Broncode
Een 28-jarige hacker wist, door eind juli 2022 in te breken in een systeem, de hand te leggen op de broncode en binnen te dringen in een database. Daarop stonden niet alleen gegevens over de evenementen van de bedrijven The Support Group en ID&T maar ook persoonsgegevens van alle personen met een account, gegevens van artiesten en crewleden van festivals. De strafeis van het OM tegen een 28-jarige verdachte uit Amsterdam: een gevangenisstraf van 20 maanden, waarvan 5 voorwaardelijk.
OM: 'Geen kwajongensstreek'
“Hier was absoluut geen sprake van een kwajongensstreek”, zo stelt de officier van justitie vandaag voor de rechtbank in Almelo tijdens de motivering van de strafeis. “Aan deze hack ging een maandenlange voorbereiding vooraf. Het was goed opgebouwd, met een enorme digitale buit als opbrengst. Het gedrag van verdachte is te vergelijken met een uitgebreide woninginbraak over meerdere dagen: eerst voelen aan alle ramen en deuren, dan eentje open krijgen, dan doorgaan naar raam twee en telkens de geopende ramen en deuren open houden met een klemmetje, zodat je volgende keer makkelijk binnenkomt.”
Kraken
Volgens het OM wist de hacker, hij is werkzaam als zelfstandig ICT’er, binnen te dringen in het systeem waarop alles draaide. Dat deed hij onder meer door het gebruikersaccount van een leidinggevende van ID&T –een administrator met de meest verregaande gebruikersrechten- te kraken. Zo kon hij de broncode naar zich toe trekken, de database beheren en kon hij beschikken over een enorme hoeveelheid gegevens. Het OM: “De handelingen van verdachte hebben geleid tot zeer forse inbreuken, tot datadiefstal en vernieling en/of wijziging van data. Zo heeft hij ook de broncode en database veroverd, of beter gezegd: gestolen.”
Bestanden up- en downloaden
Eenmaal binnen kon hij uitgebreid zijn gang gaan, door in alle vrijheid bestanden te uploaden of te downloaden, of ter plaatste aan te passen of te wijzigen. Zo wist hij zichzelf backstage toegang te geven tot het Awakenings-festival en kon hij parkeerplekken aanvragen, maar dus ook gegevens van gebruikers van het systeem (lees: gasten, artiesten en crew) bekijken, downloaden of aanpassen.
Aangifte computervredebreuk
De evenementenbedrijven hadden voor dat systeem –Evi genaamd- een samenwerking met softwarebedrijf NextSelect uit Enschede. Dat bedrijf beheerde de servers waarop alle data stond. Er is jarenlang aan de opbouw en inrichting ervan gewerkt en naar schatting heeft dat tonnen gekost. Alle drie de ondernemingen waren nauw betrokken bij de ontwikkeling van het systeem. NextSelect deed uiteindelijk aangifte van de computervredebreuk. Na de hack zijn alle gebruikers gewaarschuwd door de bedrijven. Evi zelf liep een grote imagoschade op.
'Niet aan de bel getrokken'
Het OM rekent verdachte zwaar aan dat hij niet aan de bel heeft getrokken bij de bedrijven om te wijzen op de kwetsbaarheden in hun systeem, zodat de schade beperkt was gebleven. “In plaats daarvan wilde hij in alle rust zijn buit bestuderen, zonder dat hij gedetecteerd zou kunnen worden. Dit gaat veel verder dan wat sjoemelen uit nieuwsgierigheid; het was een nare, zeer ingrijpende langdurige hackaanval met verlies van data, van persoonsgegevens en intellectuele eigendom.”
Reactie ID&T Group
'Bij de inbreuk in 2022 zijn er gegevens van door ons ingehuurd personeel en relaties in handen gekomen van onbevoegden. Bij ontdekking van het data lek bij onze leverancier hebben we in overleg met onze privacy jurist direct de maatregelen genomen die van ons als verwerkingsverantwoordelijke verwacht wordt. Dit betreft o.a melding bij de Autoriteit Persoonsgegevens, het informeren van betrokkenen en het offline halen van deze tool door onze leverancier. Wij vinden het als ID&T Group belangrijk om te benoemen dat het hier geen gegevens van ticketkopers betreft. Wij nemen de veiligheid van gegevens van onze bezoekers en andere betrokkenen zeer serieus en waren dan ook verrast en ontsteld dat dit lek bij onze leverancier is ontstaan. Bij onze nieuwe leverancier hebben we contractueel strengere voorwaarden opgenomen om ervoor te zorgen dat de situatie zich hopelijk niet herhaalt', aldus een woordvoerder van de ID&T Group.