Pieterjan Van Leemputten est rédacteur chez Data News.
Un bug sur le site web néerlandais de Walibi a permis à un pirate d'y accéder et d'atteindre les utilisateurs de l'appli. Le problème a été entre-temps résolu.
La brèche avait été mentionnée à Joost Schellevis, rédacteur technologique de la chaîne néerlandaise NOS, qui a pu la faire reproduire par quelqu'un d'autre. Il en informa Walibi Nederland, qui a entre-temps colmaté la brèche. Depuis lors, le parc néerlandais applique une politique de divulgation responsable ('responsible disclosure policy'), en vertu de laquelle des hackers éthiques peuvent rapporter des problèmes rencontrés, sans courir le risque d'être accusés de piratage.
Nieuwtje: na eerdere hacks waarbij je gratis kaartjes kon bestellen, had Walibi nu een kwetsbaarwaarheid waarbij iedereen admin op de site kon worden 🤓
In deze corona-weken geen tijd voor een verhaal hierover, dus even via Twitter 👇
En bref, il était possible de manipuler les en-têtes du navigateur. Chaque utilisateur du site pouvait ainsi s'attribuer les droits d'administrateur. De là, on pouvait accéder à une base de données de quelque sept cent mille utilisateurs de l'appli Walibi et, dans certains cas, visionner leur adresse mail. On pouvait même adapter le site web.
En Belgique aussi?
Data News a pris contact avec Walibi Belgium, où l'on déclare ne pas pouvoir confirmer que la brèche s'est aussi manifestée sur les sites belges. Néanmoins, l'une des saisies d'écran de Schellevis montre qu'à partir du site piraté, on pouvait faire le saut vers Walibi Belgique, Aqualibi, Bellewaerde et la société mère Compagnie Des Alpes. La politique de divulgation responsable n'est par ailleurs d'application que sur le site web du parc néerlandais.
Walibi Nederland a déclaré à Schellevis que personne d'autre n'aurait visionné les données personnelles des utilisateurs. Le risque d'une fuite de données est donc faible.
La brèche avait été mentionnée à Joost Schellevis, rédacteur technologique de la chaîne néerlandaise NOS, qui a pu la faire reproduire par quelqu'un d'autre. Il en informa Walibi Nederland, qui a entre-temps colmaté la brèche. Depuis lors, le parc néerlandais applique une politique de divulgation responsable ('responsible disclosure policy'), en vertu de laquelle des hackers éthiques peuvent rapporter des problèmes rencontrés, sans courir le risque d'être accusés de piratage.En bref, il était possible de manipuler les en-têtes du navigateur. Chaque utilisateur du site pouvait ainsi s'attribuer les droits d'administrateur. De là, on pouvait accéder à une base de données de quelque sept cent mille utilisateurs de l'appli Walibi et, dans certains cas, visionner leur adresse mail. On pouvait même adapter le site web.En Belgique aussi?Data News a pris contact avec Walibi Belgium, où l'on déclare ne pas pouvoir confirmer que la brèche s'est aussi manifestée sur les sites belges. Néanmoins, l'une des saisies d'écran de Schellevis montre qu'à partir du site piraté, on pouvait faire le saut vers Walibi Belgique, Aqualibi, Bellewaerde et la société mère Compagnie Des Alpes. La politique de divulgation responsable n'est par ailleurs d'application que sur le site web du parc néerlandais.Walibi Nederland a déclaré à Schellevis que personne d'autre n'aurait visionné les données personnelles des utilisateurs. Le risque d'une fuite de données est donc faible.
Les Contenus Partenaires de Datanews offrent aux entreprises, organisations et organismes publics l'accès au réseau de Datanews. Les partenaires impliqués sont responsables du contenu.