Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tweakers Events

Hack het pretpark: elk weekend een gratis uitje voor scriptkiddies

13-01-2020 • 09:50

56 Linkedin Google+

Het was een opvallende rel afgelopen zomer: Walibi Holland wilde aangifte doen tegen de melder van een datalek. 'Afpersing', zo oordeelde het pretpark over de melder, die informatie over het lek wilde ruilen voor kaartjes. De melder in kwestie, Jan van Kampen, deelt op 13 februari tijdens de Developers Summit zijn ervaringen. "Veel organisaties hebben data online staan die zijn te misbruiken."

Of hij nog in de problemen is geraakt door Walibi-gate? "Nee hoor, ik heb er eigenlijk meer profijt dan last van gehad. Ik sta nu bijvoorbeeld op de Developers Summit", zegt de Beverwijker (28), in het dagelijks leven developer, kunstenaar en bezig aan een opleiding om voor de klas te staan. "Toen Walibi zei aangifte te gaan doen, heb ik zelf ook bewust de media opgezocht. Ik heb daar veel reacties op gehad. Positief, maar ook kritisch. Wat dat betreft heb ik ook veel gehad aan de reacties vanuit de Tweakers-community."

Melder of afperser?

Voor wie precies wil weten hoe de affaire zich ontwikkelde, staan in een open brief aan Walibi op de blog van Van Kampen de nodige details. Hij vat het kort samen: "Ik vond in januari 2019 een lek waardoor verkoop- en omzetgegevens voor iedereen waren in te zien. Daarover raakte ik in gesprek met een IT-manager van Walibi. We hadden al een akkoord dat ik langs zou komen om het lek toe te lichten, en daarbij waren me ook al gratis toegangskaartjes toegezegd. Alleen viel het contact stil, zelfs nadat ik meerdere herinneringen had gestuurd. Omdat het niet zo'n heel ernstig lek was, heb ik het maar zo gelaten. Tot ik een paar maanden later een nieuw lek vond: Walibi toonde onbedoeld informatie over omzet in hun endpoints. Ik heb toen een bericht gestuurd met de ludiek bedoelde onderwerpregel 'Datalek ruilen voor kaartjes?'. Nou, dat viel dus helemaal verkeerd ...”

Ondanks alle heisa is er nooit aangifte gedaan. Van Kampen denkt dan ook dat het vooral bluf was. Toch heeft hij er wel van geleerd: "Als je een lek vindt, mag je eigenlijk geen beloning vragen. Ook niet als grap, het is gewoon niet zo netjes. Onder meer verschillende leden van de Tweakers-gemeenschap hebben me daar op gewezen." Toch zou het een organisatie als Walibi sieren om iets aan te bieden als het nog geen Responsible Disclosure-beleid heeft richting melders, vindt hij. "In dit geval was dat er niet. Dus dan vul je maar een contactformulier in en hoop je dat het bij de juiste persoon terechtkomt. Nu was dat de pr-manager. Dat is niet iemand met verstand van IT, dus weet je ook dat ze het op een vreemde manier gaan oplossen."

Data als hobby

Van Kampen heeft ‘iets’ met pretparken. Deze hobby ontstond enkele jaren geleden, toen hij student Computer Science (VU) was. "Ik vond die studie verschrikkelijk, de hele dag achter een scherm zitten is niks voor mij. Maar het was leuk om te werken met datasets. Bijvoorbeeld met alle data van wedstrijden uit de Eredivisie, waar ik dan query’s op uitvoerde om de winkansen per wedstrijd te voorspellen." Deze kennis paste hij toe op het moment dat de Efteling wachttijden per attractie beschikbaar maakte. Van Kampen beheert de website Eftelstats.nl en bouwde toepassingen om onder meer wachttijden te voorspellen en ideale looproutes te bepalen.

Wat is er zo bijzonder aan pretparken? "Ze hebben iets magisch. Bijna iedereen heeft er iets mee. Het is ook een overzichtelijke markt: in Nederland zijn er zo'n twaalf parken die meedoen. En als je data gaat publiceren, zijn er al snel korte lijntjes met websites zoals Looopings.nl." Van Kampen benadrukt dat het een hobby is waar hij geen geld mee verdient. Tot niet zo lang geleden was hij vooral actief als zelfstandige ontwikkelaar, en sinds kort volgt hij de opleiding Beroepskunstenaar in de Klas. "Al zes jaar ben ik met een groep vrienden actief op festivals, met kunstcollectief #Kunsdt waarmee we opstellingen vol sensoren en dat soort zaken maken. Dan ben je ook aan het programmeren, maar op een andere manier. Code staat voor mij altijd centraal."

Hacken? Welnee!

Een hacker zou Van Kampen zichzelf niet noemen. "Als ik data vind is dat niet het gevolg van ongeoorloofde toegang. Het heeft meer te maken met hoe ik websites benader. Ik zoek altijd naar de fouten die ik zelf ook zou kunnen maken bij het maken van een website. Goed, die probeer ik te exploiten, maar dat is wel wat anders dan kijken of er bijvoorbeeld een veiligheidslek in een database zit." Anders dan de media-aandacht het afgelopen jaar deed vermoeden, was Walibi niet het enige park met lekken. Van Kampen vond lekken bij twaalf van de twintig meest populaire uitjes van Nederland (een door de ANWB gepubliceerde lijst). "Het ging om soortgelijke fouten met gratis kaartjes en dat soort dingen. De meerderheid van deze attracties reageerde positief wanneer ik het meldde, maar dat kan natuurlijk ook te maken hebben met de berichtgeving na Walibi."

Wanneer je voordeur openstaat, ben je blij wanneer iemand dat tegen je zegt. Met die analogie zouden pretparken blij moeten zijn met melders als Van Kampen. "Dat dacht ik ook altijd. Alleen is dat misschien niet wat ik doe, zei een vriend laatst tegen mij. 'Wat jij doet, is in een parkeergarage bij alle auto's voelen of er ergens een portier niet is afgesloten.' Dat komt toch iets bedreigender over." Wat de juiste vergelijking ook is, tijdens de Developers Summit wil Van Kampen laten zien dat veel data zijn te misbruiken. "Zoals bijvoorbeeld bij musea, waar je heel makkelijk de ticketverkoop kunt omzeilen en gratis kaarten kunt regelen, met slechts twee klikken. En veel pretparken werken met Javascript, waardoor alle validatie van data in je browser plaatsvindt. Ze gaan er blind vanuit dat daar niet mee wordt gerommeld. Ten onrechte."

Meer weten? Bezoek de Developers Summit op 13 februari in DeFabrique in Utrecht. Meer informatie over tickets en het programma vind je hier.

Koop je ticket

meer-informatie-transparant

Reacties (56)

Wijzig sortering
Mee eens, ik was een aantal jaren terug ook vaak bezig met rapportjes schrijven over datalekken naar bedrijven die klantgegevens, en dan voorzichtig contact zoeken alvorens ik meer informatie verstrekte. Tegenwoordig denk ik als er geen responsible disclosure programma is, laat maar zitten.

Je neemt toch een zeker risico, hoewel het 9 van de 10 keer niet tot aangifte komt, kan het je toch duur komen te staan. één manager die (zonder enige reden) op z'n teentjes getrapt is door jou aangeboden hulp is voldoende (en uit ervaring kan ik zeggen dat de meeste mensen niet super enthousiast waren na een melding).
Je kunt je dan ook afvragen of hij de ander schade heeft toegebracht.
Als hij netjes voor de kaartjes heeft betaald dan zou ik zeggen van niet.

Kennelijk was het bestelsysteem zo ingericht dat je op de dag zelf niet meer kan kopen.
Dit kan met een gewichtige reden zijn (er wordt precies genoeg eten besteld of voor de veiligheid wordt er om 00:00 een presentielijst gemaakt) maar evengoed hadden ze willen voorkomen dat iemand om 23:59 voor 'vandaag' besteld en er dus morgen geen geldig kaartje heeft.

En heeft hij wel 'ingebroken' als hij alleen aanpassingen heeft gedaan in code die op zijn eigen PC zou worden uitgevoerd?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True