Nieuws

Ticketcounter: datalek had kinderlijk eenvoudig voorkomen kunnen worden

vrijdag 24 februari 2023, 10:16 door Redactie, 7 reacties

Het datalek bij ticketverkoper Ticketcounter in 2021, waar de gegevens van 1,9 miljoen gebruikers werden gestolen, had kinderlijk eenvoudig voorkomen kunnen worden, zo stelt de directeur van het bedrijf. Ticketcounter verzorgt online kaartverkoop voor allerlei evenementen, musea, pretparken en dierentuinen. Een back-up van het bedrijf was door een fout voor iedereen op internet toegankelijk en werd in februari 2021 gedownload.

De aanvallers dreigden de gestolen gegevens openbaar te maken, tenzij het bedrijf zou betalen. Gisteren maakte de politie bekend dat in deze zaak drie verdachten zijn aangehouden, die worden verdacht van het stelen van miljoenen persoonsgegevens bij meer dan duizend bedrijven. Tegenover BNR stelt Ticketcounter-directeur Sjoerd Bakker dat het datalek door "onzorgvuldigheid" aan de kant van het bedrijf is ontstaan en het kinderlijk eenvoudig voorkomen had kunnen worden.

"Het is eigenlijk kinderlijk eenvoudig. Negentig procent van de datadiefstallen, datalekken vindt plaats doordat je toch net wat onzorgvuldig omgaat met gegevens en bij ons was het zo dat die [de back-up - red] op een plek stond die publiek beschikbaar was. Hadden we daar een wachtwoord op gezet was het nooit gebeurd of is de kans kleiner. Wees je bewust van de data. Zodra een computer is gekoppeld aan het internet is die kwetsbaar."

Ticketcounter werkt met Microsoft Azure en maakt gebruik van containers voor de opslag van gegevens. In een publiek toegankelijke container werd de back-up geplaatst die vervolgens door de aanvallers werd gedownload. "Vroeger was het zo dat bij het aanmaken van een container publieke toegang standaard aan stond. Tegenwoordig staat het standaard uit en moet je mensen expliciete toegang geven. De container is jaren geleden aangemaakt, dus met publieke toegang aan. Daar is even een back-up neergezet, en door trial en error, het lukraak gokken van bestandsnamen, hebben ze uiteindelijk dat bestand te pakken gekregen", liet Bakker weten.

QNAP looft 20.000 dollar uit voor ernstige kwetsbaarheden in NAS-systemen

Microsoft adviseert meer locaties op Exchange-servers op malware te scannen

Reacties (7)

24-02-2023, 10:22 door Anoniem

Eerlijk is eerlijk, hij is er tenminste open over. Geen 13 in een dozijn mediaspin die er aan wordt gegeven zoals "we zijn het slachtoffer geworden van een extreem geraffineerde aanval". Ze hebben een dure fout gemaakt die niet had mogen gebeuren. Laat het een goede leerschool zijn met de juiste opvolging om dit in de toekomst te vermijden. Hopelijk krijgt dit voorval geen negatief staartje voor de gedupeerden.

24-02-2023, 10:30 door Anoniem

Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Beetje als een supermarkt die op de tafel in de kantine producten legt die 'vandaag' hun THT datum hebben en dan medewerkers ontslaat omdat ze die opeten.

24-02-2023, 11:27 door Anoniem

Qua gegevens weet ik het niet.
In de fysieke wereld is het inSLUIPEN als je door een open deur gaat, en inBREKEN als je een beetje werk moet doen. Beiden strafbaar.

Er misbruik van maken zal hoe dan ook strafbaar zijn,

24-02-2023, 11:33 door Anoniem

Door Anoniem: Is het stelen van gegevens wanneer iemand iets op internet zet zonder beveiliging, een omgeving uitgevonden voor het expliciet delen van gegevens?

(ik heb het dus expliciet niet over inbreken of beveiligingen omzeilen).

Beetje als een supermarkt die op de tafel in de kantine producten legt die 'vandaag' hun THT datum hebben en dan medewerkers ontslaat omdat ze die opeten.

Ja. Net zoals het stelen is als iemand iets uit jouw huis meeneemt als de tuindeur open staat.

24-02-2023, 23:31 door Anoniem

Sommigen noemen dat gelegenheid bieden en dat is ook strafbaar. Uitlokking eveneens.

25-02-2023, 13:21 door Anoniem

Een oplichter benaderde Sjoerd Bakker en dreigde klantgegevens van Ticketcounter door te verkopen, tenzij hij 250.000 euro in de vorm van 7 bitcoins zou ophoesten. Om hem te intimideren, liet de oplichter weten dat hij wist met wie Bakker getrouwd was. Bakker deed daarop aangifte, en drie criminelen werden door de politie opgepakt. Lees zijn hele verhaal.

Vier dagen voor de chantage weet Bakker al dat er iets mis is. Persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum worden aangeboden op hackersforum RaidForums.

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5367184/ticketcounter-slachtoffer-diefstal-data-chantage-intimidatie

27-02-2023, 14:12 door Anoniem

Door Anoniem:

Ja dat is strafbaar te stellen als bewezen kan worden (wat niet zo moeilijk is) dat de gegevens niet openbaar hadden mogen zijn. Staat er ook maar ergens vertrouwelijk niet voor externe inzage bijvoorbeeld dan is dat al meer dan genoeg om er een case van te maken. Het zelfde gaat om enige persoons informatie die naar voren komt in de data. In dit geval ging het om folders van een backup daar ga je niet perongeluk in neuzen en informatie kopieeren. En zoals je leest hebben ze een vorm van bruteforcing toegepast om het bestand te vinden.

Het wordt lastiger als het om een zoekmachine geindexeerde bestandslink gaat naar vertrouwlijke informatie.
Bijvoorbeeld hxxp://uwdomein.nl/financiele_rapportage_2022.pdf
Dan nog als je handeld met die data ben je strafbaar te stellen maar enkel de inzage ervan zelf is niet genoeg.

Dit laatste gebeurd helaas veel te vaak nog. Ik heb er een standaard mail template voor om zulke problemen te rapporteren naar het specifieke bedrijf.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Ticketcounter: datalek had kinderlijk eenvoudig voorkomen kunnen worden

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren