Chello: tipgever xss-lek niet aangepakt

Barry Pouwels van Qualitysign wees Webwereld op het lek nadat zijn eerdere meldingen aan het adres van Chello geen resultaat bleken te hebben. De internetprovider heeft het lek vervolgens gedicht en stelde aangifte te doen voor het geval er misbruik was gemaakt van het lek. Ronald van der Aart benadrukte tegenover Webwereld dat de ontdekker geen risico loopt 'mits deze ter goeder trouw heeft gehandeld'.

"Woensdagavond heb ik met een tweetal mensen van UPC gesproken en ze garanderen me eigenlijk dat ik niet vervolgd zal worden', aldus Pouwels tegenover Webwereld. 'Het gaat inderdaad om eventuele personen die deze exploit misbruikt hebben."

Ronald van der Aart bevestigt het gesprek: "Ik heb hem persoonlijk bevestigd dat we geen enkel probleem hebben met zijn tip aan Webwereld. Daarmee was het voor ons mogelijk om snel actie te ondernemen en het lek binnen een uur te dichten. We kunnen niet uitsluiten dat er via dit lek strafbare handelingen hebben plaatsgevonden. Vandaar we - na nader intern onderzoek - mogelijk aangifte daarvan zullen doen tegen een onbekende dader of daders."

Van der Aart reageert tevens op de commotie die is ontstaan naar aanleiding van het artikel. "Om misverstanden op Webwereld te voorkomen: we doen geen aangifte tegen mensen die per ongeluk ontdekken dat ergens nog een deur van 'ons huis' openstaat en dat melden. Als we die redenering doortrekken dan controleren we wel wie er via deze deur binnen is geweest. Daar lijkt me niets mis mee. Als bij dat onderzoek zou blijken dat de insluiper iets strafbaars heeft gedaan, dan doen we aangifte. Dat is niet meer dan normaal, ook als het gaat om internet."

Pouwels ontdekte het xss-lek door 'rond te neuzen op diensten die hij zelf afneemt'. Pouwels kon inloggegevens van Chello-klanten naar zichzelf doorspelen door een webadres van Chello te manipuleren. Klanten die bijvoorbeeld inloggen op de webmaildienst van Chello kunnen zo hun inloggegevens afstaan zonder dat zij iets door hebben.