Persoonlijke gegevens van vermoedelijk duizenden mensen zijn op straat beland door een lek bij het bedrijf Ticketcounter. Het gaat om namen, e-mails, geboortedata, adressen en bankrekeningnummers. Ticketcounter regelt in opdracht van dierentuinen, pretparken, musea en evenementen reserveringen en betalingen.
Ticketcounter kreeg onlangs van beveiligingsexperts te horen dat data van gebruikers werden aangeboden op het dark web, een deel van het web dat niet gemakkelijk toegankelijk is. Daarop ontdekte het bedrijf dat door “een menselijke fout” een groot datalek is ontstaan. Gegevens die vertrouwelijk waren zijn op een verkeerde plek opgeslagen, zegt directeur Sjoerd Bakker.
Bakker spreekt van een nachtmerrie. Hij wordt sinds vrijdag naar eigen zeggen ook afgeperst met verzoeken om geld over te maken. “Als ik dat niet doe, dreigen ze de gegevens van klanten verder te verspreiden. Ze wilden zeven bitcoins. Ik heb de politie ingeschakeld en het cyberteam van de politie Rotterdam doet onderzoek. Ik heb niet betaald en dat gaat ook niet gebeuren.”
Klanten van Ticketcounter hebben mensen via e-mails inmiddels op de hoogte gebracht van het lek en geadviseerd om alert te zijn op phishing. Ticketcounter zegt dat er gegevens gelekt zijn uit de periode medio 2017 tot en met 4 augustus vorig jaar.
Ticketcounter heeft het bestand met gegevens direct verwijderd toen het hoorde dat de gegevens te koop werden aangeboden. Volgens Bakker was dat achteraf gezien niet de juiste reactie. “We hadden de gegevens beter veilig kunnen stellen, dan hadden we kunnen zien wat er precies is gelekt.”
“Het is de ergste nachtmerrie die je kunt overkomen”, zegt Bakker. “Onze business is vertrouwen, daar doen we alles aan. Daar steken we veel geld, energie en tijd in, maar die uitspraken zijn weinig waard als er zo’n fout wordt gemaakt.”