Lek 18: 715.000 klanten van CheapTickets.nl - UPDATE
Gepubliceerd: Maandag 24 oktober 2011
Auteur: Brenno de Winter
Door een onvoldoende gepatchte server lekte CheapTickets.nl een database van 715.000 klanten. Kwaadwillenden zagen niet alleen namen, maar ook tickets en paspoortnummers.
Dat ontdekte een bron die zich meldde op voorwaarde van anonimiteit. Hij ontdekte dat op de Windows Server 2003 omgeving niet alle patches waren gedraaid. Omdat de omgeving kwetsbaar was voor een in 2009 gepubliceerde zwakheid, kon hij toegang krijgen tot het systeem met daarop de database met klantgegevens.
Veel persoonlijke gegevens
In de database staat de persoonlijke informatie van 715.000 klanten, met onder andere volledige naam, adres, woonplaats, maaltijdvoorkeur, leesbare wachtwoorden en telefoonnummer. Gezamenlijk namen deze klanten ruim 1,2 miljoen tickets af. Voor vluchten naar onder andere de Verenigde Staten geven reizigers hun paspoortnummer door. Daarvan staan er zeker 80.000 in de database.
Deze informatie is voldoende voor criminelen om identiteitsdiefstal te plegen. Toch blijft de schade relatief beperkt, omdat het gaat om een ontwikkelomgeving met klantgegevens uit 2008 en 2009. De huidige complete omgeving bevat de informatie van 3 miljoen klanten, maar deze is, voor zover bekend, niet gekraakt.
Overigens lijken de makers van CheapTickets.nl zich wel aan regelgeving van creditcardmaatschappijen te houden. Van de creditcardnummers worden niet meer dan de laatste vier cijfers opgeslagen. Ook bij iDeal-betalingen worden geen bankrekeningnummers geregistreerd.
Pijnlijk
Toch maakt dat het lek niet minder pijnlijk. Op verzoek van NOS-verslaggever Jeroen Wollaars vroeg Webwereld om zijn reizen op te zoeken. Er komt een trip naar Tokio naar voren, aangevuld met adresgegevens, telefoonnummer en opgegeven maaltijdvoorkeur. "Ja dat was mijn huwelijksreis", erkent Wollaars.
Ook in de politiek wordt geschrokken gereageerd. "Ik ben verbijsterd dat op eenvoudige wijze tienduizenden persoonsgegevens op straat kunnen liggen. Dit kan ernstige gevolgen hebben voor al die mensen die tickets hebben geboekt via deze websites", zegt GroenLinks-kamerlid Arjan El Fassed tegenover Webwereld. Hij wil de ministers Verhagen (Economische Zaken) en Ivo Opstelten (Justitie) op het matje roepen.
Meldplicht
El Fassed vindt het nu tijd dat er haast wordt gemaakt met een meldplicht voor datalekken, zodat de slachtoffers snel en adequaat worden geïnformeerd. Eerder vandaag bleek dat het keurmerk van Thuiswinkel.org, dat consumenten vertrouwen in online winkelen moet geven, tegen zo'n meldplicht is. Ook CheapTickets.nl beschikt over dit keurmerk.
El Fassed vindt dat onbegrijpelijk. "Ook blijkt dat het keurmerk thuiswinkel.org, de belangenbehartiger van webwinkeliers, een wassen neus is. Juist het vertrouwen van mensen is van belang voor webwinkeliers. Dit laat zien dat we niet langer kunnen wachten op een meldplicht voor ict-incidenten voor zowel bedrijfsleven als overheid", zegt hij. "Vertrouwen van klanten en burgers moet worden hersteld. Goede informatievoorziening en openheid is daarbij essentieel. Incidenten staan niet op zichzelf. Lek na lek laat zien dat gegevens lukraak worden opgeslagen en problemen onder de mat worden geveegd."
CheapTickets.nl wil niet reageren op vragen van Webwereld. Maar Raymond Vrijenhoek, CEO van CheapTickets.nl, zal later vandaag met een verklaring komen.
Update:CheapTickets-ceo Vrijenhoek verklaart tegenover persbureau ANP dat het lek is gedicht. Voor zover bekend is er geen misbruik gemaakt van de inbraak. ''Het ging om oude gegevens uit 2008 en 2009'', schrijft NU.nl op uit de mond van de topman.
Tegenover Webwereld stelt CheapTickets het volgende:
Afgelopen weekend is een testomgeving van CheapTickets, een van de grootste online aanbieders van vliegtickets, gehackt. Wij betreuren ten zeerste dat dit heeft kunnen plaatsvinden en willen met klem benadrukken dat alleen toegang tot een testomgeving is verkregen met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. Het gehackte testgedeelte betrof geen live omgeving waarin de consument normaliter boekingen verricht.
De hacker heeft op geen enkele wijze toegang gekregen tot financiële gegevens van de bij ons in deze periode geregistreerde personen. Zodra het voorval bij ons bekend werd is alle toegang tot de betreffende link afgesloten. Veiligheid van klantgegevens heeft bij ons de allerhoogste prioriteit. CheapTickets is aangesloten bij Thuiswinkel.org en voldoet aan alle door deze consumentenorganisatie gestelde eisen inzake bescherming van online persoonsgegevens. Inmiddels heeft CheapTickets de nodige maatregelen getroffen om herhaling te voorkomen.
Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.
Update 17:00 verklaring CheapTickets toegevoegd.
