image

Ticketcounter: datalek had kinderlijk eenvoudig voorkomen kunnen worden

vrijdag 24 februari 2023, 10:16 door Redactie, 7 reacties

Het datalek bij ticketverkoper Ticketcounter in 2021, waar de gegevens van 1,9 miljoen gebruikers werden gestolen, had kinderlijk eenvoudig voorkomen kunnen worden, zo stelt de directeur van het bedrijf. Ticketcounter verzorgt online kaartverkoop voor allerlei evenementen, musea, pretparken en dierentuinen. Een back-up van het bedrijf was door een fout voor iedereen op internet toegankelijk en werd in februari 2021 gedownload.

De aanvallers dreigden de gestolen gegevens openbaar te maken, tenzij het bedrijf zou betalen. Gisteren maakte de politie bekend dat in deze zaak drie verdachten zijn aangehouden, die worden verdacht van het stelen van miljoenen persoonsgegevens bij meer dan duizend bedrijven. Tegenover BNR stelt Ticketcounter-directeur Sjoerd Bakker dat het datalek door "onzorgvuldigheid" aan de kant van het bedrijf is ontstaan en het kinderlijk eenvoudig voorkomen had kunnen worden.

"Het is eigenlijk kinderlijk eenvoudig. Negentig procent van de datadiefstallen, datalekken vindt plaats doordat je toch net wat onzorgvuldig omgaat met gegevens en bij ons was het zo dat die [de back-up - red] op een plek stond die publiek beschikbaar was. Hadden we daar een wachtwoord op gezet was het nooit gebeurd of is de kans kleiner. Wees je bewust van de data. Zodra een computer is gekoppeld aan het internet is die kwetsbaar."

Ticketcounter werkt met Microsoft Azure en maakt gebruik van containers voor de opslag van gegevens. In een publiek toegankelijke container werd de back-up geplaatst die vervolgens door de aanvallers werd gedownload. "Vroeger was het zo dat bij het aanmaken van een container publieke toegang standaard aan stond. Tegenwoordig staat het standaard uit en moet je mensen expliciete toegang geven. De container is jaren geleden aangemaakt, dus met publieke toegang aan. Daar is even een back-up neergezet, en door trial en error, het lukraak gokken van bestandsnamen, hebben ze uiteindelijk dat bestand te pakken gekregen", liet Bakker weten.

Reacties (7)
24-02-2023, 10:22 door Anoniem
Eerlijk is eerlijk, hij is er tenminste open over. Geen 13 in een dozijn mediaspin die er aan wordt gegeven zoals "we zijn het slachtoffer geworden van een extreem geraffineerde aanval". Ze hebben een dure fout gemaakt die niet had mogen gebeuren. Laat het een goede leerschool zijn met de juiste opvolging om dit in de toekomst te vermijden. Hopelijk krijgt dit voorval geen negatief staartje voor de gedupeerden.
24-02-2023, 10:30 door Anoniem
Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Beetje als een supermarkt die op de tafel in de kantine producten legt die 'vandaag' hun THT datum hebben en dan medewerkers ontslaat omdat ze die opeten.
24-02-2023, 11:27 door Anoniem
Door Anoniem: Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Qua gegevens weet ik het niet.
In de fysieke wereld is het inSLUIPEN als je door een open deur gaat, en inBREKEN als je een beetje werk moet doen. Beiden strafbaar.

Er misbruik van maken zal hoe dan ook strafbaar zijn,
24-02-2023, 11:33 door Anoniem
Door Anoniem: Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Beetje als een supermarkt die op de tafel in de kantine producten legt die 'vandaag' hun THT datum hebben en dan medewerkers ontslaat omdat ze die opeten.

Ja. Net zoals het stelen is als iemand iets uit jouw huis meeneemt als de tuindeur open staat.
24-02-2023, 23:31 door Anoniem
Sommigen noemen dat gelegenheid bieden en dat is ook strafbaar. Uitlokking eveneens.
25-02-2023, 13:21 door Anoniem
Een oplichter benaderde Sjoerd Bakker en dreigde klantgegevens van Ticketcounter door te verkopen, tenzij hij 250.000 euro in de vorm van 7 bitcoins zou ophoesten. Om hem te intimideren, liet de oplichter weten dat hij wist met wie Bakker getrouwd was. Bakker deed daarop aangifte, en drie criminelen werden door de politie opgepakt. Lees zijn hele verhaal.

Vier dagen voor de chantage weet Bakker al dat er iets mis is. Persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum worden aangeboden op hackersforum RaidForums.

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5367184/ticketcounter-slachtoffer-diefstal-data-chantage-intimidatie
27-02-2023, 14:12 door Anoniem
Door Anoniem:
Door Anoniem: Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Qua gegevens weet ik het niet.
In de fysieke wereld is het inSLUIPEN als je door een open deur gaat, en inBREKEN als je een beetje werk moet doen. Beiden strafbaar.

Er misbruik van maken zal hoe dan ook strafbaar zijn,
Ja dat is strafbaar te stellen als bewezen kan worden (wat niet zo moeilijk is) dat de gegevens niet openbaar hadden mogen zijn. Staat er ook maar ergens vertrouwelijk niet voor externe inzage bijvoorbeeld dan is dat al meer dan genoeg om er een case van te maken. Het zelfde gaat om enige persoons informatie die naar voren komt in de data. In dit geval ging het om folders van een backup daar ga je niet perongeluk in neuzen en informatie kopieeren. En zoals je leest hebben ze een vorm van bruteforcing toegepast om het bestand te vinden.

Het wordt lastiger als het om een zoekmachine geindexeerde bestandslink gaat naar vertrouwlijke informatie.
Bijvoorbeeld hxxp://uwdomein.nl/financiele_rapportage_2022.pdf
Dan nog als je handeld met die data ben je strafbaar te stellen maar enkel de inzage ervan zelf is niet genoeg.

Dit laatste gebeurd helaas veel te vaak nog. Ik heb er een standaard mail template voor om zulke problemen te rapporteren naar het specifieke bedrijf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.