DGTL lekte duizenden gegevens via een oude database die makkelijk te kraken was. Door het datalek liggen wachtwoorden, adressen, telefoonnummers en andere persoonsgegevens van bezoekers van het dancefestival op straat.
Per toeval stuitte een anonieme Nederlandse hacker op het probleem. Hij had geen zin om in de wachtrij te moeten staan voor een kaartje. Terwijl hij de rij probeerde te omzeilen, vond hij de inloggegevens van de boosdoener: een verouderde database. Ook kon hij daarmee de website bewerken. De gegevens dateren van 2015 tot 2018.
De hacker meldde het probleem al in juli bij de organisatie van DGTL. Het lek werd na de melding niet opgelost, waarop hij besloot om RTL Nieuws te tippen.
Gelekte persoonsgegevens
Het gehackte systeem bevat veel gevoelige gegevens, zoals telefoonnummers en (email-)adressen. Ook 109.390 versleutelde wachtwoorden zijn gelekt. Uit het artikel van RTL Nieuws blijkt dat deze binnen een mum van tijd te kraken zijn. De versleutelingstechniek voldoet al jaren niet meer aan de beveiligingsvereisten. Hoewel het lek ondertussen is verholpen, blijft het raadzaam om je wachtwoorden te veranderen. Ook de website van DGTL is momenteel offline.
De organisatie van DGTL liet ook gegevens van Pleinvrees-bezoekers tussen 2015 en 2018 lekken. Daarna stapte de organisatie over op een ander systeem. Bezoekers die zich dus na 2018 hebben geregistreerd, zijn niet de dupe van het lek.
Getroffen maatregelen
De directeur van Apenkooi Events, het bedrijf achter DGTL, Pleinvrees en Straf_Werk, heeft inmiddels gereageerd. Na de melding van de hacker in juli, is er een lek opgelost. Het zou echter kunnen dat dit om een ander datalek ging dan die de hacker bedoelde. Ook bleken er nog kopieën te bestaan. Er is een onderzoek gestart en melding gedaan bij de Autoriteit Persoonsgegevens. Apenkooi Events heeft ook een specialist op het gebied van privacy ingeschakeld. Ze beloven beter hun best te doen in de toekomst.
Het Amsterdamse festival kwam vorige week nog heuglijk in het nieuws: de data voor 2023 zijn bekend. De website om je daarvoor te pre-registreren staat (nog) online.
