Het soort van datalek dat je moet melden – en niemand toewenst

aerticket630420We hebben nu iets meer dan een halfjaar de wettelijke regels van kracht die beschrijven wie, wanneer, hoe welk soort van datalek moet melden. Begin maart stond de teller bij de toezichthouder Autoriteit Persoonsgegevens op 700 meldingen, per eind juli zouden dat er al 1.600 zijn. Het is duidelijk: er wordt flink gemeld, wat er wordt gemeld dat blijft deels in het duister. Echte grote klappers zijn er nog niet bekend gemaakt.

Onze Oosterburen hadden tot voor kort de zelfde vreemde situatie: er werd flink wat gemeld, maar niets wees er op dat een ramp van het formaat [vul hier enig omvangrijk datalek uit de VS] had plaatsvonden. Nou die schijnbare veiligheid kunnen ze in Duitsland sinds gisteren begraven. Goede timing ook want het datalek dat nu bekend is geworden betreft een reissite en een deel van Duitsland moet nog op vakantie.

Het draait om de website van Cosmita, deel van Aerticket (leuze: ticket van profi’s voor profi’s) wat een groothandel voor vliegtuigtickets is. Die website was tot voor kort heel erg lek. Zonder enige moeite (dat klinkt als het veranderen van de url) konden willekeurige boekingen worden bekeken. Wat er aan persoonsgegevens is gelekt is in ieder geval (!) NAWT, bankgegevens en de tickets zelf. Dit lek zou zomaar een aantal grootschalige professionele gepersonaliseerde spamruns in Duitsland kunnen verklaren, al wordt op dit moment nog volgehouden dat cyberboefjes er geen weet van gehad hebben. Klap op de vuurpijl lijkt te zijn dat het lek er gewoon jaren is geweest. Met 1,5 miljoen boekingen per jaar moet dit sinds 2011 een goudmijn voor hele hordes cybercriminelen zijn geweest.

Grootste vraag op dit moment: waarom is dit niet eerder bekend geworden? Moeten dit soort e-commerce sites niet regelmatig ge-audit worden?

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.