De klantgegevens van honderdduizenden dierentuin- en pretparkbezoekers zijn gelekt. Door een menselijke fout plaatste Ticketcounter een bestand met deze gegevens openbaar online, bevestigt het bedrijf aan NU.nl. In het bestand staan bankrekeningnummers, namen en geboortedata van bezoekers van onder meer Diergaarde Blijdorp, de Apenheul en Duinrell.

Ticketcounter ontdekte vorige week dat de gegevens werden verkocht via het darkweb, een anoniem onderdeel van het internet dat niet met reguliere browsers toegankelijk is. Het bedrijf heeft inmiddels het betreffende bestand offline gehaald en verwijderd. Criminelen hebben hier dus echter al kopieën van gemaakt.

De criminelen proberen daarnaast met de gestolen gegevens Ticketcounter te chanteren. Betaalt het bedrijf 7 bitcoin, dan zeggen de criminelen de gegevens te verwijderen. 7 bitcoin is op moment van schrijven zo'n 280.000 euro waard. Ticketcounter zegt dit niet te gaan betalen en heeft aangifte gedaan.

Getroffen klanten plaatsten tussen begin 2017 en 4 augustus 2020 een bestelling via Ticketcounter. Het gaat om klanten die een kaartje kochten voor musea, Diergaarde Blijdorp, de Apenheul, Duinrell en evenementen als Keukenhof, VT Wonen Beurs en Schaatsbaan Rotterdam.

Tientallen bedrijven maken gebruik van software Ticketcounter

Ticketcounter kan niet zeggen hoeveel en welke bedrijven er van zijn software gebruikmaken. "Sommige partners zijn nog druk bezig om hun klanten in te lichten. Daarom willen wij ze niet onder druk zetten door ze nu al te noemen", zegt Ticketcounter-directeur Sjoerd Bakker tegen NU.nl. "Het gaat niet om honderden bedrijven, maar het zijn er wel meer dan tientallen."

Het is ook niet duidelijk om hoeveel klanten het gaat. In het bestand staan 1,5 miljoen tot 1,8 miljoen e-mailadressen. Hierin worden ook mailadressen dubbel geteld van mensen die bijvoorbeeld kaartjes kochten bij twee verschillende dierentuinen. Bakker denkt dat het om enkele honderdduizenden klanten gaat.

In het bestand staan veel belangrijke gegevens van klanten, zoals naam, mailadres, telefoonnummer, adres, geboortedatum en IBAN. Wachtwoorden of creditcardgegevens zijn niet gelekt. Met de gelekte gegevens kunnen criminelen zeer gerichte phishingmails sturen. Klanten worden daarom aangeraden hierop waakzaam te zijn.

De bedrijven hebben getroffen klanten ingelicht over het lek. Ook is er een melding gemaakt bij de Autoriteit Persoonsgegevens, verplicht bij dergelijke datalekken. Gebruikers kunnen bij de websites van onder meer Diergaarde Blijdorp en Dierenpark Amersfoort hun e-mailadres invullen en worden dan per mail geïnformeerd of en welke gegevens er bij Ticketcounter bekend zijn.