Datalek: ticketsite lekt creditcardgegevens
- 06 september 2011
Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. Ticketverkoper Rang1Tickets had de toegang tot de administratie zo slecht beveiligd dat het zeer eenvoudig was toegang te krijgen tot de administratie.
De site van Rang1Tickets.nl controleerde de opgegeven zoektermen onvoldoende, waardoor gebruikers extra opdrachten aan de achterliggende databank konden geven. Op die manier waren gegevens toegankelijk die dat eigenlijk niet moeten zijn.
Door het lek in de website was het voor elke internetter mogelijk om als beheerder de site te gebruiken. De beheerder heeft toegang tot belangrijke gegevens van klanten zoals namen, adressen, en nummers van bankrekeningen en creditcards. Opmerkelijk is dat de gegevens over creditcards onversleuteld waren. Ook de omzetadministratie rond evenementen en afspraken zitten in het systeem. Rang1Tickets bevestigde het lek en gaf aan dat het lek gedicht is.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper (PDF) (HTML).