Hacker steelt klantgegevens van anderhalf miljoen Nederlanders door datalek Ticketcounter

Meerdere pinguïns op een rij in een dierentuin

De persoonsgegevens van anderhalf miljoen Nederlanders zijn buitgemaakt door een datalek bij Ticketcounter. Door een ‘menselijke fout’ waren de gegevens maandenlang online in te zien. Het lek is direct gemeld bij de Autoriteit Persoonsgegevens. De dader is echter nog niet klaar en eist 7 bitcoin van Ticketcounter.

Dat bevestigt Sjoerd Bakker, directeur van Ticketcounter, tegenover het AD. Het bedrijf heeft een FAQ-pagina online gezet, waar het antwoorden verschaft op de meest prangende vragen.

Zo is het datalek ontstaan

Ticketcounter is een bedrijf dat het reserveringssysteem beheert van een groot aantal Nederlandse dierentuinen en pretparken. Enkele klanten van Ticketcounter zijn Diergaarde Blijdorp, Burgers’ Zoo, Dierenpark Amersfoort, de Apenheul en Duinrell. Iedereen die ooit een entreekaartje voor deze dierentuinen of een van de tientallen andere attractieparken heeft gekocht, staat in de database van Ticketcounter.

Wat is er nu precies gebeurd? Directeur Sjoerd Bakker legt uit dat een medewerker per ongeluk de klantgegevens van anderhalf miljoen Nederlanders op een onbeveiligde server had geplaatst. De gegevens waren zodoende van 5 augustus 2020 tot en met 22 februari 2021 te vinden. Een hacker slaagde erin om de persoonsgegevens te stelen. Zodra hij alles had binnengehaald, bood hij de data te koop aan op het dark web.

Dader eist 7 bitcoin losgeld, Ticketcounter weigert te betalen

De aanvaller perst Ticketcounter ook nog eens af, zo vertelt Bakker. De directeur bevestigt dat hij 7 bitcoin -tegen de huidige koers een bedrag van bijna 285.000 euro- eist. Als het bedrijf het losgeld niet betaalt, dreigt hij de gegevens daadwerkelijk te verkopen. Bakker zegt het geld niet te gaan betalen. “Daarom treden we er nu ook mee naar buiten. We waarschuwen onze klanten dat dit is gebeurd (…) Die afperser blijft wel steeds appjes sturen. Hij zegt dat ‘de tijd op is’. In het Engels, dan hè. Hij appt nu weer, maar ik reageer even niet meer”, aldus de directeur  tegenover het AD.

Klanten die de dupe zijn van het datalek, zijn per e-mail op de hoogte gesteld. Uit de correspondentie, die is ingezien door de redactie van VPNGids.nl, blijkt dat de dader veel persoonlijke en privacygevoelige gegevens heeft buitgemaakt. Het gaat om voor- en achternaam, adres, postcode, geboortedatum, telefoonnummer, e-mailadres en bankrekeningnummer. Inlog- en creditcardgegevens zijn niet uitgelekt door het datalek.

Het verschilt per dierentuin of attractiepark hoeveel gegevens er zijn buitgemaakt. Bij Burgers’ Zoo en de Apenheul bijvoorbeeld is data gestolen van iedereen die tussen 19 juni 2017 en 4 augustus 2020 online een ticket heeft gekocht. Bij Dierenpark Amersfoort gaat het om gegevens die tussen 23 juli 2018 en 4 augustus 2020 via internet een entreekaartje hebben gekocht. Burgers’ Zoo benadrukt dat er geen gegevens zijn gelekt uit het abonnementensysteem.

Ticketcounter: ‘Mensen lopen geen direct gevaar, maar wees wel alert’

In de e-mail aan klanten staat dat men ‘geen direct gevaar’ loopt door de gegevens die zijn gelekt. “Het is echter weldegelijk belangrijk dat u waakzaam en alert bent op verdachte berichten of verzoeken via de mail, telefoon of andere communicatiemiddelen”, zo waarschuwt Burgers’ Zoo haar klanten. De Arnhemse dierentuin schrijft dat Burgers’ Zoo, Ticketcounter noch de bank telefonisch, per e-mail, sms of WhatsApp om een pincode, overboekingen of andere vertrouwelijke financiële informatie vraagt.

Sjoerd Bakker bevestigt dit tegenover het AD. “Ze kunnen er niets mee [met de gestolen klantgegevens, red.]. Het is hetzelfde als wanneer je een bonnetje laat liggen bij de geldautomaat. Wij adviseren om extra alert te zijn op zogenaamde phishingactiviteiten. Een hacker kan zich bijvoorbeeld voordoen als een medewerker van een bank en uw gegevens gebruiken om te bewijzen dat hij ‘echt van de bank’ is.”

Heb je geen e-mail ontvangen van een dierentuin of attractiepark die je de afgelopen jaren hebt bezocht, maar maak je je toch zorgen? Diverse partijen hebben een controlefunctie beschikbaar gesteld, waaronder Burgers’ Zoo, Diergaarde Blijdorp en Dierenpark Amersfoort. Als je je e-mailadres invult, krijg je te zien of je klantgegevens zijn buitgemaakt en welke.

Ticketcounter waarschuwt toezichthouder over datalek

Ticketcounter heeft het datalek inmiddels gedicht. Er is eveneens aangifte gedaan bij de afdeling Cybercrime van de Rotterdamse politie. Tot slot is het datalek ook gemeld bij de Autoriteit Persoonsgegevens.

Update (2 maart 2021): de Australische beveiligingsonderzoeker Troy Hunt zegt dat er bij het datalek bij Ticketcounter niet anderhalf miljoen, maar 1,9 miljoen gebruikers zijn getroffen. Zoveel e-mailadressen heeft hij aan zijn datazoekmachine Have I Been Pwned toegevoegd, zegt hij op Twitter. Naar eigen zeggen was 60 procent van de e-mailadressen al bekend.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen