WebWereld kreeg een tip over een beveiligingslek in de Rijksmuseum-site. De zoekmachine van de site is op een verkeerde manier geconfigureerd. Via een simpel commando in het zoekvakje is het volgens experts mogelijk zijn om het complete systeem plat te leggen. De tipgever wist zonder al te veel moeite het wachtwoord van de 'Super Administrator' te achterhalen, de gebruiker met alle rechten op de databaseserver. Hij stelde de webmaster hiervan op de hoogte. De door Deloitte & Touche Consultdata gemaakte site was vervolgens enige tijd offline wegens 'onderhoudswerkzaamheden'. Hielke Sprangers van Consultdata: "We zijn op de hoogte van het lek en werken eraan." Meer wil de sitebouwer niet kwijt. Amateuristisch Het wachtwoord is nu niet meer zichtbaar, maar dinsdagmiddag gaf het systeem nog steeds vooral voor hackers interessante informatie vrij. Deze verschijnt na ingave van een apostrof in het zoekveld gevolgd door een willekeurige zoekterm. De gevoelige informatie wordt op een amateuristische manier verborgen gehouden. De foutmelding wordt weergegeven in een wit lettertype op een witte achtergrond. Door dit te selecteren wordt het alsnog zichtbaar. De database wordt vanuit het zoekscript aangesproken via de Super Administrator. Hierdoor zijn allerlei commando's uit te voeren die tot vervelende gevolgen kunnen leiden. De sitebouwers hadden het script moeten leiden via een 'user' met beperkte rechten. Dan is het niet meer mogelijk gevaarlijke opdrachten van buitenaf uit te voeren. Volgens kenners is dit les één uit het studieboek voor databasebeheerders. Het Rijksmuseum werkt aan het dichten van het lek. De zoekfunctie van de site is sinds melding door WebWereld dinsdagmiddag onbruikbaar. In het Nederlands en brak Engels meldt de site: 'Searching is not possible at the moment. Our excuses. Please try again later.'Eerdere relevante berichten: Jewhoo!, voor al je vragen met een joodse invalshoek (23 december 1999)