Technofestival DGTL lekt privédata en wachtwoordhashes 130.000 bezoekers

Het Amsterdamse technofestival DGTL heeft door een slecht beveiligde database privégegevens van zo’n 130.000 bezoekers gelekt, waaronder wachtwoordhashes, volledige namen, e-mailadressen, geboortedatums, woonadressen en tienduizenden 06-nummers, zo meldt RTL Nieuws dat door een tipgever over het datalek werd geïnformeerd.

Organisator Apenkooi Events had de inloggegevens voor de database online gezet, waardoor iedereen op internet die kon benaderen. Het ging om een database met gegevens van mensen die tussen 2015 en 2018 het festival bezochten. Daarna is het festival op een extern ticketsysteem overgestapt. Volgens RTL Nieuws had DGTL per ongeluk de broncode van de website openbaar en doorzoekbaar gemaakt. Daarin waren ook inloggegeven te vinden.

Naast gegevens van DGTL-bezoekers waren hierdoor ook ruim 100.000 e-mailadressen van bezoekers van Pleinvrees toegankelijk, een ander festival van Apenkooi Events. Volgens RTL Nieuws maakte DGTL gebruik van een zwak hashingalgoritme, waardoor het eenvoudig is om de wachtwoordhashes te kraken en zo het bijbehorende wachtwoord te achterhalen.

De tipgever meldde het datalek afgelopen zomer bij zowel DGTL als de webontwikkelaar. De festivalorganisator stelt dat hij de database destijds heeft laten verwijderen en melding heeft gemaakt bij de Autoriteit Persoonsgegevens. Bezoekers werden niet geïnformeerd, omdat dit volgens DGTL een ’te zwaar’ middel’ was. Later bleek dat er nog kopieën van de database online waren te vinden.

“Natuurlijk zijn we eindverantwoordelijk voor de data van onze bezoekers, maar in de jaren waar we het over hebben hadden wij geen mensen met deze technische kennis in huis en besteedden wij dit uit aan externe partijen. Daar moeten we als marketeers ook op vertrouwen”, aldus Jasper Goossen van Apenkooi Events tegenover RTL Nieuws.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl