De gegevens van ruim 250.000 bezoekers van concerten en festivals waren een tijd lang voor iedereen in te zien. De oorzaak van het lek was een fout van ticketbedrijf Ticketscript dat voor veel concerten en festivals de kaartverkoop verzorgt.
Beveiligingsonderzoeker Sijmen Ruwhof kwam erachter dat de volledige namen, e-mailadressen en telefoonnummers van de klanten te zien waren. Hij ontdekte dat hij eenvoudig kon inloggen in het beheerdersgedeelte van de site: de database was beschermd met een standaard – en dus gemakkelijk te raden – gebruikersnaam en wachtwoord.
Amsterdam Dance Event
Van de 250.000 klanten zijn 100.000 klanten Nederlanders. Het gaat om bezoekers van festivals zoals Amsterdam Dance Event, de Dutch Design Week en concerten van DJ Martin Garrix. Onderzoeker Ruwhof heeft Ticketscript geïnformeerd over het datalek, waarna het bedrijf het lek heeft gedicht.
Fake-rekeningen
De advocaat van Tickerscript stelt dat de gegevens alleen door Ruwhof zijn ingezien en niet door anderen. Als dat wel het geval zou zijn, dan zouden kwaadwillenden de gegevens kunnen aanwenden voor het maken en verspreiden van bijvoorbeeld phishing-mails, ransomware en fake-rekeningen.