Hacker kraakt websites PvdA en VVD - UPDATE
Gepubliceerd: Dinsdag 8 februari 2011
Auteur: Brenno de Winter
"Dit is niet mijn partij, vriend!", luidt de boodschap die een hacker plaatst op de websites van PvdA en VVD. Hij demonstreert daarmee basale zwakheden in die sites.
De fouten zijn ontdekt door beveiligingsonderzoeker en zelfverklaard jager op xss-lekken (cross site scripting) Richard Loerakker. Hij verwijt de makers van de politieke websites vooral een gebrek aan discipline om alle invoer van bezoekers goed te filteren.
Snelle reactie PvdA
In het geval van de PvdA gaat het om een xss-probleem waardoor het mogelijk is een script toe te voegen aan de website. Daarmee wordt ogenschijnlijk de website van de socialisten bezocht, maar wordt toch een andere boodschap gegeven.
De partij reageert alert op de melding en heeft de website inmiddels aangepast. Een woordvoerder noemt de fout "onhandig".
VVD fixt niet
Bij de VVD gaat het om een xss-lek waardoor de site anders lijkt. Het probleem is daar echter nog aanwezig, omdat er initieel na melding van de zwakke plek niet is gereageerd.
Inmiddels stelt een woordvoerder van de partij dat er op de achtergrond aan een oplossing wordt gewerkt. "Er is inmiddels wel actie op ondernomen", stelt de zegsvrouw. "Vervelend. We lossen het zo snel mogelijk op."
De VVD heeft overigens meer problemen met het beveiligen van de website. Gisteren onthulde GeenStijl dat het mogelijk is te rommelen met de webshop. Door te rommelen met de bedragen van een bestelling worden producten gratis geleverd.
Bekende problemen
Het zijn problemen die én breed bekend én al jaren bekend zijn, vertelt Frank van Vliet van Certified Secure. Dat bedrijf is gespecialiseerd in dit soort beveiligingsproblemen bij websites. Hij wijst erop dat het ontdekken van deze problemen heel simpel is: gewoon controleren met een gratis beschikbare checklist. Hij noemt de aanwezigheid van deze basale fouten dan ook: "niet nodig dus".
Update 13:40: Reactie VVD toegevoegd
