Als regelmatig theater bezoeker heb ik wel eens tickets besteld bij de Blauwe Kei in Veghel. Een mooi nieuw theater wat recentelijk verhuisd is naar de Noordkade.
Na het uitbreken van de 1e coronagolf werd al vrij snel duidelijk dat een theater bezoeken door de maatregelen er voolopig niet in zit. Voor theaters een financiële strop en het vergt aanpassingsvermogen om al je bezoekers tevreden te houden en in de toekomst te blijven binden om niet definitief ten onder te gaan.
Veelal zijn dit soort situaties, waarbij snel gehandeld moet worden, een ideale omstandigheid voor het creëren van een (beveiliging)probleem. Wat nu dus ook het geval is!
Wat gaat er mis?
Blauwe Kei informeerde je over de mogelijkheden over reeds bestelde tickets. De keuze hiervoor werd aangekondigd middels e-mail naar iedereen die een ticket had voor een toekomstige voorstelling.
Na het inloggen met je account op de website van de Blauwe Kei verscheen het volgende scherm:
Hiermee is het dus mogelijk om je optie te kiezen. Wanneer je voor teruggave kiest wordt het bedrag over gemaakt naar je rekening.
In deze webpagina / formulier zit echter een klein probleem met potentieel grote gevolgen.
Na aanpassing van de URL in de titelbalk is het ook mogelijk andere reserveringen in te zien en hiervoor een teruggave naar ieder gewenst rekeningnummer aan te vragen.
Voor het voorbeeld zie de volgende URL opbouw.
https://www.blauwekei.nl/mijntheater/annulering/15419?rt=3670c63&mlsi=15320&bc=4ed4c6ad0dcf84d57ded717303169a5d&nbtype=newsletter&nbsubtype=default&utm_medium=email&utm_source=default#inloggen
Na het aanpassen van de URL met een ander ID, kom je uit bij een andere voorstelling waarvoor je geen tickets hebt en dus bij een ander account horen. In het voorbeeld een voorstelling van Ali B.
https://www.blauwekei.nl/mijntheater/annulering/15417?rt=3670c63&mlsi=15320&bc=4ed4c6ad0dcf84d57ded717303169a5d&nbtype=newsletter&nbsubtype=default&utm_medium=email&utm_source=default#inloggen
Vervolgens lukt het probleemloos een gewenst rekening nummer op te voeren en het formulier succesvol toe te sturen.
Je krijgt er zelfs nog een bevestiging van in je mailbox voor het betreffende account waarmee je bent ingelogd.
Het is mij onduidelijk of er misbruik gemaakt is van dit probleem, hoe groot het probleem daadwerkelijk is en/of er bijvoorbeeld ookgeld is overgemaakt naar andere personen dan ticket eigenaren. Immers vindt er ook nog een handmatige actie plaats bij de retour procedure.
Wat wel duidelijk is, is dat je deze situatie niet wilt. Het kan potentieel (financiële) schade opleveren, iets waar je als theater in deze tijd niet op zit te wachten.
Responsible Disclosure
17-06-20: Probleem analyse en bevindingen gemeld aan info@blauwekei.nl. 18-06-20: Bevestiging medewerker Blauwe Kei dat dit is doorgezet naar website beheerder en wordt opgepakt. Peppered is de website beheerder/ontwikkelaar, aldus de informatie (Powered by Peppered) onderaan terug te vinden op de website 20-11-20: Probleem nog steeds aanwezig (5 maanden verder), wederom Blauwe Kei hierover geïnformeerd (info@blauwekei.nl). 20-11-20: Telefonisch contact gehad met een medewerker van de Blauwe Kei. Excuses ontvangen voor het niet terugkoppelen van het antwoord van de website beheerder. Er is in juni teruggekoppeld door de website beheerder dat dit volgens hen geen probleem is. Daarnaast geeft de medewerker aan dat er altijd een handmatige controle plaatsvind middels een Excel bestand. Aansluitend een bedankje voor het maken van de melding. 20-11-20: Nogmaals e-mail ontvangen dat dit toch wel opnieuw wordt aangeboden bij de website beheerder. 20-11-20: Na telefoontje en e-mail alsnog terugkoppeling gegeven per e-mail. Het is niet uit te sluiten dat er een andere keuze gemaakt wordt dan een gebruiker zelf wenst wanneer het probleem misbruikt word. Daarnaast kan het natuurlijk ook zo zijn dat persoonsgegevens bijbehorend aan een account niet perse een-op-een hoeven te matchen met een IBAN. Bijvoorbeeld bij een koppel man/vrouw of familie account. Het is slechts een indicatie. Wel is het zo dat er tegenwoordig een IBAN-naam-check is geïmplementeerd door (bijna alle) banken, hiermee zou dit mogelijk opvallen bij het crediteren en vele afwijkingen. Niettemin is het een probleem wat opgelost moet worden. Ik vind daarom de reactie van de website beheerder ook opmerkelijk. In afwachting van reactie van de Blauwe Kei. 12-04-20: Geen terugkoppeling vernomen. Publicatie.