigenlijk geen beloning vragen. Ook niet als grap, het is gewoon niet zo netjes. Onder meer verschillende leden van de Tweakers-gemeenschap hebben me daar op gewezen." Toch zou het een organisatie als Walibi sieren om iets aan te bieden als het nog geen Responsible Disclosure-beleid heeft richting melders, vindt hij. "In dit geval was dat er niet. Dus dan vul je maar een contactformulier in en hoop je dat het bij de juiste persoon terechtkomt. Nu was dat de pr-manager. Dat is niet iemand met verstand van IT, dus weet je ook dat ze het op een vreemde manier gaan oplossen."

Data als hobby

Van Kampen heeft ‘iets’ met pretparken. Deze hobby ontstond enkele jaren geleden, toen hij student Computer Science (VU) was. "Ik vond die studie verschrikkelijk, de hele dag achter een scherm zitten is niks voor mij. Maar het was leuk om te werken met datasets. Bijvoorbeeld met alle data van wedstrijden uit de Eredivisie, waar ik dan query’s op uitvoerde om de winkansen per wedstrijd te voorspellen." Deze kennis paste hij toe op het moment dat de Efteling wachttijden per attractie beschikbaar maakte. Van Kampen beheert de website Eftelstats.nl en bouwde toepassingen om onder meer wachttijden te voorspellen en ideale looproutes te bepalen.

Wat is er zo bijzonder aan pretparken? "Ze hebben iets magisch. Bijna iedereen heeft er iets mee. Het is ook een overzichtelijke markt: in Nederland zijn er zo'n twaalf parken die meedoen. En als je data gaat publiceren, zijn er al snel korte lijntjes met websites zoals Looopings.nl." Van Kampen benadrukt dat het een hobby is waar hij geen geld mee verdient. Tot niet zo lang geleden was hij vooral actief als zelfstandige ontwikkelaar, en sinds kort volgt hij de opleiding Beroepskunstenaar in de Klas. "Al zes jaar ben ik met een groep vrienden actief op festivals, met kunstcollectief #Kunsdt waarmee we opstellingen vol sensoren en dat soort zaken maken. Dan ben je ook aan het programmeren, maar op een andere manier. Code staat voor mij altijd centraal."

Hacken? Welnee!

Een hacker zou Van Kampen zichzelf niet noemen. "Als ik data vind is dat niet het gevolg van ongeoorloofde toegang. Het heeft meer te maken met hoe ik websites benader. Ik zoek altijd naar de fouten die ik zelf ook zou kunnen maken bij het maken van een website. Goed, die probeer ik te exploiten, maar dat is wel wat anders dan kijken of er bijvoorbeeld een veiligheidslek in een database zit." Anders dan de media-aandacht het afgelopen jaar deed vermoeden, was Walibi niet het enige park met lekken. Van Kampen vond lekken bij twaalf van de twintig meest populaire uitjes van Nederland (een door de ANWB gepubliceerde lijst). "Het ging om soortgelijke fouten met gratis kaartjes en dat soort dingen. De meerderheid van deze attracties reageerde positief wanneer ik het meldde, maar dat kan natuurlijk ook te maken hebben met de berichtgeving na Walibi."

Wanneer je voordeur openstaat, ben je blij wanneer iemand dat tegen je zegt. Met die analogie zouden pretparken blij moeten zijn met melders als Van Kampen. "Dat dacht ik ook altijd. Alleen is dat misschien niet wat ik doe, zei een vriend laatst tegen mij. 'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.' Dat komt toch iets bedreigender over." Wat de juiste vergelijking ook is, tijdens de Developers Summit wil Van Kampen laten zien dat veel data zijn te misbruiken. "Zoals bijvoorbeeld bij musea, waar je heel makkelijk de ticketverkoop kunt omzeilen en gratis kaarten kunt regelen, met slechts twee klikken. En veel pretparken werken met Javascript, waardoor alle validatie van data in je browser plaatsvindt. Ze gaan er blind vanuit dat daar niet mee wordt gerommeld. Ten onrechte."

Meer weten? Bezoek de Developers Summit op 13 februari in DeFabrique in Utrecht. Meer informatie over tickets en het programma vind je hier.

Koop je ticket

meer-informatie-transparant

Reacties (56)

Wijzig sortering
Waarom zou je zo veel herrie van zo'n bedrijf of instantie op willen vangen, denk ik dan. Als er geen disclosure programma is het lekker gewoon zo laten, wachten op escalatie van andere partijen en dan kijken hoeveel bitcoin ze moeten lappen wanneer het zo ver is.

Je denkt toch niet dat er niemand in Maastricht wist van die shit daarzo, of in VW-land ? Zelfde geldt voor bijna alle exposures. Ergens heeft iemand of meerdere iemanden gewaarschuwd en is er meerdere malen niet geluisterd.

Na meer dan 25 jaar in de IT zie ik die afstand tussen IT en de business alleen maar groter worden, en is het budget en ruimte voor security na een escalatie nu eenmaal groter. Dus. Wederom:

Als er ruimte is in de vorm van een programma is: posten die zooi. Zoniet, dan is dat een signaal dat de afstand door jou overbrugd gaat worden en ze dus over jou heen gaan lopen. Zo simpel is 't. Wil je dat ?

Laat het echte boevengilde hun werk dan maar doen, denk ik dan. Er gaat de komende jaren zo ontzettend veel shit loskomen, denk hierbij bijvoorbeeld ook aan fysieke beveiliging zoals RFiD, cryptografische zwakheden en remote exploits.
Antwoord: helemaal niets, security zat niet in de scope.
Of zat wel in de scope, maar dat maakte het project 2x zo duur, en is er dus bewust uitgehaald.

Gemeente: "Wij willen een RFiD systeem voor afval, wat kost dat?"
Software bedrijf: "RFiD systeem, beveiliging, identificatie, x, y , z", kost je X euro en Y tijd.
Gemeente: "Hoe kan dat goedkoper/sneller".
Iemand aan tafel: "Hoe groot is het risico op misbruik? En wat is de impact daarvan"?
Gemeente: "Nihil, gooit iemand zijn afval in de bak ipv er naast".
Gemeente: "Laat beveiliging maar achterwege".

En zo komt er een kosten/risico afweging om bepaalde dingen weg te laten.
'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.'
Dat is idd vreemd als een vreemdeling dat doet in een buurt. Maar zou minder raar zijn als het vanuit een burger/buurtwacht georganiseerd wordt.

Is er geen soort van digitale burgerwacht die bemiddeld? Bug/leak speurders conformeren zich aan richtlijnen voor ethisch hacken vanuit die organisatie, lekken worden gemeld via die burgerwacht die dan het eerste contact legt. Daarna kunnen de bedrijven/personen met het lek mogelijk direct contact opnemen met de vinder van het lek om snel een oplossing te zoeken en eventueel een beloning aan te bieden. Ondertussen blijft de wacht wel betrokken bij het contact om in te grijpen als het niet respectvol/ethisch verder verloopt. Ik denk dat bedrijven zich meer zullen openstellen voor zo'n instantie bij eerste contact dan een wildvreemde, terwijl de vinders van een lek zich gesterkt voelen en met meer vertrouwen het lek kunnen melden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True