'Wraak van hacker'

Walibi blundert opnieuw: tickets voor 50 cent door fout op website

22 oktober 2019 om 10:04
Laatste update: 23 oktober 2019 om 05:35

Door een fout in de website van Walibi was het mogelijk om vrijwel gratis entreekaarten te bestellen. Het is de tweede keer in korte tijd dat het pretpark blundert met de beveiliging van de website.

Dat blijkt uit onderzoek van RTL Nieuws, dat via het anonieme klokkenluidersplatform Publeaks een tip kreeg over het lek.

Via het lek was het mogelijk om kaartjes voor 50 eurocent te krijgen. De normale prijzen variëren tussen de 27,50 en 39,50 euro.

'Gratis' tickets

Het lek zit in het bestelproces. Walibi controleert niet welk getal je invoert bij het aantal kaartjes. Je kunt daardoor ook een mingetal invoeren, zoals -2, waarna de prijs van deze twee kaarten van het totaalbedrag wordt afgetrokken.

Op die manier was het mogelijk om entreekaarten te bestellen en vervolgens een aantal andere kaarten op die prijs in vermindering te brengen. Daarna reken je het totaalbedrag af, wat bijvoorbeeld 50 eurocent kan zijn. Het lukte RTL Nieuws op deze manier om meerdere toegangskaarten te kopen voor een paar euro.

Walibi is door RTL Nieuws op de hoogte gesteld van het lek en heeft het probleem binnen enkele uren opgelost.

Rechtszaak

Ontwikkelaar Jan van Kampen ontdekte eerder ook al een lek in de website van Walibi. Toen was te zien hoeveel kaartjes het pretpark dagelijks online verkocht.

Walibi wilde aangifte doen tegen Van Kampen. Hij vroeg om gratis vrijkaartjes als beloning voor het lek, en dat vatte Walibi op als afpersing. Later zag het pretpark daar toch vanaf. 

De nieuwe tipgever meldt het lek nu via Publeaks aan RTL Nieuws, omdat hij bang is dat Walibi ook een rechtszaak tegen hem zal aanspannen. Hij grapt dat Van Kampen ook helemaal geen vrijkaartjes nodig had, omdat hij ze via het lek in de website zelf kon regelen.

Ethische hackers

Ethische hackers melden vaker kwetsbaarheden bij bedrijven, en krijgen daar geregeld een beloning voor: denk aan vrijkaartjes, een t-shirt, waardebon of geldbedrag. Een deel van deze 'goede' hackers leeft van het speuren naar dergelijke lekken.

Bedrijven die hackers willen belonen kunnen op de website responsibledisclosure.nl een voorbeeldtekst vinden waarmee ze hackers de mogelijkheid bieden om kwetsbaarheden te melden en hen een vergoeding te geven.

Jonge ethische hackers: 'Leuk om wereld beter te maken'