Tientallen bedrijven lichtten klanten niet in na datalek Ticketcounter

Man houdt concertkaartjes vast in zijn hand

De afgelopen weken heeft de Autoriteit Persoonsgegevens 46 bedrijven uit de cultuur- en entertainmentsector op de vingers getikt. Zij hebben hun klanten niet op de hoogte gebracht van het datalek dat begin maart plaatsvond bij Ticketcounter. Ook hadden zij zich niet bij de toezichthouder gemeld toen bleek dat persoonlijke gegevens van hun klanten op straat waren beland.

Dat bevestigt woordvoerder Silvia Pilger van de Autoriteit Persoonsgegevens tegenover NU.nl.

AP wijst tientallen bedrijven op hun meldplicht

De toezichthouder kan niet zeggen om welke bedrijven het gaat, maar geeft aan dat grote en kleine organisaties zich niet aan de regels hebben gehouden. “Denk aan musea, theaters, dierentuinen, evenementenbureaus, circussen, maar ook bedrijven in de retail die actief hebben gehad met de verkoop van toegangskaarten”, zo laat de woordvoerder weten tegenover NU.nl.

Hij zegt dat niet alleen Ticketcounter, maar ook de zakelijke klanten van het bedrijf zich hadden moeten melden bij de Autoriteit Persoonsgegevens. De privacywaakhond heeft een brief gestuurd naar 46 bedrijven en hen gewezen op hun meldplicht. Ondanks deze waarschuwing ondernamen de bedrijven, die voornamelijk werkzaam zijn in de cultuur- en entertainmentsector, geen actie. Zodoende is het onmogelijk om precies te zeggen hoeveel mensen op de hoogte zijn gebracht van het datalek bij Ticketcounter.

In de brief wijst de toezichthouder er tevens op dat de betrokkenen ‘onnodig risico’ lopen als zij niet op de hoogte zijn dat hun gegevens zijn buitgemaakt.

Hacker steelt persoonsgegevens van miljoenen Nederlanders

Begin maart kreeg Ticketcounter te maken met een datalek. Dit lek was ontstaan door een menselijke fout. Een medewerker had per ongeluk de klantgegevens van anderhalf tot twee miljoen Nederlanders op een onbeveiligde server geplaatst. Kwaadwillenden konden zodoende tussen 5 augustus 2020 en 22 februari 2021 bij deze data. Dat is precies wat een hacker deed. Nadat hij had binnengehaald wat hij zocht, bood hij de gegevens te koop aan op het dark web, het afgesloten deel van het internet voor het grote publiek.

Per zakelijke klant van Ticketcounter verschilde hoeveel en welke data was buitgemaakt. Bij Burgers’ Zoo en de Apenheul bijvoorbeeld werd data gestolen van iedereen die tussen 19 juni 2017 en 4 augustus 2020 online een ticket kocht. Bij Dierenpark Amersfoort ging het om gegevens die tussen 23 juli 2018 en 4 augustus 2020 via internet een entreekaartje hebben gekocht.

Wat we zeker weten is dat er veel privacygevoelige informatie is buitgemaakt bij het datalek. De aanvaller wist de hand te leggen op NAW-gegevens, geboortedata, telefoonnummers, e-mailadressen en bankrekeningnummers.  Inlog- en creditcardgegevens zijn niet op straat beland.

Ticketcounter: ‘Wees alert voor phishing’

De aanvaller eiste 7 bitcoin aan losgeld, wat destijds een waarde van net geen 300.000 euro had. Sjoerd Bakker, de directeur van Ticketcounter, zei dat hij het geld nooit zou betalen. Tegenover het AD zei hij dat de hackers niets met de gestolen klantgegevens kunnen. “Het is hetzelfde als wanneer je een bonnetje laat liggen bij de geldautomaat”, zo zei hij.

Bakker drukte iedereen op het hart om alert te zijn voor phishingactiviteiten en pogingen tot oplichting. “Een hacker kan zich bijvoorbeeld voordoen als een medewerker van een bank en uw gegevens gebruiken om te bewijzen dat hij ‘echt van de bank’ is”, aldus de directeur van Ticketcounter.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen