Een lezer van Webwereld die liever anoniem wil blijven meldde dat het mogelijk om via het zoekveld van de nieuwssite javascript uit te voeren. "Je kan alle javascript in een url stoppen en wel zo dat niemand het kan zien. Het achterhalen van wachtwoorden van admins, sessies overnemen, posten van content op de voorpagina, logo's veranderen. Alles wat je met javascript kan, kan je op vk.nl doen", mailt hij.

De Volkskrant bevestigt dat de site kwetsbaar is voor cross site scripting (xss) aanvallen. "De kans op manipulatie van de site zelf is erg klein", zegt een woordvoerder van de krant. "Maar zeg nooit nooit." Het uitvoeren van code door derden op de site is sinds de overstap van Google Search naar een eigen zoekmachine mogelijk.

'Eind deze week opgelost'

Het lek werd volgens de woordvoerder ook door de krant zelf ontdekt. "Bij het bouwen van een nieuwe site kijk je toch nog eens goed naar de code." Ook kwamen er tips binnen dat de site onveilig zou zijn.

De kwetsbaarheid werd maandag aangekaart bij de krant. Een dag later waren er drie van de vier JavaScript gaten gedicht die werden gevonden door de tipgever. De krant gaat er vanuit dat de gaten eind deze week helemaal zijn gedicht.

Verkeerd gedicht

Volgens de tipgever worden de lekken wel op de verkeerde manier gedicht. Er wordt een blacklist opgesteld met code die niet mag worden uitgevoerd. Een whitelist zou veel beter zijn: alleen processen toestaan die ook echt uitgevoerd mogen worden en de rest blokkeren.

Het per abuis toelaten van cross site scripting is een veelgemaakte fout. Zo werd in maart van dit jaar duidelijk dat de sites van vijf Nederlandse banken maandenlang kwetsbaar waren.