Beveiligingslek in ticketsite geeft toegang tot persoonsgegevens van 715.000 klanten (11/10/24)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

CheapTickets.nl.

Betrokkenen

"715.000 klanten"

Soort (persoons)gegevens

"In de database staat de persoonlijke informatie van 715.000 klanten, met onder andere volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer. Gezamenlijk namen deze klanten ruim 1,2 miljoen tickets af. Voor vluchten naar onder andere de Verenigde Staten geven reizigers hun paspoortnummer door. Daarvan staan er zeker 80.000 in de database. Deze informatie is voldoende voor criminelen om identiteitsdiefstal te plegen. Toch blijft de schade relatief beperkt, omdat het gaat om een ontwikkelomgeving met klantgegevens uit 2008 en 2009. De huidige complete omgeving bevat de informatie van 3 miljoen klanten, maar deze is, voor zover bekend, niet gekraakt. Overigens lijken de makers van CheapTickets.nl zich wel aan regelgeving van creditcardmaatschappijen te houden. Van de creditcardnummers worden niet meer dan de laatste vier cijfers opgeslagen. Ook bij iDeal-betalingen worden geen bankrekeningnummers geregistreerd." (WebWereld, 11/10/24)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Door een onvoldoende gepatchte server lekte CheapTickets.nl een database van 715.000 klanten. Kwaadwillenden zagen niet alleen namen, maar ook tickets en paspoortnummers. Dat ontdekte een bron die zich meldde op voorwaarde van anonimiteit. Hij ontdekte dat op de Windows Server 2003 omgeving niet alle patches waren gedraaid. Omdat de omgeving kwetsbaar was voor een in 2009 gepubliceerde zwakheid, kon hij toegang krijgen tot het systeem met daarop de database met klantgegevens." (WebWereld, 11/10/24)

Respons van de organisatie

"CheapTickets-ceo [...] verklaart tegenover persbureau ANP dat het lek is gedicht. Voor zover bekend is er geen misbruik gemaakt van de inbraak. 'Het ging om oude gegevens uit 2008 en 2009', schrijft NU.nl op uit de mond van de topman. Tegenover Webwereld stelt CheapTickets het volgende: Afgelopen weekend is een testomgeving van CheapTickets, een van de grootste online aanbieders van vliegtickets, gehackt. Wij betreuren ten zeerste dat dit heeft kunnen plaatsvinden en willen met klem benadrukken dat alleen toegang tot een testomgeving is verkregen met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. Het gehackte testgedeelte betrof geen live omgeving waarin de consument normaliter boekingen verricht. De hacker heeft op geen enkele wijze toegang gekregen tot financiële gegevens van de bij ons in deze periode geregistreerde personen. Zodra het voorval bij ons bekend werd is alle toegang tot de betreffende link afgesloten. Veiligheid van klantgegevens heeft bij ons de allerhoogste prioriteit. CheapTickets is aangesloten bij Thuiswinkel.org en voldoet aan alle door deze consumentenorganisatie gestelde eisen inzake bescherming van online persoonsgegevens. Inmiddels heeft CheapTickets de nodige maatregelen getroffen om herhaling te voorkomen." (WebWereld, 11/10/24)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek 18 - 715.000 klanten van CheapTickets.nl - UPDATE (11/10/24)

Zie verder:
Off-site link, opens in new window AG: Site van Cheaptickets.nl gehackt (11/10/24)
Off-site link, opens in new window Nu.nl: Gegevens honderdduizenden klanten Cheaptickets.nl gelekt (11/10/24)
Off-site link, opens in new window PrivacyNieuws: CheapTickets.nl lekt paspoortnummers 80.000 klanten
Off-site link, opens in new window Security.nl: Negeren Windows updates nekt CheapTickets.nl (11/10/24)
Off-site link, opens in new window Trouw: CheapTickets.nl lekt paspoortnummers 80.000 klanten (11/10/24)
Off-site link, opens in new window Tweakers.net: Cheaptickets.nl laat klantgegevens uitlekken - update (11/10/24)
Off-site link, opens in new window AG: GroenLinks eist nu ICT-meldplicht (11/10/25)
Off-site link, opens in new window Nu.nl: Teeven teleurgesteld in Cheaptickets.nl (11/10/25)
Off-site link, opens in new window Rejo Zenger: Site vliegtickets lekt gegevens 715.000 klanten (11/10/25)
Off-site link, opens in new window WebWereld: Minister slachtoffer CheapTicket-lek (11/10/25)
Off-site link, opens in new window Security.nl: GroenLinks wil snel meldplicht datalekken (11/10/25)
Off-site link, opens in new window Nu.nl: Thuiswinkel keurmerk aangepast na lekken (11/10/26)
Off-site link, opens in new window WebWereld: Thuiswinkel Waarborg stelt extra beveiligingseisen (11/10/26)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.