Inloggegevens van festivalbezoekers waren gemakkelijk te hacken
Bezoekers aan technofestival DGTL de dupe nadat al hun gegevens waren gekraakt door een hacker.
Hoe heeft dit kunnen gebeuren?
Een anonieme hacker vertelde tegen RTL Nieuws dat hij in de code van de site de inloggegevens vond voor een database. De database was niet eens meer in gebruik bij het festival. Toch is de data volgens Jasper Goossen, Ceo bij festivalorganisator Apenkooi Events, ‘stom genoeg online blijven staan’.
De Nederlandse hacker stuitte op het lek toen hij de digitale rij wilde omzeilen bij het kopen van kaartjes voor het festival DGTL. Hij kwam daarbij de inloggegevens van de database tegen en kreeg zo toegang tot privacygevoelige data van 130.000 mensen. Het lek was door de hacker direct gemeld bij DGTL en de siteontwikkelaar. Na een aantal maanden was het lek nog steeds niet gelekt, waardoor de hacker besloot het lek openbaar te maken. Het gaat om een database met informatie van bezoekers die tussen 2015 en 2018 het technofestival bezochten.
De gegevens die de hacker buit maakte waren onder meer naam, geslacht, leeftijd, e-mailadressen en woonadressen. Ook stonden er ’tienduizenden’ mobiele telefoonnummers in de database.
De hacker vond daarnaast ook nog eens 109.360 wachtwoorden. Deze waren versleuteld, maar volgens RTL Nieuws werd hierbij een ‘versleuteling gebruikt die al in 2008 als ‘ongeschikt voor verder gebruik’ werd bestempeld’. De versleuteling van de wachtwoorden is daarom ‘veelal binnen enkele minuten’ te kraken, aldus de hacker. Naast DGTL, zijn
er ook ruim 100.000 e-mailadressen van Pleinvrees-bezoekers gelekt. Zelfs de DGTL-website kon, na de hack actie eenvoudig worden overgenomen, waarna de hacker onder andere nieuwsberichten kon plaatsen.
Melding bij de autoriteiten
Momenteel doet DGTL onderzoek naar het voorval en heeft de organisatie melding gedaan bij de Autoriteit Persoonsgegevens. Daarnaast is er een werknemer aangenomen met kennis van privacy om dit soort incidenten in de toekomst te voorkomen. Bezoekers zijn nog niet geïnformeerd over het lek, maar Goossen stelt dat de organisatie wel van plan is gedupeerde bezoekers op de hoogte te stellen.
Hoe kun je dit voorkomen?
Zorg er voor dat jouw website ook goed is beveiligd. Ook is het goed als je emailbeveiliging hebt aanstaan, de software van emailbeveiliging programma’s kunnen gevaarlijke links herkennen en blokkeren door middel van AI.
Vond je dit interessant?
Schrijf je in voor onze Nieuwsbrief, mis niks en ontvang speciale aanbiedingen plus de belangrijkste ICT nieuws, tips & tricks!