Un bug sur le site web néerlandais de Walibi a permis à un pirate d’y accéder et d’atteindre les utilisateurs de l’appli. Le problème a été entre-temps résolu.
La brèche avait été mentionnée à Joost Schellevis, rédacteur technologique de la chaîne néerlandaise NOS, qui a pu la faire reproduire par quelqu’un d’autre. Il en informa Walibi Nederland, qui a entre-temps colmaté la brèche. Depuis lors, le parc néerlandais applique une politique de divulgation responsable (‘responsible disclosure policy’), en vertu de laquelle des hackers éthiques peuvent rapporter des problèmes rencontrés, sans courir le risque d’être accusés de piratage.
En bref, il était possible de manipuler les en-têtes du navigateur. Chaque utilisateur du site pouvait ainsi s’attribuer les droits d’administrateur. De là, on pouvait accéder à une base de données de quelque sept cent mille utilisateurs de l’appli Walibi et, dans certains cas, visionner leur adresse mail. On pouvait même adapter le site web.
En Belgique aussi?
Data News a pris contact avec Walibi Belgium, où l’on déclare ne pas pouvoir confirmer que la brèche s’est aussi manifestée sur les sites belges. Néanmoins, l’une des saisies d’écran de Schellevis montre qu’à partir du site piraté, on pouvait faire le saut vers Walibi Belgique, Aqualibi, Bellewaerde et la société mère Compagnie Des Alpes. La politique de divulgation responsable n’est par ailleurs d’application que sur le site web du parc néerlandais.
Walibi Nederland a déclaré à Schellevis que personne d’autre n’aurait visionné les données personnelles des utilisateurs. Le risque d’une fuite de données est donc faible.