Groot datalek bij reserveringssysteem dierentuinen en pretparken
Persoonlijke gegevens van vermoedelijk honderdduizenden mensen zijn in verkeerde handen gevallen door een lek bij het bedrijf Ticketcounter. Het gaat om namen, e-mails, geboortedata, adressen en bankrekeningnummers. Ticketcounter regelt in opdracht van dierentuinen, pretparken, musea en evenementen reserveringen en betalingen.
Ticketcounter kreeg onlangs van beveiligingsexperts te horen dat data van gebruikers werden aangeboden op het dark web, een deel van het web dat niet gemakkelijk toegankelijk is. Daarop ontdekte het bedrijf dat door "een menselijke fout" een groot datalek is ontstaan. Gegevens die vertrouwelijk waren zijn op een verkeerde plek opgeslagen, zegt directeur Sjoerd Bakker.
Het gaat volgens hem om 1,5 miljoen tot 1,8 miljoen verschillende e-mailadressen uit de periode medio 2017 tot en met 4 augustus vorig jaar.
Bakker spreekt van een nachtmerrie. Hij wordt sinds vrijdag naar eigen zeggen ook afgeperst met verzoeken om geld over te maken. "Als ik dat niet doe, dreigen ze de gegevens van klanten verder te verspreiden. Ze wilden zeven bitcoins. Ik heb de politie ingeschakeld en het cyberteam van de politie Rotterdam doet onderzoek. Ik heb niet betaald en dat gaat ook niet gebeuren."
Phishing-waarschuwing
Klanten van Ticketcounter hebben mensen via e-mails inmiddels op de hoogte gebracht van het lek en geadviseerd om alert te zijn op phishing, waarbij criminelen zich bijvoorbeeld voordoen als bankmedewerker.
Ticketcounter heeft het bestand met gegevens direct verwijderd toen het hoorde dat de gegevens te koop werden aangeboden. Volgens Bakker was dat achteraf gezien niet de juiste reactie. "We hadden de gegevens beter veilig kunnen stellen, dan hadden we kunnen zien wat er precies is gelekt. Daags na het lek kregen we via ethische hackers alsnog het bestand en konden we de omvang van het lek vaststellen."
"Het is de ergste nachtmerrie die je kunt overkomen", zegt Bakker. "Onze business is vertrouwen, daar doen we alles aan. Daar steken we veel geld, energie en tijd in, maar die uitspraken zijn weinig waard als er zo'n fout wordt gemaakt."
De politie Rotterdam bevestigt dat er aangifte is gedaan, maar wil er verder niets over kwijt.
Het bedrijf zegt ook een melding te hebben gedaan bij de Autoriteit Persoonsgegevens. Die toezichthouder zegt pas met mededelingen te kunnen komen als er onderzoek is gedaan en niet in te gaan op individuele gevallen.