Het lek – dat bekend staat als de Unicode-bug – maakt meerdere slachtoffers. Ook de Nederlandse hostingprovider Novinet heeft de beschikbare patch nog niet geïnstalleerd. Hierdoor kunnen de door Novinet gehoste sites eenvoudig worden aangepakt, zoals door plaatjes te wissen of teksten te wijzigen. WebWereld ontving inlognamen en wachtwoorden voor de online diensten van twee verschillende financiële Bibit gebruik van maakt. Het gaat om de Amerikaanse Citibank en de Finse Merita Bank. Volgens de kraker is dit slechts een klein deel van de gegevens die hij vond op de server van Bibit. Naast de inloggegevens kreeg de hacker met de bijnaam 'Hazardous' toegang tot een database met informatie over de klanten van Bibit. De hacker maakte hiervoor gebruik van een bekend gat in Microsofts Internet Information Server (IIS), waarvoor een patch bestaat. Met het doorgegeven van bepaalde Unicode-karakters kan een kwaadwillende zich toegang verschaffen tot bestanden en mappen op de server. Deze files staat buiten de 'document-root' van de webserver, en zouden normaal gesproken niet toegankelijk zijn voor buitenstaanders. Bij het IIS-lek gaat het om Unicode-combinaties van slashes en backslashes. Bibit is niet blij met de hack, maar volgens het bedrijf zijn alleen oude gegevens buitgemaakt. Na bestudering van de data zegt John Caspers, verantwoordelijk voor de productontwikkeling van Bibit, dat het gaat om inloggegevens van Bibit bij banken. "Het is de achterkant van ons betalingssysteem", aldus Caspers. Over de database maakt Caspers zich niet druk, daar zou enkel publiek beschikbare informatie in staan. "Er stond nog een oude versie van ons betalingssysteem op de server, dat is slordig", zegt Caspers. Het huidige betaalsysteem van Bibit zou al bijna een jaar op aparte servers staan. Linux en Solaris Bibit is bezig met de beveiliging van al haar servers, dus ook de webserver. "De betaaldiensten draaien op Suns Solaris en gedeeltelijk op Linux. Dat is veel beter te beveiligen. De publieke webserver draait nog op Windows NT, daar kan een lek inzitten." Binnenkort wordt ook de webserver overgezet naar een Solaris-platform. Caspers: "Elke dag moet je op de Microsoft-site moet kijken of er nieuwe bugs zijn. Daar word je ook niet vrolijk van." Novinet Bij hostingprovider Novinet liggen de zaken nog ernstiger. Via dezelfde Unicode-bug kunnen kwaadwillenden een database kopiëren naar een publiek toegankelijke directory. Hier gaat het echter – in tegenstelling tot bij Bibit – om actuele gegevens als inlognamen en wachtwoorden van onder meer de webmaster. Met deze gegevens is het mogelijk toegang te krijgen tot de beheersapplicaties van de door Novinet gehoste sites. Vervolgens is het zeer eenvoudig om plaatjes te verwijderen of om teksten te veranderen. Zelfs is het mogelijk inloggegevens te wijzigen. Novinet is op de hoogte gebracht van het lek. Enkele screenshots van de beheerspagina's waartoe WebWereld zich toegang heeft weten te verschaffen: Wijzig toegang Item wijzigen Illustraties wissen Novinet reageert geschokt. Het bedrijf was niet op de hoogte van de bug. De patch zal worden geïnstalleerd.