Nederlander ontdekt xss-lek in website Chello
Gepubliceerd: Woensdag 14 juni 2006
Auteur: Jeroen Doorn
De website van internetprovider Chello blijkt een zogeheten cross-site scripting (xss)-lek te bevatten. De ontdekker loopt het risico op vervolging.
Door een webadres van Chello te manipuleren kan een kwaadwillende gegevens doorspelen naar zichzelf. Klanten die bijvoorbeeld inloggen op de webmail-dienst van Chello kunnen zo hun inloggegevens afstaan zonder dat zij iets door hebben.
De ontdekker, wiens identiteit bekend is bij de redactie, heeft het xss-lek naar eigen zeggen drie weken geleden al bij Chello gemeld. Tot op heden heeft hij nog geen reactie gehad van Chello. Het lek was tot aan het eind van deze ochtend nog altijd aanwezig in de website.
"Hoe ik hier aan kwam? Gewoon een beetje rondneuzen op de diensten die ik zelf afneem om te zorgen dat deze veiliger worden. Ik hou me vaker bezig met dit soort problemen", vertelt de ontdekker tegenover Webwereld.
Aangifte
Ronald van der Aart bevestigt het lek desgevraagd tegenover Webwereld. "Naar aanleiding van de melding zijn we op zoek gegaan en hebben wij het lek gedicht. Door een opzettelijke val kunnen er inloggegevens worden ontfutseld van onze klanten door middel van een script. We gaan nu verder onderzoek doen. Morgen doen we zeer waarschijnlijk aangifte wegens computervredebreuk en aanverwante handelingen."
Uit het onderzoek moet blijken of er daadwerkelijk gegevens gestolen zijn en of dat met kwade bedoelingen is gebeurd. Als dat het geval is zal er aangifte tegen die persoon worden gedaan. "Wij treden altijd tegen dit soort zaken op, dus ook nu. Als de melder ter goeder trouw is heeft hij niets te vrezen."
Ronald van der Aart verduidelijkt de reden tot aangifte: "Ter aanvulling en om misverstanden te voorkomen: UPC doet geen aangifte tegen jullie anonieme tipgever maar tegen een onbekende dader."
