Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 89 reacties
Submitter: Eppo ©

Een anonieme hacker is er in geslaagd om de persoonsgegevens van 715.000 klanten op een onvoldoende beveiligde server van Cheaptickets.nl buit te maken. Onder de gegevens bevinden zich ticketgegevens en paspoortnummers.

Volgens Webwereld gaat het om een server waarop een onvoldoende gepatchte Windows Server 2003 draaide. Een hacker wist via een sinds 2009 bekende exploit gegevens van 715.000 klanten in te zien die via Cheaptickets.nl een ticket hadden geboekt. Onder de data zouden naast naw-gegevens en ticketdata ook 80.000 paspoortnummers te vinden zijn. Daarbij gaat het om reizigers die onder andere naar de VS vlogen.

Met name de paspoortinformatie kan gebruikt worden door criminelen voor identiteitsdiefstal. De gekraakte database zou op een ontwikkelomgeving draaien en data tussen 2008 en 2009 bevatten. Ook zouden geen creditcardgegevens of iDeal-data zijn opgeslagen.

De live-omgeving van Cheaptickets.nl zou niet zijn gekraakt. Het bedrijf wil nog niet reageren op het datalek, maar Cheaptickets.nl zou later vandaag met een persverklaring komen.

Update 16:40: Cheaptickets.nl-directeur Raymond Vrijenhoek laat in een reactie aan Nu.nl weten dat er geen misbruik zou zijn gemaakt van de persoongsgevens, mede omdat het zou gaan om oude data. De betreffende server is inmiddels offline gehaald.

Moderatie-faq Wijzig weergave

Reacties (89)

Addendum van NOS:
De kraak is des te opmerkelijk omdat CheapTickets.nl lid is van de Thuiswinkel Waarborg. Leden van de Thuiswinkel Waarborg laten de consument zien dat zij "een betrouwbare en veilige manier van winkelen online bieden", is op de website van het bedrijf te lezen.

Thuiswinkel Waarborg controleerde de site van CheapTickets.nl op 24 maart nog onder meer op veiligheid en privacy en gaf een certificaat af.

Maar ze blijken slechts te kijken of een site een SSL-verbinding heeft, een slotje bij het webadres. De veiligheid van de achterliggende systemen wordt niet beoordeeld. De vraag is wat het waarborg eigenlijk waard is waar het veiligheid en privacy betreft.

[Reactie gewijzigd door arc. op 24 oktober 2011 15:41]

Dat Thuiswinkel Waarborg betekent ook zo'n beetje totaal niets voor je, hooguit dat de algemene voorwaarden van de shop niet tť absurd zijn en dat de webshop in kwestie je niet als een baksteen laat vallen in het geval van een geschil. Zie ook het shopping forum en het overzicht van Consuwijzer.
Elke "gek" kan een waarborg label ok keurmerk bedenken. Je moet gewoon voldoende bedrijven lokken je product af te nemen en er vervolgens niets anders dan een stikkertje met "OK" af te geven.
En vangen, natuurlijk. Wat ik denk niet dat die stickers gratis zijn.
Heerlijk zo'n vals gevoel van veiligheid.
Er staat een slotje dus het zal wel in orde zijn :X

Erg kortzichtige manier van denken van Thuiswinkel Waarborg.
Een diepgaande security audit kost serieus veel centen, en biedt ook geen 100% zekerheid. Is de klant wel bereid om fors extra te betalen voor een produkt met zo'n waarborg?
en wat denk je dat dit geintje kost ;-)
Misschien geen 100%, maar hoger is altijd beter.

Daarnaast denk ik niet dat klanten "fors" extra hoeven te betalen. Zo een keurmerk moet leiden tot meer omzet en kan op die manier terugverdiend worden. En dan betaal ik liever iets meer bij een winkel die zorgvuldig met mijn paspoort- en bankrekeninggegevens omgaat.
Op een ontwikkelomgeving ga je geen diepgaande security audit laten doen omdat hier nog regelmatig wijzigingen aan zijn. Dat zou immers betekenen dat je bij elke wijziging opnieuw een diepgaande security audit moeten doen. Op het moment dat je testomgeving is zoals je het wilt hebben ga je pas een security audit doen om de fouten die je gemaakt hebt tijdens het ontwikkelen te corrigeren.

Hoe het mogelijjk is dat een interne testomgeving van buiten te bereiken is, is mij wel een raadsel. Dat is uiteraard wel slordig.
Wat maakt het nou uit of het de live omgeving is of niet. Als je een copy van productie trekt en die op development gebruikt dan is het productiedata.
Buitengewoon slordig om of de data niet te anonymiseren of de development omgeving zo makkelijk bereikbaar te maken.
Dat je niet bang hoeft te zijn dat je huidige reserveringen aangepast kunnen worden. De hackers kunnen enkel oude data opvragen, geen wijzigingen aan het productiesysteem maken.
Maakt het niet minder slordig en nog steeds enorm vervelend voor klanten waarvan hun informatie op straat ligt.
En wat is in jouw definitie oude data. Is de data van vorige week oud en van deze week nieuw? Of is de data van vorig jaar oud. Hoe dan ook een paspoort is 5 jaar geldig. Ik mag dus hopen dat de data ouder is dan 5 jaar. Verder voel ik me er toch niet prettig bij dat iemand meteen al persoonsgegevens heeft zoals mijn adres.
De gekraakte database zou op een ontwikkelomgeving draaien en data tussen 2008 en 2009 bevat

Waarom is er in godsnaam een database met ECHTE paspoorten info en klantengegevens op een ontwikkelomgeving??? Dat zou beteken dat zonder dat er gekraakt word, de ontwikkelaar vrij spel heeft om data te gebruiken!
Dat snap ik dus ook al niet :/ Dan gebruik je toch fake data in plaats van een kopie van de liveserver
Je moet je werknemers toch wel kunnen vertrouwen. En het maken van een goede testomgeving is vele male makkelijker door live data te gebruiken.
Ja maar simpel randomisen en paspoortnummers genereren was wel simpel te doen geweest... Dergelijke data moet gewoon niet voor dergelijke ontwikkelingen gebruikt worden...
Onzin natuurlijk. Als je je ontwikkelaars niet vertrouwd met echte data, hoe gaan die dan het live-systeem installeren? Echte data is handig omdat er soms randgevallen in voorkomen waar niemand aan gedacht had.
Onzin natuurlijk!
Waarom gevoelige data op meer plaatsen dan noodzakelijk?
Wat kan het een ontwikkelaar nou schelen of bijvoorbeeld paspoort ID's gescrambled zijn? Mijn unit test gaat echt niet vallen over het feit dat iemand als voornaam 'Abc' heeft in plaats van 'Jan'.
En wat als je moet controleren of de paspoortnummers correct zijn? Op een gegeven moment moet je gewoon met min of meer echte data testen. Nu hadden de namen hierbij wel geanonimiseerd kunnen worden, dat moet niet echt uitmaken.
Productie data is toch echt de enige data die echt representatief is en genoeg/alle realistische cases bevat om te testen.

[Reactie gewijzigd door Gamebuster op 24 oktober 2011 16:00]

"Best practice" is natuurlijk dat je die data wel eerst anonymiseert. Maar goed, er zijn tienduizenden, zo niet honderdduizenden webwinkels ter wereld. Het is gewoonweg onmogelijk dat alle beheerders daarvan foutloos alle best practices volgen. En dus gebeuren dit soort dingen aan de lopende band, en is er (op korte termijn) vrijwel niks aan te doen.

[Reactie gewijzigd door Dreamvoid op 24 oktober 2011 16:26]

Als je die data gaat zitten nabewerken, waarom gebruik je dan echte data? Kan je net zo goed de data helemaal automatisch aanmaken. Het hele punt van echte data gebruiken is /juist/ om het systeem met echte data te testen.

En als je je ontwikkelaars daar niet mee kan vertrouwen, wie gaat dan het echte systeem onderhouden?
Soms is het voor bepaalde testen etc. gewoon (bijna) noodzakelijk "live" data te hebben, dus een copy halen van de productieomgeving is niet persť altijd slecht.
Wel is het natuurlijk van den boze dat ze niet even een anonymizer o.i.d. over enkele gegevens, bv achternaam/paspoortnummer hebben laten gaan.
nooit is het nodig om dat soort data te gebruiken voor een test-omgeving en het is al helemaal van de zotte dat de boel online bereikbaar is..
next..
Een hotel, waar de klant na de bij Cheaptickets geboekte vlucht naartoe gaat, is niet bevoegd om de paspoortgegevens langer te bewaren dan de verblijftijd van de klant in dat hotel, maar Cheaptickets kan wel de paspoortgegevens 2-3 jaar bewaren?!

En hoezo zou Cheaptickets de gegevens zo lang moeten bewaren? Wat is dat voor kolder? Zij zijn een reisbureau en niet eens een luchtvaartmaatschappij, die volgens sommige regels (VS) hiertoe verplicht zouden zijn.

Die hele database had m.i. niet eens mogen bestaan.
oude gegevens, die man snapt er niks van, iemand die een nog niet te oud paspoort had in 2009, heeft dat nog steeds. En de rest van de gegevens is waarschijnlijk ook nog actueel. Ook ik vloog in 2009 met hun.
Je vloog niet met hun, het is namelijk geen vliegmaatschappij. Het is enkel een boekingswebsite die vluchten aanbiedt van vliegmaatschappijen.

Het is jammer dat er van alle lekken niet bekend is welke data er exact is buitgemaakt. Alleen van Anonymous heb ik vandaag een lijstje gevonden met een paarhonderd namen en data maar lang niet allemaal. Waarom komt er van de overige lekken niet zo'n mooie lijst? Als ik op een lijst kan kijken dat ik er op sta kan ik in gaan loggen bij CheapTickets en enige data veranderen die ik noodzakelijk denk te vinden.
Euhm?? waarom denk je dat we privacy gevoelige info juist NIET in een lijst op internet zetten? (zodat meteen heel de wereld het kan vinden)
Dat lijkt me dus het laatste wat je zou moeten willen.
Wat wellicht wel netjes wou kunnen zijn is een prive bericht aan de gedupeerden.
inderdaad, dat is wel een heel triest "argument"
heb geen nieuwe naam (?!) ben niet verhuisd, ook verander ik niet elk jaar van bank en/of rekening en creditcard nummer,.. waar heeft die kerel het over??
Wat kunnen consumenten hier tegen doen, danwel achteraf? Moet iedereen het er maar bij laten zitten of dekken bedrijven zich in voor dit soort zaken?

Oftewel: Wat kan een consument/klant verwachten van cheaptickets ( of ander bedrijf waar zoiets buit wordt gemaakt) en achteraf doen?
Zich verenigen in een 'gedupeerden' stichting lijkt mij het best. Al weet ik niet wat voor 'schade' je zou kunnen opvoeren als gedupeerde. Wat voor prijskaartje kan je hangen aan je persoonsgegevens?
Misschien wel interessant om er juridisch een standaard bedrag aan te koppelen (wellicht in meerdere categorieŽn - je paspoortnummer lijkt me een stuk heftiger dan louter je emailadres), en dat een bedrijf verplicht wordt een dergelijk bedrag over te maken naar een gedupeerde. Misschien dat ze dit soort lekken dan ook van tevoren meer serieus gaan nemen.
In theorie wel, in de praktijk wordt het meer een soort loterij. Elk systeem is hackbaar, elk bedrijf is kwetsbaar. Is het niet door een lek in de server, dan is het wel voor een BOFH die een USB stick met de klantendatabase meeneemt. De eerste die het overkomt krijgt een megaboete, alle klanten lopen weg, en gaat (zeker met de huidige marges) failliet. Zijn concurrent krijgt even wat extra business, maar is daarna de pineut -> einde oefening. De volgende, etc etc.

Je maakt het in feite vrijwel onmogelijk om als kleine speler een eigen bedrijf op te richten, want elk klein foutje wordt fataal.

[Reactie gewijzigd door Dreamvoid op 24 oktober 2011 16:37]

Je stelt het wel erg cru. Uiteraard heeft het gevolgen, maar het is niet alsof die onopgelost blijven. Je krijgt bedrijven aan wie je de opslag van dergelijke gegevens kunt uitbesteden en ook het risico dragen. Je krijgt verzekeringsmaatschappijen die dergelijke risico's willen afdekken, met als tegeneis dat je wel genoeg moeite doet om het te voorkomen, met regelmatige audits. Bottom line is dat het niet meer hoeft te kosten dan als je nu genoeg moeite neemt om de boel te beschermen, maar dat de consument er wel beter van wordt omdat bedrijven economisch verplicht worden die gegevens te beschermen, omdat het anders een financiele doodstraf betekent.
dan is het wel voor een BOFH die een USB stick met de klantendatabase meeneemt.
Dan is de schade voor het bedrijf dus ook weer verhaalbaar op die persoon.

[Reactie gewijzigd door .oisyn op 24 oktober 2011 17:01]

Dat klopt, en daar zie ik ook grote toekomst voor spelers als Oracle/Microsoft/Google/Amazon aan de database kant om hun 'best practices' te verkopen: een altijd up-to-date server, kant-en-klare testomgevingen, etc. Het wordt meer en meer duidelijk dat de vrijheid om lokaal een database'je op te zetten en er een business omheen te bouwen een soort doos van pandora heeft geopend.
dan is het wel voor een BOFH die een USB stick met de klantendatabase meeneemt.
Dan is de schade voor het bedrijf dus ook weer verhaalbaar op die persoon.
Tsja, dat heeft bij heel grote schade weinig nut. Om een ander voorbeeld aan te halen, er zijn weinig werknemers met 5 miljard euro bijvoorbeeld.

[Reactie gewijzigd door Dreamvoid op 24 oktober 2011 17:10]

Het gaat erom of er sprake is van nalatigheid, is daar sprake van dat vind ik het niet meer dan terecht dat je als bedrijf "nat" gaat, nalatigheid is juist iets wat niet gerelateerd is aan bedrijfsgrootte maar komt door een verkeerde mentaliteit/incompetentie.
dat zou misschien nog niet eens zo slecht niet zijn... dan zorgen bedrijven ook wat beter voor je gegevens, immers een boete/ compensatie voel je harder in je portemonnee dan een uitbrander van een thuiswinkelorganisatie
Zou jij op je werk minder fouten maken als er per fout(je) 100 euro loon ingehouden zou worden? En zou je foutloos werken als het 1000 euro was?

[Reactie gewijzigd door Dreamvoid op 24 oktober 2011 16:40]

Als ik foutloos werk krijg ik dan ook een bonus van 1000§ ? zou leuk weze hehe
Zou jij op je werk minder fouten maken als er per fout(je) 100 euro loon ingehouden zou worden? En zou je foutloos werken als het 1000 euro was?
Nee, puur omdat ik een loon op uurbasis heb, en niet op prestatiebasis. Ik kan de boel nu ook verneuken, daar verliest mijn werkgever ook geld mee, maar dat wordt ook niet verhaald. Op het moment dat dergelijke fouten een risico gaan vormen, dan betekent dat dat er protocollen worden opgesteld om die fouten zoveel mogelijk te voorkomen. In mijn branch (softwaredevelopment, specifiek voor games al is dat niet heel erg relevant) wordt dat opgelost middels code reviews en dergelijke. Maar de schadepost zal bij een fout niet enorm zijn. Als je daarentegen kijkt naar bijvoorbeeld een bedrijf gespecialiseerd in demolitie, dan zijn er tal van protocollen die ervoor zorgen dat dingen gedubbel en getrippelchecked worden omdat veiligheid en het voorkomen van schade enorm belangrijk zijn.

Dat soort protocollen zullen er dus ook ingevoerd worden als het gaat om beveiligen van persoonsgegevens. Sterker nog, dergelijke protocollen zouden nu al geÔmplementeerd moeten worden, maar het beveiligen van persoonsgegevens is een relatief nieuw begrip en er wordt veel te weinig aandacht aan besteed.

[Reactie gewijzigd door .oisyn op 24 oktober 2011 23:04]

Sinds wanneer is een ontwikkelomgeving Łberhaupt van buitenaf te benaderen?
Dit is precies waar ik aan dacht, een test omgeving hoort alleen van binnenuit te benaderen te zijn.
Dat is natuurlijk de grootste onzin. Als je met externe partijen interfaces test dan staat je testomgeving natuurlijk open... Daarnaast is het natuurlijk niet netjes dat ze productiedata gebruiken op een testomgeving.
Tsja dan zou je nog alleen die externe partijen toegang kunnen verlenen. Serieus, testomgevingen 'worldwide' beschikbaar stellen (en zeker met dit soort gegevens) is zeg maar niet slim. Sterker nog... een ongepatchte Windows 2003 server aan het internet knopen zou je als systeembeheerder voor ontslagen mogen worden imho
Tsja dan zou je nog alleen die externe partijen toegang kunnen verlenen
Hebben ze waarschijnlijk ook gedaan. Het punt is dat de machine lek was en een hacker zich dus gewoon toegang kon verschaffen. Het is niet zo dat de informatie gewoon publiekelijk opvraagbaar was - er is immers een exploit gebruikt.

[Reactie gewijzigd door .oisyn op 24 oktober 2011 17:00]

daar gebruik je toch een conformance omgeving voor?
Aantal jaren terug 1 keer via Cheaptickets een boeking gedaan.
Ik was altijd erg zorgvuldig met mijn emailadres aan organisaties geven en had helemaal geen last van spam. Na de boeking had ik een aantal dagen ineens herhaaldelijk spam.
Legde de link niet direct met Cheaptickets. Spam is uiteindelijk opgehouden (lang verhaal software voor gebruikt om te blokken). Jaartje later weer geboekt via Cheaptickets en ja hoor een weekje later begon de spam regen weer.

Ik kan absoluut niet aantonen dat zij de veroorzaker zijn. Maar ik vond dit wel erg opvallend toevallig. Dit bericht doet me dan weer vermoeden dat dit misschien al eerder/langer aan de hand is. De laatste boeking van mij bij hen is als ik me niet vergis van voor 2009.
Als je een eigen domeinnaam kan je voor elk bedrijf een apart emailadres maken. bv cheaptickets@Erik070.nl en tada, je kan zien wie jouw adres door verkoopt.
Je kan bij onder andere Gmail/Google Apps ook de +operator gebruiken: [gebruikersnaam]+[tekst]@gmail.com om zo te filteren. Hangt het er wel vanaf of je een + in je mailadres mag gebruiken bij registratie (dit mag vaak, onterecht, niet).
Dat helpt helemaal niets, elke spammer stript natuurlijk direct alles achter de + eraf.
Het gaat hier om de doorverkoop van je informatie aan commerciŽle bedrijven. Niet de spam als in Cialis Softtabs, Viagra, Enlarge your Penis en consorten.
je kan ook gewoon je spam laten afhandelen door gmail zelf...
Of wie gehackt is. Je hebt dan wel weer veel spam met de catch all. Ongeveer 5 jaar gedaan en 1 keer een mail gehad dat niet door het juiste bedrijf (lokaal winkeltje) werd verstuurd.
Hupla. weer eentje.
Ik snap niet hoe je een lek van uit 2009 nog niet vervangen hebt.

En ook al is het niet het live systeem. Het systeem was blijkbaar wel bereikbaar van buitenaf. Wat ik al helemaal niet meer snap.
Het systeem was blijkbaar wel bereikbaar van buitena
Of de hack is uitgevoerd door een insider die een privilege escalatie lek heeft gebruikt om toegang te krijgen tot een server.
Ben eigenlijk ook wel beieuwd, wat de gevolgen zijn..
Zit nu in de states, via cheapticket.nl. Ik ga ze maar eens mailen, hoe het zit met mijn gegevens.
Zit nu in de states,
het gaat in dit geval om gegevens van tussen 2008 en 2009. zuit je sindsdien in de VS of vlieg je vaker? anders hoef je je geen zorgen te maken dus. ..

Erg triest dat die Raymond Vrijenhoek in zijn reactie aan Nu.nl laat weten:
dat er geen misbruik zou zijn gemaakt van de persoongsgevens, mede omdat het zou gaan om oude data
dat is natuurlijk enorme onzin als het gaat om paspoortnummers en al helemaal als het gaat om bank gegevens en namen??
Neem aan dat niet iedereen die naar de vs vliegt zijn naam om de 3 jaar laat aanpasse nen een nieuwe rekening opent??
Dat is best wel erg, is wel heel erg bekend in NL . In het uitgebreide artikel van webwereld.nl vroeg een NOS verslaggever of ze het wouden nakijken en het klopte waar deze NOS-verslaggever naar toe was gegaan.

[Reactie gewijzigd door Rockvee2 op 24 oktober 2011 15:40]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True