Open brief aan Walibi

Hoi Walibi,

Wat een dag he? Dit heeft net iets anders uitgepakt dan dat ik vrijdagnacht bedacht had toen ik jullie mailde. En het loopt vast ook anders dan dat jullie bedacht hadden.

Ik schrijf deze brief omdat ik in de media las dat jullie aangifte tegen me gaan doen wegens afpersing. In mijn eerste reactie vond ik dat grappig, omdat het een heel heftig woord is voor wat hier in mijn ogen gebeurde. De titel van de mail (‘Datalek ruilen voor kaartjes?’) was niet meer dan een knipoog naar jullie manier van belonen, die jullie IT manager me in maart 2019 voorlegde. De inhoud was niet meer dan de voorwaarden die hij toen stelde. En ik heb ook nog een chunk van de gevonden data bijgevoegd, ter verificatie.

Toen dat gevoel wegzakte, werd ik boos. En nu denk ik ‘Dus wat ik geschreven heb, wordt gezien als afpersen’. Van dat gevoel schrok ik een beetje, want als jullie het echt opvatten als afpersen, dan heb ik jullie iets aangedaan wat helemaal niet mijn bedoeling is. Als jullie dit echt voelen als afpersen, bied ik daar graag m’n excuses voor aan.

Zelf hoop ik dat jullie inmiddels de mailconversatie van maart 2019 ook boven water hebben kunnen halen. Als jullie het toch nog niet hebben gevonden, kan ik het ook opsturen naar jullie. In dat proces biedt jullie IT Manager (geen idee of hij nog bij jullie werkt, gezien de openstaande vacature) me in de eerste instantie kaarten aan als ik vraag om een bug bounty program of responsible disclosure policy. Om heel eerlijk te zijn, heb ik daar goed om gelachen, maar hij zei dat dat altijd zo gaat. Op Twitter kreeg ik vandaag bevestiging hiervan, van anderen die dezelfde ervaring met jullie hebben.

Na wat overleggen via telefoon en mail, vraagt hij om langs te komen, en was een onkostenvergoeding die ik daarvoor vroeg (6 uurtjes a een zeer schappelijk IT tarief van 60 euro per uur, al zeg ik het zelf) en toegang tot het park (indien open) akkoord. Deze vergoeding vroeg ik omdat een locatiebezoek vanuit Beverwijk en een PoC bouwen best wel een tijdrovende onderneming is.

Dat contact liep stuk, zonder wrok aan beide kanten. Hij ziek, dus laat met antwoorden. Ik twee sterfgevallen in de familie, dus laat met antwoorden. Nog wel twee keer heel vriendelijk gevraagd of het nog doorging na respectievelijk ~10 en ~30 dagen, maar geen respons. Einde.

Afgelopen datalek vond ik eigenlijk niet heel spannend. Een JSON bestandje van een webshop, die iedereen in z’n browser kan zien. Ik was oprecht verbaasd dat Looopings of een fan dit niet allang gevonden en op social media had gezet. Deze webshop stond namelijk al weken online, en jullie zijn met hfn zo enorm populair, dat alles wat jullie doen onder de loep ligt. 

Mooie data, maar kinderwerk om het te verkrijgen. Ik zou bij deze vondst niet eens durven vragen om geld, als ik eerlijk ben. Bij de eerste mail die ik stuurde, heeft er niet meer dan 20 minuten werk in gezeten aan mijn kant, waarbij het begrijpen van de data meer tijd kostte dan het vinden van de data.

Vandaar de vraag om tickets, volgens jullie gebruik, onder de voorwaarden als in door jullie gesteld in maart (niet publiceren hoe en wat, en niet de data verspreiden). De titel van de mail (‘datalek ruilen voor kaartjes?’) was niet meer dan een knipoog naar jullie beleid en de vorige conversatie met jullie. Een knipoog, omdat ik vanuit professioneel oogpunt het oneerbiedig vind dat er tickets worden aangeboden op iets dat jullie echt enorm helpt. Maar goed, dat is een mening, en daar verschillen we gewoon van mening. En meer dan 4 tickets voor het park en de spookhuizen vond ik het ook eigenlijk dit keer niet waard, gezien de eenvoud.

Ik ben er nooit op uit geweest om jullie af te persen. Het statement bij RTL, waarin staat dat ik jullie vaker contacteer en afpers, is niet mijn beleving van de situatie. Ik heb maar twee keer in m’n leven een mailthread met jullie gehad, waarbij de eerste positief eindigde, en de tweede keer explodeerde, zonder echt inhoudelijke respons van jullie kant. Ik heb geen idee waar het statement ‘vaker contacteren en afpersen’ vandaan zou moeten komen. 

Als die mail van afgelopen vrijdag nou echt verkeerd opgevat is, waarbij jullie je dus echt afgeperst zouden voelen vanwege de vraag om vier kaartjes, dan bied ik daar met liefde mijn excuses voor aan. Sorry. Ik hoop dat jullie de aangifte niet doorzetten, of terugtrekken als hij al gedaan is.

Bel me vooral als jullie vragen of meer info nodig hebben. M’n nummer staat in m’n handtekening. Ik sta nog steeds open voor een gesprek met jullie.

Jan

Lees ook: #Hardgaan met fouten

7 gedachten over “Open brief aan Walibi”

  1. Keurig verwoord. Bespottelijk dat zo’n grote organisatie zich als een klein kind gedraagt. Beter zouden ze hun dankbaarheid tonen (in welke vorm dan ook). Ik hoop van harte dat een verdere gang van zake jou bespaart blijft en Walibi alsnog zijn dankbaarheid toont.

    Succes!

  2. Voor een bedrijf dat een tienermeisje condooms geeft na het afhandelen van een klacht als goedmakertje gaan ze wel heel slecht met een ludieke titel om zeg.

    “Afpersing”. Uhu, in de valuta Walibi-kaartjes. Altijd verstandig om als “afperser” een goed te vragen dat alleen bij afgepersde te gebruiken is.

  3. “Het statement bij RTL, waarin staat dat ik jullie vaker contacteer en afpers, is niet mijn beleving van de situatie. Ik heb maar twee keer in m’n leven een mailthread met jullie gehad, waarbij de eerste positief eindigde, en de tweede keer explodeerde, zonder echt inhoudelijke respons van jullie kant. Ik heb geen idee waar het statement ‘vaker contacteren en afpersen’ vandaan zou moeten komen. ”

    Misschien een tegenklacht indienen vanwege smaad? 😛

  4. Je had gewoon Mascha moeten bellen en haar moeten laten zien hoe kinderachtig eenvoudig je gegevens kunt hacken. Wedden dat je echt wel iets kreeg voor je opmerkzaamheid? Ik vind het pure chantage ook al is het achteraf zogenaamd met een knipoog.

  5. Al deze media aandacht is (potentieel) veel meer waard dan die 4 kaartjes, en je hebt er (bijna) niks voor hoeven doen.

    Bedankt Walibi, volgende klant graag…

  6. Complimenten voor de nette brief in deze onredelijke situatie.
    Het fenomeen “responsible disclosure” en vriendelijke communicatie & positieve merkbeleving is waarschijnlijk ook minder bekend.

    Ik hoop dat dit niet demotiveert om mee te helpen met de noodzakelijke digitale weerbaarheidsvergroting bij bedrijven en instellingen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *