Datalek ticketcounter

maandag 1 maart 2021 15:05

Acties:

0Henk 'm!

YOLO

En helaas weer een datalek. Dit keer ticketcounter.nl

Net 2 mails gekregen, een van dierenpark Amersfoort en van de apelheul dat mijn gegevens zijn gelekt via ticketcounter.

https://dierenparkamersfoort.nl/datalek/
https://apenheul.nl/veelgesteldevragen

Het wordt echt tijd dat er strenge wetgeving komt voor het opslaan van persoonlijke data. Met daarbij standaard vergoeding per persoon waarvan de data is gelekt.

Ik moet dus helaas weer een nieuwe bankrekening openen en alle instanties informeren dat ik een andere bankrekening heb. Wie gaat dat betalen? Weer voer voor mijn advocaat.

Artikel dat hier goed op aansluit.

https://www.ad.nl/tech/lo...spaargeld-kwijt~a5f589b9/

Blijkbaar dus een menselijke fout.
https://www.ad.nl/tech/af...attractieparken~a1b93a1b/

[Voor 19% gewijzigd door worldfastest op 01-03-2021 16:52]

You only live once, so enjoy the ride.

maandag 1 maart 2021 15:35

Acties:

0Henk 'm!

kodak

FP ProMod

Er is al strenge wetgeving. Het probleem is dat de toezichthouder er voor kiest om nauwelijks tijd te investeren in boetes als ze meldingen ontvangen of zelf ontdekken dat er een datalek is die gemeld had moeten worden. Ze besteden liever tijd in waarschuwingen per brief of een gesprek. De vernieuwde wetgeving maakt sneller en strengere handgaving mogelijk maar in de praktijk verschuilt de AP zich achter te weinig mensen of geld, terwijl ze er al al jaren voor kunnen kiezen om wel strenget te zijn. Bedrijven komen er dus mee weg en uit niets blijkt verbetering.

maandag 1 maart 2021 15:39

Acties:

+1Henk 'm!

gbonny

Hier ook een mail ontvangen van dierenpark over TicketCounter.

"er is een backup bestand gelekt" wat gewoonweg betekent dat ze een bestand met persoonsgegevens online hadden waar iedere onnozele bij kon.

Ik vraag me af of we niet gewoon een schadevergoeding kunnen eisen, omdat er gewoon onzorgvuldig gehandeld is met persoonsgegevens van derden.

Excuses is leuk, maar het is weer een gevalletje "men dempt de put als het kalf verdronken is". Ik wordt er echt pissig van omdat het schering en inslag begint te worden. Ze denken niet voor, gaan onzorgvuldig te werk en komen er gewoon mee weg.. ronduit triest!

twee gerelateerde actuele artikelen:
https://autoriteitpersoon...ame-hacks-en-datadiefstal

https://www.security.nl/p...r+over+toename+datalekken

Edit een blog op ict & recht:
https://www.ictrecht.nl/b...devergoeding-onder-de-avg

Edit 2: en Blijdorp bezoekers zijn ook slachtoffer van het lek..:
https://www.diergaardeblijdorp.nl/datalek/
https://nieuwsopbeeld.nl/...-slachtoffer-van-datalek/

Kunnen wij ons als slachtoffers niet verenigen en een claim neerleggen bij TicketCounter..?!

[Voor 34% gewijzigd door gbonny op 01-03-2021 15:57]

maandag 1 maart 2021 16:55

Acties:

+2Henk 'm!

MightyMike87

worldfastest schreef op maandag 1 maart 2021 @ 15:05:
En helaas weer een datalek. Dit keer ticketcounter.nl

Net 2 mails gekregen, een van dierenpark Amersfoort en van de apelheul dat mijn gegevens zijn gelekt via ticketcounter.

https://dierenparkamersfoort.nl/datalek/
https://apenheul.nl/veelgesteldevragen

Het wordt echt tijd dat er strenge wetgeving komt voor het opslaan van persoonlijke data. Met daarbij standaard vergoeding per persoon waarvan de data is gelekt.

Ik moet dus helaas weer een nieuwe bankrekening openen en alle instanties informeren dat ik een andere bankrekening heb. Wie gaat dat betalen? Weer voer voor mijn advocaat.

Artikel dat hier goed op aansluit.

https://www.ad.nl/tech/lo...spaargeld-kwijt~a5f589b9/

Hier hetzelfde verhaal maar of je hierdoor een andere bankrekening moet openen acht ik wel een beetje discutabel.

In de basis kan men niet heel erg veel met je Iban behalve geld naar je overmaken. In het ergste geval kan men namens jou een incassomachtiging afgeven waarop jij deze nog altijd eerst in jouw bankomgeving moet accorderen zover ik weet.

Hoe dan ook wel ernstig want men kan met een beetje pech toch vrij veel te weten komen. Als voorbeeld velen hebben als mailadres voornaam.achternaam@hotmail.com Daarmee zou een beetje hacker of klootviool met in enkele gevallen met een beetje onderzoekwerk nog best veel van die persoon kunnen achterhalen.

Ik vind vooral de manier waarop dit gelekt is erg stuitend om te lezen. Dat ze gewoon de volledige en echte database gebruiken voor een test..

maandag 1 maart 2021 16:59

Acties:

0Henk 'm!

HKLM_

MightyMike87 schreef op maandag 1 maart 2021 @ 16:55:
[...]

Hier hetzelfde verhaal maar of je hierdoor een andere bankrekening moet openen acht ik wel een beetje discutabel.

In de basis kan men niet heel erg veel met je Iban behalve geld naar je overmaken. In het ergste geval kan men namens jou een incassomachtiging afgeven waarop jij deze nog altijd eerst in jouw bankomgeving moet accorderen zover ik weet.

Hoe dan ook wel ernstig want men kan met een beetje pech toch vrij veel te weten komen. Als voorbeeld velen hebben als mailadres voornaam.achternaam@hotmail.com Daarmee zou een beetje hacker of klootviool met in enkele gevallen met een beetje onderzoekwerk nog best veel van die persoon kunnen achterhalen.

Ik vind vooral de manier waarop dit gelekt is erg stuitend om te lezen. Dat ze gewoon de volledige en echte database gebruiken voor een test..

Toevallig vanmorgen een artikel op Ad.nl waarin ze dit aangegeven

Met de naam, het telefoonnummer en het bankrekeningnummer wordt bijvoorbeeld bij webshops op afbetaling gekocht. De spullen worden bij een ophaalpunt bezorgd.

Nu weet ik niet of al deze gegevens in de DB stonden maar dat ze er niks mee kunnen is niet waar.

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

maandag 1 maart 2021 17:03

Acties:

0Henk 'm!

MightyMike87

HKLM_ schreef op maandag 1 maart 2021 @ 16:59:
[...]

Toevallig vanmorgen een artikel op Ad.nl waarin ze dit aangegeven

[...]

Nu weet ik niet of al deze gegevens in de DB stonden maar dat ze er niks mee kunnen is niet waar.

Is wat ik zei toch? Ik zie niet helemaal niks maar dat men een incassomachtiging kan uitvoeren.
Zover ik weet moet je deze wel eerst nog accorderen in je bankomgeving..

maandag 1 maart 2021 17:06

Acties:

0Henk 'm!

HKLM_

MightyMike87 schreef op maandag 1 maart 2021 @ 17:03:
[...]

Is wat ik zei toch? Ik zie niet helemaal niks maar dat men een incassomachtiging kan uitvoeren.
Zover ik weet moet je deze wel eerst nog accorderen in je bankomgeving..

Hoeft niet perse, bol.com, afterpay etc zenden je gewoon een acceptgiro via de mail tegenwoordig.
Aflever en factuur adres anders maken en je kan je trucje uitvoeren.

[Voor 7% gewijzigd door HKLM_ op 01-03-2021 17:06]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

maandag 1 maart 2021 17:07

Acties:

0Henk 'm!

MightyMike87

HKLM_ schreef op maandag 1 maart 2021 @ 17:06:
[...]

Hoeft niet perse, bol.com, afterpay etc zenden je gewoon een acceptgiro via de mail tegenwoordig.
Aflever en factuur adres anders maken en je kan je trucje uitvoeren.

Ok dan is de mail dus je vangnet..

https://www.ad.nl/tech/af...r=https://www.google.com/

maandag 1 maart 2021 21:46

Acties:

0Henk 'm!

mcDavid

Wat zou er in hemelsnaam bereikt worden met hogere boetes en strengere straffen? Denken we dat hier opzet in het spel was? Dat iemand dacht: ik weet dat dit bestand op deze manier slecht beveiligd is, maar daar staat geen boete op dus ik doe het lekker toch?

Straffen helpen niet als mensen uit onkunde handelen. Het kan zelfs averechts werken, omdat het niet bepaald motiveert jezelf te melden. Digitale veiligheid is een probleem dat op dezelfde manier aangepakt moet worden als andere veiligheidsvraagstukken zoals in de luchtvaart en industrie. Training, bewustwording en een zo open en transparant mogelijke cultuur. Het lijkt me beter als organisaties verplicht een keurmerk moeten halen en hun personeel een basiscertificaat (vergelijk het even met VCA) moeten laten halen.

maandag 1 maart 2021 21:57

Acties:

0Henk 'm!

lolgast

Hier helaas ook slachtoffer. Nouja mijn vrouw, die koopt de tickets

Maargoed, van ons staan er 3 transacties in de database, met gecombineerd voornaam, achternaam, e-mail, public IP Ziggo lijn, betaalmethode en IBAN. Vooral dat laatste baal ik nogal van, dus ik denk dat ik morgen maar contact opneem met de bank om een nieuw rekeningnummer aan te vragen.

Wel apart dat bij het opvragen van onze gegevens bij de dierentuin niet is aangegeven dat het IP-adres ook bekend is in de database. Dus de info die zij verschaffen is ook niet compleet, niet zo netjes.

maandag 1 maart 2021 22:16

Acties:

0Henk 'm!

T-Rut

Ik en mn vriendin zijn ook het haasje. Bij mij zit een deel van mn iban er ook tussen.

Ik vind de berichtgeving vanuit de dierentuin supernetjes. Ik ben benieuwd wat voor reactie ik van ticketcounter ga krijgen op mijn mails.

Van de zotte dat ik al jaren zonder problemen op internet ‘rondhang’ en ik bij een dierentuinuitje slachtoffer van een datalek wordt. Je hebt het gewoon echt niet zelf in de hand 😖

Growing old is mandatory, growing up is optional.

dinsdag 2 maart 2021 07:20

Acties:

0Henk 'm!

pricewatcherke

Ik heb een mail gestuurd naar ticketcounter met de vraag voor financiële compensatie
ben benieuwd naar hun reactie

dinsdag 2 maart 2021 07:31

Acties:

0Henk 'm!

Ebayzo

hij/hem

Hier ook alles gelekt bij Amersfoortse Dierenpark. Succes weer met het reeds oude IBAN nummer, email adres wat niet meer actief gebruikt wordt en mijn adres waar ik over een maand niet meer woon.

Enige slordige vind ik alleen het volledige IBAN wellicht maar de overige gegevens zijn simpel te vinden op diverse locaties. Lig er dus niet direct wakker van.

Vroeger was ik wel slordiger met mijn wachtwoordgebruik (één simpel wachtwoord voor alles) , hier ben ik wel strakker in geworden.

Default blanke hetero

dinsdag 2 maart 2021 07:31

Acties:

+4Henk 'm!

Anoniem: 472287

pricewatcherke schreef op dinsdag 2 maart 2021 @ 07:20:
Ik heb een mail gestuurd naar ticketcounter met de vraag voor financiële compensatie
ben benieuwd naar hun reactie

Compensatie voor wat precies?

Dat moet je wel heel stevig onderbouwt hebben en gezien je post hier ga ik daar niet van uit en kan je dat gerust op je buik schrijven.

dinsdag 2 maart 2021 07:55

Acties:

0Henk 'm!

bonzz.netninja

Niente baffi

MightyMike87 schreef op maandag 1 maart 2021 @ 16:55:
[...]

Ik vind vooral de manier waarop dit gelekt is erg stuitend om te lezen. Dat ze gewoon de volledige en echte database gebruiken voor een test..

Ik kan nergens terug vinden dat dit gebruikt was voor een test eigenlijk.... Als dat zo is, testdata niet anonimiseren... dan mag dat niet onder GDPR privacy by design want er is geen grondslag om die gegevens daarvoor te verwerken.

[Voor 3% gewijzigd door bonzz.netninja op 02-03-2021 07:57]

vuistdiep in het post-pc tijdperk van Steve  | Lees mijn maandelijke nieuwsbrief! | https://www.dedigitaletuin.nl

dinsdag 2 maart 2021 08:20

Acties:

0Henk 'm!

Arunia

Hier ook hetzelfde. Was 1 transactie via Ticketcounter voor een midgetgolf uurtje.
Geen idee wat ik er verder mee zou moeten doen. Ga niet rekeningnummers veranderen.
Geen idee ook of je er een claim op kan doen bij ticketcounter.

En als ik het bericht zo lees, is dit wel echt een hele hele hele domme fout die ze gemaakt hebben. Daar mogen ze van mij ook absoluut wel pijn aan hebben.

dinsdag 2 maart 2021 08:30

Acties:

+1Henk 'm!

worldfastest

YOLO

Topicstarter

Hogere boetes helpen zeker wel. Het is een kosten/baten afweging. Als bij een datalek de schade van een bedrijf minimaal is (alleen een mes culpa) dan wordt er ook weinig in procedures en beveiliging geïnvesteerd. Als de boete x miljoen is dan wordt er ook meer geïnvesteerd. Als ik kijk naar mijn werkgever (financiële dienstverlening) dan pompen we elk jaar miljoenen in processen, procedures en beveiliging omdat de financiële impact bij een lek gigantisch zijn. Lees boetes van de DNB.

Nu mag iedere idioot een website beginnen en naw gegevens gaan verzamelen.

mcDavid schreef op maandag 1 maart 2021 @ 21:46:
Wat zou er in hemelsnaam bereikt worden met hogere boetes en strengere straffen? Denken we dat hier opzet in het spel was? Dat iemand dacht: ik weet dat dit bestand op deze manier slecht beveiligd is, maar daar staat geen boete op dus ik doe het lekker toch?

Straffen helpen niet als mensen uit onkunde handelen. Het kan zelfs averechts werken, omdat het niet bepaald motiveert jezelf te melden. Digitale veiligheid is een probleem dat op dezelfde manier aangepakt moet worden als andere veiligheidsvraagstukken zoals in de luchtvaart en industrie. Training, bewustwording en een zo open en transparant mogelijke cultuur. Het lijkt me beter als organisaties verplicht een keurmerk moeten halen en hun personeel een basiscertificaat (vergelijk het even met VCA) moeten laten halen.

You only live once, so enjoy the ride.

dinsdag 2 maart 2021 08:35

Acties:

+1Henk 'm!

wlchris

Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

dinsdag 2 maart 2021 08:38

Acties:

0Henk 'm!

Ebayzo

hij/hem

wlchris schreef op dinsdag 2 maart 2021 @ 08:35:
Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

Ja, zelfde. Had dit topic wel voorbij zien komen maar wist nergens van verder. Dus werkt wel goed op zich die service van haveibeenpwned.com.

Default blanke hetero

dinsdag 2 maart 2021 08:40

Acties:

0Henk 'm!

marapuru

db.

https://www.bleepingcompu...-extorted-in-data-breach/

After not receiving a payment, the threat actor released the database for free today on a hacker forum.

dinsdag 2 maart 2021 09:10

Acties:

0Henk 'm!

mcDavid

worldfastest schreef op dinsdag 2 maart 2021 @ 08:30:

Nu mag iedere idioot een website beginnen en naw gegevens gaan verzamelen.
[...]

Dat klopt en daar kun je je vraagtekens bij zetten, maar in plaats van daar vraagtekens bij te zetten, zoek je het dus liever in reactief boetes uitdelen aan mensen die niet beter wisten?

dinsdag 2 maart 2021 09:41

Acties:

0Henk 'm!

meermarco

Iemand een idee hoe je kan zoeken wat exact gelekt is. Via de tool zag ik het een en ander. Alleen begrijp ik hierboven dat er soms meer in de file/database staat dan gemeld in de tool van Ticketcounter.

dinsdag 2 maart 2021 09:43

Acties:

+1Henk 'm!

Joris748

Yep, wij zijn ook slachtoffer.

Het wordt tijd dat er een debat komt in de Tweede Kamer over het recht om vergeten te worden, na het online kopen van een ticket.

Zomaar een paar ideeën:

Betaling via iDeal anoniem net als een pintransactie
Verbieden om gegevens op te slaan, die niet nodig zijn om jou toegang te geven tot het attractiepark/evenement.
Verplichten om alle gegevens te verwijderen, zodra jij toegang hebt gekregen tot attractiepark/evenement.

dinsdag 2 maart 2021 09:51

Acties:

0Henk 'm!

Drardollan

Hilarisch dat de check website (via de link van DierenPark Amersfoort) zegt:

code:

1	We zullen uw e-mail niet met derden delen.

Hier wel gek, mijn gegevens zijn gelekt volgens HIBP, maar van zowel Q-Music als Amusementspark Tivoli geen enkele communicatie. En dat zijn, voor zover mijn mailbox weet, partijen waar ik de laatste jaren tickets heb gekocht die via Ticketcounter liepen.

dinsdag 2 maart 2021 10:05

Acties:

0Henk 'm!

Stalensnuitje

Hier idem, bericht via HIBP, ooit eenmalig tickets gekocht via Ticketcounter, maar ik kan niet terugvinden of/welke data van mij dan in die breach zouden moeten zitten

dinsdag 2 maart 2021 10:16

Acties:

0Henk 'm!

_JGC_

wlchris schreef op dinsdag 2 maart 2021 @ 08:35:
Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

Ik kreeg 'm gisteravond ook, had eerder die middag al mailtje van Dierenpark Amersfoort gehad.
Heb daarna nog even mijn gegevens opgevraagd: volgens het mailtje zou alleen mijn voornaam, achternaam, mailadres en taal zijn gelekt.

Volgens het mailtje wat ik van HaveIBeenPwned kreeg:
Bank account numbers, Dates of birth, Email addresses, Genders, IP addresses, Names, Payment histories, Phone numbers, Physical addresses

Bij het bestellen van een ticket laat je je bankrekeningnummer, postcode en woonplaats achter. Raar dat die dan ineens niet gelekt zouden zijn... had overigens betaald met creditcard, geen idee of die ook gelekt is...

dinsdag 2 maart 2021 10:45

Acties:

0Henk 'm!

lolgast

@_JGC_ De database die ik had gevonden via raidforums bevatte géén CC nummers. Alleen dat die methode gebruikt was

PS. Nee ik heb hem niet meer. Ik wilde alleen de gegevens van mijn vrouw controleren want ik vertrouw het naar buiten brengen van info in deze kwestie voor geen stuiver

[Voor 42% gewijzigd door lolgast op 02-03-2021 10:46]

dinsdag 2 maart 2021 11:03

Acties:

0Henk 'm!

Cheesy

Inmiddels is het zover dat links- of rechtsom aan de lopende band gegevens gelekt worden.
Zwaarder straffen zal dit niet per direct oplossen. Wellicht is het beter om nu te kijken wat er met die gegevens gedaan kan worden en zonodig dat aan banden leggen. Zoals het in dit topic genoemd achteraf betalen zonder autorisatie. Ik noem maar iets, zullen ook wel weer haken en ogen aanzitten.

Gisteren nog met m'n vrouw over (onze gegevens zitten er ook tussen). Inmiddels kun je er gewoon vanuitgaan dat je gegevens 'op straat' liggen. Dus in de komende tijd extra scherp zijn op smsjes van 'je bank' of een email van 'DigiD' of een whatsappje van 'pa' dat hij per direct geld nodig heeft. Verder denk zoveel mogelijk 2FA en goed email blijven checken op (bijvoorbeeld) afterpay-facturen en afboekingen van de creditcard denk ik maar... ik heb nog niet de indruk dat ze direct echt iets heel ernstigs hiermee kunnen toch, of is dat te naïef?

Het wordt echter wel steeds spannender. Met een paar datalekken combineren heb je zo een kopie ID te pakken vanuit dropbox / email / etc.

edit: hackers vinden het zelf wel waardevol dus blijkbaar denk ik te makkelijk :

update: de gegevens worden inmiddels vrij verhandeld, volgens criminele bronnen is het een van de 'meest waardevolle en uitgebreide' datasets van Nederlanders ooit.

Ticketcounter heeft een FAQ gepubliceerd: https://t.co/pbXGXuZEbR pic.twitter.com/T39G8ugimS
— Daniël Verlaan (@danielverlaan) 2 maart 2021

[Voor 8% gewijzigd door Cheesy op 02-03-2021 11:17]

ᴘᴠᴏᴜᴛᴘᴜᴛ

dinsdag 2 maart 2021 11:05

Acties:

0Henk 'm!

bonzz.netninja

Niente baffi

Joris748 schreef op dinsdag 2 maart 2021 @ 09:43:
Yep, wij zijn ook slachtoffer.

Het wordt tijd dat er een debat komt in de Tweede Kamer over het recht om vergeten te worden, na het online kopen van een ticket.

Zomaar een paar ideeën:
Betaling via iDeal anoniem net als een pintransactie
Verbieden om gegevens op te slaan, die niet nodig zijn om jou toegang te geven tot het attractiepark/evenement.
Verplichten om alle gegevens te verwijderen, zodra jij toegang hebt gekregen tot attractiepark/evenement.

Uh...dat is al en dat heet de avg/gdpr. Daarin zit gewoon het recht om al je gegevens te laten verwijderen. Daarnaast hadden deze gegevens al lang verwijderd moeten zijn, ook volgens GDPR.

vuistdiep in het post-pc tijdperk van Steve  | Lees mijn maandelijke nieuwsbrief! | https://www.dedigitaletuin.nl

dinsdag 2 maart 2021 11:25

Acties:

0Henk 'm!

Cheesy

Overigens, wat veel bedrijven niet noemen is dat er wel degelijk (hashed) passwords in het lek zitten kom ik nu achter:

quote: https://www.bleepingcompu...-extorted-in-data-breach/
From the samples of the database seen by BleepingComputer, the data exposed can include full names, email addresses, phone numbers, IP addresses, and hashed passwords.

Ticketcounter zelf:

quote: https://ticketcounter.nl/datalek
[...] er zijn geen wachtwoorden, pasfoto’s verkregen.

[Voor 15% gewijzigd door Cheesy op 02-03-2021 11:29]

ᴘᴠᴏᴜᴛᴘᴜᴛ

dinsdag 2 maart 2021 17:17

Acties:

+2Henk 'm!

Joeda

Hier ook helaas alles gelekt, inclusief IBAN nummer.

Ik heb eenmalig kaartjes gekocht voor Avifauna en met iDeal afgerekend. Ik zit dan ook met een aantal vragen:
- Waarom bewaart TicketCounter mijn IBAN nummer voor een eenmalige betaling? Dat is volgens mij tegen hun eigen privacyverklaring. Zie https://web.archive.org/w...ticketcounter.nl/privacy/, de privacyverklaring van augustus vorig jaar.

- Volgens diezelfde privacyverklaring bewaren ze gegevens maximaal 1 jaar. Als ik het nieuwsbericht moet geloven dan gaat het om data uit de periode medio 2017 tot en met 4 augustus vorig jaar. Hoe kan dat? Hebben de developers constant de dataset aangevuld in die Azure Storage-container vanaf 2017?

- Wat voor gevaar loop ik door het lekken van een IBAN nummer in combinatie met de andere gelekte gegevens, zoals een geboortedatum? Is het bijvoorbeeld nu makkelijker om een automatische incasso afsluiten? In het mailtje wordt vrij luchtig gedaan dat er geen direct gevaar is, maar ik ben er niet gerust op.

- Is er juridisch wat mogelijk? Ik vind het echt onacceptabel dat er kennelijk data bewaard wordt, waar ik geen toestemming voor heb gegeven.

dinsdag 2 maart 2021 17:51

Acties:

0Henk 'm!

_JGC_

Zojuist mail van DPG dat mijn data gelekt is, heb ooit in september 2019 tickets voor slagharen besteld in de AD.nl webshop. NAW gegevens, email en telefoon zijn gelekt, geboortedatum en IBAN blijkbaar niet.

Best wel kwalijk dat dergelijke data tot in den treure bewaard wordt, september 2019 is meer dan een jaar geleden. Die kaartjes zijn allang betaald en gebruikt, waarom moeten die zo lang bewaard blijven?

dinsdag 2 maart 2021 19:35

Acties:

0Henk 'm!

zonder.h

Inmiddels e-mails van haveibeenpwned (domain monitoring), Julianatoren en DPG Media ontvangen.

Voor mij was het direct duidelijk dat mijn gegevens hier niet bij betrokken zijn. Het betreft namelijk een domein dat mensen blijkbaar wel eens proberen te gebruiken voor bijvoorbeeld 'proefabonnementen'. Dan krijg ik namelijk de 'bevestig uw e-mailadres'-e-mail. Daarom staat catch-all meestal ook uit. Maar goed, ik laat dat domein dus wel monitoren door haveibeenpwned. (Ik bestel overigens ook nooit kaartjes voor leuke dagjes uit.)

Ik was eigenlijk wel benieuwd wat er in dit geval dan gelekt zou zijn, dus via hibp het e-mailadres achterhaald en via Julianatoren/DPG opgevraagd welke gegevens er in het gelekte bestand aanwezig zijn.
<hier stond een lang verhaal>

Het kan toeval zijn, maar volgens https://www.ticketcounter.nl/over-ons/ werkt (een) Nadieh in/op/bij/voor de Backoffice. De overige gegevens zijn natuurlijk ook niet iemands persoonlijke gegevens, tenzij deze persoon normaal gesproken een e-mailadres wenst te gebruiken zonder daartoe toegang te hebben. Het (straat)adres is dat van Ticketcounter zelf, voor de goed orde.

dinsdag 2 maart 2021 19:54

Acties:

0Henk 'm!

mgizmo

Idem hier, Amusementspark Tivoli, Plaswijckpark en VTWonen Beurs.

Alle drie geen mails over ontvangen.

Ach het zijn maar 229 sales channel partners.

[Voor 33% gewijzigd door mgizmo op 02-03-2021 21:47]

dinsdag 2 maart 2021 20:07

Acties:

0Henk 'm!

Lorna

Dit raakt weer enorm veel mensen denk ik.

Ook zojuist email van DPG - was maar 'een' transactie via een kranten webshop augustus vorig jaar, geen toestemming gegeven om persoonlijke data bij een derde te bewaren, waarom zou ik dat toelaten? Dus niet alleen deze 'lek' (slechte data beveiliging)) maar ook het bewaren van persoonlijke data zonder toestemming, maanden nadat transactie voldaan is, klopt niet volgens het GDPR (AVG).

Het laat zien dat er nog veel moet gebeuren met de regelgeving, en de handhaving - het is hoog tijd voor meer duidelijkheid over schade en compensatie voor 'vervuilde' identiteitsgegevens. Overstappen naar een nieuwe, schone email adres bijvoorbeeld duurt best lang - weet ik uit ervaring - en ja bij deze lek en ook de GGD teststraat gebruikt

Juridisch stappen? Ik ben benieuwd naar de mogelijkheden - boete AVG-overtreding kan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet zijn - als de Autoriteit Persoonsgegevens daarvoor kiest. Ik hoop echter dat deze organisatie/s torenhoge boetes krijgen, de consumenten impact is enorm. Ik ben niet mee eens dat 'boetes helpen niet' - geld werkt altijd - en het is hoog tijd dat bedrijven een overduidelijk prikkel krijgen om meer op 'data verwijderen' te focussen dan onnodige 'data opslaan'.

(En daarom werk ik, en een groeiende groep mensen, aan alternatieven met o.a gedecentraliseerd Self Sovereign Identiteiten, ik kan hier niet op wachten!)

woensdag 3 maart 2021 00:32

Acties:

0Henk 'm!

Spookelo

wlchris schreef op dinsdag 2 maart 2021 @ 08:35:
Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

Ik heb hetzelfde. Ik ben wel een keer bij Burger's zoo geweest, maar dat was na de periode waarvan de gegevens gelekt zijn. Heel irritant dit... Het lek lijkt mij dan groter dan wat nu wordt beweerd.

woensdag 3 maart 2021 07:01

Acties:

0Henk 'm!

Drardollan

mgizmo schreef op dinsdag 2 maart 2021 @ 19:54:
Idem hier, Amusementspark Tivoli, Plaswijckpark en VTWonen Beurs.

Alle drie geen mails over ontvangen.

Ach het zijn maar 229 sales channel partners.

Van Tivoli zou je wat gehad moeten hebben, ik heb contact met ze gehad en ze hebben einde van de middag een mail uitgedaan.

Van DPG ook mail. Via die weg is mijn volledige naam en een IBAN van het reeds gestopte MoneYou gelekt. Ik ben dus niet bang voor fraude

woensdag 3 maart 2021 07:13

Acties:

0Henk 'm!

Yucon

*broem*

Ik ook, een hotelovernachting bij Fletcher via leuketickets.nl. Toen eigendom van Sanoma, nu eigendom van DPG Media. Het privacy statement van Sanoma destijds was wat vaag maar ik geloof niet dat dat het zo lang bewaren hiervan er redelijkerwijs onder zou vallen. Ze hadden het ook niet over IP nrs. Als ik vanmiddag de juiste computer bij de hand heb zal ik de letterlijke tekst copy/pasten.

Het privacy statement van DPG Media spreekt wel over ip nrs en een termijn van 14 maanden. (!!) Dat op zich is ook al iets om stevige vraagtekens bij te zetten. Er wordt nu geklaagd over mogelijke identiteitsfraude. Maar daarnaast is er nog iets; door het bewaren van de combinatie ip nrs + persoonsgegevens is voor een site eigenaar nu tot op persoonsniveau van een flinke groep mensen zichtbaar wie het zijn.

Anoniem: 472287 schreef op dinsdag 2 maart 2021 @ 07:31:
[...]

Compensatie voor wat precies?

Dat moet je wel heel stevig onderbouwt hebben en gezien je post hier ga ik daar niet van uit en kan je dat gerust op je buik schrijven.

De directe kosten zijn meestal lastig te becijferen. Maar door dat ip nr waardoor tracking nu veel makkelijker is hangt er dit keer een duidelijk prijskaartje aan de schade: de prijs van een vpn.

Dit zegt ticketcounter zelf:

Helaas heeft zich bij Ticketcounter een datalek voorgedaan. Dit datalek hebben wij op maandag 22 februari jl. ontdekt. In dit bericht leggen we uit wat er is gebeurd en welke stappen wij hebben ondernomen.

..

Welke stappen hebben wij ondernomen?
Wij hebben de back-up direct verwijderd en al onze zakelijke klanten geïnformeerd over het datalek. Daarnaast hebben wij een melding gedaan bij de Autoriteit Persoonsgegevens. Onze zakelijke klanten hebben de mogelijkheid om de betrokkenen wiens persoonsgegevens zijn gelekt, verder te informeren. Het is niet meer dan logisch dat wij het enorm betreuren dat de data is gelekt. Wij zijn gelukkig geen gegevens ‘kwijt’ en er zijn geen wachtwoorden of pasfoto’s verkregen. Wel adviseren wij iedereen om extra alert te zijn op zogenaamde ‘phishing mails’. Heb je vragen over het datalek? Aarzel dan niet om contact met ons op te nemen via info@ticketcounter.nl.

Betekent vetgedrukte trouwens niet dat de pretparken e.d. hun eigen klanten al veel eerder hadden moeten informeren dan gisteren pas?

[Voor 31% gewijzigd door Yucon op 03-03-2021 07:22]

woensdag 3 maart 2021 07:43

Acties:

0Henk 'm!

TIGER1125

Yucon schreef op woensdag 3 maart 2021 @ 07:13:
Betekent vetgedrukte trouwens niet dat de pretparken e.d. hun eigen klanten al veel eerder hadden moeten informeren dan gisteren pas?

Je kunt je ook afvragen hoe snel die partijen de daadwerkelijke data hadden van hun klanten en dat konden communiceren. Ze zijn natuurlijk vooral goed in pretpark dingen en wat minder in digitale zaken anders neem je geen externe partij in de hand.

De partij via wie mijn data bij ticketcounter gekomen is, heeft mij afgelopen maandag netjes geïnformeerd en een site gemaakt waarop je e-mailadres moet invullen om te weten of en wat er gelekt is.

Dus ik denk dat het een beetje dubbel is, misschien hadden ze het inderdaad eerder moeten communiceren, want er zijn toch risico's. Maar als je nog geen goed overzicht hebt en volledig wil zijn dan kan ik me voorstellen dat er nog enkele dagen tussen zitten om dat allemaal op orde te krijgen en goed te communiceren naar je klanten.

Vind een week overigens nog snel hoor, Datalek ontdekt door aanbieder - gecommuniceerd richting (zakelijke) klanten - communicatie richting klant pretpark e.d.. (jij en ik)

Denk dat veel afhankelijk is, van hoe men het e.e.a. digitaal op de rails heeft staan om dit snel op te kunnen pakken en goed te communiceren.

Ik ben overigens wel met je eens dat de 22e gewoon een algemeen waarschuwingsbericht uit had kunnen gaan, vanuit ticketcounter gevolgd door gebruikers ervan.

[Voor 19% gewijzigd door TIGER1125 op 03-03-2021 07:47]

woensdag 3 maart 2021 08:26

Acties:

0Henk 'm!

Joris748

bonzz.netninja schreef op dinsdag 2 maart 2021 @ 11:05:
[...]

Uh...dat is al en dat heet de avg/gdpr. Daarin zit gewoon het recht om al je gegevens te laten verwijderen. Daarnaast hadden deze gegevens al lang verwijderd moeten zijn, ook volgens GDPR.

Dan wordt die bijzonder slecht nageleefd cq. gehandhaafd

Ik wil er overigens niet actief achteraan om gegevens te laten verwijderen. Die moeten gewoon standaard na hele korte verwijderd worden.

woensdag 3 maart 2021 09:35

Acties:

0Henk 'm!

Yucon

*broem*

Antwoord van DPG Media:

Wij ontvingen uw bericht waarin u vroeg om inzage in uw gegevens.

Helaas hebben wij uw e-mailadres abc@hotmail.com niet terug kunnen vinden in ons systeem. Wilt u zo vriendelijk zijn om uw adresgegevens via het online contactformulier door te geven? Zodra wij uw gegevens hebben ontvangen, nemen wij uw verzoek verder in behandeling.

Zijn er nog onduidelijkheden of heeft u een andere vraag? Neem dan contact met ons op via het online contactformulier.

Dit is wel erg slordig. Je zou het liefdevol een 'onvolledig' antwoord kunnen noemen, maar ik heb hier toch wel flinke moeite mee aangezien ze me gisteravond gewoon zelf gemaild hebben hierover. Ze nemen het blijkbaar niet heel serieus.

woensdag 3 maart 2021 09:52

Acties:

0Henk 'm!

_JGC_

Yucon schreef op woensdag 3 maart 2021 @ 09:35:
Antwoord van DPG Media:

[...]

Dit is wel erg slordig. Je zou het liefdevol een 'onvolledig' antwoord kunnen noemen, maar ik heb hier toch wel flinke moeite mee aangezien ze me gisteravond gewoon zelf gemaild hebben hierover. Ze nemen het blijkbaar niet heel serieus.

Je staat niet in de systemen van DPG, maar nog wel in die van ticketcounter...

woensdag 3 maart 2021 10:05

Acties:

0Henk 'm!

Zwaai Haai

Ik krijg de laatste dagen plotseling erg veel spam van een uniek adres van een ticetprovider. OUTIX.nl maar ik zie niet of die gerelateerd is aan ticketcounter. toeval?

woensdag 3 maart 2021 10:07

Acties:

0Henk 'm!

Suicyder

Is er ergens een lijst van bedrijven waarvoor ze zaken afhandelen, ik lees er veel maar een 'lijst' zou makkelijker zoeken.

woensdag 3 maart 2021 11:00

Acties:

0Henk 'm!

Yucon

*broem*

_JGC_ schreef op woensdag 3 maart 2021 @ 09:52:
[...]

Je staat niet in de systemen van DPG, maar nog wel in die van ticketcounter...

Ik heb een mail van DPG ontvangen waarin ze vertellen dat mijn data gelekt is. Ik moet dus wel in hun systemen staan, al was het alleen al maar vanwege die mailing.

Overigens twijfel ik een beetje waar de grens ligt. Als een dochterbedrijf (leukstetickets.nl, die de opdrachtgever aan ticketcounter waren) eigendom van het moederbedrijf is zou je zeggen dat de data ook eigendom van het moederbedrijf is en dus via die weg opgevraagd zou moeten kunnen worden. Maar zeker ben ik daar niet van.

[Voor 6% gewijzigd door Yucon op 03-03-2021 11:01]

woensdag 3 maart 2021 12:20

Acties:

0Henk 'm!

The Lord

Verrassend topic. Als in, persoonsgegevens van mij zijn zeker weten relatief recent meerder malen verwerkt door ticketcounter als ik de genoemde partijen lees. Maar een e-mail heb ik nog niet ontvangen.

Mocht ik die wel krijgen dan begin ik eerst eens met een verzoek tot inzage bij de partij(en).

⛔geeft geen inhoudelijke reacties meer⛔

woensdag 3 maart 2021 14:10

Acties:

0Henk 'm!

bonzz.netninja

Niente baffi

Joris748 schreef op woensdag 3 maart 2021 @ 08:26:
[...]

Dan wordt die bijzonder slecht nageleefd cq. gehandhaafd

Ik wil er overigens niet actief achteraan om gegevens te laten verwijderen. Die moeten gewoon standaard na hele korte verwijderd worden.

Tjah wat wil je. Ik begreep dat de autoriteit veel te weinig personeel heeft voor wat de wetgever ze wil laten doen. Sowieso is het reactief en niet proactief. Ik zie daar ook niet echt een realistische scenario voor je dat je proactief gaat controleren bij systemen of de vork echt in de steel zit. Ze zijn wel verplicht retentieperioden e.d in het verwerkingsregister op te nemen, maar of dat ook gedaan wordt is bijna niet te controleren.

vuistdiep in het post-pc tijdperk van Steve  | Lees mijn maandelijke nieuwsbrief! | https://www.dedigitaletuin.nl

woensdag 3 maart 2021 20:15

Acties:

0Henk 'm!

DaFeliX

Tnet Devver

The Lord schreef op woensdag 3 maart 2021 @ 12:20:
Verrassend topic. Als in, persoonsgegevens van mij zijn zeker weten relatief recent meerder malen verwerkt door ticketcounter als ik de genoemde partijen lees. Maar een e-mail heb ik nog niet ontvangen.

Mocht ik die wel krijgen dan begin ik eerst eens met een verzoek tot inzage bij de partij(en).

De data is toegevoegd aan haveibeenpwned, dus aldaar kun je iig zien of je data in de datalekt zat.

Als je alleen recent iets met ticketcounter hebt gedaan staan je gegevens er niet in; IIRC gaat het alleen om gegevens die tussen 23 juli 2018 t/m 4 augustus 2020 zijn verwerkt door hun.

Einstein: Mijn vrouw begrijpt me niet

woensdag 3 maart 2021 20:21

Acties:

0Henk 'm!

lolgast

Nadeel van haveibeenpwned is dat je niet te zien krijgt wélke data er dan gelekt is. Alleen de kans op. Het is nogal afhankelijk van welke klant van Ticketcounter jíj dan weer klant bent geweest welke data er is gelekt.

Mijn vrouw bijvoorbeeld, heeft 3 maal tickets gekocht voor Burger's Zoo. Daarbij hoef je geen adresgegevens in te vullen. Naam, e-mailadres en hoeveelheid tickets volstaat. In haar geval is dus 3 maal gelekt:
- Naam + Achternaam
- E-mailadres
- IP-adres
- IBAN

Heb je tickets via een andere dienst gekocht, dan zijn mogelijk je adresgegevens en/of telefoonnummer ook onderdeel van het lek. Kortom, je weet eigenlijk niets...

In ander nieuws:
Hier net contact gehad met de bank, om ons rekeningnummer te laten wijzigen. Gaat nogal wat voeten in de aarde hebben aangezien onze hypotheek + creditcard daar ook aan zijn gekoppeld. Maar het kan me echt niets interesseren wat er moet gebeuren, ik wil een nieuw rekeningnummer

Mijn vrouw is nog niet helemaal overtuigt, maar die lijkt vooral geen zin te hebben in de moeite. Dus die heeft pech

woensdag 3 maart 2021 22:21

Acties:

0Henk 'm!

Yucon

*broem*

Mocht je overwegen van bank over te stappen is dit gelijk een mooie gelegenheid. De moeite heb je toch.

woensdag 3 maart 2021 22:47

Acties:

0Henk 'm!

lolgast

@Yucon Helaas. Voorwaarde van de hypotheek: rekening waar loon op binnenkomt moet bij hen worden afgenomen. Voelt inmiddels alsof ik mijn ziel heb verkocht. Nog 22 jaar te gaan

donderdag 4 maart 2021 07:25

Acties:

0Henk 'm!

DaFeliX

Tnet Devver

lolgast schreef op woensdag 3 maart 2021 @ 20:21:
Nadeel van haveibeenpwned is dat je niet te zien krijgt wélke data er dan gelekt is. Alleen de kans op. Het is nogal afhankelijk van welke klant van Ticketcounter jíj dan weer klant bent geweest welke data er is gelekt.

Mijn vrouw bijvoorbeeld, heeft 3 maal tickets gekocht voor Burger's Zoo. Daarbij hoef je geen adresgegevens in te vullen. Naam, e-mailadres en hoeveelheid tickets volstaat. In haar geval is dus 3 maal gelekt:
- Naam + Achternaam
- E-mailadres
- IP-adres
- IBAN

Heb je tickets via een andere dienst gekocht, dan zijn mogelijk je adresgegevens en/of telefoonnummer ook onderdeel van het lek. Kortom, je weet eigenlijk niets...
[...]

Als je wil weten *welke* gegevens het zijn, daar biedt ticketcounter een tool voor aan:

edit:
Link verwijderd, lijkt niet te werken, excuus!

. Hier kun je adhv een e-mail adres gegevens opvragen die bekend zijn bij deze datalek. Je kunt dus precies weten welke gegevens er gelekt zijn.

[Voor 4% gewijzigd door DaFeliX op 04-03-2021 20:08. Reden: sorry! Link werkt dus niet...]

Einstein: Mijn vrouw begrijpt me niet

donderdag 4 maart 2021 09:32

Acties:

0Henk 'm!

lolgast

DaFeliX schreef op donderdag 4 maart 2021 @ 07:25:
[...]

Als je wil weten *welke* gegevens het zijn, daar biedt ticketcounter een tool voor aan: https://tc.combi.ticketcounter.eu/nl-NL/DataLeakCheck . Hier kun je adhv een e-mail adres gegevens opvragen die bekend zijn bij deze datalek. Je kunt dus precies weten welke gegevens er gelekt zijn.

Die website spuugt na 3 uur "Controleren" nog geen gegevens uit, dus daar heb je niets aan.

donderdag 4 maart 2021 11:59

Acties:

0Henk 'm!

DaFeliX

Tnet Devver

lolgast schreef op donderdag 4 maart 2021 @ 09:32:
[...]

Die website spuugt na 3 uur "Controleren" nog geen gegevens uit, dus daar heb je niets aan.

huh, ik kreeg binnen 1 minuut een mailtje, en vanuit dat mailtje kreeg ik een link waar ik binnen enkele seconden mijn data inzag. Bij mij werkte 't prima dus, wellicht is ie overbelast geraakt door de toestroom vanaf GoT

Einstein: Mijn vrouw begrijpt me niet

donderdag 4 maart 2021 12:30

Acties:

0Henk 'm!

GertjanO

DaFeliX schreef op donderdag 4 maart 2021 @ 11:59:
[...]

huh, ik kreeg binnen 1 minuut een mailtje, en vanuit dat mailtje kreeg ik een link waar ik binnen enkele seconden mijn data inzag. Bij mij werkte 't prima dus, wellicht is ie overbelast geraakt door de toestroom vanaf GoT

Bij mij gebeurd er ook niets behalve dat er iets "gecontroleerd" wordt. Ik heb het na een bijna een half uur maar opgegeven.

donderdag 4 maart 2021 12:44

Acties:

0Henk 'm!

_JGC_

Er gebeurt ook helemaal niks, als je je mailadres invult en op die knop klikt wordt er een POST gedaan naar een 404 pagina.

donderdag 4 maart 2021 12:53

Acties:

0Henk 'm!

Sloebert

Zo te zien werkt die pagina alleen in combinatie met een partner-id, zie de link in de post van TS.

donderdag 4 maart 2021 13:00

Acties:

0Henk 'm!

Yucon

*broem*

Sloebert schreef op donderdag 4 maart 2021 @ 12:53:
Zo te zien werkt die pagina alleen in combinatie met een partner-id, zie de link in de post van TS.

Bedoel je die link van 7:25? Daar zit toch ook geen id in?

donderdag 4 maart 2021 13:25

Acties:

+1Henk 'm!

Sloebert

Yucon schreef op donderdag 4 maart 2021 @ 13:00:
[...]

Bedoel je die link van 7:25? Daar zit toch ook geen id in?

Ik bedoel de link naar de site van Dierenpark Amersfoort, als je daar op die link 'Controle gegevens' klikt ga je naar https://tc.combi.ticketco...DE61869&salesChannelID=81 en dat werkt bij mij. Niet duidelijk is of dit een query op de hele dataset is of alleen de set van Dierenpark Amersfoort.

donderdag 4 maart 2021 13:26

Acties:

0Henk 'm!

lolgast

Dat kan ik je wel vertellen: Dat is alleen van Dierenpark Amersfoort, dus niet de volledige gegevensset.

Oftewel: Daar heb je dus geen fluit aan

[Voor 17% gewijzigd door lolgast op 04-03-2021 13:26]

donderdag 4 maart 2021 13:30

Acties:

0Henk 'm!

Yucon

*broem*

lolgast schreef op donderdag 4 maart 2021 @ 13:26:
Oftewel: Daar heb je dus geen fluit aan

Ik zie het eigenlijk wel als een motivatie om wat harder aan te dringen bij andere getroffen bedrijven. Als ze geen duidelijkheid geven in wat er gelekt is terwijl ticketcounter wel die mogelijkheid aan hun klanten aanbiedt heb ik toch wat moeite om gebrek aan openheid onder 'niet kunnen' te scharen.

donderdag 4 maart 2021 13:44

Acties:

0Henk 'm!

Sloebert

Ik kreeg ook een mail met de melding over het lek en de mededeling om contact op te nemen met Ticketcounter voor meer info, geen link naar een dergelijke pagina.Was een klein evenement, wellicht hebben die even niemand die zo'n pagina voor ze kan regelen. Maar goed, had een hit op haveibeenpwned dus ben gewoon het bokje.

donderdag 4 maart 2021 20:12

Acties:

0Henk 'm!

DaFeliX

Tnet Devver

Sloebert schreef op donderdag 4 maart 2021 @ 12:53:
Zo te zien werkt die pagina alleen in combinatie met een partner-id, zie de link in de post van TS.

excuus aan @lolgast, @GertjanO en @_JGC_ blijkbaar werkte mijn link niet. Je zou je dan toch moeten richten tot 't bedrijf dat je gegevens verwerkt heeft via ticketcounter om zo'n link te verstrekken om je gegevens in te zien. Anders even met dat bedrijf contact opnemen, of direct met ticketcounter contact opnemen om verhaal te halen. Aangezien ticketcounter dus wel een tool heeft gebouwd om per partner de gegevens te verstrekken, lijkt het mij dat zij je wel verder kunnen helpen.

Einstein: Mijn vrouw begrijpt me niet

donderdag 4 maart 2021 20:19

Acties:

0Henk 'm!

lolgast

Maar dat is nou net de klacht. Je wéét soms niet of een dienst klant was van Ticketcounter en sommige van die klanten hebben vooralsnog verzaakt om (in ieder geval een aantal) eindklanten niet op de hoogte te brengen van het lek. Dan weet je ook niet waar je moet zoeken.

Het zou Ticketcounter in mijn ogen sieren om op basis van het opgeven van je mailadres gewoon ALLE gegevens even naar je te mailen, want nogmaals:
Mijn vrouw heeft haar gegevens opgevraagd bij Burgers Zoo maar die gaven niet aan dat ons IP-adres ook is gelogd/gelekt. Terwijl die absoluut wel in de database staat, die heb ik zelf gehad namelijk.

Dus als ik het voor mijzelf even opsom
- HaveIBeenPwned geeft aan dat er íets is gelekt en wat daar allemaal onder kan vallen, maar niet specifiek wat voor jou van toepassing is
- Ticketcounter geeft 0 informatie
- Klanten van Ticketcounter geven niet alle informatie
- Het is onduidelijk van welke bedrijven er allemaal data in de Tickercounter database staat

vrijdag 5 maart 2021 22:03

Acties:

0Henk 'm!

meermarco

Iemand al een reactie van Ticketcounter of het IPadres nog ook gelekt is of niet? En evt adresgegevens wellicht via een ander park?

vrijdag 5 maart 2021 22:20

Acties:

0Henk 'm!

lolgast

@meermarco Lees de 2e alinea in het bericht boven je nog eens. Daar staat letterlijk dat ik met eigen ogen heb geconstateerd dat mijn publieke IP in de database staat

zondag 7 maart 2021 15:25

Acties:

0Henk 'm!

RobinNL

Bij mij zijn ook gegevens gelekt, vanwege een bestelling via de website van Diergaarde Blijdorp. Ik heb mijn e-mailadres ingevuld om te kijken welke gegevens van mij zijn gelekt. Ik ontving de volgende punten:

Datum laatst gewijzigd
Taal
E-mailadres
Voornaam
Achternaam
IBAN

Ik weet nu bijna zeker dat ook mijn mobiele nummer is gelekt, ook al staat dit er niet bij. De eerste phishing SMS heb ik zojuist ontvangen. Hier wordt mijn voor- en achternaam vermeld, iets wat ik online nooit vermeld in een account.

Afgelopen week heb ik zowel Ticketcounter als Diergaarde Blijdorp gemaild met een aantal vragen en of de data z.s.m. verwijderd kan worden uit hun systemen. Uiteraard van beiden nog niks gehoord.

AMD Ryzen 9 5900X • Gigabyte X570 Aorus PRO • G.Skill Ripjaws V F4-3600C16D-32GVKC • AMD Radeon RX 6900 XT • Samsung 850 EVO 1TB • Intel 660p 2TB • Corsair Obsidian 500D RGB SE • Corsair RM750x

zondag 7 maart 2021 16:26

Acties:

0Henk 'm!

SaturN

De Uithof in Den Haag heeft ook gebruik gemaakt van de diensten van Ticketcounter. Hierdoor is zo'n beetje het hele setje aan persoonsgegevens gelekt, vooral de combinatie van deze complete set baart mij zorgen. Reknr, geboortedatum, telnr, e-mailadres, NAW. Alles dus... Dit geldt voor mensen die bijvoorbeeld een ski of schaatsabonnement hebben afgenomen.

De Uithof schuift het makkelijk van zich af, u moet zich melden bij Ticketcounter. Het lek lag niet bij ons.

Is er bij iemand bekend of er een collectieve actie is gestart om Ticketcounter aansprakelijk te stellen?

zondag 7 maart 2021 18:29

Acties:

0Henk 'm!

meermarco

SaturN schreef op zondag 7 maart 2021 @ 16:26:
De Uithof in Den Haag heeft ook gebruik gemaakt van de diensten van Ticketservice. Hierdoor is zo'n beetje het hele setje aan persoonsgegevens gelekt, vooral de combinatie van deze complete set baart mij zorgen. Reknr, geboortedatum, telnr, e-mailadres, NAW. Alles dus... Dit geldt voor mensen die bijvoorbeeld een ski of schaatsabonnement hebben afgenomen.

De Uithof schuift het makkelijk van zich af, u moet zich melden bij Ticketcounter. Het lek lag niet bij ons.

Is er bij iemand bekend of er een collectieve actie is gestart om Ticketcounter aansprakelijk te stellen?

Het is Ticketcounter. Niet ticketservice. En echt vervelend dit. Benieuwd of er met naw en iban binnenkort misbruik wordt gemaakt van afterpay enzo.

zondag 7 maart 2021 22:38

Acties:

0Henk 'm!

SaturN

gbonny schreef op maandag 1 maart 2021 @ 15:39:
Kunnen wij ons als slachtoffers niet verenigen en een claim neerleggen bij TicketCounter..?!

Lijkt me een goed plan, juridisch zeer laste procedure. Wie gaat dat betalen?

maandag 8 maart 2021 15:10

Acties:

0Henk 'm!

Rannasha

aka "Species5618"

Zojuist van Ecomare ook een TicketCounter-waarschuwing gekregen. Ecomare heeft ook een pagina gemaakt waar je je email-adres kunt invullen om erachter te komen wat er precies gelekt is. In mijn geval, na online kaartjes te hebben gekocht met betaling per iDeal afgelopen zomer, gaat het om naam, email, taal en IBAN.

|| Vierkant voor Wiskunde ||

maandag 8 maart 2021 16:09

Acties:

0Henk 'm!

mhindrik

Ook van Ecomare een mail gehad;

Naam
Mail
Iban

Nou laat de phishing mails maar komen.

Voor de zekerheid de betreffende bankrekeningnummer sluiten en een nieuwe openen....

Alle vragen hebben een antwoord

maandag 8 maart 2021 22:42

Acties:

0Henk 'm!

AapNoot

Dit bewijst weer dat er nog altijd veel teveel organisaties zijn die geen idee hebben waar ze mee bezig zijn.

Gegevens (bv IBAN) worden bewaard zonder dat daar een goed omschreven doel voor is
Gegevens (bv IBAN) worden bewaard zonder dat deze gegevens zijn vermeld in de privacy verklaring
Gegevens worden veel langer bewaard dan dat noodzakelijk is
Beveiliging van data is niet op orde

Zie voor de details de gebrekkige en niet met de werkelijkheid overeenkomende privacy verklaring van ticketcounter.

Ik pleit voor hogere boetes zodat organisaties worden gedwongen om hier meer aandacht aan te geven. En zo ingewikkeld is het niet.

Ik zou in de media ook graag meer aandacht zien voor niet alleen het lek zelf, maar alle misstappen (zie boven) die aan het lek vooraf gaan.

Ik ben benieuwd naar hoe Functionaris Gegevensbescherming van Ticketcounter BV nu terugkijkt op dit probleem. Had ik toch wat meer moeten investeren in interne training? Toch wat meer controleren? Toch wat harder bij management de misstanden aankaarten? Toch de misstanden aan de autoriteiten voorleggen? Toch ergens anders gaan werken omdat je hier niet bij wilt horen?

Helaas, nu is het te laat...

[Voor 3% gewijzigd door F_J_K op 09-03-2021 09:25. Reden: Mod-edit: Nergens voor nodig namen te noemen, die heb ik dus weggeknipt]

dinsdag 9 maart 2021 00:03

Acties:

0Henk 'm!

DVX73

De phising lijkt te zijn begonnen.
Mijn vrouw krijgt sinds berichten dat er een pakketje van PostNL klaarstaat.

dinsdag 9 maart 2021 06:43

Acties:

0Henk 'm!

Yucon

*broem*

DVX73 schreef op dinsdag 9 maart 2021 @ 00:03:
De phising lijkt te zijn begonnen.
Mijn vrouw krijgt sinds berichten dat er een pakketje van PostNL klaarstaat.

ik krijg sinds eergisteren ook ineens belachelijke hoeveelheden spam die door de filters heen komen. Ca 10 per dag, overwegend van vestigingsadressen in de regio Londen. Hebben nog meer mensen hier last van?

DPG Media groep heeft niet meer gereageerd trouwens. Zal ik nog maar eens achteraan mailen.

[Voor 9% gewijzigd door Yucon op 09-03-2021 06:43]

dinsdag 9 maart 2021 08:10

Acties:

0Henk 'm!

DVX73

Yucon schreef op dinsdag 9 maart 2021 @ 06:43:
[...]
overwegend van vestigingsadressen in de regio Londen.

Toevallig deze?

776-778 Barking Road, London, England, E13 9PJ

dinsdag 9 maart 2021 08:38

Acties:

0Henk 'm!

Yucon

*broem*

@DVX73 het zijn steeds wisselende adressen. Bij de eerste vielen met die UK adressen op maar er zit nu ook veel amerikaans tussen. Steeds onderwerpen als loterijen, food stamps, corona emergency aid, job offers, dat soort dingen. Het lijkt bijna hersenspoeling van mensen die aan de grond zitten in de hoop dat ze vroeg of laat een keer op de strohalm ingaan.

Wat betreft afzenders en adressen zit er echt totaal geen lijn in. Het is daarom ook vrijwel niet te blocken. Phishing lijkt het trouwens niet.

edit: laat ik even heel goed duidelijk maken dat ik ticketcounter hiermee niet beschuldig. Het zou toeval kunnen zijn, maar de timing valt wel op dus vandaar m'n vraag of andere dit ook herkennen.

[Voor 32% gewijzigd door Yucon op 09-03-2021 09:59]

woensdag 24 maart 2021 12:09

Acties:

+1Henk 'm!

SaturN

Update vanuit mijn kant. Ticketcounter heeft per e-mail bevestigd dat ze mijn persoonsgegevens uit de systemen hebben verwijderd. Dit heb ik na bekendmaking van het lek aan ze verzocht.

Niets blijkt minder waar! Na 3 weken kreeg ik dus de reactie dat ze aan mijn verzoek hebben voldaan. Wanneer ik via hun wachtwoord reset pagina mijn e-mailadres invoer, ontvang ik direct een e-mail om het wachtwoord aan te passen.

Ik vind het verwonderlijk dat er een paar dagen ophef is ontstaan na bekendmaking van dit lek, vervolgens gebeurt er niets. Geen procedure rond aansprakelijkheid? Geen boete? Geen hulp richting slachtoffers in de vorm van compensatie? Op deze manier blijven bedrijven er mee wegkomen. Het enige wat ze doen is een standaard mailtje sturen met een excuus...

woensdag 24 maart 2021 14:02

Acties:

0Henk 'm!

atomix9

Mijn ouders zijn van de week gebeld: "door een medewerker van de bank" dat er van alles mis was en of ze even hun spaargeld wilden veiligstellen. (ze hebben ook nog een mail gekregen over een verlopen pas). Persoon had een verhaal over nigeriaanse scammers en dat het IP adres was gekraakt, etc.

"Thank god", zei de medewerker aan het eind: Ze hoefden de bank niet terug te bellen. Want mijn ouders waren net niet thuis....en zeiden: "kan het ook straks".... Na ophangen viel het kwartje, dat het oplichters waren.

Lang verhaal kort: echte bank gebeld, passen geblokkeerd, nieuwe onderweg, etc. Echte bankmedewerker zei: spoofing en wellicht telefoons besmet met virus. Maar ik heb alles apparaten bekeken, gescand niets geks. Wachtwoorden gewijzigd, etc. Niets raars op laptops en accounts.

De oplichters:
Men begon met: is dit uw geboortedatum, is dus uw adres, is dus uw mans naam, is dus uw bankrekeningnummer....etc. Heb e.e.a. nagekeken op basis van historie en haveibeenpowned.com.
De hack van Ticketcounter komt meteen naar voren als waar deze gegevens zijn/kunnen zijn gehacked.

Nu heeft me ma inderdaad tickets gekocht van Fletchervouchers via Ticketcounter in 2020.
Ik wil met dit verhaal alleen zeggen: pas op, want het lijkt dat men gebruik aan het maken is van deze data.

Met zeer grote dank aan het K*T bedrijf Ticketcounter.

(die wat mij betreft een hele grote boete mag krijgen en personen wel eens mag gaan compenseren voor de ellende)

woensdag 24 maart 2021 22:32

Acties:

0Henk 'm!

DJMaze

@atomix9 het hoeft niet eens ticketcounter te zijn.
Als je ouders ook ergens anders online bestellen (bijv. otto.nl) dan liggen daar ook hun gegevens MISSCHIEN op straat.

Ik gebruik overal een ander e-mailadres.
Als iemand belt vraag ik ter verificatie welk e-mailadres zij van mij hebben.
Als dat niet bank@ is, dan weet ik de boosdoener.

Maak je niet druk, dat doet de compressor maar

maandag 5 juli 2021 17:55

Acties:

0Henk 'm!

yodeluxe

Ticketcounter heeft vandaag weer een mail gestuurd over dit lek. Alleen gaat het nu over Kruidvat:

Ticketcounter verzorgde in het verleden de online verkoop van tickets voor Kruidvat.
Bij Ticketcounter is op 22 februari 2021, een datalek geconstateerd, wellicht heeft u hierover al meer gelezen in het nieuws. Wij hebben direct de Autoriteit Persoonsgegevens geinformeerd en al onze partners, waaronder ook Kruidvat.

Tot op heden is er helaas nog onduidelijkheid over wie de klanten van Kruidvat moet informeren. Om ervoor te zorgen dat u op de hoogte komt van dit datalek, hebben we in goed overleg met de Autoriteit Persoonsgegevens besloten om u vanuit Ticketcounter deze mail te sturen.

Het datalek in februari betrof gegevens van mensen die online tickets hebben gekocht via ons (Ticketcounter) systeem naar aanleiding van ticket-acties die door ons voor Kruidvat werden verzorgd. Het lek werd snel gevonden en direct dichtgezet. U ontvangt dit bericht omdat uw gegevens mogelijk bij dit lek betrokken zijn geweest.

Om welke gegevens gaat het precies?
Het betreft de volgende persoonsgegevens die zijn gebruikt bij de online aankoop van tickets: naam, e-mailadres, telefoonnummer en indien er met iDEAL is betaald, ook het IBAN nummer.

Mijn gegevens staan er ook in, beperkt tot mijn naam en geslacht.

Mijn platencollectie (nog bezig met invoeren)
Hotel nodig? Kijk in dit topic voor 10% korting!

donderdag 16 september 2021 13:50

Acties:

0Henk 'm!

Maestro.mosjuh

Ik gebruik voor elke website waar ik mij moet aanmelden een uniek e-mailadres*.

Zojuist kreeg ik een (ABNAMRO) phishing e-mailtje op een e-mailadres welke ik heb gebruikt voor het boeken van een uitje nav een gewonnen prijs bij de postcodeloterij. Vorig jaar kaartjes voor een uitje gewonnen (of kreeg iedereen die? 🤔 dat weet ik niet meer) en eind augustus gekozen voor kaartjes naar Dierenpark Amersfoort (toen ook dit e-mailadres gebruikt). Dit ging toen via de website https://www.uitstapjenaarkeuze.nl/ .

Ik ben benieuwd of meer tweakers dit herkennen - dat ze spam/fishing krijgen op het e-mailadres wat zij hiervoor gebruikt hebben. Ik vraag me af of de lek bij de NPL zit of dat mijn e-mail is doorgegeven aan Dierenpark Amersfoort en dat zij hem gelekt hebben.

Ik zal dit natuurlijk melden bij de NPL en bij de autoriteit persoonsgegevens - hebben mede-tweakers nog andere tips wat ik hier mee kan/moet doen?

===============
Met betrekking tot "uniek e-mailadres*":
Ik heb een eigen domein met een "catch all" rule. Dus bij de tandarts is mijn e-mailadres: tandarts@[mijndomein].com . Deze komt dmv catch all in mijn algemene inbox. Op deze manier (met catch-all) kan ik overal ter plekke een uniek e-mailadres verzinnen zonder dat ik daar een administratie voor aliassen voor hoef bij te houden.

Voordeel is dat als ik ergens spam op ontvang ik deze alias vervolgens wel kan aanmaken en de server standaard de mailtjes naar dit e-mailadres kan laten "droppen".

At the beginning there was nothing. So God said 'apt-get install light'.

donderdag 16 september 2021 14:33

Acties:

0Henk 'm!

Jester-NL

... pakt een botte bijl

Niet gerelateerd aan de lek bij Ticketcounter? Datalek ticketcounter
Daar waren onder andere gegevens van Dierenpark Amersfoort buitgemaakt.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 16 september 2021 14:37

Acties:

0Henk 'm!

SinergyX

____(>^^(>0o)>____

Kan prima dat Goede Doelen diverse derden heeft waarmee gegevens gedeeld worden voor zulke prijzen/tickets, wat ook staat in hun privacy ding

De partijen die de joint promotion aanbieden zijn zelfstandig verantwoordelijk(e) voor de doeleinden waarvoor en de manier waarop zij deze persoonsgegevens verwerken.

Lang niet altijd is het 'de grote jongen', maar 1 van die bureautjes waarmee ze samenwerkte.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 16 september 2021 14:38

Acties:

0Henk 'm!

Maestro.mosjuh

Jester-NL schreef op donderdag 16 september 2021 @ 14:33:
Niet gerelateerd aan de lek bij Ticketcounter? Datalek ticketcounter
Daar waren onder andere gegevens van Dierenpark Amersfoort buitgemaakt.

Aha - ja, ik heb voor vandaag slechts 2 mailtjes op dat mailadres ontvangen: 1 van NPL en 1... van Ticketcounter