Ethische hackmelding leidt bioscoopketen tot ontdekking andere hacks

"Recent hebben wij vernomen dat er onbevoegde toegang is geweest tot onze webomgeving voor onze online klanten, waardoor onze Vue Cinemas website en app, alsmede de klantgegevens geraakt zijn, die wij daar opslaan", meldt de bioscoopketen in een FAQ over het beveiligingsincident. Vue linkt daarnaartoe via een melding die het nu bovenaan heeft gezet op alle webpagina's op zijn site.

Datalek was niet enige hack

De toegang door onbevoegden is ontdekt na een melding van een ethische hacker en daaropvolgende uitgebreide onderzoeken, aldus de bioscoopketen. De melding is op 24 augustus gedaan, waarbij de ontdekker ook securityjournalist Daniël Verlaan van RTL Nieuws heeft geïnformeerd. Die heeft daags daarna een artikel gepubliceerd over dit datalek, wat nu dus niet de enige hack blijkt te zijn.

"De onderzoeken, uitgevoerd door de externe experts, hebben bevestigd dat de ethische hacker kwetsbaarheden had ontdekt, die door onbevoegden konden worden gebruikt om toegang te krijgen tot de persoonsgegevens van onze online klanten. Het is ook gebleken dat andere onbevoegden dan de ethische hacker toegang hebben gehad tot onze website en app."

Die toegang door derden valt qua impact echter mee, zo stelt Vue in de verklaring nu. "De forensische experts hebben, op basis van de beschikbare logbestanden, echter geconstateerd dat alleen de ethische hacker in beperkte mate persoonsgegevens heeft gedownload om de kwetsbaarheden aan te tonen aan de RTL Nieuws journalist." Beide personen hebben aan Vue schriftelijk bevestigd dat zij die persoonsgegevens definitief hebben verwijderd.

'Geen aanwijzingen'

"De forensische experts hebben geen aanwijzing gevonden dat onbevoegde partijen, anders dan mogelijk de ethische hacker en de RTL Nieuws journalist, persoonsgegevens van onze web omgeving in handen hebben gekregen." Vue verklaart tegenover persbureau ANP dat het daarom gelooft dat het risiconiveau voor klanten "zeer laag" is.

"We hebben onmiddellijk stappen ondernomen om dit probleem op te lossen en wij hebben al onze klanten die hierdoor getroffen zijn, elk per email geïnformeerd." Die mail is vandaag (maandag 16 oktober) verstuurd.

Op de betreffende systemen staan gegevens als namen, mailadressen en geboortedata. Ook registreert het bedrijf adresgegevens en bankrekeningnummers van sommige gebruikers. Zulke gegevens kunnen interessant zijn voor cyberfraudeurs. Daarom moeten mensen voorzichtig zijn met verdachte mails en telefoontjes. Het datalek is ook gemeld bij de Autoriteit Persoonsgegevens.

Excuses aan klanten

"Wij begrijpen dat dit incident aanleiding kan zijn voor vragen. Wij vinden de privacy en het veilig bewaren van de persoonsgegevens van onze klanten erg belangrijk en wij bieden u onze oprechte excuses aan voor het ongemak dat deze kwestie mogelijk heeft veroorzaakt. Wij vinden het belangrijk om u nadere informatie te verschaffen en u te laten weten wat wij hebben gedaan om het beveiligingsincident aan te pakken."

De genomen maatregelen bestaan uit een reeks stappen. Ten eerste heeft Vue de kwetsbaarheden verholpen. Ten tweede heeft het van de ethische hacker en van RTL-journalist Verlaan de bevestiging gekregen dat zij alle verzamelde gegevens hebben verwijderd en met niemand hebben gedeeld.

Extra maatregelen

Ten derde heeft het bedrijf extra beveiligingsverbeteringen doorgevoerd. Deze zijn gebaseerd op de beveiligings- en forensische audits van de eigen website, uitgevoerd door onafhankelijke externe experts. En ten vierde heeft Vue extra beveiligingscontroles en monitoring geïmplementeerd "om ervoor te zorgen dat wij zo goed mogelijk voorbereid zijn om soortgelijke incidenten in de toekomst te detecteren en te voorkomen."