Technofestival DGTL lekt privédata en wachtwoordhashes 130.000 bezoekers
Het Amsterdamse technofestival DGTL heeft door een slecht beveiligde database privégegevens van zo'n 130.000 bezoekers gelekt, waaronder wachtwoordhashes, volledige namen, e-mailadressen, geboortedatums, woonadressen en tienduizenden 06-nummers, zo meldt RTL Nieuws dat door een tipgever over het datalek werd geïnformeerd.
Organisator Apenkooi Events had de inloggegevens voor de database online gezet, waardoor iedereen op internet die kon benaderen. Het ging om een database met gegevens van mensen die tussen 2015 en 2018 het festival bezochten. Daarna is het festival op een extern ticketsysteem overgestapt. Volgens RTL Nieuws had DGTL per ongeluk de broncode van de website openbaar en doorzoekbaar gemaakt. Daarin waren ook inloggegeven te vinden.
Naast gegevens van DGTL-bezoekers waren hierdoor ook ruim 100.000 e-mailadressen van bezoekers van Pleinvrees toegankelijk, een ander festival van Apenkooi Events. Volgens RTL Nieuws maakte DGTL gebruik van een zwak hashingalgoritme, waardoor het eenvoudig is om de wachtwoordhashes te kraken en zo het bijbehorende wachtwoord te achterhalen.
De tipgever meldde het datalek afgelopen zomer bij zowel DGTL als de webontwikkelaar. De festivalorganisator stelt dat hij de database destijds heeft laten verwijderen en melding heeft gemaakt bij de Autoriteit Persoonsgegevens. Bezoekers werden niet geïnformeerd, omdat dit volgens DGTL een 'te zwaar' middel' was. Later bleek dat er nog kopieën van de database online waren te vinden.
"Natuurlijk zijn we eindverantwoordelijk voor de data van onze bezoekers, maar in de jaren waar we het over hebben hadden wij geen mensen met deze technische kennis in huis en besteedden wij dit uit aan externe partijen. Daar moeten we als marketeers ook op vertrouwen", aldus Jasper Goossen van Apenkooi Events tegenover RTL Nieuws.
Zullen bepaalde partijen wel weer blij mee zijn geweest.
Heb je gelijk mensen met een bepaalde 'drive' in het vizier.
Soms voel ik weleens de verleiding om te denken,
dat dit niet geheel toevallig gebeurt,
maar dat is een gedachte 'des waps' uiteraard.
#obserwator
dat dit niet geheel toevallig gebeurt,
maar dat is een gedachte 'des waps' uiteraard.
#obserwator
Dat denk niet dat dit bewust gebeurt. Het is vooral een kwestie van grenzeloze middelmatigheid in IT-land op securitygebied waar we keer op keer de resultaten van zien.
Tel daarbij op de tijdnood, zwak management, de complexiteit van oplossingen, de beperkte training die mensen krijgen, gebrek aan security coding practices, externe partijen die vooral facturen willen schrijven en zo weinig mogelijk doen voor hun centen etc etc. Iedereen die een paar jaar meeloopt in de wereld van IT security weet de praktijkvoorbeelden zo uit de mouw te schudden. Het is wachten op het volgende incident, waar er dit jaar nog tientallen zo niet honderden van zullen volgen.
Inzetten op verdere automatisering, terwijl de (beveiligings)basis niet op orde is, we zien het overal.
Dan is er nog een aspect, dat de opleidingen volledig afgestemd zijn op de verlangens van de grote spelers in het bedrijfsleven, a.k.a. het getrainde aapjes niveau.
Eigen inzichten en te slim voor het systeem eigenwijze figuren komen niet aan bod en hieraan heeft het systeem geen boodschap noch behoefte.
Daarom hebben we de toestand, die we hebben.
Het wordt dus slechter in plaats van beter, wat niet inhoudt dat ceo, ngo,.manager met weinig uren draaien toch giga kan binnenlopen.
Oh, individualiteit en zelfredzaamheid niet gevraagd, opvolgzaam via niet verder vragen des te vaker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
