Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljoen klanten

Ticketcounter, een dienst die de verkoop van tickets voor dierentuinen en pretparken afhandelt, heeft te maken met een datalek. Een database met klantgegevens van 1,5 tot 1,8 miljoen klanten stond door een fout openbaar en is buitgemaakt.

De database met klantgegevens is in augustus vorig jaar ten behoeve van de ontwikkeling van een systeem om gegevens te anonimiseren in een cloudomgeving gezet. Door een menselijke fout kwam de database terecht in een Azure Storage-container die niet was beveiligd, zegt Ticketcounter-directeur Sjoerd Bakker tegen Tweakers.

Vorige week maandag werd Ticketcounter getipt dat de gegevens werden aangeboden op het darkweb. Na de ontdekking daarvan heeft de dienst het probleem opgespoord en de database verwijderd. Volgens Bakker hebben ethische hackers het bestand ook in handen en heeft Ticketcounter zo kunnen verifiëren dat het om een grote dataset gaat.

Hoeveel klanten er precies zijn getroffen is volgens Bakker niet duidelijk, omdat er dubbelingen in de database zitten, van mensen die bijvoorbeeld bij verschillende bedrijven iets hebben besteld via het systeem van Ticketcounter. Hij stelt dat het om 1,5 tot 1,8 miljoen klanten gaat.

Ticketcounter meldt dat het gaat om gegevens van klanten die voor 4 augustus 2020 een bestelling hebben gedaan bij partijen die gebruikmaken van Ticketcounter. Het gaat onder andere om Diergaarde Blijdorp, Dierenpark Amersfoort, Burgers Zoo en de Apenheul. Deze dierentuinen hebben hun klanten via e-mail ingelicht over het datalek.

Het Nederlandse Ticketcounter verzorgt de ticketverkoop voor meer pretparken en bedrijven. Op de site staat bijvoorbeeld ook Duinrell als partner vermeld. De buitgemaakte dataset bevat gegevens van alle partnerpartijen van Ticketcounter. Het gaat om persoonsgegevens zoals naam, mailadres, telefoonnummer, adres, geboortedatum en IBAN-nummers. Er zijn geen wachtwoorden of creditcardgegevens gelekt.

Bakker zegt ook afgeperst te worden door criminelen die de data in handen hebben. Via WhatsApp wordt hij benaderd en wordt een bedrag van 7 bitcoin aan 'losgeld' geëist. Als Bakker dat betaalt, claimen de criminelen de bestanden te verwijderen. Bakker zegt niet in te gaan op de eis en heeft aangifte gedaan. Ticketcounter heeft alle bedrijven die gebruikmaken van het reserveringssysteem ingelicht en een melding gedaan bij de Autoriteit Persoonsgegevens.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

01-03-2021 • 15:49

230 Linkedin

Submitter: AJayFasho

Reacties (230)

-12300227+1102+220+32Ongemodereerd115
Wijzig sortering
Naast het feit dat de beveiliging niet op orde was, zit het met de AVG ook alles behalve goed. Het volgende aan persoonsgegevens wordt bewaard volgens hun eigen privacyverklaring:

wij verwerken:
- Voor- en achternaam
- Geslacht
- Geboortedatum
- Geboorteplaats
- Adresgegevens
- Telefoonnummer
- E-mailadres
- IP-adres
- Overige persoonsgegevens die je actief verstrekt bijvoorbeeld door een profiel op deze website aan te maken, in correspondentie en telefonisch
- Locatiegegevens
- Gegevens over jouw activiteiten op onze website
- Internetbrowser en apparaat type

Hier zie ik geen IBAN tussenstaan. Die wordt wel degelijk ook verwerkt.

In hun privacyverklaring stond tevens dat ze gegevens maar een jaar bewaarde. Ik heb dus een mail gestuurd waarom mijn gegevens dus gelekt waren. Die waren 2 jaar oud. Nu hebben ze dat ineens aangepast. Gelukkig hebben we de screenshots nog

https://ibb.co/KhwMMGQ

Smeerlappen, niet op mijn mail antwoorden wel het privacystatement aanpassen.

[Reactie gewijzigd door Roeiben op 1 maart 2021 17:56]

For what it's worth, the Wayback Machine van archive.org heeft nog een versie staan van 13 mei 2020.

https://web.archive.org/w...ticketcounter.nl/privacy/

Screenshot van de snapshotkalender:
https://ibb.co/r4HvPw5

Screenshot van de pagina:
https://ibb.co/TT277Sp

[Reactie gewijzigd door marapuru op 1 maart 2021 22:26]

Oh; dat kan nog wel eens interessant worden.
Als Ticketcounter after-the-fact het overtreden van hun eigen overeenkomst doelbewust aan het verdoezelen gaat, kan de AP nog wel eens een heeeee----le stevige boete op gaan leggen.


Uiteraard kan -- als er inderdaad bewijs is van de oude overeenkomst -- eenieder getroffen consument ook een rechtszaak aanspannen en schadevergoeding gaan eisen. Ticketcounter is in dat geval evident laakbaar, omdat ze de gegevens volgens hun eigen overeenkomst niet eens meer zouden mogen hebben. Lijkt me zo klaar als een klontje. Dus: schadevergoeding voor contractbreuk; voor geleden emotionele schade (stress over misbruik gegevens); voor het dekken van de kosten voor het afsluiten van diensten voor extra bescherming tegen identiteitsdiefstal; etc.

Maar, laten we elkaar vooral niet voor de gek houden: dat gaat toch niet gebeuren. Niemand gek genoeg om het te gaan proberen, denk ik.

[Reactie gewijzigd door R4gnax op 2 maart 2021 08:28]

Dat maakt het helaas zo moeilijk. Als consument eenling sta je nergens...

Ik wilde gewoon netjes vragen waarom mijn gegevens er nog waren aangezien het privacystatment inderdaad zei van niet. Had ik dat maar niet gedaan, dan stond het er waarschijnlijk nog.

Als we een groep kunnen vinden die het wel aanvechten kan het nog wel een intressant worden. Dan kost het allemaal ook niet zoveel meer.
Van deze gedocumenteerde aanpassing melding maken lijkt me wel een waardevolle. Dit is qua omvang wel een zaak die aandacht zal gaan krijgen van de AP neem ik zo maar aan en dan is elke gerelateerde melding van feiten weer input voor de uitkomst van dat onderzoek.
Ik wilde gewoon netjes vragen waarom mijn gegevens er nog waren aangezien het privacystatment inderdaad zei van niet. Had ik dat maar niet gedaan, dan stond het er waarschijnlijk nog.
Zomaar een idee: De Wayback machine vh Internet Archive initiatief?
Aah kijk @marapuru heeft dat al gedaan.

[Reactie gewijzigd door Roeiben op 2 maart 2021 14:12]

Aah kijk @marapuru heeft dat al gedaan.
Even het Internet Archive ook aanschrijven en vragen of ze die versie nog kunnen behouden voor potentieel juridische doeleinden, zou ik zeggen.

Het IA zijn behoorlijk consumenten-voorvechters. Ze zullen vermoedelijk wel behulpzaam willen zijn om zo een rol te spelen in het terugslaan richting een bedrijf dat een loopje neemt met privacy-wetgaving.

[Reactie gewijzigd door R4gnax op 2 maart 2021 18:40]

Misschien heeft @Arnoud Engelfriet interesse om er iets mee te doen?
Zoals ik al hier boven aangaf is dit de rij van gegevens die ze met het sturen van een email van mij heb.

Datum laatst gewijzigd, Taal, Mailadres, Voornaam, Achternaam, Telefoonnummer, Straat en huisnummer
Postcode, Land

Deze gegevens zijn niet gelekt volgens email van Diergaardeblijdorp. - Geslacht - Geboortedatum - Geboorteplaats - IBAN
Laatste maanden heb ik steeds meer wazige voordelen/bank saldo's/Bitcoins en andere fishing achtige zaken. Door consequent via webmail ze in de spam boxs te plaatsen lijkt het nu af te nemen.
Raak dus al tijden mijn email clients op PC en GSM niet meer aan en doe dat via webmail van mijn mail provider.
Schade behoudens deze irritante mails verwacht ik dan ook niet en het getroffen Email adres of GSM nummer ga ik dan ook niet verwijderen. Die schade zou voor mij aanzienlijk zijn.
Ik heb ook een e-mail ontvangen van Diergaarde Blijdorp, met een link waar ik kon checken welke gegevens van mij zijn gelekt. In mijn geval gaat het om:
  • Datum laatst gewijzigd
  • Taal
  • E-mailadres
  • Voornaam
  • Achternaam
  • IBAN
Waarom hebben ze je IBAN überhaupt. Dat lijkt me toch totaal niet noodzakelijk voor een ticket naar een dierentuin? Vragen ze daar actief om of halen ze dat ergens anders weg? Ik kan me niet voorstellen dat ze die zomaar mogen verwerken om eerlijk te zijn...

Nevermind. Haalde IBAN en BSN door elkaar...

[Reactie gewijzigd door Dnomyar96 op 2 maart 2021 15:04]

Ik heb echt geen idee om eerlijk te zijn. Op de privacy pagina van Ticketcounter staat niet vermeld dat ze je IBAN opslaan. En ik ben bang dat de IBAN gewoon plain in de database staat. In de mail wordt vermeld:
(het bankrekeningnummer in het bestand bevat wel uw volledige IBAN nummer, wij tonen hier enkel een deel daarvan)
Edit: Een IBAN of BSN zijn hele verschillende dingen haha :P

[Reactie gewijzigd door PSPfreaky op 2 maart 2021 17:15]

Jouw schade is de belemmering in je dagelijkse vrijheid van handelen op de manier zoals je wenst of gewend bent:
Raak dus al tijden mijn email clients op PC en GSM niet meer aan en doe dat via webmail van mijn mail provider.
Als aangepast/ontwijkend gedrag (op welk apparaat dan ook) de nieuwe standaard wordt om je ding te kunnen doen... Je bent dan misschien niet financieel getroffen, maar persoonlijk wel. Ik heb er zelf steeds meer moeite mee en haal -ook als 30'er- steeds meer dingen offline.
Geheel met je eens, ik ben een brave 60+er. Eigens servers voor data en media opslag. Doe me best om onzichtbaar te blijven, dit gaat om mijn hoofd email adres en het voelt net of ze thuis hebben ingebroken.
Mijn gegevens zaten er ook tussen. Ik gebruik echter voor elk bedrijf/organisatie een uniek mailadres. Zo kan ik zien waar een eventueel lek of misbruik van gegevens zijn oorsprong heeft.
In dit geval, heb ik (nog) niets ontvangen op het gelekte mailadres.
Dat wil natuurlijk niet zeggen dat van niemand de gegevens worden misbruikt, maar het is ook niet gezegd dat jouw spamprobleem hier zijn oorsprong heeft. Mijn gegevens uit dit lek zijn (nog) niet misbruikt.
Nou, verrassing, mijn gegevens zijn ook gelekt, laatste bestelling is meer dan 3 jaar geleden... Dus dat is wel meer dan 2 jaar.
Bij mij zijn er ook meerdere adressen gelekt, waarvan de oudste als laatste in 2016 gebruikt is, dus bijna 4,5 jaar geleden.
Lijkt me dat er geen enkele grond kan zijn om dingen als geboorteplaats, IP en browser überhaupt op te slaan. En als er geen reden is o de data te bewaren/verwerken, dan is het volgens mij gewoon verboden. Hoop dat de organisatie de volle 10% boete over hun omzet krijgt en daarmee kapot gaat. Alleen zo leren al die organisaties dat je gewoon zo simpel mogelijk kaartjes moet verkopen en niet eindeloos veel invoervelden op een formulier moet zetten. Als je bij de kassa kopt hoef je toch ook geen formulier in te vullen/kopie paspoort laten maken/vingerdruk scannen? Gewoon geld geven, ticket krijgen, klaar.
Goed dat het alvast met screenshots etc is vastgelegd, dankjewel daarvoor.
Voor mij geldt hetzelfde. Ik heb ze aangeschreven, eens zien of er reactie komt. Anders is het het wellicht waard om klachten hierover te bundelen.
Ze bewaren gegevens nog veel langer dan 2 jaar. Er is bij mij een mail adres gelekt dat het laatst gebruikt is in oktober 2016, dus ze bewaren minstens ~4,5 jaar gegevens.
Ze bewaren gegevens nog veel langer dan 2 jaar. Er is bij mij een mail adres gelekt dat het laatst gebruikt is in oktober 2016, dus ze bewaren minstens ~4,5 jaar gegevens.
Dus zelfs nog voor de AVG in werking trad. Wow.
Volgens de cache van google was de vorige versie in ieder geval nog tot 24 feb openbaar. Dus deze aanpassing is inderdaad niet meer dan een week oud. Dat zal paniekvoetbal zijn, maar erg netjes is het niet.

https://www.google.com/se...etcounter.nl%2Fprivacy%2F

https://webcache.googleus...&cd=1&hl=nl&ct=clnk&gl=nl
Angst is een slechte raadgever zeggen ze dan. Ja vond het vrij frappant dat nadat ik ze er op gewezen had ze ineens het statement aanpassen. Als je daarvoor de tijd had, had je ook de tijd om mijn vraag daarover te beantwoorden. Dan had ik wellicht iets meer begrip voor de situatie gehad.
Ik kreeg NET pas een mail dat mijn gegevens wellicht op straat liggen, inclusief IBAN.

"een menselijke fout" my ass.

Ik denk dat ik gewoon weer alles ouderwets bij de winkels zelf ga afhalen...oh wait.......op afspraak dan ;)

Online shopping kan me gestolen worden, en ga zeker niks meer bij toko's bestellen waar dit soort dingen zijn voortgekomen.
Waarom licht Ticketcounter, niet zelf alle klanten in?
Ze hebben toch het email adres?
Door een menselijke fout kwam de database terecht in een Azure Storage-container die niet was beveiligd, zegt Ticketcounter-directeur Sjoerd Bakker tegen Tweakers.
Best wel crimineel, dat je anno 2021 nog deze fout maakt en blijkbaar geen automatisch proces hebt om productie data, geanonimiseerd naar je ontwikkel omgeving te krijgen. Die vervolgens nog publiek toegankelijk is.

Je automatiseert dit proces, juist om dit soort fouten te voorkomen.
Ik verwacht dat in deze situatie Ticketcounter de "data processor" is (AVG jargon). De afnemers van hun product (al die parken) zijn de "data controllers" en die zijn verplicht hun klanten (data subject) te informeren.

Bron

[Reactie gewijzigd door Pikkemans op 1 maart 2021 16:01]

Ik weet dat je volgens de AVG, als data verwerker niet de mensen hoeft te informeren over een lek bij jouw. Maar dat je klant moet informeren, die vervolgens weer hun klanten moeten informeren.

Dit gezegd hebbende. Denk ik, dat als je als verwerker, deze gegevens hebt. Dat je het beste zelf de mensen kan informeren. Van wie jij de gegevens in je database hebt.
Hier sneller iemand, geïnformeerd is. Des te beter het is.
Leuk bedacht, maar in bijna alle gevallen mag je dit nog niet eens zelf naar buiten brengen als TicketCounter.

TicketCounter heeft de emailadressen met een bepaald doel gekregen, en dat doel is niet het inlichten over datalekken.
Dat mogen ze niet vanuit GDPR, aangezien ze de data niet verkregen hebben voor dat doeleinde.(Doelmatigheid)
Waarom licht Ticketcounter, niet zelf alle klanten in?
Ze hebben toch het email adres?


[...]

Best wel crimineel, dat je anno 2021 nog deze fout maakt en blijkbaar geen automatisch proces hebt om productie data, geanonimiseerd naar je ontwikkel omgeving te krijgen. Die vervolgens nog publiek toegankelijk is.

Je automatiseert dit proces, juist om dit soort fouten te voorkomen.
Zo te zien waren dat nou juist aan het doen. Extra treurig dat juist op dat moment een blunderende IT'er de boel wagenwijd open gooit.
Dit is gewoon een domme, super domme, idioot geweest, want de containers in Azure worden standaard in private mode aangemaakt,
Whatever, mensen maken fouten, zelfs slimme mensen. Wacht maar tot jij aan de beurt ben en wij jou allemaal een idioot mogen noemen. Shit happens.
Sure, mensen maken fouten, maar met dit soort data doe je check, check, dubbel check en dan ga je het nog eens keer proberen om het te downloaden vanaf een andere computer.

Behalve dat iemand het zo in de container heeft gezet en de container publiek heeft gezet, heeft iemand anders het ook gedownload om eens even lekker te hacken. Ook bij die zombie is blijkbaar geen lampje gaan branden dat ie het zo kon downloaden.
en wellicht werd de persoon tijdens de dubbel check weggeroepen omdat zijn vrouw ging bevallen, schoot de muis uit omdat de baby viel of de koffie.

Ik neem aan dat jij nooit een fout maakt?
en wellicht werd de persoon tijdens de dubbel check weggeroepen omdat zijn vrouw ging bevallen, schoot de muis uit omdat de baby viel of de koffie.

Ik neem aan dat jij nooit een fout maakt?
Four eyes principe is om dit soort redenen standaard bij beveiligingseisen; zeker bij data-sets van deze orde van grootte. Dit soort procedures moet altijd door tenminste twee anderen gecontroleerd worden voordat het doorgevoerd mag worden; en moet direct daarna ook door twee personen geverifieerd worden. Dan heb je je zaakjes degelijk op orde.

Ga je serieus proberen te claimen dat het bij allebei, twee keer na elkaar (zowel controle vooraf als achteraf) - dus vier keer totaal door een 'oopsie' er tussendoor is geschoten?

Of ben je realistisch en ga je terecht erkennen dat TicketCounter hier gewoon fout zit en niet de voor dit soort zaken benodigde zekerheidsprocedures op orde heeft?

[Reactie gewijzigd door R4gnax op 1 maart 2021 18:29]

En zoals ik het lees was het ook nog eens voor development doeleinden. Wie heeft bedacht dat het handig en nodig was om een complete datadump te doen?

Ook dat zijn een paar oopsies geweest. Geen duidelijke taakomschrijving waarbij de specs zijn bepaald, uitvoerder heeft niet gedacht dat een subset ook wel voldoende zou zijn. Dev team, waarbij niemand gedacht heeft, is dat nou zo'n goed idee om de hele dataset over development machines te verspreiden?
En zoals ik het lees was het ook nog eens voor development doeleinden. Wie heeft bedacht dat het handig en nodig was om een complete datadump te doen?

Ook dat zijn een paar oopsies geweest. Geen duidelijke taakomschrijving waarbij de specs zijn bepaald, uitvoerder heeft niet gedacht dat een subset ook wel voldoende zou zijn. Dev team, waarbij niemand gedacht heeft, is dat nou zo'n goed idee om de hele dataset over development machines te verspreiden?
en ik ben bang dat Ticketcounter hier nog wel een aardige kluif aan gaat hebben, want dat was niet het doel van de dataverwerking.
Benieuwd wat AP hiervan gaat vinden uiteindelijk
En zoals ik het lees was het ook nog eens voor development doeleinden. Wie heeft bedacht dat het handig en nodig was om een complete datadump te doen?

Ook dat zijn een paar oopsies geweest. Geen duidelijke taakomschrijving waarbij de specs zijn bepaald, uitvoerder heeft niet gedacht dat een subset ook wel voldoende zou zijn. Dev team, waarbij niemand gedacht heeft, is dat nou zo'n goed idee om de hele dataset over development machines te verspreiden?
Dit stinkt inderdaad naar criminele niveau's van incompetentie op alle lagen van de organisatie.
Dit stinkt inderdaad naar criminele niveau's van incompetentie op alle lagen van de organisatie.
Tjonge-jonge, het verbaast me steeds meer hoe mensen snoeiharde oordelen kunnen vellen zonder ook maar enig idee te hebben van de feiten en de achtergronden van de zaak.

Ja er is een fout gemaakt. Een dure fout zelfs ! Maar hoe dat komt, welke maatregelen genomen zijn om dat te voorkomen en op welke lagen welke beslissingen genomen hebben dat is niet publiek bekend. En ik vraag mij af of al die tweakers die het hier achteraf allemaal zoveel beter weten nu wérkelijk weten waarover ze praten ?

Jammer. De term 'tweaker' stond voor mij altijd voor iemand die handig was en met intelligentie en kennis nét wat meer uit zijn materiaal wist te halen.
Als ik de commtaren zo lees op nieuws van mensen die fouten maken, of mensen die bij Apple werken, bij Facebook, of bij Google, of helemaal erg, bij overheid (!) dan lijkt het tegenwoordig eerder steeds meer synoniem te worden voor 'betweter'
Vertel eens in welk ISO norm dit is opgenomen, specifiek voor normale persoonsgegevens?

Ik werk namelijk zelf met bijzondere persoonsgegevens, ben behoorlijk strikt met in zowel ontwerp als uitvoering EN ik heb drie maanden een ISO27001 audit gehad. Ik heb elke control gedocumenteerd en gekruist met zowel de ISO27002 als de BIO. Nergens staat er ook maar iets wat daar op lijkt in de ISO normen.

Een vier ogen principe is geen vereiste, tenzij je het jezelf oplegt. Ja, het is dom van TicketCounter om een hele dataset te exporteren, maar in de ogen van de AP is dit gewoon een oepsje. Zeker niet meer noemenswaardig dan elk ander datalek waar net zo gemakkelijk over wordt gedaan. Heck, zelfs het datalek van de GGD met zowel BSN als medische gegevens werd afgedaan als "oeps".

De werkelijke realiteit is dat datalekken als deze nu gewoon wat vaker in het nieuws komen, maar je kan er nog steeds niks aan doen. Totdat de regering haar eigen zaken op orde gaat krijgen en realistische eisen gaat stellen die ze ook controleren. (hahahahahaha)
Er is hier niet één iemand fout en het is ook niet één fout. Iedereen maakt fouten, maar veel mensen bouwen voor zichzelf al een extra controle in, dan heb je nog kritische collega's die ook nadenken. Zoals ik zeg, de persoon die het vrolijk heeft zitten downloaden, denkt ook niet na. Er is hier een keten aan fouten gemaakt door verschillende mensen.
Lekker makkelijk praten. Waar mensen werken worden fouten gemaakt, zo is het nou eenmaal. Soms kleine en soms grote fouten.

Als je baas vraagt of je eventjes snel de Azure container kan aanmaken en diezelfde baas vraagt je ook om de contrainer van private mode af te halen, vervolgens krijg je een telefoontje voor een spoedklus en ondertussen kom je om in het werk, dan laat je eerder steekjes vallen.

Niet iedereen heeft de luxe om al het werk 100% goed doordacht op te pakken en vaak zijn er andere prioriteiten/te hoge werkdruk, waardoor dit soort fouten optreden.
Van een bedrijf wat met zoveel persoonlijke gegevens werkt mag je verwachten dat er genoeg waarborgen zijn dat als er 1 iemand een blunder begaat dat dat niet zulke grote gevolgen heeft als wat er nu aan de hand is. Het handelen van de een werknemer moet gecontroleerd worden door een protocol, procedure of onder 4 ogen met een andere werknemer oid. Mogelijkheden genoeg, een bedrijf van die grootte moet z'n procedures op orde hebben.

Dat een werknemer een blunder begaat daar kun je op wachten, waar je wel op kunt anticiperen is het herkennen en indammen van dit soort fouten. Liefst voorkom je ze maar als je iets als dit binnen een dag ontdekt kun je het tijdig corrigeren en is de kans veel minder groot dat de data daadwerkelijk bij derden komt.

Daarnaast moet het ook niet zomaar mogelijk zijn dat werknemers bij de productiegegevens kunnen, maar hoe dat zit kan ik niet uit het artikel opmaken.

Het regent datalekken de laatste jaren. Van deze heb ik net ontdekt dat ik er in zit net als bij een paar andere datalekken. Dus als je maar genoeg datalekken naast elkaar legt dan moet je toch al een aardig profiel van mij/iemand anders op kunnen bouwen. Ik ben erg voorstander van IRMA (https://privacybydesign.foundation). Anders gaat de datalek-regen voorlopig niet meer stoppen vrees ik.

edit: typo

[Reactie gewijzigd door Vyps op 1 maart 2021 21:40]

Waarom licht Ticketcounter, niet zelf alle klanten in?
Ze hebben toch het email adres?
Dat hebben ze gedaan.
Ze hebben Diergaarde Blijdorp, Dierenpark Amersfoort en de Apenheul geïnformeerd.

Maar de adressen die ze hebben voor het werk wat ze voor Diergaarde Blijdorp, Dierenpark Amersfoort en de Apenheul hebben gedaan mogen ze niet gebruiken. Iets met GDPR / AVG. ;)
En wat als er een menselijke fout in dat proces zit?

Je kunt je best doen, maar 100% voorkomen gaat gewoon nooit gebeuren. En dat zal jij ook leren op de dag dat jij verantwoordelijk bent voor iets waar je, jezelf de volgende dag wel op de kop kunt slaan.
De menselijke fout is om een container aan te maken en de public access level Container te zetten, in plaats van op de default private te laten staan.

Maar het was wel lekker makkelijk voor de heren developers.
Wellicht, maar wellicht gewoon een persoon die dacht dat zijn super geautomatiseerd test omgeving het altijd goed deed en andere beveiligingen had of wat dan ook.

Mensen maken fouten en het is makkelijk schelden op iets waarvan je de details niet weet. Een algemeen zinnetje over containers moet je niet te veel waarde aanhechten, het moet wel door jan met de pet gelezen worden. De details voor een echt oordeel zijn er gewoon niet.
Je kunt ook het hele probleem wegrelativeren, natuurlijk. Is de politiek ook heel goed in.

Maar feit blijft: Ticketcounter zit hier fout. En als ze hun bedrijfsprocedures correct ingericht zouden hebben, zouden ze dit soort fout ook meteen afgevangen hebben. De fout zit hier niet bij de individuele werknemers; wat je al zegt: fouten maken is menselijk.

Maar: bedrijfsprocessen zijn niet menselijk en maken geen fouten. Bedrijfsprocessen zijn of niet toereikend ingericht; worden doelbewust niet gevolgd; of bieden onvoldoende houvast om te garanderen dat ze correct gevolgd worden (in welk geval ze dus ontoereikend ingericht zijn).

En dat is in alle gevallen het bedrijf wel degelijk aan te rekenen.
PUNT.

[Reactie gewijzigd door R4gnax op 1 maart 2021 18:34]

Ik kan het niet met je eens zijn PUNT. PUNT. PUNT. Maakt het voor jou uit hoe vaak ik PUNT zeg? Ik dacht dat dit een open fora was voor meningsuitwisseling... Zeker mijn vergissing.
'Azure Storage-container' dit is vrij duidelijk als je weet hoe de storage accounts van Microsoft Azure werken. Veel smaken heb je namelijk niet.
Ik las in het bericht bij de NOS (https://nos.nl/artikel/23...tuinen-en-pretparken.html) dat ze de gegevens verwijderd hebben. Waarschijnlijk in een opwelling en zonder eerst een (offline) kopie te maken, want de directeur heeft het er over dat hij het achteraf dom vindt omdat hij nu de getroffen personen niet meer kan bereiken. En de criminelen heeft hij er ook niet mee, want die hebben natuurlijk al lang een eigen kopie gemaakt.
*scarcasme*
Mischien moet hij de data terugkopen?
Ik zou hem maar niet op ideeën brengen ;)
Omdat Ticketcounter de verwerker is en niet de verantwoordelijke in deze.
Ik ben ingelicht door Diergaardeblijdorp/datalek vandaag via de email.
En inderdaad alles buiten
Datum laatst gewijzigd
Taal
Mailadres
Voornaam
Achternaam
Telefoonnummer
Straat en huisnummer
Postcode
Land
Ticketcounter is een verwerker. De klant verwacht zaken te doen met het park. De naam Ticketcounter zegt niet zoveel als die van het park. Al zou ik ook andere oplossingen voor handen zien.

Op zich is het wel netjes gedaan. Ze hebben ook iframes in meerdere talen aangeleverd die je als park kan insluiten. Hier kan je verdere controle uitvoeren of je data gestolen is. Wel allemaal na verificatie van je e-mail.
Mijn gegevens zijn ook gelekt,

Wel bij mij (via Apenheul):

Datum laatst gewijzigd
Mailadres
Voornaam
Achternaam
Telefoonnummer
Geboortedatum
Straat en huisnummer
Postcode
Plaats
Land
Bankrekeningnummer

Nu ben ik al 20 jaar super voorzichtig met mijn info en heb ik nooit dergelijke info verschaft aan shady websites etc maar "moest" ik deze informatie aandragen voor een abonnement.

Ik zit dus zeker niet te wachten op gepersonaliseerde scams of andere onzin aan mijn adres.
Veel bedrijven zijn te benaderen met enkel mijn persoons gegevens.

Iemand die rottigheid wilt kan dus deze informatie verkrijgen en in mijn naam vrolijk zaken gaan bestellen met alle gevolgen van dien, ben hier redelijk treurig over, mag hopen dat ze een flinke boete opleggen.
Een onbeveiligde Azure Storage-container? Dat is wel gek... default tegenwoordig is dat deze niet meer publiek benaderbaar is. Geen idee hoe de standaardinstelling vroeger was, maar tegenwoordig moet je een bewuste actie doen om ze publiek te zetten.

Security Center staat ook standaard te gillen om de containers die publiek benaderbaar zijn.

Er heeft iemand zitten prutsen daar...
*O* ik blijf me afvragen; wanneer ben ik de lul (eens gaan je gegevens misbruikt worden) hoe meer pagina's gehacked/gekraakt of plaintext info beschikbaar stellen ... eens ben je de lul; en wie stel ik dan aansprakelijk? immers zijn mijn gegevens al bij 10+ pagina's ontvreemd. Om die reden vul ik praktisch nergens nog mijn werkelijke naw in; naam? broer van sinterklaar, straat; lange weg etc. maar goed, vooral bij online bestellingen levert dat problemen bij afhalen van pakketjes.

[Reactie gewijzigd door himlims_ op 1 maart 2021 15:53]

Ik ben al tig keer mijn gegevens kwijtgeraakt op deze manier. Het wordt gewoon een feit om hier in je digitale leven rekening mee te houden. Ook bij deze zaten mijn gegevens.

De afpersers eisen nu 7bitcoin losgeld. Ik vraag me af hoe slim die criminelen nu zijn: het zijn vooral dierentuinen, en die zitten momenteel niet echt ruim.
Ik ben al tig keer mijn gegevens kwijtgeraakt op deze manier. Het wordt gewoon een feit om hier in je digitale leven rekening mee te houden. Ook bij deze zaten mijn gegevens.

De afpersers eisen nu 7bitcoin losgeld. Ik vraag me af hoe slim die criminelen nu zijn: het zijn vooral dierentuinen, en die zitten momenteel niet echt ruim.
Nee, driewerf Nee !
Als jij bij een bakker 3 broden koopt, verwacht je dat je 3 goede broden krijgt.
Dat hij vooraf controleert of zijn waren in orde zijn ( niet beschimmeld, of half gebakken )
Zodra je gaat accepteren 'het kan toch gebeuren' is het de onverschilligheid die opkomt.

We zouden juist in opstand moeten komen tegen zulke praktijken, een bedrijf als Ticketcounter hoofdelijk aansprakelijk stellen voor dit verlies van gegevens.
Je moet juist verwachten dat jouw gegevens veilig zijn, juist omdat het zo gevoelig is.
Als je een kunstje aanbiedt, moet je het kunstje beheersen, niet tijdens het optreden nog moeten oefenen en een how-to doorlezen om het te doen.

Dat je bijschaaft, is prima, dat je oefent is normaal, maar als een bedrijf live data 'even gebruikt voor een nieuw systeem ?' Dat moet gewoon onmogelijk zijn.
De afpersers vragen dit niet van de dierentuinen, maar van Ticketcounter, het platform erachter.
Ik vind 7 Bitcoin nog niet eens zo veel en het stoort met dan ook wel dat die directeur stoer roept om niet te betalen maar niet roept wat hij wel gaat doen om te voorkomen dat deze gegevens op straat komen.
Ik vind 7 Bitcoin nog niet eens zo veel en het stoort met dan ook wel dat die directeur stoer roept om niet te betalen
Stoer?
Ik vind dat het strafbaar gesteld moet worden om deze losgelden te betalen. Het feit dat dit gebeurd is de voornaamste reden voor die criminelen om daar ook vooral mee door te gaan.

Ik vind het bijzonder fijn dat er niet betaald wordt. De data is toch al gelekt.

[Reactie gewijzigd door Polderviking op 1 maart 2021 23:53]

Wat moet hij eraan doen dan gegevens zijn buit gemaakt. Paar ton betalen met hele grote risico dat de gegevena alsnog gebruikt worden.
Ook zonder datalekken blijft criminaliteit bestaan, datalekken zijn gewoon op dit moment gewoon het populairste middel om dit soort fraude te gaan plegen.

Vroeger stuurde men fictieve facturen rond die mensen soms ook achteloos betaalden... Je adres haalde men dan uit de gouden gids of iets dergelijks...

Alles wat we kennen van veiligheid (tot zelfs het slot op je deur) is er gekomen omdat mensen er misbruik van maken. En steeds zoeken (en vinden) criminelen nieuwe manieren om hun ding te doen, neem morgen alle datalekken weg en ze vinden wel iets anders... Enige optie is criminialiteit uitroeien, maar dat lijkt moeilijker dan gedacht :-p
jah en nee - maar wanneer MIJN gegeven opgeslagen worden door 3e (laat in midden of dat allemaal even legitiem is in kader van AVG). Die data hoort a; niet toegankelijk te zijn voor iedereen, b; gecodeerd/encrypted opgeslagen te worden (als het uberhoubt als opgeslagen moet worden) c; dient dat niet direct via internet bereikbaar te zijn. Dit soort tokos verdienen een dikke boete!
jah en nee - maar wanneer MIJN gegeven opgeslagen worden door 3e (laat in midden of dat allemaal even legitiem is in kader van AVG). Die data hoort a; niet toegankelijk te zijn voor iedereen, b; gecodeerd/encrypted opgeslagen te worden (als het uberhoubt als opgeslagen moet worden) c; dient dat niet direct via internet bereikbaar te zijn. Dit soort tokos verdienen een dikke boete!
Ja, en die wordt dan betaald aan de AP, welke terugvloeit ( mag ik hopen ) in de staatskas als 'belasting'

Naast de boete, zou ik graag dan ook een genoegdoening zien naar de werkelijke slachtoffers.
Moet je opletten hoe snel 'menselijke fouten' worden ondervangen, als men uiteindelijk dubbel de pineut gaat zijn
Als die boete maar hoog genoeg is kan ik er ook nog wel mee leven. Waar het om gaat is dat het in de huidige situatie als gratis gezien wordt om veel data te verzamelen. Als het bezitten van veel data als een groot financieel risico ervaren wordt verandert dat beeld en zul je zien dat de datahonger verminderd en er ook intern veel kritischer naar gekeken wordt.
Vandaar mijn opmerking.

Maar die boete helpt mij en vele anderen geen snars, terwijl ik wel weer door mijn lijstjes moet lopen, en mijn mails in de gaten houden wbt spam / wachtwoorden
Mij kost dan ook gewoon (teveel) tijd ..

Data zou gezien moeten worden als toxisch.
Zodat er wordt nagedacht over 'moet ik het wel verzamelen, en tegen welk doel'
De AVG is een prima leidraad hierin, alleen met de juiste verwoordingen kan een bedrijf alsnog die 'goedkeuring' krijgen.

Vervolgens ligt het ergens op straat, en de persoon achter de data is de sigaar, die moet heel veel handelingen en ongemak verrichten, omdat een ander buiten zijn schuld om onzorgvuldig is geweest.
Nu kan zo'n bedrijf een boete krijgen, al valt nog te bezien OF het werkelijk gebeurt, en de enige die er wat me opschieten is de AP en zijn achterwacht ( staat / EU ? )

Zet desnoods een 'prijs' op die data, 5€ per achterhaalde rechtspersoon ( whatever )
In dit soort gevallen zijn de naam en adresgegevens bekend, want de data is NIET gestolen, hij is gekopieerd :+ ( wat er geroepen wordt als Brein weer eens een betaalverzoek heeft geserveerd :+ )

[Reactie gewijzigd door FreshMaker op 1 maart 2021 19:06]

Misschien moet het simpeler worden gezocht.. Data tax?
Mogelijk, maar dan kom je bij de praktische kant uit waarom ik de schadevergoeding die @FreshMaker voorstelt niet perse nodig vind. Hoewel ik het trouwens wel met z'n algemene opmerking eens ben. Ik schat zo in dat voor beide zaken een politiek compromis gevonden zou worden niet lukt of dat het anders te laag ligt om zinvol te zijn. Hogere normale boetes lijken me persoonlijk kansrijker.

Stel dat er een belasting komt is het voor bedrijven nog steeds best lastig om een split te maken tussen zinvolle en niet zinvolle data. Dat maakt dat het al snel aantrekkelijker is om een extra belasting voor lief te nemen en dan schieten we er nog niets mee op. Neem autokosten als voorbeeld.. die zijn best hoog, maar je kunt nu niet bepaald zeggen dat die ervoor zorgen dat bedrijven serieus nadenken over minder km's te rijden. Het wordt gewoon als een vast gegeven beschouwd.
Waar mogelijk kan je het factuur adres doen afwijken van het bezorg adres om op deze manier nog enige differentiatie aan te brengen maar anders dan unieke e-mail adressen gebruiken per webshop zijn er volgens mij niet erg veel mogelijkheden.
Tip, bij gmail kan je je email-adres een suffix geven.
vb:
  • mijn.email.adres@gmail.com
  • mijn.email.adres+tweakers@gmail.com
  • mijn.email.adres+ticketcounter@gmail.com
En wanneer er dan een datahack is dan verwijderen ze gewoon alles in de email adressen van de + tot de @ en hebben ze gewoon het email adres. Dat is erg makkelijk gedaan.
Ik lees ook dikwijls om een + teken te gebruiken in je emailadres maar dat is goed voor legitieme toepassingen, zoals mails direct in het juiste mapje plaatsen. Maar zoals je zegt, biedt dat eigenlijk geen beveiliging tegen dit. Je laat gewoon scriptje lopen dat alles verwijderd vanaf het plus teken t.e.m. het @ teken en het is opgelost.
Ik gebruik juist vaak een prefix in plaats van suffix. Dus kieper je bij mij de "+" weg en alles wat erna komt, dan heb je niks meer ...
eigen domein lost dat gewoon op...
Zo heb ik ook een keer Wehkamp geïnformeerd over een datalek dat ze aan alle kanten weerspraken. Maar gezien wehkamp.nl@mijndomein echt maar op 1 plek gebruikt wordt, moest het probleem wel bij hen zitten.

Bleek uiteindelijk een medewerker te zijn, die bij elk contact wat gegevens ergens opschreef en zo doorverkocht.
Het is mijn aanname, maar veel van dit soort datasets die gebruikt worden bij hacks worden door een bruteforce script getrokken; ik geloof niet dat iemand zelf de formatting van de mails gaat bekijken, die schieten met hagel en zien wel wat er blijft plakken - toch?
Dat zijn standaard methodes die al zo lang in de 'sanitize' scripts zitten voor zulke harvests, veelal gaat de persoon die het binnenhaalt niet doen, maar de mensen die het 'schoon' aanleveren aan verkopers zorgen dat het gewoon allemaal netjes en mooi wordt opgeleverd, inclusief de opschoning van de + mails.

Veel mensen denken dat dit nog gewoon 'steal dump & sale' principe is, maar dit is een grote, grote, grote markt waar behoorlijk wat geld omgaat en dit soms tot niveau 'top zakelijk' wordt gedaan.

Ik heb creditcard bestanden gezien, je kon ze plain text, xml encoded en zelfs dbase en import files voor browsers (auto fill). Zal me niets verbazen dat ze ook diensten hebben voor email bulks (scripts voor bouncers, filters, active, etc).

[Reactie gewijzigd door SinergyX op 1 maart 2021 16:40]

Dit is zo'n standaard aanpak met een dergelijke suffix, dat elk bruteforce script dit natuurlijk standaard in zich heeft. Het is max een paar regels code (afhankelijk van de script taal) om dit te verwijderen. Dus er hoeft niemand naar de formatting te kijken, want het is volledig standaard.
Als je een eigen emailadres hebt bij je hosting, zij je een catch-all kunnen instellen. Zo kan je zelf je logica bepalen.

Mijn eigen email gebruik ik nergens. Voor websites is het gewoon "tweakers@mijndomein.nl"

Alle mails komen netjes in dezelfde mail. En als er spam komt zie je meteen van welke website deze afkomstig/gelekt is.
Dat is ook exact hoe ik het doe. Zo had ik redelijk snel door dat er een lek was bij Adobe en ook dat Audi/VW gegevens gelekt hebben of dat er iemand gegevens verkocht heeft. Nadat ik de organisatie confronteerde hiermee werd ik gekoppeld aan een security officer van ze, die op onderzoek uitging.
Zou eigenlijk voor iedereen makkelijk te doen moeten zijn. Want als je spam krijgt van VW@domein.nl dan blokkeer je VW gewoon... Want dan krijg je de spam niet meer.

Dat zal de marketingafdeling van VW niet leuk vinden. En als iedereen dat doet, dan wordt security opeens een stuk belangrijker verwacht ik :+
Dat werkt meestal maar er zijn ook websites waar je met de + in de email niet kunt registreren. Kom je weer niet verder
Ik heb dus een e-mail gekregen van de Apenheul, en mijn e-mailadres en voor+achternaam is gelekt. Nu moest ik deze verplicht invullen bij het bestellen van de kaartjes gewonnen bij een nationale loterij. Op basis van de online ingevulde gegevens werd een controle gedaan door middel van het tonen van een legitimatiebewijs bij de ingang van het park.

Dan kan ik toch moeilijk mijn fictieve naam gebruiken?
idd, ze zouden die informatie van jou niet nodig moeten hebben; een QR code op je telefoon en een betaling via ideal zou genoeg moeten zijn. En die betaling kan ook geanonimiseerd worden.

Maar deze bedrijven willen maar graag je e-mail adres en postadres hebben, zodat ze je 'aanbiedingen' kunnen sturen in de hoop dat je ze vaker gaat bezoeken.

Ik vind dat dit gedrag aan banden gelegd moet worden. Gelukkig moet je al expliciet toestemming geven dat je ze marketing post of mail sturen, maar dan nog. Als ze me willen registreren voor dat soort informatie moeten ze hun systeem en praktijken laten auditen.

Dat een ontwikkelaar toegang had tot het volledige klantenbestand, en dat er blijkbaar geen verificatie was dat die Azure storage bucket niet publiek was, zouden daarbij grond moeten zijn om geen toestemming te geven. Dit soort zaken moet altijd met "four eyes" gedaan worden. Laat maar zien wie de config change gedaan en wie hem goedgekeurd heeft.

Denk dat met Azure en co het te triviaal is om een nieuwe publieke storage bucket te openen. Ik weet dat bij AWS heel duidelijk aangegeven wordt dat de gegevens publiek benaderbaar zijn - ook zij hebben last van reputatieschade als een klakkeloze wappie weer eens klantgegevens in een publieke folder zet.
idd, ze zouden die informatie van jou niet nodig moeten hebben;
En het is eigenlijk al vastgelegd in de AVG onder 'privacy by design'. Er zijn prima privacy-vriendelijkere alternatieven, dit kan gewoon niet.
Denk dat met Azure en co het te triviaal is om een nieuwe publieke storage bucket te openen. Ik weet dat bij AWS heel duidelijk aangegeven wordt dat de gegevens publiek benaderbaar zijn - ook zij hebben last van reputatieschade als een klakkeloze wappie weer eens klantgegevens in een publieke folder zet.
Tegen een domme actie is geen enkele provider opgewassen. Ook bij Azure is een storage account standaard niet bereikbaar van buitenaf en moet je het bewust aanzetten. De waarschuwingen kun je negeren, ook bij AWS. Dit staat dus los van welke cloud of hosting provider ook. De mens is in deze de zwakke schakel geweest helaas.
Net een import gedaan van Lastpass naar 1Password. 180 accounts... Kwestie van tijd dus. Verwijderen is bij de meesten ook maar een wassen neus, maar misschien maar eens doen binnenkort. Natuurlijk kon je mijn NAW en BSN gewoon kopen voor 3,50 maar dat terzijde.
Dan heb je geluk dat je nog niet de lul bent geweest :+

Ik heb al meerdere "verkeersboetes" gekregen via vrij geloofwaardige phishing mail.
Direct aan mij als persoon gericht. (Vermoedelijk GGD lek)
En nu ook in de mail:
"Je ontvangt deze mail omdat je in deze periode kaartjes bij ons hebt gekocht en/of in die periode in het bezit was van een seizoenkaart/Vriendenpas/VIP-kaart van Apenheul. Helaas zijn er ook gegevens van jou gelekt. We vinden het natuurlijk heel erg vervelend dat dit is gebeurd en bieden hiervoor mede namens onze partner Ticketcounter onze excuses aan.
"
We zullen het zien, goed blijven opletten in ieder geval. En een gezonde dosis wantrouwen/scepticisme is geen overbodige luxe in ieder geval.
Ik vraag me ook af wat je hier aan kunt doen. Zelf ben ik 'zuinig' met het rondstrooien van mijn gegevens, maar door onachtzaamheid / desinteresse / luiheid van een website kunnen je gegevens toch buitgemaakt worden.

En vaak heb je niet eens in de gaten dat je gegevens door een ander beheerd worden dan degene waar je je product koopt.
ik blijf me afvragen; wanneer ben ik de lul (eens gaan je gegevens misbruikt worden) hoe meer pagina's gehacked/gekraakt of plaintext info beschikbaar stellen ... eens ben je de lul; en wie stel ik dan aansprakelijk?
Je kunt degene aansprakelijk stellen die illegaal misbruik van jouw gegevens maakt. Normaal gesproken niet de dierentuin waar ze gestolen zijn.

[Reactie gewijzigd door kftnl op 1 maart 2021 16:52]

Probleem is: weet niet wie nalatig is geweest met mij. Gegevens, ik weet niet wie mij. Gegevens misbruikt heeft ... voelt allemaal zo machteloos
Wat voor misbruik ben je precies bang voor? We hebben het hier vaak over gegevens die vroeger gewoon in de telefoongids stonden. Bankrekeningnummer niet natuurlijk, maar ook daar lijkt mogelijke schade me beperkt.

[Reactie gewijzigd door kftnl op 1 maart 2021 18:00]

Zo veel kunnen ze nou ook weer niet met die gegevens. Tenzij ze je nog een product willen sturen. Gebruik aparte wachtwoorden per site. Gebruik 2 factor voor de echt belangrijke. Sommige diensten sturen mail bij aanmelden van een vreemde locatie, lees die. SPAM kun je filteren. Betaal met ideal ipv een creditcard. etc etc....

Als je in het verleden in een fysieke winkel iets bestelde dat werd bezorgd hebben ze ook je naam , adres en telefoonnummer en dat ging ook ergens in een computer. Niemand die daar een tweede keer over nadacht.
Beste manier is gewoon om data te geven. Hoe erger jij data beveiligd. Hoe meer waarde het dus heeft. Geef jij data weg. Dan moeten ze eerst zoeken wat waardevol is en daarna nog gaan gebruiken.

Er was ooit zo'n Debian kastje van een groep Hackers wat MI5 capitalen heeft gekost. Zij wilden data van UK inwoners gaan Harvest en en vooral op trefwoorden. Dit kastje stopte die trefwoorden niet zichtbaar voor de gebruikers in bijna elke communicatie:

Gevolg MI5 heeft momenteel een groot probleem door dit ding: geen geld voor opslag capaciteit, geen personeel om uit te zoeken wat is relevant en geen tijd +teveel data. }> :X
De database met klantgegevens is in augustus vorig jaar ten behoeve van de ontwikkeling van een systeem om gegevens te anonimiseren in een cloudomgeving gezet.

Oh, the irony...
Vrij vertaald: "geupload naar een publiekelijk toegankelijke opslag, zodat een 3e partij er makkelijk bij kan tijdens het ontwikkelen"
En schijnbaar onversleuteld.
Ben ik nou de enige die denkt dat TicketCounter gewoon compleet failliet mag gaan.

Als je je werk niet kan doen, moet je het niet doen.
Ben ik nou de enige die denkt dat TicketCounter gewoon compleet failliet mag gaan.
Als je je werk niet kan doen, moet je het niet doen.
Ik zie liever dat ze op mogen draaien voor de kosten om alle getroffenen van extra identiteitsbescherming te voorzien voor de komende 5-10 jaar of zo.

Kost ze waarschijnlijk ook de kop uiteindelijk, maar dan hebben de slachtoffers er hopelijk nog een tijdje iets aan.

[Reactie gewijzigd door R4gnax op 1 maart 2021 18:43]

En waarom worden deze data niet verwijderd op de dag na bezoek...
Ze vragen gewoon om problemen...
En waarom worden deze data niet verwijderd op de dag na bezoek...
Denk dat dit om fiscale redenen niet mag. Een bedrijf moet zijn administratie een aantal jaren? bewaren voor controle mogelijk te maken.
Als je aan de kassa zelf betaalt, worden er toch ook totaal geen persoonsgegevens gevraagd of bijgehouden ? Je moet wellicht wel ticketnummertjes gaan bijhouden, maar dat kan dus perfect zonder enige informatie van de online koper.
Als je aan de kassa zelf betaalt, worden er toch ook totaal geen persoonsgegevens gevraagd of bijgehouden ? Je moet wellicht wel ticketnummertjes gaan bijhouden, maar dat kan dus perfect zonder enige informatie van de online koper.
Regelgeving (of zelfs hun business case...) rond gegevens die je moet of juist niet moet administreren en voor welk termijn en teneinde van welk doel volgt niet persé dit pad van logica.

Waarmee ik overigens niet wil zeggen dat je beredenering niet klopt, maar het is altijd wel makkelijk om hier van alles van te vinden zo vanaf de oever.

[Reactie gewijzigd door Polderviking op 2 maart 2021 00:00]

Er is geen enkele accountant die het een pretpark of dierentuin verplicht stelt om persoonlijke gegevens van bezoekers zoals naam en adres te bewaren, laat staan online. Die informatie heb je ook niet als iemand een kaartje aan de kassa koopt.

Voor de verantwoording van je boekhouding kun je transacties prima verantwoorden door een rekeningafschrift van de bank naast een rapportage van je fysieke kassa's en online ticketverkoop te leggen. Daarvoor heb je de naam en het adres van de bezoeker echt niet nodig. Die contactgegevens hadden gewoon weggegooid moeten worden na een periode van een aantal weken na het bezoek (voor eventuele restitutie).

[Reactie gewijzigd door Tc99m op 1 maart 2021 17:35]

Als ik cash betaal aan de balie weten ze ook niet wie ik bem. deze data kan dus volledig annoniem voor de belastingdienst. Die hebben totaal niets van doen met wie er in de dierentuin is en willen alleen weten wat ze daar uitgegeven hebben.
Ja maar dat mag dus ook in een offline bestand en het liefst in een formaat waarin het minder makkelijk te bevragen is.Ik adviseer klanten nog wel eens om alleen een PDF van de factuur te bewaren en daarna de gegevens weg te gooien maar er is nog niet één klant geweest die dat heeft gedaan. Ze vinden het allemaal eng want dan is het "echt weg" en kunnen ze er nooit meer bij. In de praktijk doen de ze nog maar zelden wat met de data en lopen ze wel een enorm risico.
Als het de administratie voor een ander is dan moet afgesproken worden wie de gegevens gaat beheren en welke verplichting de dienstverlener als ticketcounter heeft.
Dat ticketcounter de gegevens heeft, niet weg doet en zelfs zeer slordig mee om gaat doet vermoeden dat er niet heel duidelijke afspraken zijn en er ook nauwelijks controle door de klanten is of ze die afspraken wel nakomen.
En waarom worden deze data niet verwijderd op de dag na bezoek...
Denk dat dit om fiscale redenen niet mag. Een bedrijf moet zijn administratie een aantal jaren? bewaren voor controle mogelijk te maken.
Fiscale controle voor dit soort consument-kopen vereist geen volledige set persoonsgegevens.
Je hoeft bij de supermarkt denk ik ook niet je ID-kaart te laten zien, of wel?

(Nou ja; tenzij je er minderjarig uitziet en alcohol probeert te kopen. Maar dat is een specifiek geval en wordt alsnog niet vastgelegd.)
Je hoeft bij de supermarkt denk ik ook niet je ID-kaart te laten zien, of wel?
Ik vind het een grappig voorbeeld want dat document wordt juist te pas en te onpas voor van alles gevraagd. Sterker nog er wordt van me verwacht dat ik dat ding altijd op zak heb en een agent kan die zomaar van me vragen.
Een andere populaire, die ook volstrekt onnodig is, is voor hotelreserveringen. En daar worden ze vaak ook nog glashard gescand.
Als ik het datacenter in wil wordt er ook data uit mijn paspoort geadministreerd. Kan je ook wel wat van vinden.

Verder is die data er op ook gevaarlijk, o.a. door hoe we sofi nummers gebruiken in dit land. Het is meer dan een identificatiemiddel, en je kan hem niet aanpassen.
Ik ben iets van 3x een legitimatiebewijs verloren in mijn leven. Dat is info die dus al gewoon op straat ligt. In twee gevallen van verlies vrij letterlijk omdat mijn portefeuille uit mijn zak is (moet zijn) gevallen tijdens het fietsen.

Dat is een dataverlies die ik de staat in ieder geval ter dele aanreken door die achterlijke identificatieplicht wiens nut ook wel stevig betwist kan worden.
Ik heb dat ding al mijn hele leven braaf op zak, volgens mij heb ik hem 7 jaar geleden een keer nodig gehad omdat ik door rood fietste, kan me verder geen moment herinneren dat ik dat ding "zomaar" nodig had.
Ik ben dat ding achteraf gezien dus letterlijk vaker verloren dan dat ik hem nodig had omdat een agent er naar vroeg en dat is dus echt niet omdat ik zo absurd vaak dat ding verlies.

[Reactie gewijzigd door Polderviking op 2 maart 2021 00:40]

Dingen zoals dit verwijderen gebeurt eigenlijk nooit. Op z'n hoogst zetten ze er een kolommetje "gedateerd" naast :p
De vraag is - waarom moet zo'n bedrijf nou weten dat ik Henk heet? Dat ik in Amsterdam woon? Leg mij nou eens uit waarom überhaupt bedrijven dit soort informatie nodig hebben...? Wat heeft Mediamarkt aan die info? De ANWB? Al deze instanties hebben hier helemaal niets mee te maken. Enige dat voor hen van belang is, is dat [service/ding/dienst] is [betaald/voldaan] door [claimer] en dat is het.

Het is ook helemaal niet hun business om data te bewaren, om data op te slaan, om een heel leger aan mensjes in dienst te hebben om dit allemaal te regelen, te beschermen, te sorteren, servers voor te regelen, etc. etc. etc. - allemaal onzin.Wanneer gaan we nou eindelijk eens met data de andere kant op werken - JIJ hebt je data, ALLEEN Jij hebt de controle, en zij krijgen alleen een JA of NEE op de vraag of een transactie gelukt is. Einde verhaal. Een ieder die denkt dat dit niet voldoende is, verdedigt data dieven zoals Facebook en Google. Nee, zonder uitzondering.
De vraag is - waarom moet zo'n bedrijf nou weten dat ik Henk heet? Dat ik in Amsterdam woon?
Omdat er een boel mensen zijn die een mailtje gericht aan "Beste klant" onpersoonlijk vinden, die willen dat er "Beste Henk" boven staat. Om je je tickets toe te sturen (en om te laten weten hoe je je geld terug kunt krijgen als de dierentuinen en pretparken opeens gesloten worden...) hebben ze je emailadres toch echt wel nodig, dat is ook persoonlijke informatie.
Het is ook helemaal niet hun business om data te bewaren
Over wie heb je het nou, Ticketcounter of hun klanten? Want ik zou zeggen dat het juist hun business is om deze data te beheren, zodat alle afzonderlijke dierentuinen en pretparken daar niet mee opgezadeld worden. Je weet wel, die toko's die helemaal geen kennis over digitale beveiliging in huis hebben en dus nog vele malen kwetsbaarder zijn.
Een ieder die denkt dat dit niet voldoende is, verdedigt data dieven zoals Facebook en Google. Nee, zonder uitzondering.
Ten eerste: wat hebben Facebook en Google hier in vredesnaam mee te maken!? Ten tweede: ofwel ik verdedig Facebook en Google, ofwel jij praat onzin...

[Reactie gewijzigd door robvanwijk op 1 maart 2021 16:52]

Kijk - de werkelijkheid is dat jij helemaal nog bestaat in het conventionele systeem van hoe wij data en identiteit doen, Jij staat er niet eens bij stil dat het eigenlijk absurd is dat als jij een aankoop doet op een website jij je naam moet opgeven. Dat jouw naam en "analoge" identiteit in de digitale wereld nog steeds de identiteit is waarmee je geacht wordt dingen te regelen.

Die wereld is voorbij. Of nou ja, zal heel binnenkort heel erg voorbij moeten zijn. En iedereen die blijft vinden dat het zo moet blijven, want "het is altijd al zo geweest", al die mensen, die zitten er niet alleen helemaal naast, nee, zij zijn onderdeel van het probleem. Hoe dit eigenlijk moet werken is - jij bent ID nr 957349237853973 die voldoet aan de eisen om transactie 3945792579 te doen, en je hebt toegang tot resources (geld) nr 9345739379A5463. Jij betaalt de transactie, en bedrijf 93457329279 stuurt jou bestelling 92472984728 toe naar adres 390457397 dat alleen in de database van koerier 935723897 staat. En we zijn klaar.

Bedrijf weet niet hoe jij heet, waar je woont, ze weten helemaal niets. Hebben ook geen data om te bewaren (behalve voor garantie-doeleinden) en de volgende keer als jij er iets koopt ben je niet meer ID 957349237853973 maar ID 0567493483243. En als dat bedrijf wil weten of jij een terugkomende klant bent, dan mogen zij aan jouw vragen - hey persoon, mag ik checken of jij ooit bij ons geschopt hebt, zo ja krijg je 5% korting en dan mag jij JA or NEE zeggen. Anders mogen zij helemaal niet weten dat jij een terugkerende klant bent. Mogen ze geen profiel van jou opbouwen.

Als je die "Privacy" tag naast je naam wil verdienen, no offense Mr RobVanWijk, maar dan is dit toch wel het minste wat je niet alleen moet snappen, maar waar je ook met hart en ziel achter dient te staan.
Hoe dit eigenlijk moet werken is - jij bent ID nr 957349237853973 die voldoet aan de eisen om transactie 3945792579 te doen, en je hebt toegang tot resources (geld) nr 9345739379A5463. Jij betaalt de transactie, en bedrijf 93457329279 stuurt jou bestelling 92472984728 toe naar adres 390457397 dat alleen in de database van koerier 935723897 staat.
Leuke theorie. Als je een bedrijf hebt dat uitsluitend levert aan zeer privacy-bewuste klanten, dan zou het misschien nog werken ook. Maar als je klanten bestaan uit "gewone mensen" dan gaat dit nooit werken, want gewone mensen willen nou eenmaal dat er een correcte aanhef boven je email staat. En de tweede keer dat ze iets bij je bestellen willen ze hun emailadres en wachtwoord invullen en dan verwachten ze dat al hun andere gegevens alvast ingevuld zijn.
Daarnaast vergeet je een heleboel practische zaken. Wat doet je klant als ie zijn tickets kwijtgeraakt is? "Kunnen jullie me de tickets van bestelling 957349237853973 nog even opnieuw sturen?" Zo'n nummer gaat niemand onthouden. Wat doe je met fysieke goederen, daar zal toch echt een afleveradres bij moeten. Je hebt overigens geen antwoord gegeven op mijn vraag hoe jij voorstelt dat bedrijven met emailadressen om moeten gaan. Ook hebben dierentuinen vaak abonnementen, hoe ga je die op naam zetten zonder de naam van je klant te kennen? (Het alternatief is om abonnementen af te schaffen en iedereen bij elk bezoek de volle prijs te laten betalen. Beter voor de privacy, maar veel slechter voor de portemonnee. Ik wens je succes om dat aan "gewone mensen" klanten uit te leggen.) Tot slot vraag ik me ten zeerste af wat een accountant (en de Belastingdienst) ervan zou vinden als je facturen niet op naam staan, maar in alle velden "willekeurige" getallen staan die nergens toe te herleiden zijn; da's nogal gevoelig voor fraude om maar eens wat te noemen.
Als je die "Privacy" tag naast je naam wil verdienen, no offense Mr RobVanWijk, maar dan is dit toch wel het minste wat je niet alleen moet snappen, maar waar je ook met hart en ziel achter dient te staan.
Ik heb niet voor die tag gekozen, die heeft de site automatisch aan me toegekend.

Bij iets als "privacy" kunnen we stilzwijgend aannemen dat iedereen het eens is met "meer is beter", maar strikt genomen is "privacy was iets van de 20e eeuw, daar doen we tegenwoordig niet meer aan" ook een geldige mening. Dat iemand het niet met je eens is betekent niet dat je dan automatisch kunt concluderen dat ze niet weten waar ze het over hebben.

Maar misschien nog wel het belangrijkste: ik heb nergens gezegd dat je ongelijk hebt, alleen dat je plan in de praktijk onhaalbaar is. Niet alleen omdat je een groot aantal practische vragen niet kunt beantwoorden, ook omdat veel mensen (zelfs degenen die privacy belangrijk vinden) een afweging willen maken tussen privacy en gemak.
Privacy is net zo iets als vrijheid van meningsuiting: op het eerste gezicht zou je denken "meer is beter", maar in praktijk zijn andere dingen ook belangrijk... en soms botsen die met elkaar. In het geval van vrijheid van meningsuiting is dat vaak veiligheid (ook al hebben we vrijheid van meningsuiting "iemand zou politicus X overhoop moeten schieten" roepen mag niet). In het geval van privacy botst het vaak met gebruiksgemak.
Als jij een browserplugin wilt installeren die bij elke website en bij elke bestelling elke keer opnieuw alle gegevens invult, dan is dat zonder meer jouw goed recht. Ik heb er geen enkel probleem mee als jij die keuze maakt. Maar als een andere gebruiker dat onhandig vindt en liever heeft dat de website dat zelf onthoudt, dan is dat net zo goed een geldige mening. Ik vind het niet acceptabel als jij probeert om andere mensen te dwingen dezelfde keuze te maken als jij.
Ik ben het met je eens dat ik ook liever heb dat die bedrijven deze gegevens niet zouden bevragen; maar...

Zodra een bedrijf natuurlijk weet dat jij Henk heet en uit Amsterdam komt, kunnen ze je vervolgens vaker/persoonlijker benaderen en je daardoor nog meer geld aftrogg*** euh, ik bedoel "benaderen voor marketingdoeleinden die aansluiten bij jouw eerdere aankopen" :+

Daarbij zetten ze de gegevens natuurlijk ook in om een vervolgbetaling nóg soepeler te laten verlopen, waardoor het uitgeven van de volgende honderd euro aan een vervolgbezoekje nóg sneller zal verlopen.. och wat fijn allemaal... geweldige service richting Henk uit Amsterdam; wat zal hij daar blij mee zijn!

[Reactie gewijzigd door JoostTheHost op 1 maart 2021 16:42]

Jaaaa, net een bericht van Apenheul gehad. Wat er precies ontvreemd is vertellen ze niet, daarvoor moet je dus eerst gegevens invullen op dezelfde site die je gegevens gelekt heeft |:(
Same here. Ik heb het wel ingevuld (dat mail-adres is the least of my problems). Bij mij is alles wel gelekt wat er te lekken valt: IBAN, adres, telefoonnummer, naam/achternaam.

Wat móeten die klojo's uberhaupt met al die gegevens? Ik vind het óók wel een facepalm voor de Apenheul zelf. Waarom moeten al die gegevens bij een derde partij worden opgeslagen? Ik zou inderdaad ook wel willen weten hoe / wie je aansprakelijk kunt stellen. Of is het nu een kwestie van "Tja, wij hebben het je verteld dat je gegevens zijn gelekt, succes ermee, doeidoei"?
IBAN is een van de weinige dingen waarvan ik me geen zorgen maak: je mag altijd geld naar mij overmaken hoor! Hoef je echt niet te vragen!
Het probleem is dat een bank al genoegen neemt met je gegevens en iban om automatische incasso in werking te stellen. En terug halen of stoppen mag je dan zelf maar proberen te regelen. Dus als ergens in de EU een crimineel bedrijf jou adresgevend en bankrekening heeft heb je al een risico.
Het probleem is dat een bank al genoegen neemt met je gegevens en iban om automatische incasso in werking te stellen. En terug halen of stoppen mag je dan zelf maar proberen te regelen. Dus als ergens in de EU een crimineel bedrijf jou adresgevend en bankrekening heeft heb je al een risico.
De Nederlandse banken hanteren hiervoor een verificatie-procedure waar ze een handtekening of digitale ondertekening nodig hebben om een incasso als terecht te boek te stellen. Controle hierop vindt inderdaad achteraf plaats als een rekeninghouder een melding van een onterechte incasso doet, omdat - zeker bij papieren machtigingen - dit anders onwerkbaar wordt.

Echter heb je hiervoor 13 maanden de tijd en is het enige wat jij hoeft te doen; melding te maken. De bank gaat het daarna uitzoeken met de incasso-houder en die trekt bij gebrek aan een ondertekening toch echt aan het kortste eind.

Wel is het zo dat er nog wel eens wat tijd kan verstrijken voordat je je geld terug hebt. Ja; dat kan inderdaad lastig zijn, als je dicht tegen de nul-lijn aan zit op je lopende rekening. Weet niet of en in hoeverre banken hier een coulant beleid in voeren en je eerder over het geld laten beschikken, of je in elk geval achteraf vergoeden voor de lasten.
De Nederlandse banken hanteren alleen de regel dat een bedrijf dat wil incasseren zelf de nodige machtigingen regelt. Banken controleren die machtigingen niet vooraf omdat het ze te veel werk en tijd kost. Met Europese betalingen is dat niet anders, ze vertrouwen bijna volledig op de blauwe ogen van de criminelen die de banken rijkelijk betalen om te mogen incasseren. En boven dat verdienen de banken zowel geld aan foute incasso's als aan de storneringen.

Los van wat banken wel en niet doen, het gaat hier om een risico bij de minste gegevens uit een datalek: je naam, adres en bankrekeningnummer. Dat levert al een ernorm risico op: het risico dat jij je geld van je rekening ziet verdwijnen en je daar zelf maar achteraan moet.

Nu kun je er van alles over zeggen dat het misschien, onder bepaalde omstandigheden, wat minder erg is dat op basis van die gegevens al geld van je rekening geroofd kan worden. Maar dat lijkt mij in 2021 en na ruim 50 jaar aan bestaan van dit systeem van nauwelijks controle vooraf volstrekt onvoldoende en geen beveiliging meer te noemen. Daarbij is het natuurlijk zot dat je als slachtoffer maar moeite moet doen om je geld terug te krijgen door het zelf door te hebben, door het op tijd door te hebben en ook nog eens niet hoeft te rekenen dat de bank je tegemoed gaat komen in de extra rompslomp die jij als slachtoffer er in moet steken. Om het nog niet te hebben over de tijd dat jij ondertussen je geld kwijt bent en de bank daar inmiddels wel aan verdient heeft en ook nog geld van jou krijgt omdat ze zogenaamd op je geld zouden passen. Het is volstrekt onvoldoende dat een bank pas achteraf die gegevens gaat controleren, als een slachtoffer op tijd is om te ontdekken dat die beroofd is. Dat is geen beveiliging, dat is zelfs niet eens redelijk beheren te noemen. En met sepa is het er niet beter op geworden omdat banken genoegen nemen met een minimale hoeveelheid gegevens die je uit een willekeurig datalek kan halen en in geen enkele vorm autorisatie zijn dat het slachtoffer een machtiging heeft gegeven.
Maar het maakt het voor een kwaadwillende weer een stukje makkelijker is om te phishen als die weet bij welke bank je zit. Dan kan die precies de juiste email sturen of uit naam van je bank bellen om verdere gegevens te ontfutselen. Aanvullende informatie rondom je persoon is juist waardevol voor die lieden omdat het de kans op geslaagde aanvallen vergroot.
En in het ergste geval kun je je bankrekening sluiten en een nieuwe openen, krijg je een nieuw IBAN adres. Dat is niet zo met je BSN bijvoorbeeld, en ook je adres verander je niet zo snel.

Maar deze bedrijven moeten een tik op de vingers krijgen; ze hebben je adres niet nodig om je een ticket te verkopen. Met ideal kunnen ze (zonder dat zij je banknummer krijgen) geld ontvangen, digitaal ticket sturen op een e-mail adres of misschien zelfs via de bank, en die kunnen ze gelijk weer uit hun systeem halen.
En behalve of het echt wel nodig is, met welk doel zijn de IBAN's bewaard lang nadat er gekocht en bezocht is in de dierentuin?
Wellicht versturen ze ook papieren tickets, dan heb je toch echt een adres nodig...
Ik kan mij wel wat scenario’s voorstellen die minder positief zijn. Dure bestelling bij een webshop met eenmalige machtiging. Uiteraard storneer je die zo snel mogelijk maar grote kans dat het pakket dan al verstuurd is.
dit is toch echt niet hoe het werkt, een IBAN is toch inderdaad wat "publieke" informatie, op elk factuur dat je krijgt staat bvb sowieso het IBAN van de ontvanger, je kan toch nergens iets zomaar kopen door enkel eenderswie hun IBAN op te geven?
Terecht punt. Ik gebruik de optie nooit maar kom het wel eens tegen dus vandaar mijn opmerking. Blijkbaar is het gebruikelijk om tegenwoordig een eenmalige machtiging te verifiëren via je bankomgeving. Een slechte webshop doet dat mogelijk alsnog niet: https://www.consumentenbo...nmalige-machtiging-online

Alsnog kan het lekken van je IBAN voor vervelende acties gebruikt worden. Een adres bij een energieleverancier aanmelden/switchen gaat vaak gepaard met automatische incasso. IBAN is dan verplicht maar die wordt zelden of nooit geverifieerd met een bankomgeving. Ik snap dat een crimineel nooit zijn eigen adres gaat invullen, maar je weet maar nooit wie er lol uit haalt om zo’n actie met een willekeurig adres uit te voeren.
Ik snap je gedachten en iets als een energie switch zou onhandig zijn. Echter ook daarin zitten een heleboel verificatie stappen en je mag nog weken lang alles terugdraaien. Die maatschappijen hebben geen poot om op te staan, je hebt ze nooit gesproken. Zelfde voor een webshop die zijn eenmalige machtigingen niet verifieert, dan hebben ze gewoon pech. Ze kunnen toch niet aantonen dat jij het was.
De Nederlandse banken hanteren onderling een protocol voor het afhandelen van onterechte incasso's wat bekend staat als de procedure Melding Onterechte Incasso (MOI-procedure).

Via deze procedure is tot op 13 maanden na afschrijven, elke onterechte incasso terug te draaien. Een incasse is onterecht als de bank geen verifieerbare ondertekening voor de incasso heeft. Dwz. geen handtekening heeft voor een papieren incasso; of geen digitale ondertekening heeft voor een digitaal aangevraagde incasso.

Zie bijv. het artikel van Radar voor iets uitgebreidere informatie; of vraag het gewoon na bij je bank. :)

Je hoeft je eigenlijk niet echt druk te maken om dit soort zaken.
Je hebt altijd wel ruimschoots de tijd om zulke afschrijvingen terug te draaien.
Het kan alleen irritant worden als het in bulk gebeurt en niet ophoudt.

[Reactie gewijzigd door R4gnax op 1 maart 2021 18:17]

Ik snap wel dat je in je recht staat, maar het ging er mij om dat je ook weer niet te luchtig moet reageren op het lekken van je IBAN.

Zeker voor mensen die minder kaas gegeten hebben van zulke onderwerpen, kan het moeilijk te overzien zijn wat je moet doen om zaken terug te draaien en dat levert een hoop stress op.
Ik heb mijn adres niet ingevuld maar neem aan dat alles gewoon gelekt is.
Verklaard wel waarom ik de laatste tijd (na jaren rust) compleet wordt platgespamd en phished :'(
Aansprakelijk voor wat? Welke schade heb je?
Dat is precies de fun: nú nog niets. Maar áls ik straks op wat voor manier dan ook nadeel hier aan ondervind is niemand ergens te vinden om verantwoordelijkheid te dragen. Dan ben ik zelf gewoon de Sjaak of stomme sukkel die ergens ingetrapt is. Alleen het idéé/gevoel vind ik al "mentale schade", maar ik snap dat dát helemaal niet te kwantificeren is...
Mocht je ooit schade ondervinden dan bij de Apenheul. Daar heb je zaken mee gedaan.
De vraag is natuurlijk ook hoe jij een causaal verband tussen geleden schade en dit specifieke datalek gaat leggen.

De gelekte data is data die in de basis best moeilijk geheim te houden is voor iemand die jou persé wil hebben ergens voor.

Of rijd je op de terugweg van werk eerst een paar rondjes om te kijken of je niet gevolgd wordt? :P

[Reactie gewijzigd door Polderviking op 2 maart 2021 00:24]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True