Een ticketverkoper die voor verschillende Nederlandse dierentuinen en pretparken de kaartverkoop verzorgde, is slachtoffer van een datalek. Hierbij zijn bijna twee miljoen sets van persoonsgegevens uitgelekt.
De ticketverkoper in kwestie is Ticketcounter. Het bedrijf verzorgt de verkoop van tickets voor onder andere Diergaarde Blijdorp, Dierenpark Amersfoort, Burgers’ Zoo en Keukenhof. Ook pretparken als Phantasialand en verschillende musea maakten gebruik van de ticketverkoper.
HaveIBeenPwned
In een bericht op zijn website meldt Ticketcounter dat het gaat om de persoonsgegevens van 1,5 miljoen consumenten. Hierbij gaat het om NAW-gegevens, geslacht, geboortedatum, contactgegevens en in sommige gevallen het bankrekeningnummer. HaveIBeenPwned heeft inmiddels ook toegang tot de gegevens gekregen en een e-mail naar alle slachtoffers gestuurd. Daarin wordt echter gesproken van 1.921.722 accounts. Via HaveIBeenPwned kunnen gebruikers nu controleren of hun e-mailadres onderdeel was van de gelekte gegevens.
Onbeveiligde container
De gegevens zijn uitgelekt doordat ze in augustus 2020 in een cloudomgeving waren gezet om een systeem te kunnen ontwikkelen om gegevens te anonimiseren. Door een menselijke fout kwam de database terecht in een Azure Storage-container die niet was beveiligd, vertelt Ticketcounter-directeur Sjoerd Bakker tegen Tweakers.
7 bitcoin
Een aanvaller kwam de gegevens tegen en wist er een kopie van te maken. Vervolgens nam de aanvaller contact op met Ticketcounter en vroeg een bedrag van 7 bitcoin (momenteel bijna 300.000 euro) om te voorkomen dat partners van Ticketcounter op de hoogte werden gebracht van het lek. Ticketcounter had de partners echter al snel zelf ingelicht en daarop besloot de aanvaller de database de delen op een hackerforum.
Ticketcounter heeft de gestolen gegevens snel van zijn database verwijderd. Dit bemoeilijkte echter het onderzoek van de politie, maar een ethische hacker bleek een kopie van het bestand te helpen, zodat de omvang van het lek alsnog in kaart gebracht kon worden.
Gegevens langer dan een jaar bewaard
Opvallend is dat er ook relatief oude gegevens in de database waren opgeslagen. Ticketcounter had tot voor kort op zijn website staan dat het bedrijf gegevens niet langer dan 1 jaar op zijn website zou bewaren. De gestolen gegevens zijn echter van tussen medio 2017 en augustus 2020, schrijft de NOS. Meerdere gebruikers bevestigen dat zij langer dan een jaar geleden een bestelling via Ticketcounter hadden geplaatst.
Ticketcounter heeft de verwoording bij zijn privacyvoorwaarden inmiddels aangepast met de vermelding dat het bedrijf persoonsgegevens niet langer bewaart ‘dan strikt noodzakelijk’. De oude tekst is echter nog terug te vinden via de Wayback Machine. Of Ticketcounter hiermee in overtreding van de GDPR is, is niet duidelijk. De Autoriteit Persoonsgegevens benoemt op zijn website dat een organisatie gegevens ‘niet langer dan noodzakelijk’ mag bewaren. Een specifieke tijdsspanne wordt hierbij niet vermeld.
Tip: ‘Nederlandse consument heeft weinig digitaal vertrouwen in bedrijven’