Geplaatst: Friday 5 June 2009 om 16:45
Dat onze site aan vernieuwing toe is, werd vorige maand nog eens goed duidelijk. Toen werden we opgeschrikt door een XSS-aanval. Als we een bepaald artikel openden, kregen we een pop-up met een vreemde melding en vervolgens konden we alleen nog een paar keer op OK klikken. Daarna werden we doorgestuurd naar een heel andere website, waar ons onomwonden duidelijk werd gemaakt dat we waren gehackt. “Aaaare Youuuu Hackeeed?”, stond er, terwijl Atatürk fier over ons heen keek vanuit een wapperende Turkse vlag. We waren gehackt door Killer-TR.
Het was zondag, maar ik heb toch direct contact opgenomen met de afdeling Online Techniek van IDG en daar hadden ze het euvel snel verholpen. “Fixed. Niks spannend. Heel gaaf, zo’n javascript exploit. Not”, kreeg ik als antwoord. Maar of zo’n hack nu spannend is of niet, ondertussen waren we wel gehackt. Die paar simpele regels Javascript in de commentaren waren keurig uitgevoerd. En spannend of niet, Javascript mag natuurlijk nooit worden uitgevoerd vanuit de commentaren.
Het schaamrood stond ons dan ook terecht op de kaken. Het enige excuus dat we kunnen aandragen is dat de mensen die deze website hebben opgezet hier niet meer werken.
Ik heb Killer-TR direct een mailtje gestuurd om hem te feliciteren met een geslaagde hack, dat leek me wel zo sportief. Daarbij verwachtte ik niet echt dat hij zou reageren, maar dat deed hij toch. Toen bleek ook dat hij geen hacker was van het erge soort. “Ik heb het getest op één pagina zoals altijd, schade aanrichten doe ik niet. =) Normaal meld ik het aan de administrator van de website. Het is goed dat jullie het hebben opgelost, het is gevaarlijk om een XSS bug te hebben”, zo schreef hij terug.
Vervolgens heeft hij ons nog met onze neus op een paar bugs in Webwereld.nl en Channelworld.nl gedrukt. Goed werk, Killer-TR!
Reacties (9)