Ticketscript regelt de kaartverkoop voor veel concerten en festivals. Door een fout in de database van het bedrijf waren de volledige namen, emailadressen en telefoonnummers van klanten openbaar te bekijken, meldt RTL Z na onderzoek van beveiligingsonderzoeker Sijmen Ruwhof voor het programma Opgelicht van AVROTROS.
De onderzoeker stuitte op het lek toen hij probeerde in te loggen in het beheerders-gedeelde van de site. Die database bleek beveiligd met een standaard gebruikersnaam en wachtwoord, waarna Ruwhof onbelemmerd toegang had tot de gegevens.
Geen misbruik
Het gaat daarbij om informatie van bezoekers van onder meer Amsterdam Dance Event, de Dutch Design Week en concerten van DJ Martin Garrix. Van de 250.000 gelekte gegevens ging het in ruim 100.000 gevallen om gegevens van Nederlanders.
De onderzoeker heeft het lek bij Ticketscript gemeld, en het is inmiddels door het bedrijf gedicht. De informatie is volgens de advocaat van het ticketbedrijf niet door kwaadwillenden ingezien, enkel door de beveiligingsonderzoeker.
Kwaadwillenden zouden dergelijke informatie kunnen gebruiken voor bijvoorbeeld phishing-mails of het verspreiden van ransomware. Via het beheerders-gedeelte van de site konden makkelijk kant en klare lijsten met combinaties van namen en e-mails worden geëxporteerd. Omdat ook de ticket-aankopen bekend zijn, zouden kwaadwillenden bijvoorbeeld een nep-rekening hebben kunnen sturen.