Wachtwoorden en privégegevens van 130.000 bezoekers van het technofestival DGTL lagen door een menselijke fout voor het oprapen. Een medewerker plaatste per ongeluk de volledige technische code van de website online. De organisatie heeft gedupeerden geïnformeerd en melding gedaan bij de Autoriteit Persoonsgegevens.
Dat meldt RTL Nieuws (1). De nieuwszender werd getipt door een Nederlandse hacker en ging vervolgens op onderzoek uit.
Door de vergissing was het mogelijk om in de code van de gehele website te duiken en inloggegevens van de database met wachtwoorden en persoonsgegevens te achterhalen. Tevens was het mogelijk om de website van DGTL aan te passen en ruim 100.000 e-mailadressen van Pleinvrees te raadplegen, een ander populair festival. De database was bovendien al jaren niet geüpdatet en zodoende zo lek als een mandje.
In totaal zijn er 109.390 wachtwoorden gelekt. Zoals gebruikelijk zijn deze versleuteld, maar volgens RTL Nieuws werd hiervoor een zwakke encryptiemethode gebruikt. Het kraken van de beveiliging van de wachtwoorden was zodoende kinderlijk eenvoudig.
Naast wachtwoorden waren persoonsgegevens van 130.000 bezoekers van technofestival DGTL toegankelijk. De database bevatte namen, woonadressen, geboortedata, e-mailadressen en telefoonnummers. Deze gegevens zijn afkomstig van bezoekers die tussen 2015 en 2018 het technofestival bezochten. Daarna stapte de organisator van het festival over op een extern ticketsysteem.
Jasper Goossen, CEO van Apenkooi Events, de organisator van het technofeest, gaat diep door het stof. “Deze data zijn stom genoeg online blijven staan. De privégegevens van onze bezoekers zijn heel belangrijk voor ons en hadden niet op deze manier toegankelijk mogen zijn”, zegt de algemeen directeur tegenover RTL Nieuws.
De database is inmiddels verwijderd, maar er zouden kopieën rondgaan op internet. Zoals de Algemene Verordening Gegevensbescherming (AVG) verplicht, is er melding gedaan van het datalek bij de Autoriteit Persoonsgegevens. De toezichthouder kan besluiten om een onderzoek in te stellen en al dan niet een boete op te leggen.
Bezoekers zijn niet op de hoogte gebracht van het voorval. De organisatie vond dat een “te zwaar” middel. “Natuurlijk zijn we eindverantwoordelijk voor de data van onze bezoekers, maar in de jaren waar we het over hebben hadden wij geen mensen met deze technische kennis in huis en besteedden wij dit uit aan externe partijen. Daar moeten we als marketeers ook op vertrouwen”, zo verdedigt de CEO het besluit.
Goossen zegt dat hij een andere medewerker heeft aangenomen met kennis over technologie en privacy. Hij is verantwoordelijk voor de verwerking en beveiliging van privégegevens van alle bezoekers.
RTL Nieuws kwam het lek op het spoor dankzij een tip van een anonieme, Nederlandse hacker. Hij wilde kaartjes kopen voor het technofestival DGTL, maar had geen zin om aan te sluiten in de wachtrij op de website. Hij zocht een manier om deze te omzeilen. Toen zag hij de inlognaam en het wachtwoord van de database.
De hacker meldde het lek zowel bij de organisatie van DGTL als de ontwikkelaar van de website. Zij verwezen echter naar elkaar, waardoor er niets gebeurde. Toen het lek na een aantal maanden nog niet was verholpen, besloot hij om RTL Nieuws hierover in te lichten.
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5332177/dgtl-datalek-wachtwoorden-privegegevens-bezoekers-hacker
