IDG werkt aan dichten XSS lek in Jobworld

Ivo van Doesburg, IT architect van NRC Handelsblad meldde het lek in een tweet op dinsdagavond. Hij nam de websites van Webwereld en haar dochters onder de loep naar aanleiding van Lektober, een actie waarbij de redactie van Webwereld elke dag een privacylek onder de aandacht brengt. "Even webwereld/IDG steunen met hun #lektober", verklaart hij in zijn tweet. Met de Lektober actie wil Webwereld de aandacht voor de beveiliging van privacy gevoelige informatie vergroten.

Pop-up met lektober

In zijn tweet postte Van Doesburg een link waarbij een pop-up verscheen met daarin de tekst 'lektober'. Daarmee toont hij aan dat de site een zogenaamd cross site scripting (XSS) lek bevat. Beveiligingsexperts gebruiken pop-ups vaker om een lek als concept aan te tonen.

De leverancier van het systeem achter Jobworld onderzoekt het lek op dit moment en zal het zo spoedig mogelijk repareren. Uit het onderzoek blijkt dat het lek niet misbruikt kan worden om privacygevoelige informatie van Jobworld-bezoekers over te nemen. Het lijkt niet mogelijk om het lek te misbruiken om de inhoud van Jobworld te veranderen, en ook niet om bijvoorbeeld een CV van een gebruiker in te zien.

XSS-code

Een aanvaller zou het lek alleen kunnen misbruiken door een Jobworld-link met daarin XSS-code te posten op Twitter of een online forum. Hij zou vervolgens een cookie kunnen stelen, maar daarin staan uitsluitend de (mogelijke) inlognaam en eerdere zoekopdrachten van de bezoeker opgeslagen.

"Aangezien bezoekers van Jobworld geen gevaar lopen, heeft IDG besloten om de site in de lucht te houden. Als de gegevens wel gevaar liepen, zou de site onmiddellijk offline zijn gehaald," zegt Tom Sanders, algemeen hoofdredacteur Business Media bij IDG.

Om het risico te ontlopen dat het XSS-lek verdere problemen oplevert, hebben we alsnog besloten om de site tijdelijk offline te halen. Volgens de laatste schatting is het lek later vanmiddag gedicht en komt de site spoedig daarna weer beschikbaar.