achtergrond

Geenstijl

ICT-faals ook bij grote commerciële websites

secfail.jpg We lachen wat af met al het gefaal van de (lokale) overheid op ICT-gebied (of op ITC-gebied, als het aan Henk Kamp ligt), maar ook de commerciële sector is in de lekker veilige digitale onwetendheid van de 20e eeuw blijven hangen. Toen TAN-codes van de ING nog op papier kwamen, zeg maar. Oh. Wacht. Anyway, in de mailbox troffen wij een verontruste hobbyprogrammeur aan die met de beste white hat-intenties websites als Coachingpro.nl, Bungalow.net of het veelgebruikte, internationale Hotels.com op de hoogte stelt van het feit dat ze allemaal zo lek als een rijksoverheidssite zijn. Zo kon hij via wat simpele SQL-injecties of XSS-leaks op Coachingpro.nl de gegevens van ALLE geregistreerde gebruikers inzien (LOL-quote: "Met o.a. vele InHolland medewerkers die flink in de shit zitten na alle faam die mede door jullie over hun heen is gekomen"), was het op Bungalow.net mogelijk om andermans borg terug te laten storten op een rekening naar keuze en gaf Hotels.com simpel toegang tot volledige boekingsgegevens van alle gebruikers. De lekken in de coachsite zullen u aan uw anus oxideren (want: coaches, muhaha), maar via Hotels.com plannen we allemaal wel eens een stedentripje natuurlijk. Waarom deze hobbyprogrammeur ons hierover mailt? Omdat de sitebeheerders vaak niet eens weten hoe ze de problemen op moeten lossen, of de attente hacker onmiddellijk agressief benaderen. Prutsers zitten nou eenmaal overal en schieten op de boodschapper is makkelijker dan dankjewel zeggen en je eigen faal herstellen. Dus niet raar opkijken als je rancuneuze ex ineens voor je neus staat als je met je nieuwe chick een romantisch hotel binnenloopt, of als je baas precies weet wat je over hem gespuid hebt tijdens coachtherapie. Ook zonder DigID ligt je shit in de berm van de digitale snelweg, om maar eens een jaren '90-term te gebruiken.

Reaguursels

Tip de redactie

Wil je een document versturen? Stuur dan gewoon direct een mail naar redactie@geenstijl.nl
Hoef je ook geen robotcheck uit te voeren.