Houd het niet onder de pet
Deze lessen leerde Ticketcounter na datalek en afpersing
Ticketcounter in 2021 slachtoffer van datalek, drie verdachten nu gearresteerd.
door Eveline Meijer, beeld Privéfoto
Ticketcounter kwam bijna precies twee jaar geleden groot in het nieuws: het bedrijf werd het slachtoffer van een datadiefstal die leidde tot een datalek. Persoonlijke gegevens van 1,5 miljoen mensen vielen in verkeerde handen, waarna CEO Sjoerd Bakker door de criminelen werd afgeperst. Hij besloot niet te betalen en direct openheid van zaken te geven. Inmiddels zijn drie verdachten gearresteerd en deelt hij zijn verhaal en de lessen die hij leerde.
Ticketcounter is een zogeheten ticketingpartner: het bedrijf regelt in opdracht van dierenparken, pretparken, musea en evenementen reserveringen en betalingen online en on-site. Dat betekent dat het behoorlijk wat persoonlijke gegevens van de klanten van deze partners verwerkt.
Eind februari 2021 komt het bedrijf in een ware nachtmerrie terecht. “Op 22 februari kregen we een e-mail van KPN Security, met daarin een screenshot van een hackersforum waar data werd aangeboden en wat bewijslast van wat voor data daarin zat”, vertelt CEO Sjoerd Bakker nu aan AG Connect. Uiteindelijk blijkt het te gaan om een backup van een productiedatabase, met daarin e-mailadressen, namen, bankgegevens en geboortedata van 1,5 miljoen Nederlanders.
De bron van die gegevens wordt snel gevonden: een container blijkt publiekelijk toegankelijk via het internet. “Als je vroeger een container aanmaakte in Microsoft Azure stond ‘public access’ daar standaard aan. Als je de URL’s naar de bestanden kent, kun je die dan dus direct downloaden”, verklaart Bakker. “Een aantal jaar geleden hebben we een container aangemaakt die ‘backup’ heette, waar deze data dus in stond en waar public access dus ook aan stond. Iemand heeft dat gevonden en is dat gaan downloaden.”
Afpersen via WhatsApp
Ticketcounter meldt het incident bij de Autoriteit Persoonsgegevens en begint een communicatieplan op te stellen voor zijn klanten. Te midden van al die stress wordt de situatie voor Bakker nog erger: op 26 februari 2021 ontvangt hij een WhatsApp-bericht van een Portugees nummer. “Die persoon zei dat hij onze data had. Als we niet wilden dat het op straat zou belanden, moesten we 7 bitcoins [destijds zo’n 250.000 euro, red.] betalen. Daar had ik 72 uur voor”, herinnert Bakker zich. “Een vreselijk gevoel. Je zit op dat moment al in de stress en dan komt dit er ook nog overheen.”
Bakker maakt snel een besluit: betalen is geen optie. “Dus ik dacht: ik heb nu 72 uur de tijd om alle klanten te informeren. Ik wil dat ze het van mij horen, niet van de afpersers.” De CEO zet dan ook alles in werking om klanten zo snel mogelijk op de hoogte te stellen van de situatie.
Die maandag bevindt Ticketcounter zich in een ware mediastorm, als gevolg van het grote datalek. Maar ondanks de enorme hoeveelheid aandacht destijds, heeft Bakker ook nu absoluut geen spijt van zijn keuze om zelf naar buiten te treden. Sterker nog, hij adviseert om iedereen die het slachtoffer wordt van een aanval hetzelfde te doen. “Onze klanten waren heel blij dat wij ze zelf op de hoogte stelde, ook al baalden ze dat hun klantgegevens op straat kwamen te liggen. Dus geef gewoon direct openheid van zaken. Houd het niet onder de pet, want als mensen er achteraf achter komen is dat nog veel vervelender. Dus ga direct met de billen bloot en accepteer de pijn.”
“Ga direct met de billen bloot en accepteer de pijn”
Ticketcounter-CEO Sjoerd Bakker
Controleer en oefen
Het incident heeft ervoor gezorgd dat Ticketcounter diverse waardevolle lessen heeft geleerd. “Tegenwoordig moet je zelf je containers expliciet openbaar maken, maar destijds was het de standaard. Dus check al je containers: staat er iets open? Als je lang geleden een container in Microsoft Azure hebt aangemaakt, bestaat de kans dat deze standaard openstaat.”
En ook andere basismaatregelen kunnen veel problemen voorkomen. “Dat zijn echt hele simpele dingen, zoals dat je zorgt dat als mensen in dienst krijgt, zij accounts en rechten krijgen. En als ze weer uit dienst gaan, die dingen worden ontnomen”, adviseert Bakker. “Controleer welke computers met het internet verbonden zijn. Wat staat daar op? Wie mag daar bij komen? Breng dat allemaal in kaart.” Zelf heeft hij de stap genomen om Ticketcounter te laten certificeren op ISO 27001, een norm op het gebied van informatiebeveiliging die organisaties dwingt om hier goed mee om te gaan.
“Het communicatieplan ligt nu ook klaar”, voegt de CEO toe. “Destijds heb ik diverse grote bedrijven om hulp gevraagd, maar die deden nog geen communicatie. Dus dat hebben we toen zelf gedaan. Gelukkig heeft dat goed uitgepakt: als je als directeur direct met klanten communiceert, komt dat toch eerlijker over.”
Maar plannen alleen klaar hebben liggen, is niet voldoende. “Eén van mijn grootste partners zei: we hadden dit allemaal klaar liggen. We hadden echt het gevoel dat we een compleet leger hadden uitgerust met wapens. Maar toen de oorlog uitbrak, wisten we niet hoe die wapens werkten. Dus zorg dat je dit een keer traint.”
Doe altijd aangifte
Mocht er ondanks alle maatregelen toch wat fout gaan – 100% bescherming bestaat immers niet – doe dan aangifte, benadrukt Bakker. “Want alleen dan wordt er aandacht aan besteed en tijd voor vrijgemaakt bij de politie.”