Nieuws
image

Standaardwachtwoord veroorzaakt datalek bij Ticketscript

woensdag 21 december 2016, 10:35 door Redactie, 6 reacties

Een standaardwachtwoord maakte het mogelijk om de gegevens van 200.000 tot 300.000 mensen die in de database van Ticketscript staan te benaderen. Ticketscript is een online applicatie waarmee organisatoren van evenementen en concerten kaartjes kunnen verkopen.

De organisatie zou naar eigen zeggen al 20 miljoen kaarten voor 125.000 evenementen hebben verkocht. De database bleek voor iedereen op internet via de gebruikersnaam admin en het wachtwoord admin toegankelijk te zijn. In de database staan namen, e-mailadressen en telefoonnummers van mensen die ooit een kaartje via Ticketscript hebben gekocht, voor evenementen zoals de Dutch Design Week en de Tesco Wine Fair, zo meldt onderzoeker Sijmen Ruwhof.

Hoe omvangrijk het datalek precies is kan Ruwhof niet zeggen, omdat hij daarvoor de gegevens zou moeten bekijken wat niet is toegestaan, maar de onderzoeker schat dat het om 200.000 tot 300.000 mensen gaat. "De dataset bevat waarschijnlijk ook de mobiele telefoonnummers en e-mailadressen van bekende dj's en vips. Ik had dit kunnen controleren, maar had dan meer data van het systeem moeten downloaden en dat leek mij niet ethisch om te doen", laat Ruwhof weten.

Veel van de mensen in de database weten niet dat ze hun kaartjes via Ticketscript hebben gekocht en deze organisatie over hun gegevens beschikt. Of Ticketscript deze mensen gaat waarschuwen is nog niet bekend. Het bedrijf zegt in een reactie tegenover het televisieprogramma Opgelicht dat het probleem na de melding is verholpen. "Verder onderzoek heeft uitgewezen dat de beperkte hoeveelheid data die aanwezig was op dit platform niet verder gecompromitteerd is dan door de ethische hacker. Van de kwetsbaarheid is dus geen misbruik gemaakt. Het ging bovendien om een beperkt aantal niet-gevoelige gegevens", aldus Ticketscript.

Reacties (6)
21-12-2016, 11:08 door Anoniem
Het verbaast mij nog steeds hoe bedrijven reageren als men een datalek meldt. Zo ook de reactie van Ticketscript in Opgelicht.

"Nou oke, je "MAG" het ons gaan vertellen, maar dan gaat de camera uit, en anders gaat de deur dicht", aldus de verantwoordelijke bij Ticketscript.

Hiervan gaan mijn nekharen overeind staan. Het is dat consumenten er de dupe van worden, anders verdient zo'n pipo het gewoon dat al zijn klantgegevens worden gelekt. Met de nodige (imago)schade tot gevolg natuurlijk.
21-12-2016, 21:39 door Anoniem
Door Anoniem: Hiervan gaan mijn nekharen overeind staan. Het is dat consumenten er de dupe van worden, anders verdient zo'n pipo het gewoon dat al zijn klantgegevens worden gelekt. Met de nodige (imago)schade tot gevolg natuurlijk.
Deze programma's zijn in handen van commerciele productiebedrijven die leven van sensatie om zo veel mogelijk kijkers te trekken. De medewerkers komen ongevraagd het gebouw van een bedrijf binnen, al draaiend met camera en geluid, zonder afspraak, zonder voorafgaande waarschuwing. Als de deur bij die overval dan niet meteen volledig open gaat als de medewerker een vervelende boodschap komt brengen en de medewerkers niet willen meewerken om op televisie te komen komt vervolgens de mededeling "we gaan het hoe dan ook vertellen" als de camera niet mee mag.
Dat productiebedrijf had ook gewoon de regels van responsible disclosure kunnen volgen, het lek zonder draaiende camera melden en de kijkers het resultaat tonen. Maar daar gaat het bij het productiebedrijf niet om, die gaat het alleen om een bedrijf publiekelijk aan de schandpaal nagelen om de winst van het productiebedrijf te garanderen.Dus voor je nekharen overeind gaan staan van een reactie op een lek, kan je je beter druk maken om of ze een lek dichten als ze daar de kans toe krijgen. Of gaat het jou net als het productiebedrijf om het voordeel van de mogelijkheid om een bedrijf aan de schandpaal te nagelen in plaats van om het verhelpen van kwetsbaarheden?
22-12-2016, 09:09 door Anoniem
200.000/300.000 mensen beperkt hahaha aantal niet gevoelige gegevens waardoor mensen gespamd kunnen worden hahaha

En ook nog VIPS die niet gevoelig zijn hahaha
22-12-2016, 09:40 door Anoniem
@ Anoniem 21:39

Dat is inderdaad een kanttekening die je er bij kunt plaatsen. Ik verwacht van Ticketscript zeker niet dat ze zomaar meerwerken aan programma's van commerciële partijen. Echter vertelt dezelfde ethische hacker uit het programma ook, dat hij wel vaker dergelijke reacties krijgt van bedrijven waar hij een lek meldt en er soms zelfs gedreigd wordt met een aangifte. Daarnaast is het niet slim om op deze manier voor de camera te verschijnen als Ticketscript zijnde. De meneer in kwestie kwam uiterst geïrriteerd over. Ik zou een stuk meer sympathie voor die man en Ticketscript hebben als hij had gezegd: "Heel goed dat u hier bent meneer. Helaas kunnen wij geen camera's toelaten in ons pand, maar ik nodig u graag uit om binnen te komen en het onder het genot van een kop cappuccino eens rustig te bespreken." Het is immers de toon die de muziek maakt.
22-12-2016, 11:09 door Anoniem
Je kunt je afvragen of er wel sprake is van responsible disclosure, als de media wordt ingelicht voordat het lek gemeld is bij het bedrijf.

Er zijn weinig bedrijven die de toegevoegde waarde erkennen van het melden van een dergelijk lek, en de reactie van Ticketscript is een goed voorbeeld daarvan.

Een ander voorbeeld is de recent aangetoonde data lekkage van de Nederlandse site van de Russische ambassade - Lekkage 'since 2011' en niets doen... "doe es weggaan, nare hekkert !"
23-12-2016, 10:08 door Anoniem
Wat een ITers ook bij die bedrijven. Kinderwerk om een standaard wachtwoord erin te laten staan. Interfaces voor admins open naar het www. Wauw applaus waard. Deze ITers komen zeker net van het MBO af?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure