Nieuws
image

Bioscoopketen Vue waarschuwt klanten voor datalek in webomgeving

maandag 16 oktober 2023, 15:37 door Redactie, 7 reacties

Bioscoopketen Vue heeft klanten gewaarschuwd voor een datalek in de webomgeving waarbij mogelijk persoonsgegevens zijn getroffen. Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens. Afgelopen zomer meldde RTL Nieuws op basis van een tip van een ethisch hacker dat Vue de privégegevens van honderdduizenden klanten lekte. Via een kwetsbaarheid in de website kon de broncode worden ingezien. Via de broncode werd informatie gevonden die toegang gaf tot de database van de bioscoopketen en de dienst die de betalingen verwerkt. Daarnaast bleek de website kwetsbaar voor SQL-injection.

Vue deed na melding van het datalek onderzoek en ontdekte dat "andere onbevoegden" dan de ethische hacker toegang hebben gehad tot de website en app. "De forensische experts hebben, op basis van de beschikbare logbestanden, echter geconstateerd dat alleen de ethische hacker in beperkte mate persoonsgegevens heeft gedownload om de kwetsbaarheden aan te tonen aan de RTL Nieuws journalist", aldus de bioscoopketen.

Getroffen klanten hebben vandaag een e-mail ontvangen waarin Vue waarschuwt dat hun gegevens mogelijk zijn getroffen. Wat betreft de gebruikte kwetsbaarheden zijn die inmiddels verholpen. "Ook hebben wij extra beveiligingsverbeteringen doorgevoerd bij onze website en app, en extra beveiligingscontroles en monitoring geïmplementeerd", zo laat Vue verder weten.

Reacties (7)
Reageer met quote
16-10-2023, 16:03 door Anoniem
Jammer dat ik net een tweede notificatiemail van ze kreeg, na vanmorgen ook al een notificatiemail te hebben ontvangen. Tip voor volgende keer: doe dit soort communicatie in één keer goed. First Time Right, zouden meer mensen moeten doen.
Reageer met quote
16-10-2023, 16:32 door Anoniem
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens.
Waarom heeft een bioscoopketen al deze gegevens nodig?
Naam: nodig
Geslacht: niet nodig
Geboortedatum: nodig
Postcode: niet nodig
Adresgegevens: niet nodig
Foto: niet nodig
Wachtwoordhashes: nodig
bankrekeningnummer: nodig
Ticketgegevens: nodig
Reageer met quote
16-10-2023, 21:11 door Anoniem
Door Anoniem:
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens.
Waarom heeft een bioscoopketen al deze gegevens nodig?
Naam: nodig
Geslacht: niet nodig
Geboortedatum: nodig
Postcode: niet nodig
Adresgegevens: niet nodig
Foto: niet nodig
Wachtwoordhashes: nodig
bankrekeningnummer: nodig
Ticketgegevens: nodig

Foto en adresgegevens zijn nodig om een toegangspasje op te kunnen sturen.
Reageer met quote
17-10-2023, 12:57 door Anoniem
Doe mij maar contante betaling voor een bioscoopkaartje aan de balie.
Helemaal anoniem en niks geen gelekte gegevens.
Kan dat ook bij Vue?
Reageer met quote
17-10-2023, 15:36 door Anoniem
Door Anoniem: Doe mij maar contante betaling voor een bioscoopkaartje aan de balie.
Helemaal anoniem en niks geen gelekte gegevens.
Kan dat ook bij Vue?

Ja, dit is mogelijk.
Reageer met quote
29-12-2023, 22:24 door Anoniem
Door Anoniem:
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens.
Waarom heeft een bioscoopketen al deze gegevens nodig?
Naam: nodig
Geslacht: niet nodig
Geboortedatum: nodig
Postcode: niet nodig
Adresgegevens: niet nodig
Foto: niet nodig
Wachtwoordhashes: nodig
bankrekeningnummer: nodig
Ticketgegevens: nodig
In principe heeft de bioscoop helemaal niks nodig. Eén keer de kaartjes naar een emailadres sturen, en dit verder niet opslaan zou moeten volstaan. Als ik aan de kassa kaartjes koop weten ze ook niks. Vue maakt een potje van "privacy by design"
Reageer met quote
07-01-2024, 20:43 door Anoniem
Hebben zij die databank wel geregistreerd zoals het hoort? Hebben zij deze inbreuken op de privacy wel correct gemeld? Nu kan je ze pijn doen. Ik zou dat niet laten liggen...
Ethische hacker op of neer - zo hoort het niet. Je hebt schrappingsrecht - als we dat één per één vragen, lopen de kosten hoog op. Zo kan je hen ook dwingen. (ja ik ben een zwijn en als het om privacy gaat, ben ik daar fier op).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure