Nieuws

Ticketcounter: datalek had kinderlijk eenvoudig voorkomen kunnen worden

vrijdag 24 februari 2023, 10:16 door Redactie, 7 reacties

Het datalek bij ticketverkoper Ticketcounter in 2021, waar de gegevens van 1,9 miljoen gebruikers werden gestolen, had kinderlijk eenvoudig voorkomen kunnen worden, zo stelt de directeur van het bedrijf. Ticketcounter verzorgt online kaartverkoop voor allerlei evenementen, musea, pretparken en dierentuinen. Een back-up van het bedrijf was door een fout voor iedereen op internet toegankelijk en werd in februari 2021 gedownload.

De aanvallers dreigden de gestolen gegevens openbaar te maken, tenzij het bedrijf zou betalen. Gisteren maakte de politie bekend dat in deze zaak drie verdachten zijn aangehouden, die worden verdacht van het stelen van miljoenen persoonsgegevens bij meer dan duizend bedrijven. Tegenover BNR stelt Ticketcounter-directeur Sjoerd Bakker dat het datalek door "onzorgvuldigheid" aan de kant van het bedrijf is ontstaan en het kinderlijk eenvoudig voorkomen had kunnen worden.

"Het is eigenlijk kinderlijk eenvoudig. Negentig procent van de datadiefstallen, datalekken vindt plaats doordat je toch net wat onzorgvuldig omgaat met gegevens en bij ons was het zo dat die [de back-up - red] op een plek stond die publiek beschikbaar was. Hadden we daar een wachtwoord op gezet was het nooit gebeurd of is de kans kleiner. Wees je bewust van de data. Zodra een computer is gekoppeld aan het internet is die kwetsbaar."

Ticketcounter werkt met Microsoft Azure en maakt gebruik van containers voor de opslag van gegevens. In een publiek toegankelijke container werd de back-up geplaatst die vervolgens door de aanvallers werd gedownload. "Vroeger was het zo dat bij het aanmaken van een container publieke toegang standaard aan stond. Tegenwoordig staat het standaard uit en moet je mensen expliciete toegang geven. De container is jaren geleden aangemaakt, dus met publieke toegang aan. Daar is even een back-up neergezet, en door trial en error, het lukraak gokken van bestandsnamen, hebben ze uiteindelijk dat bestand te pakken gekregen", liet Bakker weten.

QNAP looft 20.000 dollar uit voor ernstige kwetsbaarheden in NAS-systemen

Microsoft adviseert meer locaties op Exchange-servers op malware te scannen

Reacties (7)

24-02-2023, 10:22 door Anoniem

Eerlijk is eerlijk, hij is er tenminste open over. Geen 13 in een dozijn mediaspin die er aan wordt gegeven zoals "we zijn het slachtoffer geworden van een extreem geraffineerde aanval". Ze hebben een dure fout gemaakt die niet had mogen gebeuren. Laat het een goede leerschool zijn met de juiste opvolging om dit in de toekomst te vermijden. Hopelijk krijgt dit voorval geen negatief staartje voor de gedupeerden.

24-02-2023, 10:30 door Anoniem

Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Beetje als een supermarkt die op de tafel in de kantine producten legt die 'vandaag' hun THT datum hebben en dan medewerkers ontslaat omdat ze die opeten.

24-02-2023, 11:27 door Anoniem

Qua gegevens weet ik het niet.
In de fysieke wereld is het inSLUIPEN als je door een open deur gaat, en inBREKEN als je een beetje werk moet doen. Beiden strafbaar.

Er misbruik van maken zal hoe dan ook strafbaar zijn,

24-02-2023, 11:33 door Anoniem

Door Anoniem: Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Beetje als een supermarkt die op de tafel in de kantine producten legt die 'vandaag' hun THT datum hebben en dan medewerkers ontslaat omdat ze die opeten.

Ja. Net zoals het stelen is als iemand iets uit jouw huis meeneemt als de tuindeur open staat.

24-02-2023, 23:31 door Anoniem

Sommigen noemen dat gelegenheid bieden en dat is ook strafbaar. Uitlokking eveneens.

25-02-2023, 13:21 door Anoniem

Een oplichter benaderde Sjoerd Bakker en dreigde klantgegevens van Ticketcounter door te verkopen, tenzij hij 250.000 euro in de vorm van 7 bitcoins zou ophoesten. Om hem te intimideren, liet de oplichter weten dat hij wist met wie Bakker getrouwd was. Bakker deed daarop aangifte, en drie criminelen werden door de politie opgepakt. Lees zijn hele verhaal.

Vier dagen voor de chantage weet Bakker al dat er iets mis is. Persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum worden aangeboden op hackersforum RaidForums.

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5367184/ticketcounter-slachtoffer-diefstal-data-chantage-intimidatie

27-02-2023, 14:12 door Anoniem

Door Anoniem:

Ja dat is strafbaar te stellen als bewezen kan worden (wat niet zo moeilijk is) dat de gegevens niet openbaar hadden mogen zijn. Staat er ook maar ergens vertrouwelijk niet voor externe inzage bijvoorbeeld dan is dat al meer dan genoeg om er een case van te maken. Het zelfde gaat om enige persoons informatie die naar voren komt in de data. In dit geval ging het om folders van een backup daar ga je niet perongeluk in neuzen en informatie kopieeren. En zoals je leest hebben ze een vorm van bruteforcing toegepast om het bestand te vinden.

Het wordt lastiger als het om een zoekmachine geindexeerde bestandslink gaat naar vertrouwlijke informatie.
Bijvoorbeeld hxxp://uwdomein.nl/financiele_rapportage_2022.pdf
Dan nog als je handeld met die data ben je strafbaar te stellen maar enkel de inzage ervan zelf is niet genoeg.

Dit laatste gebeurd helaas veel te vaak nog. Ik heb er een standaard mail template voor om zulke problemen te rapporteren naar het specifieke bedrijf.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Ticketcounter: datalek had kinderlijk eenvoudig voorkomen kunnen worden

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren