Laatst wilde mijn vriendin iets bestellen op internet, iets wat regelmatig gebeurt in ons huishouden. Ze had net twee dingen in haar “winkelmandje” gedaan toen ze een javascript error kreeg en mij vroeg er even naar te kijken. De website zag er nogal brak uit, dus besloot ik de HTML broncode maar eens door te worstelen. Al bij het eerste formulier was het raak. Prijzen stonden verborgen in de website en werden meegestuurd. Dus, na aanpassing van de prijs in de code, werd iets van 10 euro voor 1 euro in het winkelwagentje geplaatst. De zoek knop bevatte een sql injectie, en een variabele in de URL was vatbaar voor een XSS aanval. En het ergste is nog, dit is niet het werk van een simpele hobbyist, het is het werk van een hobbyist die er zijn werk van gemaakt heeft. Hij/zij verkoopt deze webshop als service en heeft op de website van zijn bedrijf een mooi overzicht geplaatst van al zijn klanten, die dus allemaal vatbaar zijn voor dezelfde lekken.
Ik kan mijn inziens niet zelf dit bedrijf benaderen. Door mijzelf er van overtuigd te hebben dat die website niet deugd heb ik hem feitelijk gehacked ook al heb ik geen schade aangericht.
Daarom heb ik besloten dat er een meldpunt moet komen voor brakke website die een gevaar vormen voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Aankomende maanden zal ik me gaan verdiepen in hoe ik dit het best kan aanpakken, en of het uberhaupt mogelijk is. Misschien dat dit meldpunt qua rechten gelijk staat aan een rechtspersoon, en dus zou het meldpunt ook vervolgd kunnen worden en kan ik me zelf de moeite besparen van het oprichten van een meldpunt en gewoon zelf een bedrijf inlichten….
Update: Een vlugge zoek opdracht in google levert al ruw weg 45.000 resultaten op, alleen in nederland! Dit lijkt toch wel een probleem te zijn.Dit zegt overigens nog niet dat alle gevonden websites kwetsbaar zijn, maar wel dat ze brak zijn.
Tags: linkedin