De namen en bankrekeningnummers van honderdduizenden bioscoopbezoekers van Vue zijn voor een onbekende tijd toegankelijk geweest. De security-keys die nodig waren om bij deze gegevens te komen, bleken gewoonweg op de Vue-website toegankelijk te zijn, meldt RTL Nieuws.
De programmeur Sten Lankreijer (22) uit Hilversum ontdekte het lek en meldde het aan het bedrijf. Als bezoeker van de lokale Vue-bioscoop was hij benieuwd naar de veiligheid van de website van het bedrijf en herkende de kwetsbaarheid.
Specifiek ging het hier om twee zwaktes op de Vue-site. Allereerst kon de broncode van de website worden ingezien, waardoor te zien was dat een functie die afbeeldingen verkleint te exploiteren was om meer toegang te verkrijgen. Eveneens kon een aanvaller op de inlogpagina van de Vue-database een SQL-injectie uitvoeren, waarna het uitvoeren van ongewilde programmeercode mogelijk was.
Er is vooralsnog niet bekend of anderen op dezelfde wijze toegang hebben verkregen.
Alle IBAN’s op een rijtje
RTL Nieuws kon van een willekeurige dag zien welke transacties hadden plaatsgevonden en om welke bankrekeningen het ging. Voorletter, achternaam, woonadres, geboortedatum en e-mail stonden erbij vermeld.
Hoewel er dus geen cyberincident gedetecteerd is, is het goed mogelijk dat een ander individu dan Lankrijer dezelfde ontdekking heeft gedaan en dat niet heeft vermeldt. In dat geval zou het kunnen dat de gegevens zijn buitgemaakt. Hierdoor kunnen de gegevens de aanzet zijn voor identiteitsdiefstal of phishing-aanvallen op de personen in kwestie overtuigender te laten klinken.
Een woordvoerder van Vue stelt tegenover RTL Nieuws dat het lek inmiddels is gedicht.
Lees ook: Nederlander ontdekt AMD-kwetsbaarheid om data te lekken in alle Zen-chips