Creditcardgegevens gelekt na hack Nationale Theaterkassa

AMSTERDAM Een hacker heeft ingebroken in de administratie van concertkaartjesverkoper Nationale Theaterkassa. De database met adresgegevens, correspondentie, transacties en creditcardnummers is volledig open gezet.

Dat ontdekte een andere hacker, die zich bij NU.nl meldde. Hij ontdekte dat de database van de Nationale Theaterkassa zonder wachtwoord te benaderen is. Hierdoor waren ruim vierenhalfmiljoen databaseregels toegankelijk. Daarbij gaat het om gegevens van bijna honderdduizend mensen.

Tussen de gegevens zitten ook 2100 creditcardnummers met vervaldatum, waarvan er volgens de Nationale Theaterkassa nog 226 actief zijn. Dat is een risico voor misbruik en mag niet volgens de regels van creditcardmaatschappijen die het onversleuteld opslaan juist verbieden. Daarnaast zijn er ook veel bankrekeningnummers opgeslagen.Dat er relatief weinig creditcards nog actief blijken, komt omdat er sinds begin 2010 door het bedrijf met een nieuw systeem gewerkt wordt. Daarbij worden nummers niet langer leesbaar opgeslagen. De oude database was alleen in gebruik voor een nieuwsbrief. Inmiddels heeft het bedrijf de werkwijze aangepast en is de informatie niet meer toegankelijk.

Mariette Hamer

In de database bevinden zich ook de privégegevens van PvdA-kamerlid Mariette Hamer. Zij erkent tegenover NU.nl een enthousiast theaterbezoeker te zijn. “Ik kan daar best kaartjes hebben gekocht, want ik ga vaak naar het theater. Ik weet dat niet meer”, vertelt ze dan ook. Dat haar gegevens zijn gelekt noemt ze ‘heel zorgelijk’. “Dit is natuurlijk dramatisch, want als het eenmaal gelekt is kunnen we niets meer doen.”Voor een ambtenaar bij een ministerie, die zich tweemaal beklaagde over het ontvangen van een nieuwsbrief, is het niet zo erg. “Ik ga er vanuit dat ik in meer databases sta. Ik begrijp dat het verkeerd gebruikt kan worden , maar dat is nu eenmaal zo als je je op internet begeeft”, zegt ze in een reactie.

Opvallend is ook dat er gegevens van politiefunctionarissen zitten, die vervolgens beklagen niet met hun politie-e-mailadres bekend wensen te zijn.

Beveiliging

De Nationale Theaterkassa erkent de problematiek en zegt gebruikers te informeren. “Er is moedwillig in ons systeem ingebroken, ondanks dat het een beveiligd systeem betrof”, stelt directielid Matthijs Bongertman in een verklaring (pdf) tegenover NU.nl.

“Het gaat hier om het moedwillig omzeilen van de databasebeveiligingen en firewall, waardoor alle gegevens inzichtelijk konden worden voor de dader. De beveiliging is inmiddels hersteld en aangescherpt en heeft na invoering op 20 februari verschillende audits en tests doorstaan.”

Het bedrijf heeft inmiddels aangifte gedaan van diefstal van vertrouwelijke informatie.

Geen wachtwoord

Dat er voor de melder van het probleem geen wachtwoord nodig is om bij de gegevens te komen, werd veroorzaakt door een eerdere inbraak. Deze heeft een kwaadaardig karakter. Er hebben zich recentelijk meer incidenten voorgedaan in Nederland, waarbij er ingebroken is in een database en vervolgens de beveiligingsmaatregelen zijn uitgeschakeld.

Recentelijk werd bekend dat was ingebroken bij het Brabantse reclamebureau Creation Point, waardoor honderdduizenden persoonsgegevens toegankelijk waren.Een terugkerend kenmerk bij dit type kraak is niet alleen het verwijderen van het wachtwoord voor het beheer van de database. Er wordt door de dader nog een handtekening achtergelaten door een database met de naam ‘vuln’, een afkorting voor het Engelse woord vulnerable (kwetsbaar). In die database zitten dan geen verdere gegevens.NU.nl heeft op verzoek van de hacker die de eerdere inbraak ontdekte melding van het incident bij het Openbaar Ministerie en het National Cyber Security Center gedaan. Conform afspraken zijn de gegevens inmiddels gewist.

© NU.nl/Brenno de Winter

Laatst gewijzigd: 22-02-2012 11:39