Festival DGTL lekt wachtwoorden en privégegevens 130.000 bezoekers

DGTL heeft na melding het lek gedicht en gaat gedupeerde bezoekers op de hoogte stellen van het datalek, bevestigt Jasper Goossen, ceo van organisator Apenkooi Events. Ook wordt er melding gedaan bij de Autoriteit Persoonsgegevens. 

Gelekte wachtwoorden en privégegevens zijn in trek bij cybercriminelen. Met wachtwoorden proberen ze gedupeerden te hacken. De privégegevens worden veelal gebruikt voor phishingaanvallen en (telefonische) oplichtingstrucs.

Wachtwoorden en privégegevens

Het gaat in totaal om 109.390 gelekte wachtwoorden. Die wachtwoorden moeten eerst nog worden gekraakt, wat gebruikelijk is na een datalek. Bij DGTL is dat een fluitje van een cent: de wachtwoorden zijn zeer zwak versleuteld en veelal binnen enkele minuten te kraken. Het festival leunt op een versleuteling die al in 2008 als 'kapot en ongeschikt voor verder gebruikt' werd bestempeld. 

Naast wachtwoorden gaat het om volledige namen, e-mailadressen, geboortedatums, woonadressen en tienduizenden 06-nummers. Het gaat om bezoekers die tussen 2015 en 2018 het festival bezochten. Daarna is DGTL overgestapt op een extern ticketsysteem en is de database niet meer verder gebruikt. 

"Deze data zijn stom genoeg online blijven staan", stelt Goossen. "De privégegevens van onze bezoekers zijn heel belangrijk voor ons en hadden niet op deze manier nog toegankelijk mogen zijn." DGTL doet momenteel onderzoek naar of onbevoegden toegang hebben gehad tot deze data.

Pleinvrees en site overnemen

DGTL had per ongeluk de volledige technische code van zijn website openbaar en doorzoekbaar gemaakt. In die code kon je zoeken op termen als 'user' en 'pass' om vervolgens de inloggegevens te vinden. De database die DGTL nog gebruikte was al jaren niet geüpdatet en zat vol andere beveiligingslekken.

Met de inloggegevens kreeg je niet alleen toegang tot de database, maar ook tot alle ruim 100.000 e-mailadressen van bezoekers van Pleinvrees, een ander populair festival van Apenkooi Events. Daarnaast was het mogelijk om de website van DGTL aan te passen en bijvoorbeeld eigen nieuwsberichten toe te voegen. 

Anonieme Nederlandse hacker

RTL Nieuws kwam het lek op het spoor via een tip van een anonieme Nederlandse hacker. Hij probeerde via de websites kaartjes te kopen voor DGTL, maar had geen zin om in de digitale rij te staan. De hacker wilde kijken of hij de wachtrij kon omzeilen en stuitte toen op de inlognaam en wachtwoord van de database.

Tot zijn grote verbazing kreeg hij toegang tot de wachtwoorden en privégegevens van zo'n 130.000 mensen. Hij meldde het lek afgelopen zomer bij zowel DGTL als de ontwikkelaar van de site, maar die wezen naar elkaar, stelt hij. Toen het lek na een paar maanden nog steeds niet was gedicht, besloot hij om naar de media te stappen.

Lek gemeld 

Goossen stelt dat hij toentertijd de database heeft laten verwijderen en melding heeft gedaan bij de Autoriteit Persoonsgegevens. De bezoekers zijn niet geïnformeerd omdat dit volgens DGTL een 'te zwaar' middel zou zijn. De database bleek later niet daadwerkelijk te zijn verwijderd, omdat er nog kopieën te vinden waren.

"Natuurlijk zijn we eindverantwoordelijk voor de data van onze bezoekers, maar in de jaren waar we het over hebben hadden wij geen mensen met deze technische kennis in huis en besteedden wij dit uit aan externe partijen. Daar moeten we als marketeers ook op vertrouwen."

Beterschap

DGTL, dat met 45.000 bezoekers één van de grootste technofestivals van Nederland is, belooft beterschap.

Het festival heeft onder andere een medewerker aangenomen die kennis van technologie en privacy heeft en verantwoordelijk is voor de privégegevens van alle bezoekers.