D9D1E2

Datalekken in Nederland

2012

Ruim 2600 documenten met gevoelige persoonsgegevens toegankelijk op server door softwarefout (12/08/29)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Tix.nl.

Verwerking

Tix.nl.

Betrokkenen

"[...] reizigers [...] mensen die aangifte hebben gedaan nadat via Tix.nl een bedrag was afgeschreven. Klanten die telefoonkosten claimden [...]" [Nu.nl, 12/08/29]

Soort (persoons)gegevens

"[...] ruim 2600 persoonlijke documenten [...] Tussen de bestanden zaten kopieŽn van paspoorten, financiŽle gegevens, medische informatie van reizigers, een overlijdensakte en diverse brieven van de Duitse politie. [...] De meeste recente documenten zijn slechts een paar dagen oud. Op de server staan honderden kopieŽn van paspoorten uit onder andere Nederland, Duitsland, Zwitserland, RoemeniŽ, BelgiŽ, de Verenigde Staten en Iran. In ťťn geval gaat het om de kopie van een paspoort van een jonkheer. Ook waren er talloze reisschemaís en boardingpassen te vinden. Daarnaast stonden bij die identiteitskaarten ook afbeeldingen van creditcards met zowel de voorkant als de achterkant met een vertrouwelijke code. Verder waren er afschriften van bankrekeningen, schermafbeeldingen van internetbankieren en creditcardafschriften te lezen. [...] Opmerkelijk zijn ook een drietal brieven van de Duitse politie. Die vorderden informatie in verband met creditcardfraude. Daarbij gaat het om mensen die aangifte hebben gedaan nadat via Tix.nl een bedrag was afgeschreven. Klanten die telefoonkosten claimden, stuurden afschriften van hun mobiele telefoonprovider op, waardoor is af te leiden met wie zij allemaal gebeld hebben. In een handvol gevallen was er ook medische informatie van reizigers te vinden. Meestal had dit van doen met annuleringen, waarbij de medische reden moest worden opgegeven. In ťťn geval werd een reis geannuleerd wegens een sterfgeval, waarbij de overlijdensakte naar Tix.nl was verstuurd. Opmerkelijk zijn ook klachten van reizigers en de afwikkeling ervan. Zo weigerde Kenia Airways een schadevergoeding voor annulering van de vlucht, omdat ze stellen dat een technisch gebrek aan het vliegtuig als overmacht valt te interpreteren. Een andere reiziger wilde het geld terug van een KLM-vlucht naar Afrika, omdat de Marechaussee een uitzetting op mensonterende manier zou hebben uitgevoerd." [Nu.nl, 12/08/29]

"Op de server stonden honderden kopieŽn van paspoorten van mensen uit onder andere Nederland, Duitsland, Zwitserland, RoemeniŽ, BelgiŽ, de Verenigde Staten en Iran. Ook kopieŽn van credit cards stonden op de server. Soms waren er kopieŽn van zowel de voor- als achterkant te vinden, voldoende voor misbruik van deze creditcards." [BoF, 12/08/31]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Door een fout in de software van Tix.nl stonden via een onbeveiligde internettoegang ruim 2600 persoonlijke documenten online. [...] Dat ontdekte een hacker [...]. Het bedrijf bleek de informatie gewoon op een webserver te hebben staan, die volledig publiek toegankelijk was." [Nu.nl, 12/08/29]

"Het bedrijf bevestigt het lek en heeft de server ontoegankelijk gemaakt." [BoF, 12/08/31]

Respons van de organisatie

"In een reactie erkent een zegsman van Tix.nl het lek en benadrukt dat het probleem binnen tien minuten was verholpen. Hij legt de schuld bij de leverancier van de software, die volgens hem een fout heeft gemaakt. 'Ze hebben al een tijd geen nieuwe releases van de software uitgebracht', stelt hij tegenover NU.nl. 'We hebben het gat zelf als niet-bouwer van het pakket binnen tien minuten kunnen dichten.' Het bedrijf bestrijdt de gevoeligheid van de gegevens. In veel voorbeelden met creditcardgegevens zou het ook gaan om oplichters die geld van het bedrijf proberen te krijgen en daar vervalste persoonsbewijzen bij gebruiken. Desgevraagd ontkent hij bij pogingen tot fraude de valse documenten beschikbaar te stellen aan de politie. NU.nl heeft zowel melding gemaakt bij het Nederlands Openbaar Ministerie als bij de Duitse Justitie. De leverancier van de gebruikte software OS Ticket, een gratis open-sourceprogramma, benadrukt dat er geen openstaande systemen worden verscheept. Organisaties die de software gebruiker worden er in een handleiding juist op gewezen de beveiliging dicht te zetten. Tix.nl heeft dat juist verzuimd te doen. In een nieuwe versie worden documenten in de database opgeslagen 'omdat niet iedere beheerder evengoed getrained is'." [Nu.nl, 12/08/29]

Bronnen

12/08/29

12/08/31

.