Bezoekers Avifauna slachtoffer van datalek bij reserveringssysteem

ALPHEN AAN DEN RIJN - Persoonlijke gegevens van vermoedelijk honderdduizenden mensen zijn in verkeerde handen gevallen door een lek bij het bedrijf Ticketcounter. Het gaat om namen, e-mailadressen, geboortedata, adressen en bankrekeningnummers van mensen die bij de onderneming online een ticket hebben besteld.

Ticketcounter regelt in opdracht van dierentuinen, pretparken, musea en evenementen reserveringen en betalingen. Onder meer bezoekers die via het platform een ticket hebben gekocht voor Avifauna in Alphen aan den Rijn zijn slachtoffer van het lek.

Ticketcounter kreeg onlangs van beveiligingsexperts te horen dat data van gebruikers werden aangeboden op het dark web, een deel van het web dat niet gemakkelijk toegankelijk is. Daarop ontdekte het bedrijf dat door 'een menselijke fout' een groot datalek is ontstaan.

'Gegevens die vertrouwelijk waren zijn op een verkeerde plek opgeslagen', zegt directeur Sjoerd Bakker tegen de NOS. Het gaat volgens hem om 1,5 miljoen tot 1,8 miljoen verschillende e-mailadressen uit de periode medio 2017 tot en met 4 augustus vorig jaar.

Avifauna is 'geschrokken'

Een woordvoerder van Avifauna zegt tegen Omroep West, mediapartner van Studio Alphen, dat ze 'geschrokken' zijn bij het vogelpark. 'Ticketcounter zegt dat mensen last kunnen hebben van fishingmails door het datalek. We hebben begrepen dat bezoekers geen direct risico loopt. Er zijn namelijk geen wachtwoorden, pasfoto's of creditcardgegevens gelekt. Klanten reageren dan ook positief.'

Boos is het Alphense vogelpark niet op de ticketpartner. 'Nee, zeker niet op een bedrijf waar we altijd goed mee samenwerken. Ze hebben het goed opgepakt door meteen een tool te maken waardoor mensen kunnen controleren of hun gegevens gelekt zijn. Ticketcounter heeft de mensen om wie het kan gaan een mail gestuurd met een link naar de tool. Klanten zijn daar positief over. Ze zijn blij dat ze worden geïnformeerd.'

Aangifte bij de politie gedaan

Ticketcounter heeft het bestand met gegevens direct verwijderd toen het hoorde dat de gegevens te koop werden aangeboden. Volgens Bakker was dat achteraf gezien niet de juiste reactie. 'We hadden de gegevens beter veilig kunnen stellen, dan hadden we kunnen zien wat er precies is gelekt. Daags na het lek kregen we via ethische hackers alsnog het bestand en konden we de omvang van het lek vaststellen.'

De politie Rotterdam bevestigt aan de NOS dat er aangifte is gedaan, maar wil er verder niets over kwijt. Ticketcounter zegt ook een melding te hebben gedaan bij de Autoriteit Persoonsgegevens. Die toezichthouder zegt pas met mededelingen te kunnen komen als er onderzoek is gedaan en niet in te gaan op individuele gevallen.