Ticketscript had een database met daarin persoonlijke gegevens van naar schatting 250.000 bezoekers van concerten en andere evenementen achter een standaard 'admin'-wachtwoord staan. Zo waren namen, telefoonnummers en e-mailadressen van kaartjeskopers in te zien.

Het systeem van Ticketscript was via http toegankelijk en met het admin-account konden wachtwoorden van dat account en andere accounts veranderd worden. Dat ontdekte beveiligingsonderzoeker Sijmen Ruwhof, die op navraag van het Avro/Tros-programma Opgelicht op zoek ging naar kwetsbaarheden in systemen van bedrijven. Ook andere accounts bleken een standaardwachtwoord te gebruiken: gelijk aan de accountnaam.

Ruwhof constateerde dat hij toegang had tot gegevens van de personen die toegangskaarten hadden gekocht voor 1100 evenementen, waaronder van de Dutch Design Week en de Tesco Wine Fair. Hij maakt een voorzichtige schatting dat het om tussen de 200.000 en 300.000 personen gaat.

Ruwhof heeft Ticketscript ingelicht over de kwetsbaarheid die daarop de derde partij die het systeem beheerde opdracht heeft gegevens het probleem op te lossen. Een jurist van Ticketscript claimt dat er geen sprake is van een datalek omdat de beveiligingsonderzoeker slechts een beperkt deel van de data heeft ingezien en er verder geen ongeoorloofde toegang geweest zou zijn. Hierdoor zou het probleem niet bij de Autoriteit Persoonsgegevens gemeld hoeven worden.

Reacties mogelijk gemaakt door CComment