Datalek ticketcounter

Er is al strenge wetgeving. Het probleem is dat de toezichthouder er voor kiest om nauwelijks tijd te investeren in boetes als ze meldingen ontvangen of zelf ontdekken dat er een datalek is die gemeld had moeten worden. Ze besteden liever tijd in waarschuwingen per brief of een gesprek. De vernieuwde wetgeving maakt sneller en strengere handgaving mogelijk maar in de praktijk verschuilt de AP zich achter te weinig mensen of geld, terwijl ze er al al jaren voor kunnen kiezen om wel strenget te zijn. Bedrijven komen er dus mee weg en uit niets blijkt verbetering.

Hier ook een mail ontvangen van dierenpark over TicketCounter.

"er is een backup bestand gelekt" wat gewoonweg betekent dat ze een bestand met persoonsgegevens online hadden waar iedere onnozele bij kon.

Ik vraag me af of we niet gewoon een schadevergoeding kunnen eisen, omdat er gewoon onzorgvuldig gehandeld is met persoonsgegevens van derden.

Excuses is leuk, maar het is weer een gevalletje "men dempt de put als het kalf verdronken is". Ik wordt er echt pissig van omdat het schering en inslag begint te worden. Ze denken niet voor, gaan onzorgvuldig te werk en komen er gewoon mee weg.. ronduit triest!

twee gerelateerde actuele artikelen:
https://autoriteitpersoon...ame-hacks-en-datadiefstal

https://www.security.nl/p...r+over+toename+datalekken

Edit een blog op ict & recht:
https://www.ictrecht.nl/b...devergoeding-onder-de-avg

Edit 2: en Blijdorp bezoekers zijn ook slachtoffer van het lek..:
https://www.diergaardeblijdorp.nl/datalek/
https://nieuwsopbeeld.nl/...-slachtoffer-van-datalek/

Kunnen wij ons als slachtoffers niet verenigen en een claim neerleggen bij TicketCounter..?!

[ Voor 34% gewijzigd door gbonny op 01-03-2021 15:57 ]

worldfastest schreef op maandag 1 maart 2021 @ 15:05:
En helaas weer een datalek. Dit keer ticketcounter.nl

Net 2 mails gekregen, een van dierenpark Amersfoort en van de apelheul dat mijn gegevens zijn gelekt via ticketcounter.

https://dierenparkamersfoort.nl/datalek/
https://apenheul.nl/veelgesteldevragen

Het wordt echt tijd dat er strenge wetgeving komt voor het opslaan van persoonlijke data. Met daarbij standaard vergoeding per persoon waarvan de data is gelekt.

Ik moet dus helaas weer een nieuwe bankrekening openen en alle instanties informeren dat ik een andere bankrekening heb. Wie gaat dat betalen? Weer voer voor mijn advocaat.

Artikel dat hier goed op aansluit.

https://www.ad.nl/tech/lo...spaargeld-kwijt~a5f589b9/

Hier hetzelfde verhaal maar of je hierdoor een andere bankrekening moet openen acht ik wel een beetje discutabel.

In de basis kan men niet heel erg veel met je Iban behalve geld naar je overmaken. In het ergste geval kan men namens jou een incassomachtiging afgeven waarop jij deze nog altijd eerst in jouw bankomgeving moet accorderen zover ik weet.

Hoe dan ook wel ernstig want men kan met een beetje pech toch vrij veel te weten komen. Als voorbeeld velen hebben als mailadres voornaam.achternaam@hotmail.com Daarmee zou een beetje hacker of klootviool met in enkele gevallen met een beetje onderzoekwerk nog best veel van die persoon kunnen achterhalen.

Ik vind vooral de manier waarop dit gelekt is erg stuitend om te lezen. Dat ze gewoon de volledige en echte database gebruiken voor een test..

MightyMike87 schreef op maandag 1 maart 2021 @ 16:55:
[...]


Hier hetzelfde verhaal maar of je hierdoor een andere bankrekening moet openen acht ik wel een beetje discutabel.

In de basis kan men niet heel erg veel met je Iban behalve geld naar je overmaken. In het ergste geval kan men namens jou een incassomachtiging afgeven waarop jij deze nog altijd eerst in jouw bankomgeving moet accorderen zover ik weet.

Hoe dan ook wel ernstig want men kan met een beetje pech toch vrij veel te weten komen. Als voorbeeld velen hebben als mailadres voornaam.achternaam@hotmail.com Daarmee zou een beetje hacker of klootviool met in enkele gevallen met een beetje onderzoekwerk nog best veel van die persoon kunnen achterhalen.

Ik vind vooral de manier waarop dit gelekt is erg stuitend om te lezen. Dat ze gewoon de volledige en echte database gebruiken voor een test..

Toevallig vanmorgen een artikel op Ad.nl waarin ze dit aangegeven

Met de naam, het telefoonnummer en het bankrekeningnummer wordt bijvoorbeeld bij webshops op afbetaling gekocht. De spullen worden bij een ophaalpunt bezorgd.

Nu weet ik niet of al deze gegevens in de DB stonden maar dat ze er niks mee kunnen is niet waar.

HKLM_ schreef op maandag 1 maart 2021 @ 16:59:
[...]


Toevallig vanmorgen een artikel op Ad.nl waarin ze dit aangegeven


[...]


Nu weet ik niet of al deze gegevens in de DB stonden maar dat ze er niks mee kunnen is niet waar.

Is wat ik zei toch? Ik zie niet helemaal niks maar dat men een incassomachtiging kan uitvoeren.
Zover ik weet moet je deze wel eerst nog accorderen in je bankomgeving..

MightyMike87 schreef op maandag 1 maart 2021 @ 17:03:
[...]


Is wat ik zei toch? Ik zie niet helemaal niks maar dat men een incassomachtiging kan uitvoeren.
Zover ik weet moet je deze wel eerst nog accorderen in je bankomgeving..

Hoeft niet perse, bol.com, afterpay etc zenden je gewoon een acceptgiro via de mail tegenwoordig.
Aflever en factuur adres anders maken en je kan je trucje uitvoeren.

[ Voor 7% gewijzigd door HKLM_ op 01-03-2021 17:06 ]

HKLM_ schreef op maandag 1 maart 2021 @ 17:06:
[...]


Hoeft niet perse, bol.com, afterpay etc zenden je gewoon een acceptgiro via de mail tegenwoordig.
Aflever en factuur adres anders maken en je kan je trucje uitvoeren.

Ok dan is de mail dus je vangnet..

https://www.ad.nl/tech/af...r=https://www.google.com/

Wat zou er in hemelsnaam bereikt worden met hogere boetes en strengere straffen? Denken we dat hier opzet in het spel was? Dat iemand dacht: ik weet dat dit bestand op deze manier slecht beveiligd is, maar daar staat geen boete op dus ik doe het lekker toch?

Straffen helpen niet als mensen uit onkunde handelen. Het kan zelfs averechts werken, omdat het niet bepaald motiveert jezelf te melden. Digitale veiligheid is een probleem dat op dezelfde manier aangepakt moet worden als andere veiligheidsvraagstukken zoals in de luchtvaart en industrie. Training, bewustwording en een zo open en transparant mogelijke cultuur. Het lijkt me beter als organisaties verplicht een keurmerk moeten halen en hun personeel een basiscertificaat (vergelijk het even met VCA) moeten laten halen.

Hier helaas ook slachtoffer. Nouja mijn vrouw, die koopt de tickets Maargoed, van ons staan er 3 transacties in de database, met gecombineerd voornaam, achternaam, e-mail, public IP Ziggo lijn, betaalmethode en IBAN. Vooral dat laatste baal ik nogal van, dus ik denk dat ik morgen maar contact opneem met de bank om een nieuw rekeningnummer aan te vragen.

Wel apart dat bij het opvragen van onze gegevens bij de dierentuin niet is aangegeven dat het IP-adres ook bekend is in de database. Dus de info die zij verschaffen is ook niet compleet, niet zo netjes.

Ik en mn vriendin zijn ook het haasje. Bij mij zit een deel van mn iban er ook tussen.

Ik vind de berichtgeving vanuit de dierentuin supernetjes. Ik ben benieuwd wat voor reactie ik van ticketcounter ga krijgen op mijn mails.

Van de zotte dat ik al jaren zonder problemen op internet ‘rondhang’ en ik bij een dierentuinuitje slachtoffer van een datalek wordt. Je hebt het gewoon echt niet zelf in de hand 😖

Ik heb een mail gestuurd naar ticketcounter met de vraag voor financiële compensatie
ben benieuwd naar hun reactie

Hier ook alles gelekt bij Amersfoortse Dierenpark. Succes weer met het reeds oude IBAN nummer, email adres wat niet meer actief gebruikt wordt en mijn adres waar ik over een maand niet meer woon.

Enige slordige vind ik alleen het volledige IBAN wellicht maar de overige gegevens zijn simpel te vinden op diverse locaties. Lig er dus niet direct wakker van.

Vroeger was ik wel slordiger met mijn wachtwoordgebruik (één simpel wachtwoord voor alles) , hier ben ik wel strakker in geworden.

pricewatcherke schreef op dinsdag 2 maart 2021 @ 07:20:
Ik heb een mail gestuurd naar ticketcounter met de vraag voor financiële compensatie
ben benieuwd naar hun reactie

Compensatie voor wat precies?

Dat moet je wel heel stevig onderbouwt hebben en gezien je post hier ga ik daar niet van uit en kan je dat gerust op je buik schrijven.

MightyMike87 schreef op maandag 1 maart 2021 @ 16:55:
[...]


Ik vind vooral de manier waarop dit gelekt is erg stuitend om te lezen. Dat ze gewoon de volledige en echte database gebruiken voor een test..

Ik kan nergens terug vinden dat dit gebruikt was voor een test eigenlijk.... Als dat zo is, testdata niet anonimiseren... dan mag dat niet onder GDPR privacy by design want er is geen grondslag om die gegevens daarvoor te verwerken.

[ Voor 3% gewijzigd door bonzz.netninja op 02-03-2021 07:57 ]

Hier ook hetzelfde. Was 1 transactie via Ticketcounter voor een midgetgolf uurtje.
Geen idee wat ik er verder mee zou moeten doen. Ga niet rekeningnummers veranderen.
Geen idee ook of je er een claim op kan doen bij ticketcounter.

En als ik het bericht zo lees, is dit wel echt een hele hele hele domme fout die ze gemaakt hebben. Daar mogen ze van mij ook absoluut wel pijn aan hebben.

Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

wlchris schreef op dinsdag 2 maart 2021 @ 08:35:
Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

Ja, zelfde. Had dit topic wel voorbij zien komen maar wist nergens van verder. Dus werkt wel goed op zich die service van haveibeenpwned.com.

https://www.bleepingcompu...-extorted-in-data-breach/

After not receiving a payment, the threat actor released the database for free today on a hacker forum.

worldfastest schreef op dinsdag 2 maart 2021 @ 08:30:

Nu mag iedere idioot een website beginnen en naw gegevens gaan verzamelen.
[...]

Dat klopt en daar kun je je vraagtekens bij zetten, maar in plaats van daar vraagtekens bij te zetten, zoek je het dus liever in reactief boetes uitdelen aan mensen die niet beter wisten?

Iemand een idee hoe je kan zoeken wat exact gelekt is. Via de tool zag ik het een en ander. Alleen begrijp ik hierboven dat er soms meer in de file/database staat dan gemeld in de tool van Ticketcounter.

Yep, wij zijn ook slachtoffer.

Het wordt tijd dat er een debat komt in de Tweede Kamer over het recht om vergeten te worden, na het online kopen van een ticket.

Zomaar een paar ideeën:

• Betaling via iDeal anoniem net als een pintransactie
• Verbieden om gegevens op te slaan, die niet nodig zijn om jou toegang te geven tot het attractiepark/evenement.
• Verplichten om alle gegevens te verwijderen, zodra jij toegang hebt gekregen tot attractiepark/evenement.

Hilarisch dat de check website (via de link van DierenPark Amersfoort) zegt:



Hier wel gek, mijn gegevens zijn gelekt volgens HIBP, maar van zowel Q-Music als Amusementspark Tivoli geen enkele communicatie. En dat zijn, voor zover mijn mailbox weet, partijen waar ik de laatste jaren tickets heb gekocht die via Ticketcounter liepen.

Hier idem, bericht via HIBP, ooit eenmalig tickets gekocht via Ticketcounter, maar ik kan niet terugvinden of/welke data van mij dan in die breach zouden moeten zitten

wlchris schreef op dinsdag 2 maart 2021 @ 08:35:
Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

Ik kreeg 'm gisteravond ook, had eerder die middag al mailtje van Dierenpark Amersfoort gehad.
Heb daarna nog even mijn gegevens opgevraagd: volgens het mailtje zou alleen mijn voornaam, achternaam, mailadres en taal zijn gelekt.

Volgens het mailtje wat ik van HaveIBeenPwned kreeg:
Bank account numbers, Dates of birth, Email addresses, Genders, IP addresses, Names, Payment histories, Phone numbers, Physical addresses

Bij het bestellen van een ticket laat je je bankrekeningnummer, postcode en woonplaats achter. Raar dat die dan ineens niet gelekt zouden zijn... had overigens betaald met creditcard, geen idee of die ook gelekt is...

@_JGC_ De database die ik had gevonden via raidforums bevatte géén CC nummers. Alleen dat die methode gebruikt was

PS. Nee ik heb hem niet meer. Ik wilde alleen de gegevens van mijn vrouw controleren want ik vertrouw het naar buiten brengen van info in deze kwestie voor geen stuiver

[ Voor 42% gewijzigd door lolgast op 02-03-2021 10:46 ]

Inmiddels is het zover dat links- of rechtsom aan de lopende band gegevens gelekt worden.
Zwaarder straffen zal dit niet per direct oplossen. Wellicht is het beter om nu te kijken wat er met die gegevens gedaan kan worden en zonodig dat aan banden leggen. Zoals het in dit topic genoemd achteraf betalen zonder autorisatie. Ik noem maar iets, zullen ook wel weer haken en ogen aanzitten.

Gisteren nog met m'n vrouw over (onze gegevens zitten er ook tussen). Inmiddels kun je er gewoon vanuitgaan dat je gegevens 'op straat' liggen. Dus in de komende tijd extra scherp zijn op smsjes van 'je bank' of een email van 'DigiD' of een whatsappje van 'pa' dat hij per direct geld nodig heeft. Verder denk zoveel mogelijk 2FA en goed email blijven checken op (bijvoorbeeld) afterpay-facturen en afboekingen van de creditcard denk ik maar... ik heb nog niet de indruk dat ze direct echt iets heel ernstigs hiermee kunnen toch, of is dat te naïef?

Het wordt echter wel steeds spannender. Met een paar datalekken combineren heb je zo een kopie ID te pakken vanuit dropbox / email / etc.

edit: hackers vinden het zelf wel waardevol dus blijkbaar denk ik te makkelijk :
[Twitter: https://twitter.com/danielverlaan/status/1366668094203170816]

[ Voor 8% gewijzigd door Cheesy op 02-03-2021 11:17 ]

Joris748 schreef op dinsdag 2 maart 2021 @ 09:43:
Yep, wij zijn ook slachtoffer.

Het wordt tijd dat er een debat komt in de Tweede Kamer over het recht om vergeten te worden, na het online kopen van een ticket.

Zomaar een paar ideeën:

• Betaling via iDeal anoniem net als een pintransactie
• Verbieden om gegevens op te slaan, die niet nodig zijn om jou toegang te geven tot het attractiepark/evenement.
• Verplichten om alle gegevens te verwijderen, zodra jij toegang hebt gekregen tot attractiepark/evenement.

Uh...dat is al en dat heet de avg/gdpr. Daarin zit gewoon het recht om al je gegevens te laten verwijderen. Daarnaast hadden deze gegevens al lang verwijderd moeten zijn, ook volgens GDPR.

Overigens, wat veel bedrijven niet noemen is dat er wel degelijk (hashed) passwords in het lek zitten kom ik nu achter:

quote: https://www.bleepingcompu...-extorted-in-data-breach/

From the samples of the database seen by BleepingComputer, the data exposed can include full names, email addresses, phone numbers, IP addresses, and hashed passwords.

Ticketcounter zelf:

quote: https://ticketcounter.nl/datalek

[...] er zijn geen wachtwoorden, pasfoto’s verkregen.

[ Voor 15% gewijzigd door Cheesy op 02-03-2021 11:29 ]

Hier ook helaas alles gelekt, inclusief IBAN nummer.

Ik heb eenmalig kaartjes gekocht voor Avifauna en met iDeal afgerekend. Ik zit dan ook met een aantal vragen:
- Waarom bewaart TicketCounter mijn IBAN nummer voor een eenmalige betaling? Dat is volgens mij tegen hun eigen privacyverklaring. Zie https://web.archive.org/w...ticketcounter.nl/privacy/, de privacyverklaring van augustus vorig jaar.

- Volgens diezelfde privacyverklaring bewaren ze gegevens maximaal 1 jaar. Als ik het nieuwsbericht moet geloven dan gaat het om data uit de periode medio 2017 tot en met 4 augustus vorig jaar. Hoe kan dat? Hebben de developers constant de dataset aangevuld in die Azure Storage-container vanaf 2017?

- Wat voor gevaar loop ik door het lekken van een IBAN nummer in combinatie met de andere gelekte gegevens, zoals een geboortedatum? Is het bijvoorbeeld nu makkelijker om een automatische incasso afsluiten? In het mailtje wordt vrij luchtig gedaan dat er geen direct gevaar is, maar ik ben er niet gerust op.

- Is er juridisch wat mogelijk? Ik vind het echt onacceptabel dat er kennelijk data bewaard wordt, waar ik geen toestemming voor heb gegeven.

Zojuist mail van DPG dat mijn data gelekt is, heb ooit in september 2019 tickets voor slagharen besteld in de AD.nl webshop. NAW gegevens, email en telefoon zijn gelekt, geboortedatum en IBAN blijkbaar niet.

Best wel kwalijk dat dergelijke data tot in den treure bewaard wordt, september 2019 is meer dan een jaar geleden. Die kaartjes zijn allang betaald en gebruikt, waarom moeten die zo lang bewaard blijven?

Inmiddels e-mails van haveibeenpwned (domain monitoring), Julianatoren en DPG Media ontvangen.

Voor mij was het direct duidelijk dat mijn gegevens hier niet bij betrokken zijn. Het betreft namelijk een domein dat mensen blijkbaar wel eens proberen te gebruiken voor bijvoorbeeld 'proefabonnementen'. Dan krijg ik namelijk de 'bevestig uw e-mailadres'-e-mail. Daarom staat catch-all meestal ook uit. Maar goed, ik laat dat domein dus wel monitoren door haveibeenpwned. (Ik bestel overigens ook nooit kaartjes voor leuke dagjes uit.)

Ik was eigenlijk wel benieuwd wat er in dit geval dan gelekt zou zijn, dus via hibp het e-mailadres achterhaald en via Julianatoren/DPG opgevraagd welke gegevens er in het gelekte bestand aanwezig zijn.
<hier stond een lang verhaal>
Het kan toeval zijn, maar volgens https://www.ticketcounter.nl/over-ons/ werkt (een) Nadieh in/op/bij/voor de Backoffice. De overige gegevens zijn natuurlijk ook niet iemands persoonlijke gegevens, tenzij deze persoon normaal gesproken een e-mailadres wenst te gebruiken zonder daartoe toegang te hebben. Het (straat)adres is dat van Ticketcounter zelf, voor de goed orde.

Idem hier, Amusementspark Tivoli, Plaswijckpark en VTWonen Beurs.

Alle drie geen mails over ontvangen.


Ach het zijn maar 229 sales channel partners.

[ Voor 33% gewijzigd door mgizmo op 02-03-2021 21:47 ]

Dit raakt weer enorm veel mensen denk ik.

Ook zojuist email van DPG - was maar 'een' transactie via een kranten webshop augustus vorig jaar, geen toestemming gegeven om persoonlijke data bij een derde te bewaren, waarom zou ik dat toelaten? Dus niet alleen deze 'lek' (slechte data beveiliging)) maar ook het bewaren van persoonlijke data zonder toestemming, maanden nadat transactie voldaan is, klopt niet volgens het GDPR (AVG).

Het laat zien dat er nog veel moet gebeuren met de regelgeving, en de handhaving - het is hoog tijd voor meer duidelijkheid over schade en compensatie voor 'vervuilde' identiteitsgegevens. Overstappen naar een nieuwe, schone email adres bijvoorbeeld duurt best lang - weet ik uit ervaring - en ja bij deze lek en ook de GGD teststraat gebruikt

Juridisch stappen? Ik ben benieuwd naar de mogelijkheden - boete AVG-overtreding kan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet zijn - als de Autoriteit Persoonsgegevens daarvoor kiest. Ik hoop echter dat deze organisatie/s torenhoge boetes krijgen, de consumenten impact is enorm. Ik ben niet mee eens dat 'boetes helpen niet' - geld werkt altijd - en het is hoog tijd dat bedrijven een overduidelijk prikkel krijgen om meer op 'data verwijderen' te focussen dan onnodige 'data opslaan'.

(En daarom werk ik, en een groeiende groep mensen, aan alternatieven met o.a gedecentraliseerd Self Sovereign Identiteiten, ik kan hier niet op wachten!)

wlchris schreef op dinsdag 2 maart 2021 @ 08:35:
Vreemd, ik kreeg vannacht wel een mail van haveibeenpwned.com, maar krijg van ticketcounter of hun partners geen mail. Ook bij het controleren hierop zijn er geen gegevens bekend.

You're one of 1,921,722 people pwned in the Ticketcounter data breach

Iemand hetzelfde ?

Ik heb hetzelfde. Ik ben wel een keer bij Burger's zoo geweest, maar dat was na de periode waarvan de gegevens gelekt zijn. Heel irritant dit... Het lek lijkt mij dan groter dan wat nu wordt beweerd.

mgizmo schreef op dinsdag 2 maart 2021 @ 19:54:
Idem hier, Amusementspark Tivoli, Plaswijckpark en VTWonen Beurs.

Alle drie geen mails over ontvangen.


Ach het zijn maar 229 sales channel partners.

Van Tivoli zou je wat gehad moeten hebben, ik heb contact met ze gehad en ze hebben einde van de middag een mail uitgedaan.

Van DPG ook mail. Via die weg is mijn volledige naam en een IBAN van het reeds gestopte MoneYou gelekt. Ik ben dus niet bang voor fraude

Ik ook, een hotelovernachting bij Fletcher via leuketickets.nl. Toen eigendom van Sanoma, nu eigendom van DPG Media. Het privacy statement van Sanoma destijds was wat vaag maar ik geloof niet dat dat het zo lang bewaren hiervan er redelijkerwijs onder zou vallen. Ze hadden het ook niet over IP nrs. Als ik vanmiddag de juiste computer bij de hand heb zal ik de letterlijke tekst copy/pasten.

Het privacy statement van DPG Media spreekt wel over ip nrs en een termijn van 14 maanden. (!!) Dat op zich is ook al iets om stevige vraagtekens bij te zetten. Er wordt nu geklaagd over mogelijke identiteitsfraude. Maar daarnaast is er nog iets; door het bewaren van de combinatie ip nrs + persoonsgegevens is voor een site eigenaar nu tot op persoonsniveau van een flinke groep mensen zichtbaar wie het zijn.

Anoniem: 472287 schreef op dinsdag 2 maart 2021 @ 07:31:
[...]


Compensatie voor wat precies?

Dat moet je wel heel stevig onderbouwt hebben en gezien je post hier ga ik daar niet van uit en kan je dat gerust op je buik schrijven.

De directe kosten zijn meestal lastig te becijferen. Maar door dat ip nr waardoor tracking nu veel makkelijker is hangt er dit keer een duidelijk prijskaartje aan de schade: de prijs van een vpn.

Dit zegt ticketcounter zelf:

Helaas heeft zich bij Ticketcounter een datalek voorgedaan. Dit datalek hebben wij op maandag 22 februari jl. ontdekt. In dit bericht leggen we uit wat er is gebeurd en welke stappen wij hebben ondernomen.

..


Welke stappen hebben wij ondernomen?
Wij hebben de back-up direct verwijderd en al onze zakelijke klanten geïnformeerd over het datalek. Daarnaast hebben wij een melding gedaan bij de Autoriteit Persoonsgegevens. Onze zakelijke klanten hebben de mogelijkheid om de betrokkenen wiens persoonsgegevens zijn gelekt, verder te informeren. Het is niet meer dan logisch dat wij het enorm betreuren dat de data is gelekt. Wij zijn gelukkig geen gegevens ‘kwijt’ en er zijn geen wachtwoorden of pasfoto’s verkregen. Wel adviseren wij iedereen om extra alert te zijn op zogenaamde ‘phishing mails’. Heb je vragen over het datalek? Aarzel dan niet om contact met ons op te nemen via info@ticketcounter.nl.

Betekent vetgedrukte trouwens niet dat de pretparken e.d. hun eigen klanten al veel eerder hadden moeten informeren dan gisteren pas?

[ Voor 31% gewijzigd door Yucon op 03-03-2021 07:22 ]

Yucon schreef op woensdag 3 maart 2021 @ 07:13:
Betekent vetgedrukte trouwens niet dat de pretparken e.d. hun eigen klanten al veel eerder hadden moeten informeren dan gisteren pas?

Je kunt je ook afvragen hoe snel die partijen de daadwerkelijke data hadden van hun klanten en dat konden communiceren. Ze zijn natuurlijk vooral goed in pretpark dingen en wat minder in digitale zaken anders neem je geen externe partij in de hand.

De partij via wie mijn data bij ticketcounter gekomen is, heeft mij afgelopen maandag netjes geïnformeerd en een site gemaakt waarop je e-mailadres moet invullen om te weten of en wat er gelekt is.

Dus ik denk dat het een beetje dubbel is, misschien hadden ze het inderdaad eerder moeten communiceren, want er zijn toch risico's. Maar als je nog geen goed overzicht hebt en volledig wil zijn dan kan ik me voorstellen dat er nog enkele dagen tussen zitten om dat allemaal op orde te krijgen en goed te communiceren naar je klanten.

Vind een week overigens nog snel hoor, Datalek ontdekt door aanbieder - gecommuniceerd richting (zakelijke) klanten - communicatie richting klant pretpark e.d.. (jij en ik)

Denk dat veel afhankelijk is, van hoe men het e.e.a. digitaal op de rails heeft staan om dit snel op te kunnen pakken en goed te communiceren.

Ik ben overigens wel met je eens dat de 22e gewoon een algemeen waarschuwingsbericht uit had kunnen gaan, vanuit ticketcounter gevolgd door gebruikers ervan.

[ Voor 19% gewijzigd door TIGER1125 op 03-03-2021 07:47 ]

bonzz.netninja schreef op dinsdag 2 maart 2021 @ 11:05:
[...]

Uh...dat is al en dat heet de avg/gdpr. Daarin zit gewoon het recht om al je gegevens te laten verwijderen. Daarnaast hadden deze gegevens al lang verwijderd moeten zijn, ook volgens GDPR.

Dan wordt die bijzonder slecht nageleefd cq. gehandhaafd

Ik wil er overigens niet actief achteraan om gegevens te laten verwijderen. Die moeten gewoon standaard na hele korte verwijderd worden.

Antwoord van DPG Media:

Wij ontvingen uw bericht waarin u vroeg om inzage in uw gegevens.

Helaas hebben wij uw e-mailadres abc@hotmail.com niet terug kunnen vinden in ons systeem. Wilt u zo vriendelijk zijn om uw adresgegevens via het online contactformulier door te geven? Zodra wij uw gegevens hebben ontvangen, nemen wij uw verzoek verder in behandeling.

Zijn er nog onduidelijkheden of heeft u een andere vraag? Neem dan contact met ons op via het online contactformulier.

Dit is wel erg slordig. Je zou het liefdevol een 'onvolledig' antwoord kunnen noemen, maar ik heb hier toch wel flinke moeite mee aangezien ze me gisteravond gewoon zelf gemaild hebben hierover. Ze nemen het blijkbaar niet heel serieus.

Yucon schreef op woensdag 3 maart 2021 @ 09:35:
Antwoord van DPG Media:


[...]

Dit is wel erg slordig. Je zou het liefdevol een 'onvolledig' antwoord kunnen noemen, maar ik heb hier toch wel flinke moeite mee aangezien ze me gisteravond gewoon zelf gemaild hebben hierover. Ze nemen het blijkbaar niet heel serieus.

Je staat niet in de systemen van DPG, maar nog wel in die van ticketcounter...

Ik krijg de laatste dagen plotseling erg veel spam van een uniek adres van een ticetprovider. OUTIX.nl maar ik zie niet of die gerelateerd is aan ticketcounter. toeval?

Is er ergens een lijst van bedrijven waarvoor ze zaken afhandelen, ik lees er veel maar een 'lijst' zou makkelijker zoeken.

_JGC_ schreef op woensdag 3 maart 2021 @ 09:52:
[...]

Je staat niet in de systemen van DPG, maar nog wel in die van ticketcounter...

Ik heb een mail van DPG ontvangen waarin ze vertellen dat mijn data gelekt is. Ik moet dus wel in hun systemen staan, al was het alleen al maar vanwege die mailing.

Overigens twijfel ik een beetje waar de grens ligt. Als een dochterbedrijf (leukstetickets.nl, die de opdrachtgever aan ticketcounter waren) eigendom van het moederbedrijf is zou je zeggen dat de data ook eigendom van het moederbedrijf is en dus via die weg opgevraagd zou moeten kunnen worden. Maar zeker ben ik daar niet van.

[ Voor 6% gewijzigd door Yucon op 03-03-2021 11:01 ]

Verrassend topic. Als in, persoonsgegevens van mij zijn zeker weten relatief recent meerder malen verwerkt door ticketcounter als ik de genoemde partijen lees. Maar een e-mail heb ik nog niet ontvangen.

Mocht ik die wel krijgen dan begin ik eerst eens met een verzoek tot inzage bij de partij(en).

Joris748 schreef op woensdag 3 maart 2021 @ 08:26:
[...]

Dan wordt die bijzonder slecht nageleefd cq. gehandhaafd

Ik wil er overigens niet actief achteraan om gegevens te laten verwijderen. Die moeten gewoon standaard na hele korte verwijderd worden.

Tjah wat wil je. Ik begreep dat de autoriteit veel te weinig personeel heeft voor wat de wetgever ze wil laten doen. Sowieso is het reactief en niet proactief. Ik zie daar ook niet echt een realistische scenario voor je dat je proactief gaat controleren bij systemen of de vork echt in de steel zit. Ze zijn wel verplicht retentieperioden e.d in het verwerkingsregister op te nemen, maar of dat ook gedaan wordt is bijna niet te controleren.

The Lord schreef op woensdag 3 maart 2021 @ 12:20:
Verrassend topic. Als in, persoonsgegevens van mij zijn zeker weten relatief recent meerder malen verwerkt door ticketcounter als ik de genoemde partijen lees. Maar een e-mail heb ik nog niet ontvangen.

Mocht ik die wel krijgen dan begin ik eerst eens met een verzoek tot inzage bij de partij(en).

De data is toegevoegd aan haveibeenpwned, dus aldaar kun je iig zien of je data in de datalekt zat.

Als je alleen recent iets met ticketcounter hebt gedaan staan je gegevens er niet in; IIRC gaat het alleen om gegevens die tussen 23 juli 2018 t/m 4 augustus 2020 zijn verwerkt door hun.

Nadeel van haveibeenpwned is dat je niet te zien krijgt wélke data er dan gelekt is. Alleen de kans op. Het is nogal afhankelijk van welke klant van Ticketcounter jíj dan weer klant bent geweest welke data er is gelekt.

Mijn vrouw bijvoorbeeld, heeft 3 maal tickets gekocht voor Burger's Zoo. Daarbij hoef je geen adresgegevens in te vullen. Naam, e-mailadres en hoeveelheid tickets volstaat. In haar geval is dus 3 maal gelekt:
- Naam + Achternaam
- E-mailadres
- IP-adres
- IBAN

Heb je tickets via een andere dienst gekocht, dan zijn mogelijk je adresgegevens en/of telefoonnummer ook onderdeel van het lek. Kortom, je weet eigenlijk niets...

In ander nieuws:
Hier net contact gehad met de bank, om ons rekeningnummer te laten wijzigen. Gaat nogal wat voeten in de aarde hebben aangezien onze hypotheek + creditcard daar ook aan zijn gekoppeld. Maar het kan me echt niets interesseren wat er moet gebeuren, ik wil een nieuw rekeningnummer Mijn vrouw is nog niet helemaal overtuigt, maar die lijkt vooral geen zin te hebben in de moeite. Dus die heeft pech

Mocht je overwegen van bank over te stappen is dit gelijk een mooie gelegenheid. De moeite heb je toch.

@Yucon Helaas. Voorwaarde van de hypotheek: rekening waar loon op binnenkomt moet bij hen worden afgenomen. Voelt inmiddels alsof ik mijn ziel heb verkocht. Nog 22 jaar te gaan

lolgast schreef op woensdag 3 maart 2021 @ 20:21:
Nadeel van haveibeenpwned is dat je niet te zien krijgt wélke data er dan gelekt is. Alleen de kans op. Het is nogal afhankelijk van welke klant van Ticketcounter jíj dan weer klant bent geweest welke data er is gelekt.

Mijn vrouw bijvoorbeeld, heeft 3 maal tickets gekocht voor Burger's Zoo. Daarbij hoef je geen adresgegevens in te vullen. Naam, e-mailadres en hoeveelheid tickets volstaat. In haar geval is dus 3 maal gelekt:
- Naam + Achternaam
- E-mailadres
- IP-adres
- IBAN

Heb je tickets via een andere dienst gekocht, dan zijn mogelijk je adresgegevens en/of telefoonnummer ook onderdeel van het lek. Kortom, je weet eigenlijk niets...
[...]

Als je wil weten *welke* gegevens het zijn, daar biedt ticketcounter een tool voor aan: . Hier kun je adhv een e-mail adres gegevens opvragen die bekend zijn bij deze datalek. Je kunt dus precies weten welke gegevens er gelekt zijn.

[ Voor 4% gewijzigd door DaFeliX op 04-03-2021 20:08 . Reden: sorry! Link werkt dus niet... ]

DaFeliX schreef op donderdag 4 maart 2021 @ 07:25:
[...]


Als je wil weten *welke* gegevens het zijn, daar biedt ticketcounter een tool voor aan: https://tc.combi.ticketcounter.eu/nl-NL/DataLeakCheck . Hier kun je adhv een e-mail adres gegevens opvragen die bekend zijn bij deze datalek. Je kunt dus precies weten welke gegevens er gelekt zijn.

Die website spuugt na 3 uur "Controleren" nog geen gegevens uit, dus daar heb je niets aan.

lolgast schreef op donderdag 4 maart 2021 @ 09:32:
[...]

Die website spuugt na 3 uur "Controleren" nog geen gegevens uit, dus daar heb je niets aan.

huh, ik kreeg binnen 1 minuut een mailtje, en vanuit dat mailtje kreeg ik een link waar ik binnen enkele seconden mijn data inzag. Bij mij werkte 't prima dus, wellicht is ie overbelast geraakt door de toestroom vanaf GoT

DaFeliX schreef op donderdag 4 maart 2021 @ 11:59:
[...]


huh, ik kreeg binnen 1 minuut een mailtje, en vanuit dat mailtje kreeg ik een link waar ik binnen enkele seconden mijn data inzag. Bij mij werkte 't prima dus, wellicht is ie overbelast geraakt door de toestroom vanaf GoT

Bij mij gebeurd er ook niets behalve dat er iets "gecontroleerd" wordt. Ik heb het na een bijna een half uur maar opgegeven.

Er gebeurt ook helemaal niks, als je je mailadres invult en op die knop klikt wordt er een POST gedaan naar een 404 pagina.

Zo te zien werkt die pagina alleen in combinatie met een partner-id, zie de link in de post van TS.

Sloebert schreef op donderdag 4 maart 2021 @ 12:53:
Zo te zien werkt die pagina alleen in combinatie met een partner-id, zie de link in de post van TS.

Bedoel je die link van 7:25? Daar zit toch ook geen id in?

Yucon schreef op donderdag 4 maart 2021 @ 13:00:
[...]

Bedoel je die link van 7:25? Daar zit toch ook geen id in?

Ik bedoel de link naar de site van Dierenpark Amersfoort, als je daar op die link 'Controle gegevens' klikt ga je naar https://tc.combi.ticketco...DE61869&salesChannelID=81 en dat werkt bij mij. Niet duidelijk is of dit een query op de hele dataset is of alleen de set van Dierenpark Amersfoort.

Dat kan ik je wel vertellen: Dat is alleen van Dierenpark Amersfoort, dus niet de volledige gegevensset.

Oftewel: Daar heb je dus geen fluit aan

[ Voor 17% gewijzigd door lolgast op 04-03-2021 13:26 ]

lolgast schreef op donderdag 4 maart 2021 @ 13:26:
Oftewel: Daar heb je dus geen fluit aan

Ik zie het eigenlijk wel als een motivatie om wat harder aan te dringen bij andere getroffen bedrijven. Als ze geen duidelijkheid geven in wat er gelekt is terwijl ticketcounter wel die mogelijkheid aan hun klanten aanbiedt heb ik toch wat moeite om gebrek aan openheid onder 'niet kunnen' te scharen.

Ik kreeg ook een mail met de melding over het lek en de mededeling om contact op te nemen met Ticketcounter voor meer info, geen link naar een dergelijke pagina.Was een klein evenement, wellicht hebben die even niemand die zo'n pagina voor ze kan regelen. Maar goed, had een hit op haveibeenpwned dus ben gewoon het bokje.

Sloebert schreef op donderdag 4 maart 2021 @ 12:53:
Zo te zien werkt die pagina alleen in combinatie met een partner-id, zie de link in de post van TS.

excuus aan @lolgast, @GertjanO en @_JGC_ blijkbaar werkte mijn link niet. Je zou je dan toch moeten richten tot 't bedrijf dat je gegevens verwerkt heeft via ticketcounter om zo'n link te verstrekken om je gegevens in te zien. Anders even met dat bedrijf contact opnemen, of direct met ticketcounter contact opnemen om verhaal te halen. Aangezien ticketcounter dus wel een tool heeft gebouwd om per partner de gegevens te verstrekken, lijkt het mij dat zij je wel verder kunnen helpen.

Maar dat is nou net de klacht. Je wéét soms niet of een dienst klant was van Ticketcounter en sommige van die klanten hebben vooralsnog verzaakt om (in ieder geval een aantal) eindklanten niet op de hoogte te brengen van het lek. Dan weet je ook niet waar je moet zoeken.

Het zou Ticketcounter in mijn ogen sieren om op basis van het opgeven van je mailadres gewoon ALLE gegevens even naar je te mailen, want nogmaals:
Mijn vrouw heeft haar gegevens opgevraagd bij Burgers Zoo maar die gaven niet aan dat ons IP-adres ook is gelogd/gelekt. Terwijl die absoluut wel in de database staat, die heb ik zelf gehad namelijk.

Dus als ik het voor mijzelf even opsom
- HaveIBeenPwned geeft aan dat er íets is gelekt en wat daar allemaal onder kan vallen, maar niet specifiek wat voor jou van toepassing is
- Ticketcounter geeft 0 informatie
- Klanten van Ticketcounter geven niet alle informatie
- Het is onduidelijk van welke bedrijven er allemaal data in de Tickercounter database staat

Iemand al een reactie van Ticketcounter of het IPadres nog ook gelekt is of niet? En evt adresgegevens wellicht via een ander park?

@meermarco Lees de 2e alinea in het bericht boven je nog eens. Daar staat letterlijk dat ik met eigen ogen heb geconstateerd dat mijn publieke IP in de database staat

Bij mij zijn ook gegevens gelekt, vanwege een bestelling via de website van Diergaarde Blijdorp. Ik heb mijn e-mailadres ingevuld om te kijken welke gegevens van mij zijn gelekt. Ik ontving de volgende punten:

• Datum laatst gewijzigd
• Taal
• E-mailadres
• Voornaam
• Achternaam
• IBAN

Ik weet nu bijna zeker dat ook mijn mobiele nummer is gelekt, ook al staat dit er niet bij. De eerste phishing SMS heb ik zojuist ontvangen. Hier wordt mijn voor- en achternaam vermeld, iets wat ik online nooit vermeld in een account.

Afgelopen week heb ik zowel Ticketcounter als Diergaarde Blijdorp gemaild met een aantal vragen en of de data z.s.m. verwijderd kan worden uit hun systemen. Uiteraard van beiden nog niks gehoord.

De Uithof in Den Haag heeft ook gebruik gemaakt van de diensten van Ticketcounter. Hierdoor is zo'n beetje het hele setje aan persoonsgegevens gelekt, vooral de combinatie van deze complete set baart mij zorgen. Reknr, geboortedatum, telnr, e-mailadres, NAW. Alles dus... Dit geldt voor mensen die bijvoorbeeld een ski of schaatsabonnement hebben afgenomen.

De Uithof schuift het makkelijk van zich af, u moet zich melden bij Ticketcounter. Het lek lag niet bij ons.

Is er bij iemand bekend of er een collectieve actie is gestart om Ticketcounter aansprakelijk te stellen?

SaturN schreef op zondag 7 maart 2021 @ 16:26:
De Uithof in Den Haag heeft ook gebruik gemaakt van de diensten van Ticketservice. Hierdoor is zo'n beetje het hele setje aan persoonsgegevens gelekt, vooral de combinatie van deze complete set baart mij zorgen. Reknr, geboortedatum, telnr, e-mailadres, NAW. Alles dus... Dit geldt voor mensen die bijvoorbeeld een ski of schaatsabonnement hebben afgenomen.

De Uithof schuift het makkelijk van zich af, u moet zich melden bij Ticketcounter. Het lek lag niet bij ons.

Is er bij iemand bekend of er een collectieve actie is gestart om Ticketcounter aansprakelijk te stellen?

Het is Ticketcounter. Niet ticketservice. En echt vervelend dit. Benieuwd of er met naw en iban binnenkort misbruik wordt gemaakt van afterpay enzo.

gbonny schreef op maandag 1 maart 2021 @ 15:39:
Kunnen wij ons als slachtoffers niet verenigen en een claim neerleggen bij TicketCounter..?!

Lijkt me een goed plan, juridisch zeer laste procedure. Wie gaat dat betalen?

Zojuist van Ecomare ook een TicketCounter-waarschuwing gekregen. Ecomare heeft ook een pagina gemaakt waar je je email-adres kunt invullen om erachter te komen wat er precies gelekt is. In mijn geval, na online kaartjes te hebben gekocht met betaling per iDeal afgelopen zomer, gaat het om naam, email, taal en IBAN.

Ook van Ecomare een mail gehad;

• Naam
• Mail
• Iban

Nou laat de phishing mails maar komen.

Voor de zekerheid de betreffende bankrekeningnummer sluiten en een nieuwe openen....

Dit bewijst weer dat er nog altijd veel teveel organisaties zijn die geen idee hebben waar ze mee bezig zijn.

• Gegevens (bv IBAN) worden bewaard zonder dat daar een goed omschreven doel voor is
• Gegevens (bv IBAN) worden bewaard zonder dat deze gegevens zijn vermeld in de privacy verklaring
• Gegevens worden veel langer bewaard dan dat noodzakelijk is
• Beveiliging van data is niet op orde

Zie voor de details de gebrekkige en niet met de werkelijkheid overeenkomende privacy verklaring van ticketcounter.

Ik pleit voor hogere boetes zodat organisaties worden gedwongen om hier meer aandacht aan te geven. En zo ingewikkeld is het niet.

Ik zou in de media ook graag meer aandacht zien voor niet alleen het lek zelf, maar alle misstappen (zie boven) die aan het lek vooraf gaan.

Ik ben benieuwd naar hoe Functionaris Gegevensbescherming van Ticketcounter BV nu terugkijkt op dit probleem. Had ik toch wat meer moeten investeren in interne training? Toch wat meer controleren? Toch wat harder bij management de misstanden aankaarten? Toch de misstanden aan de autoriteiten voorleggen? Toch ergens anders gaan werken omdat je hier niet bij wilt horen?

Helaas, nu is het te laat...

[ Voor 3% gewijzigd door F_J_K op 09-03-2021 09:25 . Reden: Mod-edit: Nergens voor nodig namen te noemen, die heb ik dus weggeknipt ]

De phising lijkt te zijn begonnen.
Mijn vrouw krijgt sinds berichten dat er een pakketje van PostNL klaarstaat.

DVX73 schreef op dinsdag 9 maart 2021 @ 00:03:
De phising lijkt te zijn begonnen.
Mijn vrouw krijgt sinds berichten dat er een pakketje van PostNL klaarstaat.

ik krijg sinds eergisteren ook ineens belachelijke hoeveelheden spam die door de filters heen komen. Ca 10 per dag, overwegend van vestigingsadressen in de regio Londen. Hebben nog meer mensen hier last van?

DPG Media groep heeft niet meer gereageerd trouwens. Zal ik nog maar eens achteraan mailen.

[ Voor 9% gewijzigd door Yucon op 09-03-2021 06:43 ]

Yucon schreef op dinsdag 9 maart 2021 @ 06:43:
[...]
overwegend van vestigingsadressen in de regio Londen.

Toevallig deze?

776-778 Barking Road, London, England, E13 9PJ

@DVX73 het zijn steeds wisselende adressen. Bij de eerste vielen met die UK adressen op maar er zit nu ook veel amerikaans tussen. Steeds onderwerpen als loterijen, food stamps, corona emergency aid, job offers, dat soort dingen. Het lijkt bijna hersenspoeling van mensen die aan de grond zitten in de hoop dat ze vroeg of laat een keer op de strohalm ingaan.

Wat betreft afzenders en adressen zit er echt totaal geen lijn in. Het is daarom ook vrijwel niet te blocken. Phishing lijkt het trouwens niet.

edit: laat ik even heel goed duidelijk maken dat ik ticketcounter hiermee niet beschuldig. Het zou toeval kunnen zijn, maar de timing valt wel op dus vandaar m'n vraag of andere dit ook herkennen.

[ Voor 32% gewijzigd door Yucon op 09-03-2021 09:59 ]

Update vanuit mijn kant. Ticketcounter heeft per e-mail bevestigd dat ze mijn persoonsgegevens uit de systemen hebben verwijderd. Dit heb ik na bekendmaking van het lek aan ze verzocht.

Niets blijkt minder waar! Na 3 weken kreeg ik dus de reactie dat ze aan mijn verzoek hebben voldaan. Wanneer ik via hun wachtwoord reset pagina mijn e-mailadres invoer, ontvang ik direct een e-mail om het wachtwoord aan te passen.

Ik vind het verwonderlijk dat er een paar dagen ophef is ontstaan na bekendmaking van dit lek, vervolgens gebeurt er niets. Geen procedure rond aansprakelijkheid? Geen boete? Geen hulp richting slachtoffers in de vorm van compensatie? Op deze manier blijven bedrijven er mee wegkomen. Het enige wat ze doen is een standaard mailtje sturen met een excuus...

Mijn ouders zijn van de week gebeld: "door een medewerker van de bank" dat er van alles mis was en of ze even hun spaargeld wilden veiligstellen. (ze hebben ook nog een mail gekregen over een verlopen pas). Persoon had een verhaal over nigeriaanse scammers en dat het IP adres was gekraakt, etc.

"Thank god", zei de medewerker aan het eind: Ze hoefden de bank niet terug te bellen. Want mijn ouders waren net niet thuis....en zeiden: "kan het ook straks".... Na ophangen viel het kwartje, dat het oplichters waren.

Lang verhaal kort: echte bank gebeld, passen geblokkeerd, nieuwe onderweg, etc. Echte bankmedewerker zei: spoofing en wellicht telefoons besmet met virus. Maar ik heb alles apparaten bekeken, gescand niets geks. Wachtwoorden gewijzigd, etc. Niets raars op laptops en accounts.

De oplichters:
Men begon met: is dit uw geboortedatum, is dus uw adres, is dus uw mans naam, is dus uw bankrekeningnummer....etc. Heb e.e.a. nagekeken op basis van historie en haveibeenpowned.com.
De hack van Ticketcounter komt meteen naar voren als waar deze gegevens zijn/kunnen zijn gehacked.

Nu heeft me ma inderdaad tickets gekocht van Fletchervouchers via Ticketcounter in 2020.
Ik wil met dit verhaal alleen zeggen: pas op, want het lijkt dat men gebruik aan het maken is van deze data.

Met zeer grote dank aan het K*T bedrijf Ticketcounter. (die wat mij betreft een hele grote boete mag krijgen en personen wel eens mag gaan compenseren voor de ellende)

@atomix9 het hoeft niet eens ticketcounter te zijn.
Als je ouders ook ergens anders online bestellen (bijv. otto.nl) dan liggen daar ook hun gegevens MISSCHIEN op straat.

Ik gebruik overal een ander e-mailadres.
Als iemand belt vraag ik ter verificatie welk e-mailadres zij van mij hebben.
Als dat niet bank@ is, dan weet ik de boosdoener.

Ticketcounter heeft vandaag weer een mail gestuurd over dit lek. Alleen gaat het nu over Kruidvat:

Ticketcounter verzorgde in het verleden de online verkoop van tickets voor Kruidvat.
Bij Ticketcounter is op 22 februari 2021, een datalek geconstateerd, wellicht heeft u hierover al meer gelezen in het nieuws. Wij hebben direct de Autoriteit Persoonsgegevens geinformeerd en al onze partners, waaronder ook Kruidvat.

Tot op heden is er helaas nog onduidelijkheid over wie de klanten van Kruidvat moet informeren. Om ervoor te zorgen dat u op de hoogte komt van dit datalek, hebben we in goed overleg met de Autoriteit Persoonsgegevens besloten om u vanuit Ticketcounter deze mail te sturen.

Het datalek in februari betrof gegevens van mensen die online tickets hebben gekocht via ons (Ticketcounter) systeem naar aanleiding van ticket-acties die door ons voor Kruidvat werden verzorgd. Het lek werd snel gevonden en direct dichtgezet. U ontvangt dit bericht omdat uw gegevens mogelijk bij dit lek betrokken zijn geweest.

Om welke gegevens gaat het precies?
Het betreft de volgende persoonsgegevens die zijn gebruikt bij de online aankoop van tickets: naam, e-mailadres, telefoonnummer en indien er met iDEAL is betaald, ook het IBAN nummer.

Mijn gegevens staan er ook in, beperkt tot mijn naam en geslacht.

Ik gebruik voor elke website waar ik mij moet aanmelden een uniek e-mailadres*.

Zojuist kreeg ik een (ABNAMRO) phishing e-mailtje op een e-mailadres welke ik heb gebruikt voor het boeken van een uitje nav een gewonnen prijs bij de postcodeloterij. Vorig jaar kaartjes voor een uitje gewonnen (of kreeg iedereen die? 🤔 dat weet ik niet meer) en eind augustus gekozen voor kaartjes naar Dierenpark Amersfoort (toen ook dit e-mailadres gebruikt). Dit ging toen via de website https://www.uitstapjenaarkeuze.nl/ .

Ik ben benieuwd of meer tweakers dit herkennen - dat ze spam/fishing krijgen op het e-mailadres wat zij hiervoor gebruikt hebben. Ik vraag me af of de lek bij de NPL zit of dat mijn e-mail is doorgegeven aan Dierenpark Amersfoort en dat zij hem gelekt hebben.

Ik zal dit natuurlijk melden bij de NPL en bij de autoriteit persoonsgegevens - hebben mede-tweakers nog andere tips wat ik hier mee kan/moet doen?

===============
Met betrekking tot "uniek e-mailadres*":
Ik heb een eigen domein met een "catch all" rule. Dus bij de tandarts is mijn e-mailadres: tandarts@[mijndomein].com . Deze komt dmv catch all in mijn algemene inbox. Op deze manier (met catch-all) kan ik overal ter plekke een uniek e-mailadres verzinnen zonder dat ik daar een administratie voor aliassen voor hoef bij te houden.

Voordeel is dat als ik ergens spam op ontvang ik deze alias vervolgens wel kan aanmaken en de server standaard de mailtjes naar dit e-mailadres kan laten "droppen".

Niet gerelateerd aan de lek bij Ticketcounter? Datalek ticketcounter
Daar waren onder andere gegevens van Dierenpark Amersfoort buitgemaakt.

Kan prima dat Goede Doelen diverse derden heeft waarmee gegevens gedeeld worden voor zulke prijzen/tickets, wat ook staat in hun privacy ding

De partijen die de joint promotion aanbieden zijn zelfstandig verantwoordelijk(e) voor de doeleinden waarvoor en de manier waarop zij deze persoonsgegevens verwerken.

Lang niet altijd is het 'de grote jongen', maar 1 van die bureautjes waarmee ze samenwerkte.

Jester-NL schreef op donderdag 16 september 2021 @ 14:33:
Niet gerelateerd aan de lek bij Ticketcounter? Datalek ticketcounter
Daar waren onder andere gegevens van Dierenpark Amersfoort buitgemaakt.

Aha - ja, ik heb voor vandaag slechts 2 mailtjes op dat mailadres ontvangen: 1 van NPL en 1... van Ticketcounter . Dus dat zal het zijn inderdaad.

Apart dat ik daar niet over geïnformeerd ben - maar dan kan dit topic dicht.

Bedankt @Jester-NL !

Ik voeg Datalek ticketcounter en Maestro.mosjuh in "Nationale postcodeloterij - e-mail adres gelekt?" even samen