Rang1Tickets, dat concertkaartjes verkoopt, lijkt de complete bedrijfsadministratie via de eigen website te voeren. Zo voert het bedrijf een persoonsadministratie van klanten, met inbegrip van bankrekeningnummers en creditcardnummers. Ook omzetadministratie rond evenementen en afspraken zitten in het systeem. Een beveiligingsonderzoeker die opereert onder de naam SyntaxNL legde de zwakheid bloot.

Eenvoudig toegankelijk

De beveiliging voor medewerkers blijkt wel op een heel erg basaal niveau kwetsbaar te zijn. Wie zich als beheerder (admin) probeert aan te melden en als wachtwoord 'or'1'='1 komt als systeembeheerder binnen en heeft toegang tot allerhande gegevens.

Daarbij krijgt men ook toegang tot privacygevoelige gegevens van klanten, zoals naam en adres. Ook blijkt Rang1Tickets de bankrekeningnummers en creditcardnummers van klanten te bewaren. Dat gebeurt omdat betalingen via iDeal, creditcard en via een automatische incasso mogelijk zijn.

Twijfelachtige verwerking

Het is maar zeer de vraag of het is toegestaan om de opslag op deze manier te regelen. Om persoonsgegevens te mogen verwerken, moet er volgens de Wet bescherming persoonsgegevens voldaan worden aan een minimaal niveau van beveiliging. Of dat afdoende is gebeurd is onduidelijk.

In een reactie op het verhaal legt creditcardmaatschappij VISA uit dat zij strenge regels kennen voor beveiliging van kaartacceptanten op internet. Zo moeten bedrijven voldoen aan de PCI-normen. Die staan niet toe dat bij de klantgegevens gegevens ook leesbare creditcardnummers staan. “Die moeten versleuteld bewaard blijven", stelt een zegsvrouw. Ook wijst ze erop dat gegevens nooit zo toegankelijk mogen zijn.

Overigens benadrukt VISA dat voor het frauderen met creditcardgegevens vaak meer gegevens nodig zijn, zoals een extra code. Of die informatie ook toegankelijk is geweest, blijft onduidelijk.

Kwalijk

“Als je door middel van een eenvoudige SQL-injection (namelijk de welbekende 'or'1'='1 methode) alle gegevens kan uitlezen, dan is dat Rang1tickets erg kwalijk te nemen", zegt SyntaxNL. Hij ontdekte het lek en wil het onvoorzichtig omgaan met gevoelige gegevens aan de kaak stellen. “Rang1tickets heeft niet voldoende hun best gedaan om de gegevens van klanten en overige (bank)zaken goed te beveiligen terwijl het hier gaat om privacygevoelige informatie die nooit zomaar open en bloot op straat hoort te liggen."

Webwereld heeft diverse malen het probleem bij Rang1Tickets onder de aandacht gebracht en gevraagd om een reactie. “Vervelend om te horen dat onze website 'lek' zou zijn. Wij nemen uw bericht serieus en zullen maatregelen treffen", schrijft J. Schell namens het bedrijf. Op de consequenties voor bijvoorbeeld klanten en de gevolgen van de blunder gaat de onderneming verder niet in. Inmiddels is dit lek gedicht.