Abonneer je gratis op Techzine!

De website van Mooi Weer de Leeuw, een televisieprogramma van de VARA en Paul de Leeuw uit 2009, bevatte een SQL-injectielek waardoor er maar liefst 19.000 e-mail en ip-adressen konden worden uitgelezen. De VARA heeft de website inmiddels offline gehaald.

Een hacker die zichzelf Xcrypt0 noemt stuitte op het lek en meldde dit meerdere malen bij de VARA. Het zou gaan om een fout in het gastenboek van de website. De VARA verzuimde echter om actie te ondernemen of de e-mails van de hacker te beantwoorden waarop de hacker besloot onze collega’s van Tweakers te mailen. Zij namen vervolgens contact op met de VARA, waarop de website binnen 45 minuten offline werd gehaald.

Behalve het uitlezen van gegevens was het volgens de hacker ook mogelijk om gegevens aan te passen, iets wat hij naar eigen zeggen niet heeft gedaan. Gezien de hacker het lek netjes gemeld heeft lijkt deze geen kwade bedoelingen te hebben. Er lijkt in dit geval dan ook geen sprake te zijn van slachtoffers.

De webmaster van de VARA, Erik Leeders, heeft laten weten dat de website inderdaad kwetsbaar was en dat het een ‘kwalijke’ zaak is er dat er gegevens konden worden uitgelezen. "Deze site had een vrij oud content management systeem". Er zouden geen andere VARA websites gebruik maken van dit CMS, de VARA gebruikt voor haar andere websites TYPO3.