Bioscoopketen Vue heeft klanten gewaarschuwd voor een datalek in de webomgeving waarbij mogelijk persoonsgegevens zijn getroffen. Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens. Afgelopen zomer meldde RTL Nieuws op basis van een tip van een ethisch hacker dat Vue de privégegevens van honderdduizenden klanten lekte. Via een kwetsbaarheid in de website kon de broncode worden ingezien. Via de broncode werd informatie gevonden die toegang gaf tot de database van de bioscoopketen en de dienst die de betalingen verwerkt. Daarnaast bleek de website kwetsbaar voor SQL-injection.

Vue deed na melding van het datalek onderzoek en ontdekte dat "andere onbevoegden" dan de ethische hacker toegang hebben gehad tot de website en app. "De forensische experts hebben, op basis van de beschikbare logbestanden, echter geconstateerd dat alleen de ethische hacker in beperkte mate persoonsgegevens heeft gedownload om de kwetsbaarheden aan te tonen aan de RTL Nieuws journalist", aldus de bioscoopketen.

Getroffen klanten hebben vandaag een e-mail ontvangen waarin Vue waarschuwt dat hun gegevens mogelijk zijn getroffen. Wat betreft de gebruikte kwetsbaarheden zijn die inmiddels verholpen. "Ook hebben wij extra beveiligingsverbeteringen doorgevoerd bij onze website en app, en extra beveiligingscontroles en monitoring geïmplementeerd", zo laat Vue verder weten.