Ticketcounter waarschuwt klanten actief over het datalek dat begin maart plaatsvond. Dat is opmerkelijk, omdat de Algemene Verordening Gegevensbescherming (AVG) stelt dat dit de plicht is van de verwerkingsverantwoordelijke. Verschillende Kruidvat-klanten hebben inmiddels een e-mail ontvangen Ticketcounter, zo schrijft Tweakers.net.
Menselijke fout oorzaak van datalek Ticketcounter
Begin maart werd Ticketcounter geconfronteerd met een datalek. Een medewerker had per ongeluk klantgegevens van anderhalf tot twee miljoen Nederlanders op een onbeveiligde server geplaatst. Het ging daarbij om NAW-gegevens, geboortedata, telefoonnummers, e-mailadressen en bankrekeningnummers. Inlog- en creditcardgegevens werden niet buitgemaakt.
Door deze menselijke fout hadden hackers en cybercriminelen maandenlang toegang tot vertrouwelijke persoonsgegevens. Een onbekend iemand deed dat en bood vervolgens de gegevens aan op het dark web, het verborgen deel van het internet. De aanvaller eiste vervolgens 7 bitcoin van Ticketcounter, wat destijds een bedrag van 285.000 euro vertegenwoordigde. Algemeen directeur Sjoerd Bakker zei dat hij geen enkele intentie had om het gevraagde losgeld te betalen.
Hij verzekerde iedereen dat de aanvaller niets met de gestolen gegevens kon. Hij waarschuwede iedereen wel om alert te zijn voor phishing en andere pogingen om mensen op te lichten. “Een hacker kan zich bijvoorbeeld voordoen als een medewerker van een bank en uw gegevens gebruiken om te bewijzen dat hij ‘echt van de bank’ is”, aldus de directeur van Ticketcounter.
AP wijst partijen op hun meldplicht
Ticketcounter verzorgt het reserveringssysteem voor een groot aantal klanten, waaronder dierentuinen als Burgers’ Zoo, Diergaarde Blijdorp en Dierenpark Amersfoort. Als persoonsgegevens van hun klanten of bezoekers op straat belanden, moeten zij hun daarover inlichten. Dat schrijft Europese privacywet- en regelgeving voor. In deze kwestie is Ticketcounter de partij waarmee dierentuinen en pretparken een verwerkingsovereenkomst hebben gesloten. Laatstgenoemden zijn de verwerkingsverantwoordelijken die hun klanten op de hoogte moeten stellen van een datalek.
Velen van hen deden dat netjes, maar niet iedereen. Musea, theaters, dierentuinen, evenementenbureaus en retailers die hun meldplicht verzuimden, ontvingen in juni een brief van de Autoriteit Persoonsgegevens. Daarin schreef de toezichthouder dat gedupeerden ‘onnodig risico’ lopen als zij niet op de hoogte worden gebracht van het datalek. In totaal ging het om 46 bedrijven.
‘Onduidelijkheid wie klanten moet informeren’
Ondanks deze waarschuwing ondernamen veel bedrijven geen actie. Zo is het nog altijd onbekend hoeveel mensen daadwerkelijk zijn gewaarschuwd voor het datalek. Nu blijkt Ticketcounter klanten en bezoekers zelf in te lichten over het lek. Tweakers.net meldt dat verschillende lezers e-mails hebben ontvangen over het datalek. Het gaat om klanten die in het verleden via drogisterijketen Kruidvat kaartjes hebben gekocht.
“Tot op heden is er helaas nog onduidelijkheid over wie de klanten van Kruidvat moet informeren”, zo staat er volgens Tweakers.net in de e-mail van Ticketcounter. “Om ervoor te zorgen dat u op de hoogte komt van dit datalek, hebben we in goed overleg met de Autoriteit Persoonsgegevens besloten om u vanuit Ticketcounter deze mail te sturen.”
In de e-mail staat dat namen, e-mailadressen en telefoonnummers van klanten zijn gelekt. Klanten die kaartjes met iDEAL hebben afgerekend, daarvan is het IBAN-nummer op straat beland. Deze gegevens werden door een menselijke fout geruime tijd opgeslagen in een niet-beveiligde Azure Storage container. Deze is door een hacker gekopieerd en op het dark web aangeboden. Volgens de mail stonden er 1,5 tot 1,8 miljoen klanten in de database. Dat wil niet zeggen dat er ook zoveel slachtoffers zijn: mogelijk komen sommige klanten twee keer of vaker voor in de dataset.
