Ethische hacker breekt in bij Ticketscript

Ticket

We slaan steeds meer data digitaal op: onze naam, geboortedatum, adres, telefoonnummer, e-mailadres tot aan onze medische gegevens en ons BSN. Allerlei partijen beheren die gegevens voor ons. Wanneer je je registreert in een ziekenhuis, maar ook als je een bestelling plaatst in een webwinkel. Partijen die zulke persoonsgegevens opslaan, moeten daar volgens de wet zorgvuldig mee omgaan en de gegevens beschermen tegen hackers. 

Als hackers met slechte intenties jouw gegevens in handen krijgen, kunnen ze daar misbruik van maken. Ze kunnen bijvoorbeeld bankrekeningen openen of leningen afsluiten op jouw naam. Of ze sturen specifieke, gerichte phishingmails naar je om je op te lichten. Het is dus erg belangrijk dat gegevens goed worden bewaard. Twee hackers melden zich bij ons met een beveiligingslek dat ze hebben gevonden.

Inspectie Jeugdzorg

Mischa van Geelen is een hacker die al op jonge leeftijd ontdekt dat hij handig is met computers. Hij meldt zich bij ons met een kwetsbaarheid op de website van Inspectie Jeugdzorg. Dat betekent dat de website van de inspectie voor een cybercrimineel te infecteren is met malware, waardoor alle bezoekers van die website vervolgens een virus kunnen krijgen.

Het gaat hier dus om een lek in de website, niet om een lek in de bestanden en dossiers die bij de Inspectie Jeugdzorg opgeslagen liggen. 

Ticketscript

Niet veel later krijgen we een telefoontje van Sijmen Ruwhof. Hij onderzoekt al 19 jaar de veiligheid van websites en computersystemen. Hij heeft een ernstiger lek aangetroffen: ticketscript. Dit is een bedrijf dat evenementen ondersteunt bij de verkoop van kaartjes. Volgens de eigen website hebben ze al 20 miljoen kaarten verkocht voor 125.000 evenementen. 

Op internet treft Ruwhof het interne systeem van Ticketscript aan. Met een standaardcombinatie voor inlognaam en wachtwoord (admin/admin) kan hij zomaar het systeem binnenkomen. Daar treft hij de gegevens aan van klanten die via Ticketscript kaartjes hebben gekocht.

Ruwhof is een ethisch hacker en kijkt daarom alleen naar het noodzakelijke om te kunnen verifiëren hoe groot het lek is. Hij telt dus niet zelf hoeveel gegevens in de database staan, omdat hij daarvoor veel gegevens zou moeten bekijken. In plaats daarvan doet hij een grove, voorzichtige schatting van 200.000 tot 300.000 gegevens. Het gaat om namen, e-mailadressen en telefoonnummers van mensen die ooit een kaartje via Ticketscript hebben gekocht.

Omdat het voor de kopers niet in alle gevallen duidelijk is dat de aankoop van het kaartje via Ticketscript verloopt, weten veel mensen dan ook niet dat hun gegevens daar bekend zijn. Het is nog niet duidelijk of Ticketscript deze mensen gaat inlichten.

De slachtoffers van dit datalek zijn dus mensen die ooit een kaartje hebben gekocht. Het is niet altijd duidelijk of je dat hebt gedaan, omdat je als consument niet met Ticketscript te maken hebt. Het is niet duidelijk wat Ticketscript hieraan gaat doen.

Meldplicht datalekken

In de wet staat dat bedrijven die met persoonsgegevens werken, daar verantwoordelijk mee moeten omgaan. Als er een datalek heeft plaatsgevonden, zijn bedrijven sinds dit jaar verplicht dat te melden bij de Autoriteit Persoonsgegevens. 

Wanneer is er sprake van een datalek? Daar is een heldere vragenlijst voor. In het geval van Ticketscript heeft zich een zogenoemd 'beveiligingsincident' voorgedaan, omdat Ruwhof de persoonsgegevens kon inzien terwijl dat niet de bedoeling was. Als er vervolgens niet redelijkerwijs kan worden uitgesloten dat een kwaadwillende daar misbruik van heeft gemaakt, moet het incident gekwalificeerd worden als datalek.

Een bedrijf werkt vaak samen met allerlei leveranciers. Ook het platform waarop de persoonsgegevens te zien waren, was van een leverancier van Ticketscript. Wie is er dan verantwoordelijk voor zo'n lek? De Autoriteit Persoonsgegevens zegt daarover dat het bedrijf aan wie de consument zijn gegevens toevertrouwt, ook verantwoordelijk is voor de beveiliging. 

Reactie Ticketscript

Ticketscript wilde niet op camera reageren. Via hun advocaat hebben wij per e-mail een reactie ontvangen. Dit is de volledige reactie van Ticketscript:

'AVROTROS heeft ons op de hoogte gesteld van een kwetsbaarheid in het platform van één van onze leveranciers. Deze kwetsbaarheid betrof een onveilige username/password combinatie. Direct na deze melding hebben wij onze leverancier op de hoogte gesteld en is deze kwetsbaarheid verholpen.

Verder onderzoek heeft uitgewezen dat de beperkte hoeveelheid data die aanwezig was op dit platform niet verder gecompromitteerd is dan door de ethische hacker. Van de kwetsbaarheid is dus geen misbruik gemaakt. Het ging bovendien om een beperkt aantal niet-gevoelige gegevens. Desalniettemin betreuren we deze situatie zeer en waarderen we het dat AVROTROS ons op de hoogte heeft gebracht waardoor wij in staat zijn geweest adequaat te handelen.'

Bron: opgelicht.avrotros.nl

#communityAim2Secure

#Aim2SecurityIncidents