Voor de oplossing was de situatie zo: als je iets bestelde bij Hubble kreeg je een bonnetje met een nummer en daarmee kon je je bestelling volgen, zowel op de schermen in het café als op een website die op het bonnetje staat.

Op een apart systeem hield Hubble de orders bij en daar zat de kwetsbaarheid; een formulier waarvan de input niet gefilterd werd. Je kon er bestelnummers invoeren, maar ook teksten of afbeeldingen. “Dat is echt een typische beginnersfout”, zegt Söntgerath.

Wat is een reëel risico wat Hubble liep met deze fout? ”Het ging om een Cross Site Scripting (XSS) vulnerability. Ik kon in dat formulier invoeren wat ik wilde en dat werd vervolgens uitgevoerd in de browser van de bezoeker”, zegt Söntgerath. “Ik kon bijvoorbeeld een afbeelding plaatsen die ik zelf host op mijn server. En iedereen met een eigen server kan in de gaten houden welk verkeer er naar die server gaat en bijvoorbeeld ook de IP-adressen zien van bezoekers van Hubble.” De student weet dat het rommelen met orders – in dit geval van een café - die wel of niet klaar zijn niet het einde van de wereld betekent, maar het gaat hem om het principe.

Hoe kom je achter zo’n kwetsbaarheid? Söntgerath wil het wel verklappen: “Ik had eten besteld en moest steeds de pagina refreshen om te zien of mijn eten klaar was. Toen dacht ik: ‘Wat als ik nou gewoon een WhatsApp-bot schrijf die een berichtje stuurt als het klaar is?’ Ik ging inspecteren hoe die nummers op die site worden neergezet en dat kwam onder meer vanuit dit onbeveiligde formulier.”

Verantwoordelijkheden

Hubble Community Café is gevraagd naar het lek en of het opgelost is. Een medewerker van het bestuur laat weten dat het probleem is opgelost door de hele functie van de website af te halen. “Het systeem is verouderd en wordt niet meer als basis van het achterliggende systeem gebruikt. Sterker nog, inmiddels is de website volledig offline in afwachting van haar vervanger die alleen nog maar de bestelnummers weer zal geven.”

TU/e-Chief Information Security Officer (CISO) Martin de Vries vertelt dat websites van organisaties die niet gelieerd zijn aan de TU/e de verantwoordelijkheid zijn van die organisaties zelf. “Desondanks vinden we het in zijn algemeenheid belangrijk dat organisaties alert zijn op dit soort meldingen en deze actief oppakken.”

Het feit dat Community Café Hubble niet van de TU/e zelf is, vindt de student niet erg relevant. “Ik snap dat deze organisatie geen onderdeel uitmaakt van de TU/e, maar ze zit hier wel op de campus. TU/e’ers zijn duidelijk de doelgroep van dit café. Je kunt dat wat mij betreft niet los zien.”

Bewustzijn creëren

CISO De Vries zegt dat hij geen inzicht heeft in de technische details van het Hubble-lek en dat hij  daar niet op kan ingaan. Wel is hij van mening dat het in het algemeen goed is dat websites gecheckt worden op kwetsbaarheden. Dat kan een organisatie bijvoorbeeld doen door het (laten) uitvoeren van een security test, een zogenaamde security penetratie test.”

“Ook is er een Responsible Disclosure-regeling, waarbij externe personen -  bijvoorbeeld een ethische hacker - gevonden kwetsbaarheden kunnen melden bij de organisatie om ze op te lossen. Zo’n Responsible Disclosure-regeling is van belang voor de ethische hacker, omdat het zomaar checken en/of testen van een website strafbaar kan zijn.”

Söntgerath vindt het belangrijk om digitaal bewustzijn te creëren en meldde de fout onder andere via die RD-regeling. “Ik vind het belangrijk om meer bewust te zijn van de juiste beveiliging van sites en systemen, zeker gezien de cyberaanval van begin dit jaar. Elk lek kan potentieel leiden tot een hack. En dit heeft maanden geduurd eerdat het werd aangepakt, terwijl ik weet dat dit simpel op te lossen was”, aldus de student.

In eigen doel

“Het Hubble-lek is een fout die niemand die websites programmeert zou moeten maken”, vindt Söntgerath. “Het is alsof je in je eigen goal schiet bij voetbal. Dit keer was de impact redelijk klein, maar het kan op andere delen binnen de universiteit veel grotere gevolgen hebben.”

Dat is bijvoorbeeld het geval als een website door veel meer mensen zou worden gebruikt of op kritieke (TU/e-)systemen is aangesloten, iets dat Hubble heeft verzekerd dat hier niet het geval is geweest. “De Hubble-servers staan ook niet op de campus van de universiteit en zijn niet met het netwerk van de universiteit verbonden, noch met de kritische systemen van Hubble. De kritische systemen van Hubble worden namelijk uitbesteed aan een externe partij ”, zo verzekert Hubble.

Het bestuur van Hubble erkent de fout, maar is niet bang dat deze een grote impact zou hebben gehad. “Deze fout kon plaatsvinden omdat er een verouderd systeem gebruikt werd. Hubble is opgericht door en voor studenten. Dit betekent dat systemen op een vrijwillige basis door studenten gemaakt worden en dat daardoor dit soort dingen voor kunnen komen.”

Jan Friso Groote, hoogleraar bij de faculteit Mathematics & Computer Science probeert de fout te concretiseren door een duidelijke analogie. “Soms klinken programmeerfouten abstract en is het moeilijk de ernst ervan te wegen. Maar dit soort fouten – klein of groot – kun je vergelijken met het laten openstaan van een deur in je huis of auto. Vaak gaat het goed, soms valt er veel te stelen, soms weinig. Maar feit is dat de wereld flink is veranderd en dat je de deur tegenwoordig beter goed op slot doet.”