Website Walibi Holland gehackt
Vorige week is een hacker er in geslaagd om de website van Walibi Holland te hacken. Door een kwetsbaarheid in de beveiliging van de servers, was de hacker er in geslaagd om admin te kunnen worden van de website van het pretpark. Dat deed hij door de browserheads te manipuleren. Iedereen die admin is, kan onder andere persoonlijke gegevens van iedereen die de Walibi-app gebruikt bekijken. En dat zijn er toch zo’n 700.000.
Gelukkig ging het in dit geval om een ethische hacker die geen kwade bedoelingen had. De hacker lichtte Joost Schellevis hierover in, een collega-technologiejournalist voor de Nederlandse omroep NOS. Op deze manier werd ook Walibi Holland er van op de hoogte gebracht. Een woordvoerder van het pretparkbestuur verzekerde aan Schellevis dat niemand anders buiten de hacker de kwetsbaarheid zou misbruikt hebben. Walibi is er dus zeker van dat de data niet gelekt kan zijn, en heeft het beveiligingsprobleem inmiddels ook opgelost.
Voor de hackers zullen er geen gevolgen zijn, want Walibi Holland voert een responsible disclosure beleid. Dat houdt in dat het pretpark ethische hackers niet vervolgt, op voorwaarde dat zij hun ontdekkingen melden aan het pretpark en er geen illegale praktijken mee verrichten.
Walibi Belgium
Datanews informeerde bij Walibi Belgium of de kwetsbaarheid ook kon gebruikt worden om de Belgische website te hacken. In een screenshot die Schellevis deelde was namelijk te zien dat via de databank die de hacker uitbuitte, ook gegevens bevatte van de Belgische website van het pretpark, alsook die van de website van Aqualibi, Bellewaerde, en het moederbedrijf van al deze pretparken Compagnie Des Alpes.
Volgens Walibi Belgium zou er nog geen bewijs zijn gevonden dat de kwetsbaarheid ook effectief kon uitgebuit worden om admin van hun website te worden. Wie dat wil uittesten, denkt beter ook twee keer na, want het responsible disclosure beleid is van enkel van toepassing voor Walibi Holland.
De website van Walibi heeft een pijnlijke historie met kwetsbaarheden. In oktober ontdekte een hacker er ééntje waarmee tickets voor een prijs van 50 cent konden gekocht worden.