Het lek werd gemeld aan Joost Schellevis, techredacteur van de Nederlandse omroep NOS, die het door iemand anders kon laten reproduceren. Hij lichtte Walibi Nederland in die de kwetsbaarheid intussen heeft aangepakt. Sindsdien heeft het Nederlandse park ook een responsible disclosure beleid, waarbij ethische hackers zulke problemen kunnen melden zonder het risico te lopen om te worden aangeklaagd voor hacking.

In het kort was het mogelijk om de browserheaders te manipuleren. Daardoor kon elke gebruiker van de site zichzelf administratorrechten toewijzen.

Vanaf dan was het mogelijk om een gebruikersdatabase van zo'n zevenhonderdduizend gebruikers van de Walibi-app en in sommige gevallen hun mailadres in te kijken. Ook was het mogelijk om de site aan te passen.

Ook in België?

Data News nam contact op met Walibi Belgium. Daar zegt men niet te kunnen bevestigen dat het lek ook op de Belgische sites voorkwam. Nochtans toont een van de screenshots van Schellevis dat er vanaf de gehackte site ook kon worden gesprongen naar Walibi België, Aqualibi, Bellewaerde en moederbedrijf Compagnie Des Alpes. Maar of dit ook echt kon is dus niet zeker. Ook het responsible disclosure beleid is enkel van toepassing op de website van het Nederlandse park.

., Joost schellevis/Twitter
. © Joost schellevis/Twitter

Walibi Nederland wist aan Schellevis wel te melden dat niemand anders de persoonsgegevens zou hebben ingezien. De kans dat er data is gelekt is dus klein.

Het lek werd gemeld aan Joost Schellevis, techredacteur van de Nederlandse omroep NOS, die het door iemand anders kon laten reproduceren. Hij lichtte Walibi Nederland in die de kwetsbaarheid intussen heeft aangepakt. Sindsdien heeft het Nederlandse park ook een responsible disclosure beleid, waarbij ethische hackers zulke problemen kunnen melden zonder het risico te lopen om te worden aangeklaagd voor hacking.In het kort was het mogelijk om de browserheaders te manipuleren. Daardoor kon elke gebruiker van de site zichzelf administratorrechten toewijzen.Vanaf dan was het mogelijk om een gebruikersdatabase van zo'n zevenhonderdduizend gebruikers van de Walibi-app en in sommige gevallen hun mailadres in te kijken. Ook was het mogelijk om de site aan te passen.Ook in België?Data News nam contact op met Walibi Belgium. Daar zegt men niet te kunnen bevestigen dat het lek ook op de Belgische sites voorkwam. Nochtans toont een van de screenshots van Schellevis dat er vanaf de gehackte site ook kon worden gesprongen naar Walibi België, Aqualibi, Bellewaerde en moederbedrijf Compagnie Des Alpes. Maar of dit ook echt kon is dus niet zeker. Ook het responsible disclosure beleid is enkel van toepassing op de website van het Nederlandse park.Walibi Nederland wist aan Schellevis wel te melden dat niemand anders de persoonsgegevens zou hebben ingezien. De kans dat er data is gelekt is dus klein.