Walibi heeft zijn zaken op IT gebied al enige tijd niet op orde als we de berichten mogen geloven. Soms is dat zichtbaar voor de eindgebruiker, en soms zelfs best wel lang, maar soms speelt zoiets zich ook af achter de schermen.

Benodigde technische kennis

Een pagina op internet bestaat uit allemaal bestandjes. Deze blog die je nu leest bestaat bijvoorbeeld onder andere uit opmaak, tekst, een Google Analytics tracker en wat afbeeldingen. Als je deze blog bekijkt in je browser, downloadt je browser al deze bestanden, en maakt daar iets vervolgens iets leesbaars van. Als je in je browser ‘element inspecteren’ klikt, kan je al deze bestandjes los zien en downloaden.

Precies op deze manier ben ik aan alle genoemde data gekomen. De website van Walibi verstuurt aan de achterkant veel te veel data naar je browser.

Maart 2019 – Lek 1

In maart werd ik getipt door iemand die iets raars zag op de site bij Walibi. Dit heb ik bekeken en gemeld bij Walibi. Het contact verliep in het begin wat stroef aan hun kant, maar uiteindelijk kwam ik bij de IT manager uit. Ik vroeg of er een bug bounty program of responsible disclosure policy was. Hij zei dat dit er niet was, maar dat ze wel kaartjes aanbieden soms.

Toen de vraag kwam of ik het op locatie wilde toelichten, heb ik geantwoord dat dat een grote tijdsinvestering is. Ik heb daarvoor een vergoeding gevraagd van 6 uur, en toegang tot het park (want he, wie wil er nou niet voor of na werktijd even in een achtbaan?!). Daarnaast heb ik aangeboden om het gewoon via Skype te doen.

De IT manger antwoordde een paar dagen niet, maar gaf daarna akkoord. Hij mailde zelfs het volgende;

Super bedankt voor je e-mail. Excuus voor de late reactie. Ben erg druk. Zoals besproken willen we graag verder met je. Wanneer heb je tijd om even langs te komen om onderstaande te kunnen realiseren, als je dan graag een rondje park wil doen moet het wel na 6 April (Opening).

Tussen mijn mail en zijn antwoord overleden alle twee mijn oma’s. Dat zegt overigens niets over de antwoordsnelheid van de IT manager, maar was gewoon vervelend toeval. Zoals jullie hopelijk begrijpen heb ik een tijdje niet gewerkt, maar tien dagen later heb ik hem toch nog geantwoord (onder vermelding van de sterfgevallen uiteraard). Daar heeft hij nooit meer op geantwoord. Een maand later heb ik hem nogmaals gemaild. Ook zonder succes.

Ik heb me neergelegd bij hun keuze. Zo boeiend was dat eerste datalek ook weer niet, alhoewel het nog steeds openstaat en data lekt.

Halloween 2019 – Lek 2 (en 3)

Afgelopen week kreeg ik weer een tip van iemand. Na onderzoek kwam ik weer tot de conclusie dat er iets niet klopte. Je kan via je browser, zonder in te breken, zonder illegale handelingen te verrichten, letterlijk zien hoe de kaartverkoop van alle spookhuizen gaat per dag. Als klap op de vuurpijl vond ik gisteren ook nog uit dat je hetzelfde trucje kan doen op de normale kaartverkoop. Alle voorverkoop ligt dus op straat. 

Dit heb ik direct gemeld aan Walibi, met bijgevoegd een chunk van de data, zodat ze konden verifiëren of m’n claim waar was. De titel van de mail was ‘Datalek ruilen voor kaartjes?’, uiteraard verwijzend naar onze vorige mislukte conversatie. Ik heb gevraagd om vier tickets voor het park en de spookhuizen, omdat ik na 8 jaar afwezigheid en heel veel gehype ook wel eens benieuwd was naar hun evenement. 

De vraag en discussie over geld vond ik het niet waard, want na de vorige keer was me al duidelijk dat ze geen zin hebben in dit soort meldingen. Terwijl dit soort meldingen, met duidelijke bron, juist hun achterstallige testwerk doen.

Hoe kan dit gebeuren?

Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.

Heel snel zag ik dat ze m’n bericht gelezen hadden. Ik heb daarna nog een paar voorbeelden gestuurd van data. Een dag later kreeg ik een mail met de informatie dat ze m’n claim niet konden verifiëren omdat de juiste personen niet aanwezig waren, en dat ik moest wachten. Daarop heb ik geantwoord dat ik maandag (vandaag) wel een antwoord verwachtte, gezien de ongewenstheid van de datalek.

Aangifte door de directeur

Vandaag kreeg ik dan eindelijk mail. Van de directeur, Mascha van Till. 

Uw mails zijn ontvangen. Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet, en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen vandaag.’

Nou ga ik ervan uit dat dit gewoon een boze reactie is, voortkomend uit onwetendheid, in een drukke maand met veel stress, maar helemaal netjes is dit niet natuurlijk. Zeker niet na goed contact eerder dit jaar, en de inhoud van mijn mail. Ik heb over deze lek nooit verborgen gehouden om welke data het gaat.

Gaat dit altijd zo?

Nee, gelukkig niet. Alle goede gevallen lees je hier niet. Ik heb bijvoorbeeld gewoon goed contact met de Efteling na een soortgelijke situatie, waar ik afgelopen jaar zelfs proactief benaderd ben om dingen te testen. Ook bij een niet nader te noemen casino en een fastfoodketen ben ik op deze manier binnengekomen als QA’er/Tester. Zelfs m’n eerste opdrachtgever ooit (KijkOnderzoek) heb ik op deze manier in m’n portfolio zitten.

Het kan dus wel op een normale manier, in goed overleg. Walibi kan nog steeds bellen. Onder elke mail staan m’n gegevens, en ook op deze blog staan links alle contactgegevens.