Het is eigenlijk te ironisch om waar te zijn, maar toch: afgelopen dinsdag werd de site van de populaire tv-serie Mr. Robot, over hacker Elliot, gekraakt door een hacker. Die had gelukkig geen kwade bedoelingen, maar stuurde direct een berichtje naar de schrijver van de serie, die het lek direct liet dichten.
De timing van hacker Zemnmez was nauwelijks toeval te noemen. Afgelopen dinsdag lanceerde tv-zender USA Network namelijk een nieuwe campagne en bijbehorende site om het nieuwe seizoen van Mr. Robot te promoten. Als onderdeel van de campagne zagen we onder andere een fictieve toespraak van President Obama. Op de website WhoIsMrRobot.com kunnen fans van de serie meer ontdekken over het tweede seizoen via een nagebootste Linux-omgeving en IRC Chat.
Facebook-gegevens
Hacker Zemnmez ontdekte de fout in de website (een XSS-lek, voor de liefhebbers) haast direct na de lancering, maar kon geen contactgegevens vinden om zijn bevindingen de delen. Via een journalist van Forbes kwam hij uiteindelijk terecht bij het e-mailadres van Sam Esmail, de schrijver van de serie. Zijn contactgegevens bleken nog terug te vinden in gearchiveerde domeinregistraties.
Met name het onderdeel ‘fsociety’ op de website bleek toegang te kunnen geven tot gevoelige informatie. Voor deze quiz worden gebruikers om hun Facebook-gegevens gevraagd, informatie die hackers eventueel hadden kunnen kapen via het lek. “Het was goed mogelijk geweest om via XSS een apart scriptje in te laden waardoor alle Facebook-gegevens via dat onderdeel kunnen worden uitgelezen en doorgestuurd naar een andere partij”, zo laat de hacker weten in gesprek met Fortune.
Intussen heeft het team achter de serie het lek weten te dichten, met dank aan Zemnmez. De quiz ‘fsociety’ is ook nog altijd te spelen op de website. Het tweede seizoen van Mr. Robot trapt af op 13 juli. Wanneer de serie dan in Nederland te zien is, blijft nog even afwachten.