Het softwarebedrijf NextSelect uit Enschede werd in 2022 gehackt door een toen nog 27-jarige Amsterdammer, meldt regionale omroep Oost. De server zou volgens de verdachte zijn beveiligd met het simpele wachtwoord ‘Welkom01’.
Het systeem dat NextSelect heeft ontworpen voor onder meer ID&T Group, festivalorganisator van onder andere Mysteryland en Defqon.1, is in de zomer van 2022 gehackt. Als gevolg daarvan zijn de gegevens van 104 duizend gasten, artiesten en crewleden op straat komen te liggen. De woordvoerder van ID&T Group laat in een reactie weten dat het geen gegevens van ticketkopers betreft.
Welkom01
De nu 28-jarige man is software-engineer van beroep en was nieuwsgierig naar hoe websites en systemen van een festivalorganisatie als ID&T Group beveiligd zijn. Ook wilde hij zichzelf op de gastenlijst zetten.
Al snel bleek dat bepaalde beveiligingsprotocollen niet goed waren opgevolgd. "Met de inlog administrator en Welkom01 was ik in hun systeem”, wordt de verdachte geciteerd door de regionale omroep Oost. Een sterk wachtwoord is dus van uiterst belang. Voorkom dat jouw online accounts worden gehackt en ontdek de tips hoe je een veilig en sterk wachtwoord aanmaakt.
Bijna een ton aan schade
Volgens NextSelect is de schade van de hack 47 duizend euro. Ook The Support Group is getroffen en eist 50 duizend euro van de verdachte. Volgens de officier van justitie was het een ‘langdurig en gerichte hack’ en is de schade groot. Hoewel de man heeft bekend, weigert hij om het wachtwoord van zijn Macbook te geven, waar de hack hoogstwaarschijnlijk mee is gepleegd.
Maatregelen na het incident
ID&T Group heeft na ontdekking van het lek melding gemaakt bij de Autoriteit Persoonsgegevens (AP), betrokkenen geïnformeerd en de tool van de leverancier offline gehaald. De gedupeerden moesten persoonlijk op de hoogte worden gebracht van het incident, zo verplichtte de AP de gehackte bedrijven.
De festivalorganisator laat weten: "Bij onze nieuwe leverancier hebben we contractueel strengere voorwaarden opgenomen om ervoor te zorgen dat de situatie zich hopelijk niet herhaalt."
Gevangenisstraf
Hoewel de verdachte niets heeft gedaan met de honderdduizenden persoonsgegevens, komt de Amsterdammer er niet zonder kleerscheuren vanaf. Justitie eist een gevangenisstraf van twintig maanden, waarvan vijf maanden voorwaardelijk, met een proeftijd van drie jaar. Het OM rekent het de Amsterdammer zwaar aan dat hij de desbetreffende bedrijven niet heeft gewaarschuwd over de kwetsbaarheden.
Zijn advocaat noemt de strafeis buitenproportioneel. De Amsterdammer wordt binnenkort voor de tweede keer vader en heeft geen strafblad. Volgende maand doet de rechter uitspraak in de zaak.