Online concertkaartenwinkel lekt bank- en creditcarddata (11/08/29)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Rang1Tickets.

Betrokkenen

Klanten van Rang1Tickets.

Soort (persoons)gegevens

"Ticketverkoper Rang1Tickets had de toegang tot de administratie zo slecht beveiligd dat een zeer basaal lek toegang gaf. Ook bank- en creditcardnummers en adressen van klanten waren toegankelijk. Rang1Tickets, dat concertkaartjes verkoopt, lijkt de complete bedrijfsadministratie via de eigen website te voeren. Zo voert het bedrijf een persoonsadministratie van klanten, met inbegrip van bankrekeningnummers en creditcardnummers. Ook omzetadministratie rond evenementen en afspraken zitten in het systeem. [...] Daarbij krijgt men ook toegang tot privacygevoelige gegevens van klanten, zoals naam en adres. Ook blijkt Rang1Tickets de bankrekeningnummers en creditcardnummers van klanten te bewaren. Dat gebeurt omdat betalingen via iDeal, creditcard en via een automatische incasso mogelijk zijn." (Webwereld, 11/08/29)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Een beveiligingsonderzoeker [...] legde de zwakheid bloot. De beveiliging voor medewerkers blijkt wel op een heel erg basaal niveau kwetsbaar te zijn. Wie zich als beheerder (admin) probeert aan te melden en als wachtwoord 'or'1'='1 komt als systeembeheerder binnen en heeft toegang tot [de hierboven genoemde] gegevens." (Webwereld, 11/08/29)

Respons van de organisatie

"Webwereld heeft diverse malen het probleem bij Rang1Tickets onder de aandacht gebracht en gevraagd om een reactie. 'Vervelend om te horen dat onze website 'lek' zou zijn. Wij nemen uw bericht serieus en zullen maatregelen treffen', schrijft [...] namens het bedrijf. Op de consequenties voor bijvoorbeeld klanten en de gevolgen van de blunder gaat de onderneming verder niet in. Inmiddels is dit lek gedicht." (Webwereld, 11/08/29)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Concertkaartenwinkel lekt bank- en creditcarddata (11/08/29)

Zie verder:
Off-site link, opens in new window PrivacyNieuws: Concertkaartenwinkel lekte bank- en creditcarddata (11/08/29)
Off-site link, opens in new window Rejo Zenger: Concertkaartenwinkel lekt financiële gegevens (11/08/30)
Off-site link, opens in new window BoF: Datalek - ticketsite lekt creditcardgegevens (11/09/06)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.