Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Miniatur Wunderland gehacked
Op 11 november 2025 maakt de website Looopings.nl bekend dat hackers malware hadden geïnstalleerd in het online ticketsysteem van Miniatur Wunderland in Hamburg, waardoor creditcardgegevens van ongeveer 35.000 bezoekers werden onderschept. Dit betrof betalingen tussen 6 juni 2025 en 22 augustus 2025, inclusief kaartnummer, vervaldatum en CVV-code. Miniatur Wunderland waarschuwde de getroffen klanten per e-mail, adviseerde kaarten te blokkeren en transacties te controleren, en verving de gehele infrastructuur binnen 72 uur na een tip van een creditcardmaatschappij. De politie en de Duitse privacywaakhond startten een onderzoek.
Recente ontwikkelingen (stand 15 november 2025)
Sinds de publicatie zijn er enkele updates verschenen in Duitse en internationale media, maar geen grote doorbraken. Hier een overzicht:
- Uitgebreidere periode van het lek: Latere berichten specificeren dat de aanval mogelijk langer duurde, tot 29 oktober 2025. Dit vergroot het aantal potentieel getroffen transacties, hoewel het exacte aantal slachtoffers niet is bijgewerkt.
- Technische details van de aanval: Hackers plaatsten kwaadaardige code in een module van het boekingssysteem, die betalingsgegevens onderschepte tijdens de transactie. Belangrijk: Miniatur Wunderland slaat geen creditcard-data lokaal op, dus alleen live transacties waren kwetsbaar. Het museum huurde IT-specialisten in om de systemen te isoleren en te beveiligen.
- Reactie van het museum: Frederik Braun, medeoprichter van Miniatur Wunderland, bevestigde de aanval tegenover regionale media zoals NDR. Het museum benadrukt dat geen andere persoonlijke data (zoals adressen of e-mails) is gelekt. Ze blijven getroffen klanten informeren en monitoren de situatie. Er is nog geen officiële update over compensatie of verdere maatregelen.
- Onderzoek en bredere context: De Duitse politie en de Landesdatenschutzbeauftragte (privacytoezichthouder) van Hamburg leiden het onderzoek. Er zijn geen meldingen van misbruik van de gestolen data op de dark web of fraude-incidenten die direct aan deze datalek worden gelinkt. Dit incident past in een reeks cyberaanvallen op toeristische attracties; eerder dit jaar had Miniatur Wunderland al een incident met een gasaanval, maar dat staat los hiervan.
Advies voor getroffen bezoekers
- Controleer je creditcard-afschriften op verdachte transacties uit de periode juni-oktober 2025.
- Neem contact op met je bank of creditcardmaatschappij als je een waarschuwingsmail hebt ontvangen.
- Voor meer info: Check de officiële site van Miniatur Wunderland of contacteer hun support.
Er lijken geen nieuwe escalaties te zijn sinds 13 november 2025, maar het onderzoek loopt nog.
Ook Nederlanders die in deze periode gebruik hebben gemaakt van hun creditcard voor Miniatur Wunderland, moeten mogelijk maatregelen nemen.
https://www.looopings.nl/weblog/30850/Hackers-stelen-creditcardgegevens-bij-Miniatur-Wunderland-tienduizenden-bezoekers-gewaarschuwd.html
Recente ontwikkelingen (stand 15 november 2025)
Sinds de publicatie zijn er enkele updates verschenen in Duitse en internationale media, maar geen grote doorbraken. Hier een overzicht:
- Uitgebreidere periode van het lek: Latere berichten specificeren dat de aanval mogelijk langer duurde, tot 29 oktober 2025. Dit vergroot het aantal potentieel getroffen transacties, hoewel het exacte aantal slachtoffers niet is bijgewerkt.
- Technische details van de aanval: Hackers plaatsten kwaadaardige code in een module van het boekingssysteem, die betalingsgegevens onderschepte tijdens de transactie. Belangrijk: Miniatur Wunderland slaat geen creditcard-data lokaal op, dus alleen live transacties waren kwetsbaar. Het museum huurde IT-specialisten in om de systemen te isoleren en te beveiligen.
- Reactie van het museum: Frederik Braun, medeoprichter van Miniatur Wunderland, bevestigde de aanval tegenover regionale media zoals NDR. Het museum benadrukt dat geen andere persoonlijke data (zoals adressen of e-mails) is gelekt. Ze blijven getroffen klanten informeren en monitoren de situatie. Er is nog geen officiële update over compensatie of verdere maatregelen.
- Onderzoek en bredere context: De Duitse politie en de Landesdatenschutzbeauftragte (privacytoezichthouder) van Hamburg leiden het onderzoek. Er zijn geen meldingen van misbruik van de gestolen data op de dark web of fraude-incidenten die direct aan deze datalek worden gelinkt. Dit incident past in een reeks cyberaanvallen op toeristische attracties; eerder dit jaar had Miniatur Wunderland al een incident met een gasaanval, maar dat staat los hiervan.
Advies voor getroffen bezoekers
- Controleer je creditcard-afschriften op verdachte transacties uit de periode juni-oktober 2025.
- Neem contact op met je bank of creditcardmaatschappij als je een waarschuwingsmail hebt ontvangen.
- Voor meer info: Check de officiële site van Miniatur Wunderland of contacteer hun support.
Er lijken geen nieuwe escalaties te zijn sinds 13 november 2025, maar het onderzoek loopt nog.
Ook Nederlanders die in deze periode gebruik hebben gemaakt van hun creditcard voor Miniatur Wunderland, moeten mogelijk maatregelen nemen.
https://www.looopings.nl/weblog/30850/Hackers-stelen-creditcardgegevens-bij-Miniatur-Wunderland-tienduizenden-bezoekers-gewaarschuwd.html
Reacties (3)
Vandaag, 03:19 door
Anoniem
Het is de bedoeling dat de CVV helemaal niet wordt opgeslagen. Ik vraag me af of Miniatur Wunderland door dat toch te doen zijn eigen aansprakelijkheid voor schade door misbruik van de gestolen gegevens heeft verhoogd.
De CVV is in een tijd van elektronische administraties en een wereldwijd netwerk waar alles aan gekoppeld is overigens een bizar zwak beveiligingsmechanisme, waarvan ik het eigenlijk verbijsterend vind dat het nog gebruikt wordt. Dit had al decennia geleden afgebouwd en afgeschaft moeten worden.
De CVV is in een tijd van elektronische administraties en een wereldwijd netwerk waar alles aan gekoppeld is overigens een bizar zwak beveiligingsmechanisme, waarvan ik het eigenlijk verbijsterend vind dat het nog gebruikt wordt. Dit had al decennia geleden afgebouwd en afgeschaft moeten worden.
Vandaag, 11:01 door
G.J. van Eersum
@TS VM,
Wat je hier bericht is precies de reden waarom ik inmiddels alweer zo'n 6 of 7 jaar geleden mijn Credit Card heb opgezegd. Ik weet dat ik daarmee mijn financiële transactie mogelijkheden beperkte maar ik vond het risico toch te groot worden hoewel ik zelfs een tussenpersoon gebruikte voor alle credit card betalingen. Dat was Paypal.
Feitelijk is zo'n constructie (Alle credit card afschrijvingen via Paypal) veiliger dan overal waar je een aankoop doet direct je credit card gebruiken omdat jij je credit card credentials telkens weer opnieuw moet doorgeven. Bij Paypal doe je dat slechts één keer.
Wat je hier bericht is precies de reden waarom ik inmiddels alweer zo'n 6 of 7 jaar geleden mijn Credit Card heb opgezegd. Ik weet dat ik daarmee mijn financiële transactie mogelijkheden beperkte maar ik vond het risico toch te groot worden hoewel ik zelfs een tussenpersoon gebruikte voor alle credit card betalingen. Dat was Paypal.
Feitelijk is zo'n constructie (Alle credit card afschrijvingen via Paypal) veiliger dan overal waar je een aankoop doet direct je credit card gebruiken omdat jij je credit card credentials telkens weer opnieuw moet doorgeven. Bij Paypal doe je dat slechts één keer.
Vandaag, 13:00 door
Anoniem
Door Anoniem: Het is de bedoeling dat de CVV helemaal niet wordt opgeslagen. Ik vraag me af of Miniatur Wunderland door dat toch te doen zijn eigen aansprakelijkheid voor schade door misbruik van de gestolen gegevens heeft verhoogd.
Lees je nou niet het hele artikel, of denk je dat ze gelogen hebben ?
- Technische details van de aanval: Hackers plaatsten kwaadaardige code in een module van het boekingssysteem, die betalingsgegevens onderschepte tijdens de transactie. Belangrijk: Miniatur Wunderland slaat geen creditcard-data lokaal op, dus alleen live transacties waren kwetsbaar. Het museum huurde IT-specialisten in om de systemen te isoleren en te beveiligen.
De CVV is in een tijd van elektronische administraties en een wereldwijd netwerk waar alles aan gekoppeld is overigens een bizar zwak beveiligingsmechanisme, waarvan ik het eigenlijk verbijsterend vind dat het nog gebruikt wordt. Dit had al decennia
geleden afgebouwd en afgeschaft moeten worden.
Zoals met alles wordt er bijgebouwd en niet afgeschaft.
Oorspronkelijk : 'embossed' tekst , die met een carbon doordruk roller gekopieerd werd, en een handtekening van de eigenaar.
Best redelijk voor betalingen in persoon . En zonder handtekening lag het risico bij de verkoper.
Opkomst "online" - en alleen CCs zijn effectief bruikbaar om op afstand te betalen .
Toevoeging cvv (getal _zonder_ embossed letters) wat dus niet zichtbaar wordt op de carbon papier doordruks.
Want die konden gelezen worden bij restaurants, auto verhuur , hotels etc.
Gewoon een "shared secret" tussen kaarteigenaar en creditcard maatschappij .
Het is alleen niet zo secret wanneer iemand de kaart kan lezen (fysiek) - of wanneer de hele electronische transactie afgeluisterd wordt.
Next round : chip+pin . Creditcards hebben chip en pin gekregen voor de fysieke betalingen .
Alleen een on-line payment systeem is dus _moeilijk_ , op wereldschaal .
Sterker - internationaal betalen wereldwijd is gewoon moeilijk en duur . Het enige wat (semi)overal werkt zijn creditcards .
(Ja - probeer maar eens geld over te boeken naar de VS, of Z Amerika , of Azie) .
De lokaal werkende betere opties (ideal, belgie etc) berusten op een overboeking, en vooral een secure device die het moeilijke stuk van de transactie ingeven , authenticeren en uitvoeren doet - smartphone .
(en een QR code als manier om de transactie gegevens in te voeren ).
Als je beperkt bent tot (slechts) een kaart en een persoon die dingen moet overtypen wordt het lastig .
In de EU is het - in veel gevallen - dat de creditcard transactie bevestigd moet worden op de smartphone van de eigenaar.
Alleen dat staat niet altijd aan of niet voor iedere merchant .
Dat is het bijzondere hier - die push-notificaties (en authorisatie) van de betalingen hadden er moeten zijn - en met in elk geval sommige mensen die zien dat er iets niet klopt.
Maar ik vrees dat zelfs in dat geval een echte man-in-the-middle (malicious module bij een valide verkoper) behoorlijk kans heeft om een andere transactie dan de gewenste te laten uitvoeren .
De push op de smartphone laat wel gegevens zien , maar de ervaring leert gewoon dat veel mensen volledig automatisch authoriseren, ongeacht wat er staat qua (andere) bestemming .
[dat was al zo toen de ING nog per SMS vertelde hoeveel geld waar naar toe ging, bij de authorisatie code. Werd blindelings overgetikt, ondanks een totaal andere bestemming dan bedoeld ]
Goed mogelijk dat in die situatie ook iDeal betalingen omgeleid zouden kunnen worden- slechts afhankelijk van de oplettendheid van de koper.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?