Reserveringen bij parkeerbedrijf Schiphol inzichtelijk voor onbevoegden

Het reserveringssysteem van Airport Parking Solutions, een holding waar meerdere parkeerbedrijven op Schiphol onder vallen, blijkt een beveiligingslek te hebben bevat. Door het reserveringsnummer in een URL te veranderingen kunnen onbevoegden door het reserveringssysteem bladeren en alle voorgaande en huidige reserveringen inzien. Doordat de identiteit van klanten niet goed werd gecontroleerd was het hierdoor mogelijk een auto van een onbekende mee te nemen bij de bedrijven.

Dit meldt het TV-programma Kassa. Wie op Schiphol gaat kan ervoor kiezen zijn auto bij een parkeerbedrijf rondom de luchthaven te parkeren. Hierbij geven zij hun voertuig af op het moment dat zij op reis gaan. Zodra klanten weer terug in Nederland zijn wordt het voertuig door het bedrijf weer voorgereden. Wie gebruik maakt van zo’n bedrijf gaat er vanuit dat zijn voertuig veilig staat. Dit blijkt echter niet altijd het geval.

Reserveringen van onbekenden inzien

Wie voorheen gebruik maakte van de bedrijven die onderdeel uitmaken van Airport Parking Solutions kregen een URL toegestuurd waarmee zij hun reservering online konden inzien. Door het reserveringsnummer in deze URL te wijzigen was het echter ook mogelijk reserveringen van andere in te zien. “De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is”, schrijft Kassa in een bericht op haar website.

Eén van de bedrijven die is aangesloten bij Airport Parking Solutions bleek daarnaast de identiteit van klanten onvoldoende te controleren indien een auto werd opgehaald. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto mee te krijgen. Een legitimatiebewijs werd hierbij niet gevraagd. “Omdat het via de beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte”, aldus Kassa.

Lek gedicht

De eigenaar van Airport Parking Solutions zegt geschrokken te zijn van de bevindingen. Het lek in het reserveringssysteem was volgens Karim Boukhidous, eigenaar van Airport Parking Solutions, niet bekend bij het bedrijf. Het lek is inmiddels gedicht. Klanten krijgen hun reservering voortaan uitsluitend via e-mail toegestuurd. Daarnaast zijn medewerkers extra geïnstrueerd over het verplicht controleren van de naam op het ticket en op het paspoort.