Het gedeelte van de BOVAG site met beoordelingen van alle autoverkopers en garages is 'zo lek als een mandje', tipt een anonieme programmeur aan Webwereld. Door wat url's te manipuleren is de hele database van de subsite review.bovag.nl te benaderen. Het lek is dinsdag na melding gedicht.

Input niet gevalideerd

Uit de 'open' database konden namen, e-mailadressen en wachtwoorden (wel versleuteld) van alle BOVAG-bedrijven lekken, maar ook persoonsgegevens en e-mailadressen van alle bezoekers die zich op de site geregistreerd en gereageerd hebben. Ook kunnen kwaadwillenden valse reviews indienen met een willekeurig account van een ander.

“Er wordt in de applicatie *geen enkele* validatie gedaan op user input. SQL foutmeldingen worden open en bloot getoond op het scherm, en zonder veel moeite is de hele database te benaderen", meldt de tipgever. Webwereld heeft de verschillende kwetsbaarheden kunnen bevestigen.

Gepruts

“Als programmeur met de nodige beroepstrots schaam ik me de oren van mijn kop voor zoveel gepruts van mijn 'vakbroeders'. De makers van de site zouden met pek en veren door de straten gejaagd moeten worden. Het verbaast me vooral dat een grote en professionele organisatie als de BOVAG zo'n site gebruikt. Je gaat je afvragen of ze voor hun core business dezelfde kwaliteitseisen hanteren!", sneert de tipgever.

De subsite in kwestie is geleverd door KlantenVertellen.nl, die review- en andere contactmodules voor bedrijfswebsites levert. KlantenVertellen huurt op zijn beurt het bedrijf FullWebService in voor het programmeerwerk. Alle betrokken partijen zijn op de hoogte gesteld. De gaten zijn inmiddels dichtgetimmerd.

Tipgever bedankt

“We nemen dit bloedserieus en hebben meteen actie ondernomen. Dit raakt toch de kern van zo'n tool. Ze hebben de problemen bevestigd en het lek is inmiddels gedicht", reageert Paul de Waal, woordvoerder van BOVAG.

BOVAG meldt opgelucht dat er geen aanwijzingen zijn dat de database op een kwaadaardige manier is gemanipuleerd en dankt de tipgever voor de verantwoordelijke manier waarop het lek is aangemeld.

“We zouden de tipgever, die naar ik begrijp anoniem wil blijven, graag op een of andere manier willen belonen", aldus De Waal. Ook prijst hij de Lektober-actie: “Wij vinden het goed en nuttig dat jullie dit doen."

Uiteenlopende reacties

De reactie van BOVAG staat in schril contrast met verschillende andere organisaties waarover Webwereld de afgelopen weken publiceerde in het kader van Lektober. Regelmatig worden datalekken of kwetsbaarheden ontkend, gebagatelliseerd of wordt er zelfs gedreigd met juridische stappen.

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.