Gegevens duizenden vliegtuigpassagiers gelekt

Afbeelding: I'm going on a trip van Mariela M. | Licentie: CC BY-NC-SA 2.0

De website van een winkel voor vliegtickets lekte duizenden paspoorten, bankafschriften en creditcards als gevolg van een gebrekkige beveiliging.

In het artikel Tix.nl lekt duizenden paspoorten, bankafschriften en creditcards op nu.nl:

Door een fout in de software van Tix.nl stonden via een onbeveiligde internettoegang ruim 2600 persoonlijke documenten online. […]

Op de server staan honderden kopieën van paspoorten uit onder andere Nederland, Duitsland, Zwitserland, Roemenië, België, de Verenigde Staten en Iran. In één geval gaat het om de kopie van een paspoort van een jonkheer. Ook waren er talloze reisschema’s en boardingpassen te vinden. Daarnaast stonden bij die identiteitskaarten ook afbeeldingen van creditcards met zowel de voorkant als de achterkant met een vertrouwelijke code. Verder waren er afschriften van bankrekeningen, schermafbeeldingen van internetbankieren en creditcardafschriften te lezen. Met die informatie is het mogelijk om creditcardfraude te plegen.

Opmerkelijk zijn ook een drietal brieven van de Duitse politie. Die vorderden informatie in verband met creditcardfraude. Daarbij gaat het om mensen die aangifte hebben gedaan nadat via Tix.nl een bedrag was afgeschreven. Klanten die telefoonkosten claimden, stuurden afschriften van hun mobiele telefoonprovider op, waardoor is af te leiden met wie zij allemaal gebeld hebben. In een handvol gevallen was er ook medische informatie van reizigers te vinden. Meestal had dit van doen met annuleringen, waarbij de medische reden moest worden opgegeven. In één geval werd een reis geannuleerd wegens een sterfgeval, waarbij de overlijdensakte naar Tix.nl was verstuurd.

In een reactie erkent een zegsman van Tix.nl het lek en benadrukt dat het probleem binnen tien minuten was verholpen. Hij legt de schuld bij de leverancier van de software, die volgens hem een fout heeft gemaakt. […]

De leverancier van de gebruikte software OS Ticket, een gratis open-sourceprogramma, benadrukt dat er geen openstaande systemen worden verscheept. Organisaties die de software gebruiker worden er in een handeleiding juist op gewezen de beveiliging dicht te zetten.
Tix.nl heeft dat juist verzuimd te doen.

Tix.nl reageert in een artikel op haar eigen website:

[…] gewezen op het feit dat de software die gebruikt wordt voor het emailverkeer tussen TIX en haar klanten , niet voldoende is beveiligd. Hierdoor is het een derde gelukt om zichzelf toegang te verschaffen tot aangehechte “attachments”. Hierbij gaat het enerzijds om onschuldige attachments zoals kopieën van te declareren rekeningen, emailverkeer met derden et cetera, maar anderzijds gaat het ook om strikt vertrouwelijk informatie zoals kopieën van een creditcard waar TIX.nl in uitzonderlijke gevallen om vraagt. Tix.nl vraagt deze kopieën in gevallen waarbij fraude wordt vermoed. […]

TIX.nl erkent dat de kopieën toegankelijk waren voor derden. Dit had natuurlijk niet mogen gebeuren. Inmiddels heeft TIX.nl de externe softwareleverancier op de hoogte gesteld en het gebruik van deze software met onmiddellijke ingang volledig gestaakt. […] Voorts hebben wij per direct een nieuwe beveiligingsprotocol ingesteld om dergelijke onvolkomenheden in de toekomst te voorkomen.