De klantgegevens van 1,5 tot 1,8 miljoen dierentuin- en pretparkbezoekers zijn gelekt. Door een menselijke fout plaatste Ticketcounter een bestand met deze gegevens openbaar online, schrijft Tweakers. In het bestand staan bankrekeningnummers, namen en geboortedatum van bezoekers van onder meer Diergaarde Blijdorp, de Apenheul en Duinrell.
Ticketcounter ontdekte vorige week dat de gegevens werden verkocht via het darkweb, een anoniem onderdeel van het internet dat niet met reguliere browsers toegankelijk is. Het bedrijf heeft inmiddels het betreffende bestand offline gehaald en verwijderd. Criminelen hebben hier dus echter al kopieën van gemaakt.
De criminelen proberen daarnaast met de gestolen gegevens Ticketcounter te chanteren. Betaalt het bedrijf 7 bitcoin, dan zeggen de criminelen de gegevens te verwijderen. 7 bitcoin is op moment van schrijven zo’n 280.000 euro waard. Ticketcounter zegt dit niet te gaan betalen en heeft aangifte gedaan.
Getroffen klanten plaatsten tussen 23 juli 2018 en 4 augustus 2020 een bestelling via Ticketcounter. Het gaat om klanten die een kaartje kochten voor musea, Diergaarde Blijdorp, de Apenheul, Duinrell en evenementen als Keukenhof, VT Wonen Beurs en Schaatsbaan Rotterdam.
In het bestand staan veel belangrijke gegevens van klanten, zoals naam, mailadres, telefoonnummer, adres, geboortedatum en IBAN. Wachtwoorden of creditcardgegevens zijn niet gelekt. Met de gelekte gegevens kunnen criminelen zeer gerichte phishingmails sturen. Klanten worden daarom aangeraden hierop waakzaam te zijn.
De bedrijven hebben getroffen klanten ingelicht over het lek. Ook is er een melding gemaakt bij de Autoriteit Persoonsgegevens, verplicht bij dergelijke datalekken. Gebruikers kunnen op een Ticketcounter-website hun e-mailadres invullen en worden dan per mail geïnformeerd of en welke gegevens er bij Ticketcounter bekend zijn.
