Hacker ontdekt datalekken in Nederlandse attractieparken
Vandaag, 13.48 uur
Een hacker heeft de ticketshops van verschillende Nederlandse attractieparken onder de loep genomen. Jan van Kampen uit Beverwijk onderzocht onlangs hoe veilig de webwinkels van enkele bekende parken zijn. Op vijf plekken trof hij datalekken aan. Ook bleek het mogelijk om gratis kaartjes te bestellen.
Onderzochte attractieparken
Het gaat onder andere om de webshops van de Efteling, Toverland en Attractiepark Slagharen. Van Kampen beschrijft zijn werkwijze in een blogbericht. Daar geeft hij ook aan hoe de parken gereageerd hebben op de bevindingen.
Efteling
Op de Efteling-website bleek het mogelijk om verkoopdata te achterhalen: het lukte de ICT-specialist om te zien hoeveel kaarten er per dag verkocht worden. “Koppel je die aan de verkoopprijs, dan krijg je een inzicht in wat er omgezet wordt in deze ticketshop”, schrijft Van Kampen.
Attractiepark Slagharen
Bij Slagharen bleek de ticketshop voor het halloweenseizoen zo lek als een mandje te zijn. De shop kwam in september al in het nieuws toen het grappenmakers lukte om duizenden gratis kaarten te bestellen voor een halloweenattractie. Dat probleem werd volgens Slagharen opgelost.
Van Kampen kreeg het echter alsnog voor elkaar om de boel te manipuleren. “Met een eenvoudig trucje was het mogelijk om het totaalbedrag op 0 euro te krijgen”, schrijft de ontwikkelaar. “Het was namelijk mogelijk om een negatief aantal kaarten te bestellen, waardoor je als het ware korting in je winkelmandje kreeg.”
Toverland
Op de Toverland-website bleek sprake te zijn van een datalek. “De webshop toonde namelijk via bijbehorende scripts hoeveel kaarten er verkocht waren per tijdslot. Niet alleen voor de spookhuizen, maar ook voor het hele park.” Van Kampen kon vrij precies uitrekenen wat de omzet van de ticketshop was.
Reactie van de attractieparken
En hoe reageerden de parken? De Efteling bleek erg laks: Van Kampen ontving een algemene bedankmail, maar er werd verder geen contact gezocht en het lek is tot op de dag van vandaag niet verholpen. Ook Slagharen reageerde niet adequaat: het probleem werd nooit opgelost. Wel schonk het park vrijkaarten voor Halloween, ter compensatie.
Toverland nam de uitkomsten serieuzer. Van Kampen werd gebeld door de communicatieafdeling voor meer informatie. Vervolgens is ticketpartner Global Ticket ingeschakeld. Een week later was het probleem opgelost. De hacker kreeg als bedankje vijf entreekaarten, parkeerkaarten en Fear Pasesen voor Halloween.
Ook bij twee andere pretparken trof de hacker vrij ernstige beveiligingsproblemen aan: de mogelijkheid om gratis kaartjes te scoren en een lek van persoonsdata. De namen van die partijen noemt hij nog niet, om kwaadwillenden niet op ideeën te brengen. “Eentje antwoordt niet en de ander ziet het probleem niet. Frustrerend.” Van Kampen heeft een melding gemaakt bij de Autoriteit Persoonsgegevens.
Hacker met ervaring
Van Kampen is geen onbekende voor de pretparkwereld. In het verleden bezorgde hij de Efteling en Walibi Holland al veelvuldig kopzorgen door ticketshops, prijsvragen en apps te hacken. Een conflict met Walibi liep in 2019 zo hoog op dat de directrice dreigde om aangifte te doen.
