Njit Inmiddels staat het ook op Geen Stijl: https://www.geenstijl.nl/5150041/faal-walibi-wil-datalek-dichten-met-aangifte/
Tonnie Viel wel te verwachten. Nos.nl had het overigens ook gisteren al vermeld. verder blijft mn mening t zelfde, beide kanten hebben gefaald in dit verhaal. maar het lek an sich blijft een beetje een non-lek wat eigenlijk deze ophef niet waard is.
John Er is weer een update: Walibi doet toch geen aangifte tegen melder van datalek Pretpark Walibi doet toch geen aangifte tegen de ontwikkelaar die het bedrijf wees op een datalek en daarbij om vrijkaarten vroeg. De directrice accepteerde de excuses van de man dat zijn verzoek opgevat kon worden als afpersen. Meer hier: https://tweakers.net/nieuws/158776/walibi-doet-toch-geen-aangifte-tegen-melder-van-datalek.html Logische beslissing 🙂
Vriend_van_de_club Dit figuur heeft ook ooit bij de Efteling lekken gevonden. Die hebben dat destijds netjes intern opgelost. Al is het voorval van Walibi misschien een storm in een glas water, de reactie van Walibi is weer lekker ontactisch dat het zo groot wordt uitgemeten in de media.
Jules Vriend_van_de_club Dit figuur heeft ook ooit bij de Efteling lekken gevonden. Sterker nog, ik zag comments dat iemand hem wees op een huidig probleem met data in de Efteling. Klaarblijkelijk kun je de link die je krijgt om je onridefoto's aan 't einde van de dag te zien aanpassen en gewoon de foto's van anderen op andere dagen downloaden. Lijkt me niet de bedoeling.
Njit Jules Klaarblijkelijk kun je de link die je krijgt om je onridefoto's aan 't einde van de dag te zien aanpassen Waarschijnlijk ook weer een externe partij. Waarom maakt men toch steeds van dit soort knullige oplossingen 🤔🙄
Tonnie Jules dit is een probleem wat bij heel veel onride foto systemen van toepassing is. Door de hoeveelheid data en de intervallen zijn de URLs vrij gemakkelijk te raden.
Jules Njit Waarschijnlijk ook weer een externe partij. Waarom maakt men toch steeds van dit soort knullige oplossingen 🤔🙄 Ik heb onlangs voor mijn werkgever leiding gegeven aan een ontwikkelingsteam dat de overstap regelde van een extern (maar 'op maat') gebouwd systeem naar een database binnen een van de bekendste database providers ter wereld (SalesForce). Het was echt extreem ongemakkelijk, want mensen die betrokken waren bij 't originele systeem moesten nu schoorvoetend toegeven dat zelfs 't uitladen van de bestaande data niet zo makkelijk was als ze hadden doen voorkomen. We hadden ook wekelijks een quasi nieuwe variant op dit gesprek: "Dit was makkelijker in 't oude systeem." "Ja, maar iedere gebruiker had in jouw versie dan ook ten onrechte toegang tot die data." Heerlijk gênant.
Michael Jan van Kampen heeft de Efteling tegenwoordig gewoon als klant. Hij doet regelmatig security checks in digitale oplossingen van het park. En is ook betrokken geweest bij de interactie van kniezende kniesoor.
Michael https://tweakers.net/nieuws/165104/walibi-start-met-responsible-disclosurebeleid-na-zwakheden-in-verkoopmodules.html Walibi begint met een "programma" om zwakheden te melden nav alle perikelen met hun online verkoopkanaal.
Tonnie Oops, er bleek buiten de eerdere simpelere en makkelijkere fouten in de verkoopsystemen van Walibi Holland Ook nog een vrij fors probleem in de centrale websites (van de parkengroep) te zitten.
tuindwerg Oh oeps... Dat wordt een datalek melden bij de autoriteit persoonsgegevens. Om te beginnen.
Tonnie tuindwerg Hoeft niet perse. De verkoop systemen (waar de eerdere problemen in voorkwamen) van Walibi staan los van de centrale websites, dus het is onduidelijk wat voor account info erin staat en of dit wel van Nederlanders is. Daarnaast is prima te achterhalen dmv de logfiles wanneer eventuele persoonsgegevens geraadpleegd zijn en of dit dan ook door onbevoegden is gebeurt. Wanneer uit de logfiles blijkt dat dit niet is gebeurt (vrij grote kans, want t is een vrij specifiek lek wat je maar net moet weten te misbruiken) dan is er geen melding nodig.
tuindwerg Tonnie Daarnaast is prima te achterhalen dmv de logfiles wanneer eventuele persoonsgegevens geraadpleegd zijn en of dit dan ook door onbevoegden is gebeurt. Wanneer uit de logfiles blijkt dat dit niet is gebeurt (vrij grote kans, want t is een vrij specifiek lek wat je maar net moet weten te misbruiken) dan is er geen melding nodig. In dit geval staat er een screenshot op Twitter, toch? Dan is in ieder geval deze journalist erin geweest... Edit:
Njit Ik neem aan dat dit in het kader van Responsible disclosure eerst aan Walibi gemeld is alvorens het op Twitter is gepost? Denk het zelf van wel omdat er 'had' staat. Ben benieuwd naar de reactie van Walibi.
Tonnie tuindwerg Dat screenshot geeft alleen de routine aan hoe je in de website kon komen (van de ontdekker naar een melder), dat je als admin in de website kan komen wil niet zeggen dat die melder de persoonsgegevens heeft ingezien (dat weten we niet), daarnaast zegt het niets of die gegevens ook bijvoorbeeld Nederlanders bevat (weten we ook niet).
