Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Miniatur Wunderland gehacked
15-11-2025, 20:34 door [Account Verwijderd], 8 reacties
Laatst bijgewerkt: 15-11-2025, 20:41
Op 11 november 2025 maakt de website Looopings.nl bekend dat hackers malware hadden geïnstalleerd in het online ticketsysteem van Miniatur Wunderland in Hamburg, waardoor creditcardgegevens van ongeveer 35.000 bezoekers werden onderschept. Dit betrof betalingen tussen 6 juni 2025 en 22 augustus 2025, inclusief kaartnummer, vervaldatum en CVV-code. Miniatur Wunderland waarschuwde de getroffen klanten per e-mail, adviseerde kaarten te blokkeren en transacties te controleren, en verving de gehele infrastructuur binnen 72 uur na een tip van een creditcardmaatschappij. De politie en de Duitse privacywaakhond startten een onderzoek.
Recente ontwikkelingen (stand 15 november 2025)
Sinds de publicatie zijn er enkele updates verschenen in Duitse en internationale media, maar geen grote doorbraken. Hier een overzicht:
- Uitgebreidere periode van het lek: Latere berichten specificeren dat de aanval mogelijk langer duurde, tot 29 oktober 2025. Dit vergroot het aantal potentieel getroffen transacties, hoewel het exacte aantal slachtoffers niet is bijgewerkt.
- Technische details van de aanval: Hackers plaatsten kwaadaardige code in een module van het boekingssysteem, die betalingsgegevens onderschepte tijdens de transactie. Belangrijk: Miniatur Wunderland slaat geen creditcard-data lokaal op, dus alleen live transacties waren kwetsbaar. Het museum huurde IT-specialisten in om de systemen te isoleren en te beveiligen.
- Reactie van het museum: Frederik Braun, medeoprichter van Miniatur Wunderland, bevestigde de aanval tegenover regionale media zoals NDR. Het museum benadrukt dat geen andere persoonlijke data (zoals adressen of e-mails) is gelekt. Ze blijven getroffen klanten informeren en monitoren de situatie. Er is nog geen officiële update over compensatie of verdere maatregelen.
- Onderzoek en bredere context: De Duitse politie en de Landesdatenschutzbeauftragte (privacytoezichthouder) van Hamburg leiden het onderzoek. Er zijn geen meldingen van misbruik van de gestolen data op de dark web of fraude-incidenten die direct aan deze datalek worden gelinkt. Dit incident past in een reeks cyberaanvallen op toeristische attracties; eerder dit jaar had Miniatur Wunderland al een incident met een gasaanval, maar dat staat los hiervan.
Advies voor getroffen bezoekers
- Controleer je creditcard-afschriften op verdachte transacties uit de periode juni-oktober 2025.
- Neem contact op met je bank of creditcardmaatschappij als je een waarschuwingsmail hebt ontvangen.
- Voor meer info: Check de officiële site van Miniatur Wunderland of contacteer hun support.
Er lijken geen nieuwe escalaties te zijn sinds 13 november 2025, maar het onderzoek loopt nog.
Ook Nederlanders die in deze periode gebruik hebben gemaakt van hun creditcard voor Miniatur Wunderland, moeten mogelijk maatregelen nemen.
https://www.looopings.nl/weblog/30850/Hackers-stelen-creditcardgegevens-bij-Miniatur-Wunderland-tienduizenden-bezoekers-gewaarschuwd.html
Recente ontwikkelingen (stand 15 november 2025)
Sinds de publicatie zijn er enkele updates verschenen in Duitse en internationale media, maar geen grote doorbraken. Hier een overzicht:
- Uitgebreidere periode van het lek: Latere berichten specificeren dat de aanval mogelijk langer duurde, tot 29 oktober 2025. Dit vergroot het aantal potentieel getroffen transacties, hoewel het exacte aantal slachtoffers niet is bijgewerkt.
- Technische details van de aanval: Hackers plaatsten kwaadaardige code in een module van het boekingssysteem, die betalingsgegevens onderschepte tijdens de transactie. Belangrijk: Miniatur Wunderland slaat geen creditcard-data lokaal op, dus alleen live transacties waren kwetsbaar. Het museum huurde IT-specialisten in om de systemen te isoleren en te beveiligen.
- Reactie van het museum: Frederik Braun, medeoprichter van Miniatur Wunderland, bevestigde de aanval tegenover regionale media zoals NDR. Het museum benadrukt dat geen andere persoonlijke data (zoals adressen of e-mails) is gelekt. Ze blijven getroffen klanten informeren en monitoren de situatie. Er is nog geen officiële update over compensatie of verdere maatregelen.
- Onderzoek en bredere context: De Duitse politie en de Landesdatenschutzbeauftragte (privacytoezichthouder) van Hamburg leiden het onderzoek. Er zijn geen meldingen van misbruik van de gestolen data op de dark web of fraude-incidenten die direct aan deze datalek worden gelinkt. Dit incident past in een reeks cyberaanvallen op toeristische attracties; eerder dit jaar had Miniatur Wunderland al een incident met een gasaanval, maar dat staat los hiervan.
Advies voor getroffen bezoekers
- Controleer je creditcard-afschriften op verdachte transacties uit de periode juni-oktober 2025.
- Neem contact op met je bank of creditcardmaatschappij als je een waarschuwingsmail hebt ontvangen.
- Voor meer info: Check de officiële site van Miniatur Wunderland of contacteer hun support.
Er lijken geen nieuwe escalaties te zijn sinds 13 november 2025, maar het onderzoek loopt nog.
Ook Nederlanders die in deze periode gebruik hebben gemaakt van hun creditcard voor Miniatur Wunderland, moeten mogelijk maatregelen nemen.
https://www.looopings.nl/weblog/30850/Hackers-stelen-creditcardgegevens-bij-Miniatur-Wunderland-tienduizenden-bezoekers-gewaarschuwd.html
Reacties (8)
16-11-2025, 03:19 door
Anoniem
Het is de bedoeling dat de CVV helemaal niet wordt opgeslagen. Ik vraag me af of Miniatur Wunderland door dat toch te doen zijn eigen aansprakelijkheid voor schade door misbruik van de gestolen gegevens heeft verhoogd.
De CVV is in een tijd van elektronische administraties en een wereldwijd netwerk waar alles aan gekoppeld is overigens een bizar zwak beveiligingsmechanisme, waarvan ik het eigenlijk verbijsterend vind dat het nog gebruikt wordt. Dit had al decennia geleden afgebouwd en afgeschaft moeten worden.
De CVV is in een tijd van elektronische administraties en een wereldwijd netwerk waar alles aan gekoppeld is overigens een bizar zwak beveiligingsmechanisme, waarvan ik het eigenlijk verbijsterend vind dat het nog gebruikt wordt. Dit had al decennia geleden afgebouwd en afgeschaft moeten worden.
16-11-2025, 11:01 door
[Account Verwijderd]
@TS VM,
Wat je hier bericht is precies de reden waarom ik inmiddels alweer zo'n 6 of 7 jaar geleden mijn Credit Card heb opgezegd. Ik weet dat ik daarmee mijn financiële transactie mogelijkheden beperkte maar ik vond het risico toch te groot worden hoewel ik zelfs een tussenpersoon gebruikte voor alle credit card betalingen. Dat was Paypal.
Feitelijk is zo'n constructie (Alle credit card afschrijvingen via Paypal) veiliger dan overal waar je een aankoop doet direct je credit card gebruiken omdat jij je credit card credentials telkens weer opnieuw moet doorgeven. Bij Paypal doe je dat slechts één keer.
Wat je hier bericht is precies de reden waarom ik inmiddels alweer zo'n 6 of 7 jaar geleden mijn Credit Card heb opgezegd. Ik weet dat ik daarmee mijn financiële transactie mogelijkheden beperkte maar ik vond het risico toch te groot worden hoewel ik zelfs een tussenpersoon gebruikte voor alle credit card betalingen. Dat was Paypal.
Feitelijk is zo'n constructie (Alle credit card afschrijvingen via Paypal) veiliger dan overal waar je een aankoop doet direct je credit card gebruiken omdat jij je credit card credentials telkens weer opnieuw moet doorgeven. Bij Paypal doe je dat slechts één keer.
16-11-2025, 13:00 door
Anoniem
Door Anoniem: Het is de bedoeling dat de CVV helemaal niet wordt opgeslagen. Ik vraag me af of Miniatur Wunderland door dat toch te doen zijn eigen aansprakelijkheid voor schade door misbruik van de gestolen gegevens heeft verhoogd.
Lees je nou niet het hele artikel, of denk je dat ze gelogen hebben ?
- Technische details van de aanval: Hackers plaatsten kwaadaardige code in een module van het boekingssysteem, die betalingsgegevens onderschepte tijdens de transactie. Belangrijk: Miniatur Wunderland slaat geen creditcard-data lokaal op, dus alleen live transacties waren kwetsbaar. Het museum huurde IT-specialisten in om de systemen te isoleren en te beveiligen.
De CVV is in een tijd van elektronische administraties en een wereldwijd netwerk waar alles aan gekoppeld is overigens een bizar zwak beveiligingsmechanisme, waarvan ik het eigenlijk verbijsterend vind dat het nog gebruikt wordt. Dit had al decennia
geleden afgebouwd en afgeschaft moeten worden.
Zoals met alles wordt er bijgebouwd en niet afgeschaft.
Oorspronkelijk : 'embossed' tekst , die met een carbon doordruk roller gekopieerd werd, en een handtekening van de eigenaar.
Best redelijk voor betalingen in persoon . En zonder handtekening lag het risico bij de verkoper.
Opkomst "online" - en alleen CCs zijn effectief bruikbaar om op afstand te betalen .
Toevoeging cvv (getal _zonder_ embossed letters) wat dus niet zichtbaar wordt op de carbon papier doordruks.
Want die konden gelezen worden bij restaurants, auto verhuur , hotels etc.
Gewoon een "shared secret" tussen kaarteigenaar en creditcard maatschappij .
Het is alleen niet zo secret wanneer iemand de kaart kan lezen (fysiek) - of wanneer de hele electronische transactie afgeluisterd wordt.
Next round : chip+pin . Creditcards hebben chip en pin gekregen voor de fysieke betalingen .
Alleen een on-line payment systeem is dus _moeilijk_ , op wereldschaal .
Sterker - internationaal betalen wereldwijd is gewoon moeilijk en duur . Het enige wat (semi)overal werkt zijn creditcards .
(Ja - probeer maar eens geld over te boeken naar de VS, of Z Amerika , of Azie) .
De lokaal werkende betere opties (ideal, belgie etc) berusten op een overboeking, en vooral een secure device die het moeilijke stuk van de transactie ingeven , authenticeren en uitvoeren doet - smartphone .
(en een QR code als manier om de transactie gegevens in te voeren ).
Als je beperkt bent tot (slechts) een kaart en een persoon die dingen moet overtypen wordt het lastig .
In de EU is het - in veel gevallen - dat de creditcard transactie bevestigd moet worden op de smartphone van de eigenaar.
Alleen dat staat niet altijd aan of niet voor iedere merchant .
Dat is het bijzondere hier - die push-notificaties (en authorisatie) van de betalingen hadden er moeten zijn - en met in elk geval sommige mensen die zien dat er iets niet klopt.
Maar ik vrees dat zelfs in dat geval een echte man-in-the-middle (malicious module bij een valide verkoper) behoorlijk kans heeft om een andere transactie dan de gewenste te laten uitvoeren .
De push op de smartphone laat wel gegevens zien , maar de ervaring leert gewoon dat veel mensen volledig automatisch authoriseren, ongeacht wat er staat qua (andere) bestemming .
[dat was al zo toen de ING nog per SMS vertelde hoeveel geld waar naar toe ging, bij de authorisatie code. Werd blindelings overgetikt, ondanks een totaal andere bestemming dan bedoeld ]
Goed mogelijk dat in die situatie ook iDeal betalingen omgeleid zouden kunnen worden- slechts afhankelijk van de oplettendheid van de koper.
16-11-2025, 14:38 door
Anoniem
Door G.J. van Eersum: @TS VM,
Wat je hier bericht is precies de reden waarom ik inmiddels alweer zo'n 6 of 7 jaar geleden mijn Credit Card heb opgezegd. Ik weet dat ik daarmee mijn financiële transactie mogelijkheden beperkte maar ik vond het risico toch te groot worden hoewel ik zelfs een tussenpersoon gebruikte voor alle credit card betalingen. Dat was Paypal.
Wat je hier bericht is precies de reden waarom ik inmiddels alweer zo'n 6 of 7 jaar geleden mijn Credit Card heb opgezegd. Ik weet dat ik daarmee mijn financiële transactie mogelijkheden beperkte maar ik vond het risico toch te groot worden hoewel ik zelfs een tussenpersoon gebruikte voor alle credit card betalingen. Dat was Paypal.
Afhankelijk van je gebruik en wensen kan het je erg tot heel erg beperken.
Internationaal aankopen, reizen buiten EU (of binnen de EU met autohuur) is toch wel heel sterk "creditcard of het wordt moeilijk/lastig/risicovol/onmogelijk" .
Zelfs dit Duitse park is feitelijk al een voorbeeld.
Feitelijk is zo'n constructie (Alle credit card afschrijvingen via Paypal) veiliger dan overal waar je een aankoop doet direct je credit card gebruiken omdat jij je credit card credentials telkens weer opnieuw moet doorgeven. Bij Paypal doe je dat slechts één keer.
Je mogelijkheden voor het disputeren van transacties zijn , naar ik lees, bij Paypal wel heel beperkt vergeleken met CC.
Verder zijn het in jouw geval je paypal credentials geworden die vrijwel ongelimiteerd toegang tot je geld geven.
17-11-2025, 08:03 door
Anoniem
Ik heb een creditcard, maar ik doe absoluut geen online betalingen mee.
Zelf acht ik het risico niet alleen te groot, maar vooral de problemen die je vervolgens moet proberen op te lossen als er een datalek heeft plaatsgevonden. Daar heb ik gewoon geen zin in.
Zelf acht ik het risico niet alleen te groot, maar vooral de problemen die je vervolgens moet proberen op te lossen als er een datalek heeft plaatsgevonden. Daar heb ik gewoon geen zin in.
17-11-2025, 10:38 door
Anoniem
Door Anoniem: Ik heb een creditcard, maar ik doe absoluut geen online betalingen mee.
Ikzelf heb een IBAN, maar die geef ik absoluut aan niemand, dat vind ik maar eng.Gebruik 'm alleen bij geldautomaten in NL die DNB absoluut niet reguleert, vage casino's, en vooral vakantieparken.
Maar ìk gebruik dat absoluut niet online!
Net als mijn adres; als ik die aan niemand geef, dan kan werkelijk niemand bij mij inbreken.
Ik heb een creditcard, maar ik doe absoluut geen online betalingen mee.
Zelf acht ik het risico niet alleen te groot, maar vooral de problemen die je vervolgens moet proberen op te lossen als er een datalek heeft plaatsgevonden. Daar heb ik gewoon geen zin in.
Dusse, als je inleest, zou dit lek dan -volgens jou- geen impact op jou hebben gehad als je aan de kassa aldaar -niet online- je kaart gebruikt zou hebben?Zelf acht ik het risico niet alleen te groot, maar vooral de problemen die je vervolgens moet proberen op te lossen als er een datalek heeft plaatsgevonden. Daar heb ik gewoon geen zin in.
Gebruik je je kaart aan de balie van pakweg een Marriot hotel dan wel of niet?
Meesteroplichter Frank Abagnale ("Catch me if you can" (2002), met o.a. Leonardo DiCaprio) adviseerd daarom JUIST een creditcard te gebruiken / en NIET je debitcard. Bij een echte creditcard geef aanvankelijk geld uit dat niet van jou is; wanneer daar een dispuut over komt loop je sowieso minder risico dan in het geval dat het direct debit was.
17-11-2025, 19:38 door
Anoniem
Door Anoniem:
Dusse, als je inleest, zou dit lek dan -volgens jou- geen impact op jou hebben gehad als je aan de kassa aldaar -niet online- je kaart gebruikt zou hebben?
(ben andere anoniem) Dusse, als je inleest, zou dit lek dan -volgens jou- geen impact op jou hebben gehad als je aan de kassa aldaar -niet online- je kaart gebruikt zou hebben?
Dit specifieke lek waarschijnlijk niet inderdaad - hangt af of de kassa-bij-de-ingang ook hetzelfde online boeking systeem gebruikt of niet.
Zeker niet uitgesloten dat de kassa's ook "gewoon" op dat platform aansluiten - zo'n park zal in elk geval alle verkopen "bij elkaar" willen zien .
En als er iets is als een maximum aantal kaarten per dag of tijdslot is het zeker _nodig_ dat de losse verkoop en online verkoop bij elkaar komen. Zodat de melding "op dit tijdstip geen kaarten meer" klopt.
Gebruik je je kaart aan de balie van pakweg een Marriot hotel dan wel of niet?
Meesteroplichter Frank Abagnale ("Catch me if you can" (2002), met o.a. Leonardo DiCaprio) adviseerd daarom JUIST een creditcard te gebruiken / en NIET je debitcard. Bij een echte creditcard geef aanvankelijk geld uit dat niet van jou is; wanneer daar een dispuut over komt loop je sowieso minder risico dan in het geval dat het direct debit was.
Nu de authenticatie mogelijkheden van creditcards verbeteren (ook chip+pin gebaseerd) - en bij online met een push/authorisatie vanuit een app (in Europa) is het disputeren (en gelijk krijgen) minder makkelijk geworden dan het in 2002 e.d. was.
Ik denk nog steeds wel makkelijker/beter dan bv paypal of debit cards - maar niet meer zoals ooit vroeger.
18-11-2025, 10:35 door
Anoniem
Door Anoniem:
Je snapt dus precies mijn punt / reactie op hetgeen geroepen werd, door iemand die zich immuun waant.Door Anoniem: zou dit lek dan -volgens jou- geen impact op jou hebben gehad als je aan de kassa aldaar?
Zeker niet uitgesloten dat de kassa's ook "gewoon" op dat platform aansluitenNu de authenticatie mogelijkheden van creditcards verbeteren (ook chip+pin gebaseerd) - en bij online met een push/authorisatie vanuit een app (in Europa) is het disputeren (en gelijk krijgen) minder makkelijk geworden dan het in 2002 e.d. was.
Ik denk nog steeds wel makkelijker/beter dan bv paypal of debit cards - maar niet meer zoals ooit vroeger.
Correct.Ik denk nog steeds wel makkelijker/beter dan bv paypal of debit cards - maar niet meer zoals ooit vroeger.
En tegelijkertijd daardoor juist ook niet; in gevallen waar actieve bevestiging mist, zoals hier dus.
En ja, een dispuut bij PayPal is bij voorbaat kansloos.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?