Hack de wereld

Twee uur, vijf problemen

Een reactie plaatsen

Ik las weer van alles over brakke websites van pretparken. Eigenlijk had ik mezelf voorgenomen om niet meer gratis testwerk te doen voor dit soort bedrijven, maar ik kon het toch niet laten om even te gluren. Met resultaat.

Ik heb mezelf twee uur de tijd gegeven om een rondje te doen langs alle webshops en systemen van de parken in Nederland. Daar vond ik onder andere persoonsdata, omzetdata en een berg gratis kaartjes. Ik heb besloten alle parken te mailen met mijn bevindingen, maar helaas heeft niet iedereen geantwoord. Dat is ook de reden dat niet alles in deze blog beschreven staat, aangezien sommige dingen schade of omzetderving kunnen veroorzaken.

Waar je op hoopt als je iets meldt, is een inhoudelijke reactie en terugkoppeling. Althans, daar hoop ik op. Niet alleen ‘We hebben het doorgestuurd’. Je meldt namelijk iets dat potentieel echt een probleem kan opleveren, geheel vrijwillig. Of het nou een mediarel, omzetderving door doorverkoop of datalek is; Met zo’n mail kan je het voorkomen.

Efteling, verkoopdata

Bij de Efteling vond ik verkoopdata van bepaalde kaarten. Je kon daardoor precies per dag zien hoeveel kaarten er verkocht zijn, en hoeveel er nog beschikbaar zijn. Koppel je die aan de verkoopprijs, dan krijg je een inzicht in wat er omgezet wordt in deze ticketshop.

Deze bevinding heb ik doorgestuurd naar het algemene mailadres van de Efteling, inclusief voorbeelddata, reproduceerbare stappen en screenshots. Na een dag kreeg ik een mail met deze boodschap: ‘We willen je hartelijk danken voor deze informatie en hebben het bericht doorgezet naar de juiste afdeling’.

Tot het moment van schrijven is er verder geen contact geweest. Ook is het nog niet opgelost.

Slagharen, gratis kaarten

Bij Slagharen vond ik een probleem in de webshop, waardoor het mogelijk was om gratis kaarten te regelen voor de Halloween Spookhuizen. Met een eenvoudig trucje was het mogelijk om het totaalbedrag op 0 euro te krijgen. Het was namelijk mogelijk om een negatief aantal kaarten te bestellen, waardoor je als het ware korting in je winkelmandje kreeg.

Deze bevinding heb ik doorgestuurd naar het algemene mailadres van Slagharen, inclusief voorbeelddata, reproduceerbare stappen en screenshots. Na drie dagen kreeg ik antwoord. Daarin werd ik bedankt. ‘Zoals u zelf ook al zegt, hadden wij hier serieuze omzet door mis kunnen lopen’. Ook zijn ze blij dat het niet eerst naar Looopings is doorgestuurd, dus willen ze me bedanken met een cadeautje: Kaarten en kaarten voor de spookhuizen. Deze heb ik aangenomen, en ze zijn gebruikt door familie.

Verder heb ik niet gehoord of het ook daadwerkelijk opgelost is. Toen ik vorige week keek, was dat nog niet het geval, maar inmiddels is het evenement voorbij. Dit deel van de webshop is nu dus ook offline, waardoor de fout niet meer te misbruiken is.

Tekst gaat door onder de afbeelding

Toverland, verkoopdata

Ook bij Toverland vond ik een datalek. De webshop toonde namelijk via bijbehorende scripts hoeveel kaarten er verkocht waren per tijdslot. Niet alleen voor de spookhuizen, maar ook voor het hele park. Daardoor kon je vrij precies uitrekenen wat de omzet van de ticketshop was, en op welke momenten je het park of de spookhuizen beter kon mijden vanwege de drukte. Eigenlijk was deze datalek exact hetzelfde als de datalek waar Walibi ooit aangifte voor deed tegen me.

Deze bevinding heb ik doorgestuurd naar het algemene mailadres van Toverland, inclusief voorbeelddata, reproduceerbare stappen en screenshots. Na een dag werd ik gebeld door de communicatieafdeling. Ze vroegen om meer informatie en gaven aan het door te sturen naar hun ticketpartner (Global Ticket). Ook wilden ze me bedanken met een presentje; Vijf tickets, parkeerkaarten en Fear Passen voor Halloween. Deze heb ik aangenomen, en we hebben echt een topdag en halloween-ontgroening gehad in het park.

Een week later kreeg ik nog een mail van Toverland. Ze gaven aan dat het probleem opgelost was. Fijn om ook nog deze terugkoppeling te krijgen. Precies wat je wilt horen.

Tekst gaat door onder de afbeelding

Twee andere parken

Ook vond ik dus nog meer bij andere parken, maar gezien de ernst van de bevindingen heb ik ze nog niet hierbij staan. Eentje antwoordt niet (gratis kaartjes), en de ander ziet het probleem niet (lek persoonsdata). Frustrerend. En zo wordt twee uurtjes vrijwilligerswerk toch stiekem een volle werkdag aan uren.

Beter nemen alle bedrijven een voorbeeld aan Toverland qua communicatie en handelen.

En nog beter… Laat dit soort software goed testen. Jullie hebben m’n mailadres 🙂

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *