Ga naar de inhoud
Weerbericht
°
Verkeersinformatie
 km
OV reisinformatie - OV
Zoeken
Selecteer thema Donker/licht thema
1,5 miljoen klantgegevens

Hoe Ticketcounter-directeur Sjoerd na datadiefstal appte met een crimineel

Door
Stan Hulsen
Directeur Sjoerd Bakker in het Ticketcounter-kantoor in Rotterdam Beeld © RTL Nieuws

Twee jaar geleden werden bij Ticketcounter klantgegevens gestolen. Directeur Sjoerd Bakker werd gechanteerd en geïntimideerd. Hij weigerde de gevraagde kwart miljoen euro te betalen en deed aangifte bij de politie. Nu meerdere verdachten zijn gepakt, geeft hij RTL Nieuws een unieke inzage in het contact met een crimineel.

Sjoerd Bakker, de directeur van Ticketcounter, schrikt zich dood als iemand met een onbekend Portugees nummer hem op 26 februari 2021 appt. "We hebben alle klantgegevens van uw bedrijf in handen gekregen", leest hij. De persoon achter het nummer wil van hem weten of ze 'iets kunnen regelen om de reputatie van uw bedrijf of die van uw partners niet te schaden'.

7 bitcoins

De oplichter wil 7 bitcoins zien, op dat moment ruim 250.000 euro. In ruil daarvoor belooft hij de gegevens te vernietigen in plaats van verder te verspreiden. Ook dreigt hij de Autoriteit Persoonsgegevens (AP) op de hoogte te brengen. "De boetes waartoe dit zal leiden zullen veel hoger zijn dan het bedrag dat wij vragen om dit alles te laten verdwijnen."

In januari zijn drie mensen aangehouden voor de diefstal van en handel in gegevens van Ticketcounter en tientallen andere Nederlandse bedrijven, maakt de politie vandaag bekend. Bakker is opgelucht. "Dit soort mensen hebben geen benul wat zij aanrichten. Niet alleen bedrijven zijn de dupe, maar ook de mensen waarvan gegevens gestolen zijn. Want die kunnen worden gebruikt voor verdere oplichting."

Drie
Lees ook:
Drie aanhoudingen voor enorme datadiefstal: 'Zit van alle Nederlanders iets bij'

Vier dagen voor de chantage weet Bakker al dat er iets mis is. Persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum worden aangeboden op hackersforum RaidForums. "Echt waardevol voor spam en marketing", adverteert de verkoper.

Persoonlijke gegevens van 1,5 miljoen mensen

Vanaf die maandag 22 februari staat alles in het teken van het afhandelen van het incident. Ticketcounter vindt de locatie waar het gestolen bestand openbaar staat en verwijdert het. "We dachten dat alleen namen en e-mailadressen waren gelekt", zegt Bakker. Maar omdat de gegevens zijn verwijderd, is het niet mogelijk om de exacte schade te bepalen.

In de loop van de week heeft Bakker contact met Troy Hunt, een bekende Australische analist van gelekte gegevens. Ook hij bezit het bestand. Daarmee kan Ticketcounter de omvang wel vaststellen. Het blijkt te gaan om een volledige back-up met gegevens van zeker 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers.

Datalek
Lees ook:
Datalek treft 1,5 miljoen klanten dierentuinen en pretparken

Zaterdagavond - een dag na het bericht van het Portugese nummer - rijdt Bakker naar het hoofdbureau van de politie Rotterdam. Daar wordt zijn telefoon aan speciale apparatuur gekoppeld. Om hem heen zitten mensen die hem zullen begeleiden in contact met de chanteur. In een andere kamer zitten technisch specialisten. "We gaan ze proberen te pakken", hoort hij.

Appcontact met een crimineel

Eerder die dag heeft hij vier telefoontjes van het nummer gekregen, maar niet opgenomen. "Het doel was om hem mij opnieuw te laten bellen", zegt Bakker. Als er contact is, kan de politie informatie uitlezen die kan helpen om de crimineel te pakken.

Iets voor 21.00 uur probeert Bakker het Portugese nummer te bellen. Geen gehoor.

Met politieagenten om zich heen probeert Bakker het via WhatsApp. "Zij vertelden wat ik tegen de afpersers moest zeggen. In mijn eigen woorden, want ze moesten niet doorkrijgen dat ik bij de politie zat."

Sjoerd Bakker:
[21.00 uur] Je vroeg me om contact op te nemen en je beantwoordt mijn oproep niet

Portugees nummer:
[21.11 uur] Hoi. Er is 0 spraak in dit alles.
[21.15 uur] Gebruik je toetsenbord. ;)

Sjoerd Bakker:
[21.19 uur] Je hebt me vanmiddag 4 keer gebeld. Je hebt mijn leven verpest en nu wil je niet met me praten? Neem de telefoon op!

Portugees nummer:
[21.20 uur] er is geen 'telefoon'
[21.21 uur] maandag 12 uur in jouw tijd zal alle gegevens aan 2 kopers verkopen en op forums publiceren als je niet hier communiceert

Sjoerd Bakker:
[21.23 uur] Ik begrijp niets van wat je wilt. Als je iets van me wilt, wil ik je spreken

Portugees nummer:
[21.24 uur] ben je blind?
[21.25 uur] nadat we contact hebben ontvangen, geven we je een deadline van 72 uur waarin we je zullen vragen om 7 bitcoin te sturen
[21.25 uur] Voel je vrij om te onderhandelen. Of niet te betalen, het is aan jou
[21.32 uur] lees mijn eerste bericht nog eens als je echt niet begrijpt 'wat ik wil of ga doen'

Sjoerd Bakker:
[21.34 uur] Fuck you. Ik betaal niets aan iemand die niet met me wil praten. Als je niet wil bellen, ben ik er klaar mee. Ik zal mijn klanten informeren en mijn verlies nemen. Succes met je waardeloze oplichterij.

Portugees nummer:
[21.40 uur] Ok :)
[21.47 uur] hier om te praten als je van gedachten verandert of wilt onderhandelen

Zondagochtend meldt de crimineel zich weer bij Bakker. De prijs is verlaagd tot 3 bitcoin, ruim 100.000 euro. Het alternatief: alle gegevens worden openbaar gemaakt. Opnieuw dreigt de persoon met reputatieschade en mogelijke boetes van de AP.

Een dag later komt het nieuws over het datalek naar buiten. Voor de persoon met het Portugese telefoonnummer valt er dan niets meer te halen: 'rip bedrijf', is een van zijn laatste berichten. Zo ver is het niet gekomen, zegt Bakker twee jaar later. "We zijn geen enkele klant kwijtgeraakt. Met dat gesprek kon ik tijd winnen. Die 72 uur die ik kreeg, kon ik gebruiken om mijn klanten van tevoren al op de hoogte te brengen."

Maar ook als het incident in de openbaarheid is gekomen, houdt het niet op. Later die week benadert iemand met een Chileens telefoonnummer hem. Hij verwijst naar het eerdere gesprek en laat doorschemeren dat hij weet met wie Bakker getrouwd is.

"Dat was voor ons verschrikkelijk bedreigend", zegt Bakker. "Ik hoopte dat duidelijk was dat er niets meer te halen viel. Het kwam over alsof hij wraak wilde nemen. Gelukkig heb ik er uiteindelijk niets meer van gehoord."

Opluchting door arrestaties

Nu is Bakker vooral blij dat er meerdere verdachten zijn gepakt. "Natuurlijk hadden we moeten voorkomen dat onze gegevens openbaar online stonden. Als je fiets wordt gestolen omdat je het schuurtje vergeet op slot te doen... da's niet handig, maar het blijft pure diefstal. Toen we onze back-up daar neerzetten, hadden we beter moeten opletten."

"Het belangrijkste is dat deze mensen zijn opgepakt. Ik wil dat ze weten wat ze mijn bedrijf en mijn klanten hebben aangedaan."

Verantwoording

RTL Nieuws had voor deze reconstructie onder meer inzage in een dagboek, chats en een gearchiveerde pagina van RaidForums, een forum dat vorig jaar door Europese politiediensten offline is gehaald. Tekst van dat forum en chatgesprekken zijn voor de leesbaarheid vertaald vanuit het Engels.

Net binnen

Meer nieuws

Gerelateerde artikelen

Honderden bezoekers concert Harry Styles gestrand in Amsterdam
Treinstoring NS

Honderden bezoekers concert Harry Styles gestrand in Amsterdam

Vannacht geen treinen meer rond Amsterdam, ochtend nog onzeker
Opvang in Ziggo Dome

Vannacht geen treinen meer rond Amsterdam, ochtend nog onzeker

Grote heidebrand in Limburg na uren blussen onder controle
Nog uren nablussen

Grote heidebrand in Limburg na uren blussen onder controle

Pizzabezorger (17) overleden na botsing met trein in Emmen
Op bewaakte overgang

Pizzabezorger (17) overleden na botsing met trein in Emmen

Treinverkeer Amsterdam weer plat: 'Zoek alternatief vervoer'
Computerstoring

Treinverkeer Amsterdam weer plat: 'Zoek alternatief vervoer'

Auto met jong kind erin rolt in het water, niet op handrem
Met de schrik vrij

Auto met jong kind erin rolt in het water, niet op handrem