De gegevens van ruim anderhalf miljoen mensen die vorig jaar online een kaartje voor onder meer dierentuinen en pretparken hebben gekocht via het platform Ticketcounter zijn tijdelijk openbaar geweest. Onder de getroffen klanten gaat het onder meer om 72 duizend bezoekers van Diergaarde Blijdorp. Het datalek is inmiddels gedicht, maar criminelen dreigen in ruil voor geld alsnog meer naar buiten te brengen.

"Ze vragen 7 bitcoins, bijna 300 duizend euro. Dat hebben we ook aan de politie gemeld. Er is ook aangifte gedaan. Het lijkt vooral te doen om ons bedrijf reputatieschade aan te brengen", zegt Sjoerd Bakker, de hoogste baas van Ticketcounter. Het bedrijf bemiddelt bij onlinekaartverkoop tussen pretparken en dierentuinen en bezoekers.

"Het gaat om tussen de 1,5 miljoen en 1,8 miljoen gegevens van klanten", zegt Sjoerd Bakker, de hoogste baas van Ticketcounter. Die stonden op een backup van het systeem die begin augustus vorig jaar werd gemaakt. Door een menselijke fout werden die gegevens online zichtbaar.

Datalek

Vorige week werd Ticketcounter geïnformeerd dat mogelijk sprake was een datalek. Bakker: "We kregen te horen dat de gegevens openbaar waren geworden. Ze werden op het darkweb te koop aangeboden. Sinds vrijdag weten we dat het gaat om naam, e-mail en IBAN-nummer. Ook met een IBAN-nummer kun je niet direct een rekening plunderen, maar we adviseren mensen wel om alert te zijn op e-mails waarmee criminelen proberen geld binnen te harken."

Diergaarde Blijdorp

Onder de getroffen klanten gaat het onder meer om 72 duizend bezoekers van Diergaarde Blijdorp. De dierentuin heeft de kopers van een dagkaartje inmiddels per e-mail geïnformeerd. Op de website staat aanvullende informatie. Uit informatie van kopers aan Rijnmond blijkt dat het vermoedelijk gaat om kaartjes die in het voorjaar 2020 zijn gekocht.

Bakker zegt dat zijn bedrijf veel doet om de beveiliging op orde te hebben. "We vragen ethische hackers om het systeem te kraken. Daar geven we zelfs een bonus voor. Wat nu is gebeurd vinden we verschrikkelijk."

Het datalek is gemeld bij de Autoriteit Persoonsgegevens.