Tix.nl lekt duizenden paspoorten, bankafschriften en creditcards

SCHIPHOL - Door een fout in de software van Tix.nl stonden via een onbeveiligde internettoegang ruim 2600 persoonlijke documenten online.

Tussen de bestanden zaten kopieën van paspoorten, financiële gegevens, medische informatie van reizigers, een overlijdensakte en diverse brieven van de Duitse politie.

Dat ontdekte een hacker met pseudoniem Elise Deroche, van het Nederlands Genootschap van Hackende Huisvrouwen. Het bedrijf bleek de informatie gewoon op een webserver te hebben staan, die volledig publiek toegankelijk was. De meeste recente documenten zijn slechts een paar dagen oud.

Financiële gegevens

Op de server staan honderden kopieën van paspoorten uit onder andere Nederland, Duitsland, Zwitserland, Roemenië, België, de Verenigde Staten en Iran. In één geval gaat het om de kopie van een paspoort van een jonkheer. Ook waren er talloze reisschema’s en boardingpassen te vinden.

 Daarnaast stonden bij die identiteitskaarten ook afbeeldingen van creditcards met zowel de voorkant als de achterkant met een vertrouwelijke code. Verder waren er afschriften van bankrekeningen, schermafbeeldingen van internetbankieren en creditcardafschriften te lezen. Met die informatie is het mogelijk om creditcardfraude te plegen.

Duitse politie

Opmerkelijk zijn ook een drietal brieven van de Duitse politie. Die vorderden informatie in verband met creditcardfraude. Daarbij gaat het om mensen die aangifte hebben gedaan nadat via Tix.nl een bedrag was afgeschreven. Klanten die telefoonkosten claimden, stuurden afschriften van hun mobiele telefoonprovider op, waardoor is af te leiden met wie zij allemaal gebeld hebben.

 In een handvol gevallen was er ook medische informatie van reizigers te vinden. Meestal had dit van doen met annuleringen, waarbij de medische reden moest worden opgegeven. In één geval werd een reis geannuleerd wegens een sterfgeval, waarbij de overlijdensakte naar Tix.nl was verstuurd.

 Opmerkelijk zijn ook klachten van reizigers en de afwikkeling ervan. Zo weigerde Kenia Airways een schadevergoeding voor annulering van de vlucht, omdat ze stellen dat een technisch gebrek aan het vliegtuig als overmacht valt te interpreteren. Een andere reiziger wilde het geld terug van een KLM-vlucht naar Afrika, omdat de Marechaussee een uitzetting op mensonterende manier zou hebben uitgevoerd.

Identiteitsdiefstal

Hacker Elise heeft geen goed woord over voor de situatie. "In een aantal gevallen gaat het om heel gevoelige informatie. Als die aan een persoon te linken is dan is dat kwetsend”, stelt ze tegenover NU.nl. “Daarnaast levert Tix identiteitsdieven alle informatie voor fraude op een presenteer blaadje aan.”

 In een reactie erkent een zegsman van Tix.nl het lek en benadrukt dat het probleem binnen tien minuten was verholpen. Hij legt de schuld bij de leverancier van de software, die volgens hem een fout heeft gemaakt. “Ze hebben al een tijd geen nieuwe releases van de software uitgebracht”, stelt hij tegenover NU.nl. “We hebben het gat zelf als niet-bouwer van het pakket binnen tien minuten kunnen dichten.”

Het bedrijf bestrijdt de gevoeligheid van de gegevens. In veel voorbeelden met creditcardgegevens zou het ook gaan om oplichters die geld van het bedrijf proberen te krijgen en daar vervalste persoonsbewijzen bij gebruiken.

Desgevraagd ontkent hij bij pogingen tot fraude de valse documenten beschikbaar te stellen aan de politie. NU.nl heeft zowel melding gemaakt bij het Nederlands Openbaar Ministerie als bij de Duitse Justitie.

Open source

De leverancier van de gebruikte software OS Ticket, een gratis open-sourceprogramma, benadrukt dat er geen openstaande systemen worden verscheept. Organisaties die de software gebruiker worden er in een handleiding juist op gewezen de beveiliging dicht te zetten.

Tix.nl heeft dat juist verzuimd te doen. In een nieuwe versie worden documenten in de database opgeslagen 'omdat niet iedere beheerder evengoed getrained is'.

Tip de redactie