Standaard inlog
Beveiligingsonderzoeker Sijmen Ruwhof kwam het lek op het spoor omdat Ticketscript de database met gegevens van evenementbezoekers beveiligde met een standaard gebruikersnaam en wachtwoord. Door in te loggen met deze simpele combinatie kreeg hij toegang tot de privégegevens van meer dan 250.000 evenementbezoekers, waarvan 'meer dan 100.000 Nederlanders'.
Lek is gedicht
Ruwhof heeft de slecht beveiligde database bij Ticketscript gemeld, die het lek bevestigen en inmiddels hebben gedicht. "Verder onderzoek heeft aangetoond dat de beperkte hoeveelheid gegevens die aanwezig was op dit platform niet door iemand anders dan de ethische hacker is ingezien", aldus de advocaat van het ticketbedrijf, die zegt dat Ticketscript de situatie 'enorm betreurd'.
Bron: RTL Z
Update
Ticketscript heeft onderstaande verklaring met ons gedeeld:
Recentelijk zijn wij door een ethische hacker geïnformeerd over een kwetsbaarheid in het systeem van een van onze leveranciers. Het betreft een platform dat gebruikt wordt voor de configuratie van onze scanapparatuur voor bepaalde evenementen. Dit platform wordt door ons intern gebruikt.
De kwetsbaarheid betrof een onveilige gebruikersnaam/wachtwoord combinatie. Na de melding hebben wij direct onze leverancier geïnformeerd en is de situatie binnen een uur opgelost. Wij betreuren het zeer dat dit heeft kunnen gebeuren.
De ethische hacker heeft beperkte data ingezien en heeft met deze data verder niets gedaan. Op basis van de informatie die wij hebben ontvangen van de melder, en verder intern onderzoek, hebben wij kunnen vaststellen dat de data op dit platform niet verder ongeautoriseerd is benaderd.
Om welke data gaat het?
De data die op dit platform aanwezig is, bestaat uit een beperkte hoeveelheid namen, e-mailadressen en in sommige gevallen telefoonnummers van consumenten. De ethische hacker heeft een sample genomen van data van een evenement uit 2012. Het gaat in geen geval om meer gevoelige informatie zoals betaalgegevens.
Gaat het om het Ticketscript platform?
Nee, het gaat om een platform van een toeleverancier van Ticketscript. Dit incident vertegenwoordigt geenszins de beveiligingsstandaarden van het Ticketscript platform. Ondanks dat het niet direct ons eigen software betreft nemen wij wel de verantwoordelijkheid in deze. Wij hanteren de gebruikelijke standaarden om de aanwezige data te beschermen. Bekijk hier onze beveiligingsrichtlijn.
Wat gebeurt er nu met mijn data?
Wij willen benadrukken dat, in tegenstelling tot de berichten in het nieuws, de data niet "op straat ligt" en niet in verkeerde handen is gevallen. De ethische hacker heeft slechts een sample genomen om een voorbeeld te stellen. Direct na de melding hebben wij alle passende maatregelen genomen.
Wij stellen het op prijs dat de ethische hacker melding heeft gedaan. Het spijt ons zeer dat dit heeft kunnen gebeuren. Het heeft ons extra alert gemaakt en wij zullen met verhoogde aandacht en inzet werken aan een zo veilig mogelijk platform voor onze klanten en consumenten.
De kwetsbaarheid betrof een onveilige gebruikersnaam/wachtwoord combinatie. Na de melding hebben wij direct onze leverancier geïnformeerd en is de situatie binnen een uur opgelost. Wij betreuren het zeer dat dit heeft kunnen gebeuren.
De ethische hacker heeft beperkte data ingezien en heeft met deze data verder niets gedaan. Op basis van de informatie die wij hebben ontvangen van de melder, en verder intern onderzoek, hebben wij kunnen vaststellen dat de data op dit platform niet verder ongeautoriseerd is benaderd.
Om welke data gaat het?
De data die op dit platform aanwezig is, bestaat uit een beperkte hoeveelheid namen, e-mailadressen en in sommige gevallen telefoonnummers van consumenten. De ethische hacker heeft een sample genomen van data van een evenement uit 2012. Het gaat in geen geval om meer gevoelige informatie zoals betaalgegevens.
Gaat het om het Ticketscript platform?
Nee, het gaat om een platform van een toeleverancier van Ticketscript. Dit incident vertegenwoordigt geenszins de beveiligingsstandaarden van het Ticketscript platform. Ondanks dat het niet direct ons eigen software betreft nemen wij wel de verantwoordelijkheid in deze. Wij hanteren de gebruikelijke standaarden om de aanwezige data te beschermen. Bekijk hier onze beveiligingsrichtlijn.
Wat gebeurt er nu met mijn data?
Wij willen benadrukken dat, in tegenstelling tot de berichten in het nieuws, de data niet "op straat ligt" en niet in verkeerde handen is gevallen. De ethische hacker heeft slechts een sample genomen om een voorbeeld te stellen. Direct na de melding hebben wij alle passende maatregelen genomen.
Wij stellen het op prijs dat de ethische hacker melding heeft gedaan. Het spijt ons zeer dat dit heeft kunnen gebeuren. Het heeft ons extra alert gemaakt en wij zullen met verhoogde aandacht en inzet werken aan een zo veilig mogelijk platform voor onze klanten en consumenten.
