Een hacker die vorige week de website van attractiepark Duinrell kraakte, heeft de namen en e-mailadressen van meer dan 80 duizend mensen gestolen. De webdeveloper weet nog niet waar het lek zit.
Een hacker met de schuilnaam Xcrypt0 heeft donderdagavond de website van attractiepark Duinrell gekraakt. Eerst leek hij de website slechts gedefaced te hebben, maar het weblog Looopings, voor attractieparkfanaten, weet nu te melden dat hij ook 80 duizend e-mailadressen en namen heeft buitgemaakt.
'Reclamebureau is schuldig'
De gestolen gegevens zijn afkomstig van mensen die zich hebben aangemeld voor de nieuwsbrief van het attractiepark. Xcrypt0 stuurde Looopings een screenshot van de database als bewijs van de hack. Ook zou dat weblog inmiddels de volledige lijst met e-mailadressen en namen in bezit hebben.
Volgens de hacker is zijn inbraak grotendeels te wijten aan de gebrekkige beveiliging in het cms van reclamebureau Multiminded, dat de website van het attractiepark onderhoudt. “Het is ronduit belachelijk dat een groot bedrijf als Duinrell zo'n onhandige webdesigner heeft aangenomen. 90 procent van de sites van Multiminded is kwetsbaar”, meent hij.
Boekingssysteem is veilig
Otto Dijkstra van Multiminded vertelt Webwereld inmiddels contact te hebben met de hacker. Hij tast nog in het duister over de technieken die deze toegepast heeft. “De hacker heeft toegezegd dat hij vandaag openheid van zaken zal geven en dan kan ik daar ook toelichting over geven maar het lijkt erop alsof hij een lek in onze cms module heeft gevonden”. Het bedrijf heeft de websites die het beheert inmiddels wel beter beveiligd.
De woorvoerder van Duinrell benadrukt maandag tegen Webwereld dat alleen de database van de nieuwsbrief is gekraakt. Het boekingssysteem draait ergens anders en is ongedeerd gebleven. Daarnaast is het bedrijf van mening dat de hacker niets met de e-maildressen gaat doen. "Hij wilde alleen aandacht en laten zien hoe goed hij is", stelt de zegsman.
Database vernietigd
In een tweede reactie laat Duinrell weten dat het pretpark het bestand dat de hacker in handen heeft al verwijderd heeft. Dat om verdere diefstal te voorkomen. De hacker had volgens de woordvoerder van Duinrell gistermiddag nog geen contact opgenomen met reclamebureau Multiminded, dat de site van het pretpark met achterliggend cms beheert. Hij had maandag toegezegd die middag openheid van zaken te geven over het door hem ontdekte gat.
Later is dat contact er nog wel geweest, zo vertelt de woordvoerder dinsdagmiddag aan Webwereld. Op basis van de informatie van de hacker heeft Multiminded het lek volledig gedicht, inclusief een extra laag beveiliging, zo belooft de zegsman. De hacker heeft bovendien beloofd dat de gestolen database niet in handen komt van derden. Hij heeft de gegevens inmiddels vernietigd.
Brond: webwereld.nl