Freizeitparks und Zoos: Großes Datenleck bei Zahlungsdienstleister Ticketcounter

Bei dem niederländischen Dienstleister Ticketcounter stand eine Datenbank ungeschützt im Netz. Betroffen sind Einrichtungen wie der Berliner Zoo.

Artikel veröffentlicht am ,
Der Berliner Zoo ist auch von dem Datenleck betroffen.
Der Berliner Zoo ist auch von dem Datenleck betroffen. (Bild: Gemeinfrei)

Beim niederländischen Zahlungsdienstleister Ticketcounter hat es ein Leck mit 1,9 Millionen Kundendaten gegeben. Die Datenbank soll am 21. Februar 2021 in einem Hackerforum zum Kauf angeboten worden sein, berichtete das Portal Bleepingcomputer.com. Zu den Kunden von Ticketcounter zählen nach eigenen Angaben 155 Freizeiteinrichtungen.

Stellenmarkt
  1. IT-Systemtechniker (m/w/d)
    Senior Flexonics GmbH, Kassel
  2. Specialist Appliance Programming & Testing (m/f/d)
    BSH Hausgeräte Gruppe, Dillingen an der Donau
Detailsuche

Laut Bleepingcomputer.com enthält die Datenbank neben den E-Mail-Adressen noch vollständige Namen, Telefonnummern, IP-Adressen und gehashte Passwörter. Laut Ticketcounter-Chef Sjoerd Bakker kam es zu dem Vorfall, weil eine Datenbank für den Test eines Anonymisierungsprozesses auf einen Azure-Server kopiert wurde. Nach dem Kopieren sei die Datenbank aber nicht ausreichend gesichert worden.

Sieben Bitcoins gefordert

Auf der niederländischen FAQ-Seite zu dem Datenleck heißt es, dass keine Passwörter in der Datenbank gestanden hätten. Die IBAN der Kunden könne geleakt worden sein, wenn damit die Eintrittskarten über den niederländischen Dienstleister Ideal bezahlt worden seien. Es müssten keine Accounts zurückgesetzt werden.

  • Die in einem Forum verlinkte Datenbank von Ticketcounter-Kunden enthielt zahlreiche personenbezogene Daten. (raidforums.com/Screenshot: Golem.de)
Die in einem Forum verlinkte Datenbank von Ticketcounter-Kunden enthielt zahlreiche personenbezogene Daten. (raidforums.com/Screenshot: Golem.de)

Die Kriminellen versuchten demnach, von Ticketcounter sieben Bitcoins (rund 337.000 US-Dollar) zu erpressen. Bei Nichtzahlung drohten sie damit, die Kunden des Dienstleisters zu informieren. Weil Ticketcounter nicht auf die Forderung einging und stattdessen selbst seine Kunden informierte, hätten die Kriminellen die Datenbank veröffentlicht.

Berliner Zoo und Tierpark betroffen

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.01.2023, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    12./13.12.2022, virtuell
Weitere IT-Trainings

Der Berliner Zoo und der Tierpark räumten inzwischen ein, von dem Datendiebstahl betroffen zu sein. "Grundsätzlich sind Daten von Personen betroffen, die vor dem 5. August 2020 Buchungen in den Online-Shops getätigt haben. Es kann sich dabei um Name, E-Mail-Adresse und/oder Daten zu den gebuchten Produkten handeln. Nicht betroffen sind Zahlungs- oder Bankdaten", hieß es in der Mitteilung (PDF).

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Möglicherweise betroffene Gäste würden in den kommenden Tagen ausführlich per E-Mail über den genauen Umfang und das weitere Vorgehen informiert. "Für keinen Kunden besteht unmittelbare Gefahr. Es wird nur geraten, auf sogenannte Spam-Nachrichten im E-Mail-Postfach zu achten und möglichst ungeöffnet zu löschen. Links oder Anhänge von nicht vertrauenswürdigen Absendern sollten keinesfalls geöffnet werden", schreibt der Zoo.

Wer überprüfen möchte, ob seine eigene E-Mail-Adresse von dem Datenleck betroffen ist, kann dies auf der Seite Haveibeenpwned.com des Australiers Troy Hunt tun. Ticketcounter will demnächst ebenfalls Ressourcen bereitstellen, um die betroffenen Nutzer zu informieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. Elektroauto: Toyota stellt BZ Compact SUV Concept vor
    Elektroauto
    Toyota stellt BZ Compact SUV Concept vor

    Toyota hat mit dem BZ Compact SUV Concept ein Elektroauto präsentiert, das zeigen soll, was Kunden künftig erwarten können.

  2. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  3. E-Auto-Ranking: Tesla beim ADAC-Vergleich nur im Mittelfeld
    E-Auto-Ranking
    Tesla beim ADAC-Vergleich nur im Mittelfeld

    Der ADAC hat ein neues E-Auto-Ranking für verschiedene Fahrzeugklassen veröffentlicht. Tesla ist demnach nicht mehr der Branchen-Primus.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /