Wanneer er een lek in een website wordt ontdekt is de bouwer er meestal als de kippen bij om het gat te dichten. Er zijn echter gevallen bekend waarin reparatie door wegvallen van informatie meer kwaad dan goed doet. Een onderzoeksbureau van een Nederlandse krantenuitgever repareert daarom pas volgend jaar een lek in zijn website.
Op de website, waar de uitgever abonnees vraagt naar hun mening over zijn publicaties, is eenvoudig te achterhalen welke gegevens bezoekers hebben ingevuld. De onderzoekers vragen abonnees in te loggen met een bepaalde url, waarbij een nummer wordt meegeleverd. Uit de broncode van de website blijkt dat dit nummer tevens het sessienummer is.
Op zich is dat geen beveiligingsprobleem. Deze uitgever gebruikt echter geen willekeurige getallen, maar een opvolgende reeks. Dat maakt het inbreken in andere sessies eenvoudig. Het intypen van sessienummers geeft toegang tot de antwoorden en adresgegevens van andere deelnemers aan het onderzoek. Er is geen toegang tot vragenlijsten die reeds zijn afgerond. Het is wel mogelijk om antwoorden van deelnemers die bezig zijn met invullen of de vragenlijst niet hebben afgemaakt te veranderen.
Waardeloos
Computable, door een ict’er op het lek gewezen, attendeerde de onderzoekers twee weken geleden op het beveiligingsprobleem. De onderzoeksleider reageert vijf dagen later met: “Ik heb het meteen voorgelegd aan mijn collega’s en de ict’ers die de websites bouwen.” Het probleem is eenvoudig op te lossen door de sessienummers willekeurig te laten genereren. In dat geval wordt het invullen van alternatieve sessies een stuk lastiger.
Het onderzoeksbureau blijkt echter niet in staat te zijn het lek meteen te repareren. De teamleider: “Voor enkele onderzoeken vragen we abonnees over enige tijd terug. Veranderen we daar de sessienummers, dan worden die onderzoeken waardeloos.” Pas begin volgend jaar zijn die onderzoeken afgerond. Tot die tijd blijft het lek bestaan.
De onderzoekers vinden het risico niet groot. “Ieder van ons kan inschatten of de resultaten erg afwijken van de verwachting. In zo’n geval zullen we de weblogs erbij pakken om te zien of er verdachte manipulaties plaatsvonden.” Ze denken dat de kans klein is dat kwaadwillenden of concurrenten het onderzoek verpesten.
