Kwetsbaarheid in Veerpas maakt gratis opwaarderen mogelijk
Vanaf januari 2025 stappen verschillende veerdiensten in de regio over op de Veerpas, een digitale pas die als betaalmiddel wordt gebruik voor veerpontdiensten in bepaalde regio's in Nederland. De pas bevatte echter een kwetsbaarheid, die het mogelijk maakte het tegoed op de pas gratis op te waarderen.
Dit schrijf Dennis Baaten van Baaten ICT Security, die het lek ontdekte en meldde bij Veerdienst Bergstoep en websitebouwer Rosegaar. Het gaat volgens Baaten om een zogeheten 'blanco cheque'-kwetsbaarheid. "Donderdag 19 december tijdens de overtocht op weg naar huis kocht ik zo’n Veerpas en later die avond koppelde ik deze Veerpas aan mijn nieuwe veerpas.nl account. Toen ontdekte ik een blanco-cheque-kwetsbaarheid", aldus Baaten.
"Tijdens het aanmaken van mijn account op veerpas.nl routeerde ik al het verkeer tussen mijn webbrowser en de server van veerpas.nl naar de proxy functie van de applicatie Burp Suite. Deze man-in-the-middle positie geeft mij de mogelijkheid om de werking van de website te analyseren en dingen te testen. Na wat “klikken, kijken, leren” viel mijn oog op het zogenaamde drop-down menu waarin je kon kiezen met welk bedrag je het tegoed op je Veerpas wil opwaarderen."
5000% bonus
Via dit menu is het mogelijk het tegoed op te waarderen, waarbij afhankelijk van het bedrag een percentage extra tegoed beschikbaar wordt gesteld. Wie bijvoorbeeld voor 15 euro opwaardeert, krijgt 10% extra tegoed. Dit menu bleek echter te manipuleren. Baaten slaagde er zo in de Veerpas voor 1 euro op te waarderen, en hiermee 5000% bonus te ontvangen. In de praktijk leverde dat een tegoed van 50 euro op, terwijl hij slechts 1 euro afrekende.
"Diezelfde avond nog besloot ik dit te melden via een e-mailadres op de website en de volgende dag werd ik gebeld door Rosegaar; de partij die deze website heeft gebouwd. Na dankwoorden voor het melden, volgde de mededeling dat de kwetsbaarheid reeds was verholpen en dat de medewerker in kwestie er even op was aangesproken. De persoon die mij te woord stond was er heel duidelijk over: “dit hoort natuurlijk niet zo gebouwd te worden”. Wat mij betreft een prima reactie en een pluim voor de snelle response", schrijft Baaten. Veerdienst Bergstoep heeft niet gereageerd op de melding van Baaten.
Meer informatie is hier beschikbaar.