Een ernstig beveiligingslek in het contentmanagementsysteem (CMS) dat duizenden bedrijven voor hun website gebruiken is na twee jaar eindelijk gedicht, zo claimt de beveiligingsonderzoeker die het probleem ontdekte. Onderzoeker Sijmen Ruwhof wilde in oktober 2012 een nieuwe auto kopen.

Hij keek daarbij ook naar de website om te controleren of het geen malafide aanbieder was. De website van de autodealer bleek individuele webpagina’s in de map '/cms/' op te slaan. In deze map stond een lijst met ruim 2300 bedrijfsnamen van allemaal bedrijven die voor hun website hetzelfde CMS gebruiken. Verder onderzoek van Ruwhof wees uit dat het CMS kwetsbaar was voor SQL Injection, waardoor een aanvaller direct met de database van de websites kon communiceren en bijvoorbeeld gevoelige gegevens zou kunnen stelen.

Melding

Op 3 oktober 2012 belde Ruwhof de ontwikkelaar van het CMS en kreeg een medewerker aan de lijn die hem bedankte voor het melden van het lek, hoewel de onderzoeker nog geen details had kunnen delen. Direct nadat de medewerker hem had bedankt werd echter de verbinding verbroken. "Ik was met stomheid geslagen. Heb al vele malen ongevraagd per toeval gevonden beveiligingslekken gemeld aan bedrijven, maar dit had ik nog nooit meegemaakt. Kreeg geen kans om ook maar iets te zeggen, laat staan te vertellen waar precies de beveiligingslekken zaten", aldus Ruwhof.

In de zomer van 2013 wilde de onderzoeker kijken of het lek was verholpen, maar dat bleek nog steeds aanwezig te zijn. Uiteindelijk benaderde Ruwhof IT-journalist Brenno de Winter om te kijken of het probleem zo verholpen kon worden. Nu twee jaar later zijn de gevonden kwetsbaarheden eindelijk gepatcht. Hoewel Ruwhof verbolgen is over de reactie van de leverancier is hij blij dat het probleem is opgelost. "Ik hoop dat de betreffende softwareleverancier de beveiliging van hun software nu wel serieus neemt", besluit hij.