Fout bij Ticketscript: privégegevens van 250.000 concertgangers liggen op straat

De privégegevens van ruim 250.000 concertbezoekers liggen door een fout van Ticketscript op straat. Dit ontdekte beveiligingsonderzoeker Sijmen Ruwhof. De database met gegevens van evenementbezoekers werd door het bedrijf beveiligd met een standaardgebruikersnaam en -wachtwoord. Ruwhof logde in met deze eenvoudige combinatie en kreeg toegang tot de data. De gegevens zouden niet zijn misbruikt door criminelen.

Ticketscript regelt de kaartverkoop voor diverse evenementen. In hun onveilige database stonden de volledige namen, e-mailadressen en telefoonnummers die via het bedrijf een ticket voor een beurs, concert of festival hadden gekocht. Hieronder vallen bijvoorbeeld het Amsterdam Dance Event en de Dutch Design Week. In de database stonden gegevens van ruim 100.000 Nederlanders, stelt Ruwhof.

Ransomware

De informatie zou gebruikt kunnen worden door cybercriminelen om persoonlijke e-mails te sturen, bijvoorbeeld een nepfactuur voor een concertkaartje. Dankzij kwetsbaarheden in Acrobat Reader zou via het PDF-bestand ransomware op de computer kunnen worden geïnstalleerd. Met een dergelijk virus worden je bestanden gegijzeld tot je een bepaald bedrag betaald.

De slecht beveiligde database is door Ruwhof bij Ticketscript gemeld. Het bedrijf heeft het lek inmiddels gedicht.