Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer

Vue Cinemas heeft klanten ingelicht over het datalek van eerder dit jaar, waarbij onder meer bankrekeninggegevens, versleutelde wachtwoorden en e-mailadressen toegankelijk waren. Hoewel meerdere onbevoegden toegang hadden, zouden er geen gegevens daadwerkelijk gestolen zijn.

Vue mail datalekIn de mail meldt de bioscoopketen dat er op basis van onderzoek door forensische experts is gebleken dat 'andere onbevoegden' dan de 'ethische hacker' die het datalek openbaarde, toegang hadden tot de database. Alleen de desbetreffende hacker downloadde volgens de onderzoekers een kleine hoeveelheid persoonsgegevens om dit aan de rapporterende journalist van RTL Nieuws te kunnen aantonen. De twee betrokkenen hebben schriftelijk verklaard dat de kopieën van deze gegevens permanent zijn verwijderd. Verder zouden geen andere partijen gegevens hebben gedownload. Hierdoor zou er een zeer laag risiconiveau zijn wat mogelijke nadelige gevolgen voor getroffenen betreft.

Het datalek werd eind augustus van dit jaar geopenbaard op basis van de ondervindingen van een hacker. Een fout in de website van Vue zou ervoor hebben gezorgd dat de broncode van de website in te zien was, waaronder dus ook uiteenlopende gebruikersgegevens. Naast de naam, het e-mailadres en de geboortedatum van klanten, waren ook gehashte wachtwoorden en bankrekeningnummers zichtbaar. Intussen zegt Vue de kwetsbaarheden te hebben verholpen en heeft het bedrijf een audit laten uitvoeren, waarna er verdere beveiligingsverbeteringen zijn doorgevoerd.

Door Yannick Spinner

Redacteur

Feedback • 16-10-2023 13:48
70 • submitter: SupaHotFire

16-10-2023 • 13:48

70 Linkedin Whatsapp

Submitter: SupaHotFire

Lees meer

Carpetright waarschuwt dat gehashte wachtwoorden mogelijk zijn gestolen
Carpetright waarschuwt dat gehashte wachtwoorden mogelijk zijn gestolen Nieuws van 29 februari 2024
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend Nieuws van 13 februari 2024
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval Nieuws van 18 december 2023
NOS: privégegevens KLM-reizigers waren gemakkelijk te verzamelen
NOS: privégegevens KLM-reizigers waren gemakkelijk te verzamelen Nieuws van 18 december 2023
UWV moet 500 euro schadevergoeding betalen na datalek
UWV moet 500 euro schadevergoeding betalen na datalek Nieuws van 13 oktober 2023
Cloudgamingplatform Shadow waarschuwt klanten voor datalek
Cloudgamingplatform Shadow waarschuwt klanten voor datalek Nieuws van 11 oktober 2023
Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten
Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten Nieuws van 11 oktober 2023
Commerciële dna-databank 23andMe reset alle wachtwoorden na datalek
Commerciële dna-databank 23andMe reset alle wachtwoorden na datalek Nieuws van 10 oktober 2023
Data gebruikers grootste Belgische prostitutiesite dreigt op darkweb te komen
Data gebruikers grootste Belgische prostitutiesite dreigt op darkweb te komen Nieuws van 9 oktober 2023
Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoekers
Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoekers Nieuws van 25 augustus 2023
Meer producten en artikelen
Bedrijfsnieuws Privacy Datalek Hack Vue

IT-banen

Meer vacatures

Reacties (70)

-Moderatie-faq
70
70
36
3
0
31
Wijzig sortering
DennusB
16 oktober 2023 13:55
Ik ben al jaaaaaren geen klant meer bij Vue (geen unlimited abo meer), maar blijkbaar staan mijn gegevens nog wel in een database, want ik kreeg de mail ook. Heb ze dus ook gemaild hoe het kan dat mijn gegevens daar nog staan, omdat mijn laatste betaling voor het abonnement meer dan 7 jaar terug is ..
Shinji
@DennusB16 oktober 2023 13:58
Dat je niet meer betaald voor een abonnement wil niet zeggen dat je geen account meer hebt. Je zou je account nog steeds kunnen gebruiken om losse tickets te kopen. Wellicht heb je je account ook actief verwijderd en dan is het zeker interessant om daarover navraag te doen. Maar volgens mij verwijderd geen enkel bedrijf uit zichzelf accounts.
Blokker_1999
@Shinji16 oktober 2023 14:12
Dan nog heeft de invoegetreding van de AVG ervoor gezorgd dat je toestemming moet hebben van de gebruiker om die data op te slaan. Dat is hier vermoedelijk niet het geval. En zo zijn er wel meer bedrijven.
Shinji
@Blokker_199916 oktober 2023 14:37
Geef je die toestemming dan niet met het aanmaken van je account? Ik heb in elk geval van vrijwel geen enkele website waar ik een account heb een mail gehad dat ik nog ergens mee akkoord moet gaan toen de AVG in ging). Wist ook niet dat dit nodig was overigens voor diensten die je daarvoor al afnam. Van tweakers bijvoorbeeld heb ik daar ook nooit een mail van gehad (achteraf, na al jaren een account te hebben).

Minimaliseren van data opslag lijkt me heel belangrijk, dus ben het eens dat sommige van deze gegevens überhaupt niet opgeslagen hadden moeten worden.

Mijn punt was vooral, dat je geen abonnement meer hebt wil nog niet zeggen dat je geen account meer hebt. Ik heb mijn tweakers abo ook opgezegd een paar jaar terug maar kan met het account nog steeds inloggen ;)
WoutervOorschot
@Blokker_199916 oktober 2023 21:21
Als ze indertijd al voldoende toestemming vroegen (via de nederlandse voorgangers van de AVG bijv) dan hoeft dat helemaal niet perse.

Daarnaast kan het ook best dat DennusB rond 2018 VUE akkoord heeft gegeven de gegevens te houden, ten tijde van alle AVG-updatemailtjes.
DiedX
@Shinji16 oktober 2023 14:10
Terwijl de avg uitgaat van dataminimalisatie.
Blizz
@DiedX16 oktober 2023 22:18
Ik zie niet in waar dat mee te maken heeft. Als jij morgen je Tweakers abonnement opzegt gaan ze ook niet je account verwijderen.
DiedX
@Blizz16 oktober 2023 23:45
Je vergelijkt nu alleen appelen met peren. Een forum zou danig elkaar storten, maar een bioscoop is dan verplicht om zoveel mogelijk data te verwijderen.
Blizz
@DiedX17 oktober 2023 15:35
Nee hoor, de afweging is precies hetzelfde. Hun belang van een forum is 100% irrelevant als ze zoveel mogelijk persoonlijke data zouden moeten verwijderen. Maar dat is een heel generieke uitspraak die niks zegt over de data en waarom het wel of niet in mijn belang is om te behouden.

Wat wel van belang is: je gebruikt een dienst, je hebt daar een abo, je zet dat abo stop. Is de dienst exclusief voor abohouders? Zo niet, dan hoeft je account niet 'zoveel mogelijk' verwijderd te worden. Zo wel, dan is het goed als ze na een bepaalde periode bepaalde dan wel alle gegevens wissen.

Als ik Bol.com Select stopzet verwacht ik ook niet dat mijn Bol.com account verwijderd wordt. Hetzelfde geldt voor AH Premium, AH Bonuskaart, AH Box-abo's. Zolang ik er een account heb, dan verwacht ik mijn gekoppelde abo-historie daar ook terug te vinden en te kunnen heractiveren als het er nog abo's beschikbaar zijn. Als ik dat niet wil, dan kan ik altijd mijn account verwijderen.

[Reactie gewijzigd door Blizz op 17 oktober 2023 15:36]

DiedX
@Blizz17 oktober 2023 16:26
Ok, ill bite. Wat is dan de grondslag voor gegevensverwerking?
Blizz
@DiedX17 oktober 2023 19:26
* Ik ging er vanuit dat de vraag van grondslag over de bios ging, maar het is me nu achteraf niet helemaal duidelijk of dat wel zo was of dat je doelde op een voorbeeld zoals AH ging. Dus, bios:

Je account. Je hebt daar je account aangemaakt, een abonnement mag maar moet niet. Andersom heb je voor je abo wel een account nodig om het aan te koppelen om je te autoriseren en je abonnement te beheren. Niets houdt je tegen je account te verwijderen wanneer je je abo opzegt en het account niet meer wilt behouden. Dat je ervoor kiest je account te behouden is je goed recht en dat is de grondslag voor gegevensverwerking.

Ik heb door de jaren heen meerdere keren een Pathé abo gehad. Ongeacht of ik die had heb ik gebruikgemaakt van mijn Pathé account, bijvoorbeeld om sporadisch naar een enkele film te gaan. Ik kan ook mijn account verwijderen, dan is dat grondslag ingetrokken en moeten ze waarschijnlijk 90% van de gerelateerde data verwijderen. Voor nu kan ik bv. gewoon inzien welke films ik wanneer en waar heb bezocht in het jaar 2012.

Tenzij er een optie is om je betaalgegevens (bv. incasso voor je abo) op te slaan is dat waarschijnlijk het enige dat ze na een evt. wettelijk verplichte bewaarperiode pas kunnen verwijderen, de rest is gekoppeld aan het account en/of inzichtelijke facturen. De vragen die we eraan overhouden zijn specifiek:
  • welke gegevens moeten ze opslaan, in welke vorm en hoe lang?
  • hoe gaan ze hiermee om na opzegging als je je account behoudt? (bv.: je in je account opgeslagen betaalgegevens zoals incasso worden verwijderd, maar gegenereerde facturen/inhoud daarvan blijven bewaard, al dan niet gepseudonimiseerd)
  • hoe gaan ze hiermee om na opzegging als je je account verwijdert? (bv. na wettelijke bewaarperiode wordt x geanonimiseerd of verwijderd, de rest van de data wordt binnen 30 dagen verwijderd)
Tweakert2020
@Shinji16 oktober 2023 14:51
Oh jawel hoor, heb al een aantal keer een mail gehad dat ik een bepaalde periode niet meer actief ben geweest en dat men binnen twee weken mijn account ging verwijderen wanneer ik niet opnieuw zou inloggen.
Shinji
@Tweakert202016 oktober 2023 14:53
Dat er bedrijven zijn die het netjes doen wil niet zeggen dat het ook moet en dat het voor alle bedrijven geldt.
Nas T
@Shinji16 oktober 2023 16:41
Maar volgens mij verwijderd geen enkel bedrijf uit zichzelf accounts.
Waarom is dit niet vastgelegd per wet?
Het verbaast me hoe ver we achterliggen op het gebied van privacy van wat normaal is.
Het lijkt me heel veel haalbaarder om dit te realiseren, wat daadwerkelijk van nut is voor ons als burgers, dan het eeuwige grenzen dicht. Dat kán (praktisch niet), maar dan stap je praktisch uit de EU en waarschijnlijk uit meer waardevoller verdragen.

Het milieu is belangrijk (gelukkig) de komende jaren, maar ook onze privacy en hoeveel gegevens van ons bewaard worden. Wat mij betreft wil ik een nulbeleid: je krijgt niks, totdat je aan kan tonen dat de gegevens die je nodig hebt uiterst noodzakelijk zijn.

Tip: vul je ergens je emailadres in, vul dan 0611223344 in bij een telefoonnummer. Een webshop heeft écht geen drie manieren nodig om je te contacteren (postadres/mail/telefoon).
StefvE
@Shinji17 oktober 2023 13:34
Dat kan mogelijk te maken hebben met de bewaartermijn voor administratie van de Belastingdienst. Dat heeft namelijk een bewaartermijn van 7 jaar. Het kan dus zijn dat je geen account meer hebt, maar je betaalgegevens nog wel in de database staan voor de administratie.
donviktor
16 oktober 2023 13:53
Waarom moeten bankrekeningnummers opgeslagen worden... dat kun je toch gewoon aan de payment provider overlaten?
En bovendien: je hebt daar als klant zelf geen invloed op. Je kunt niet inzien dat ze dat opgeslagen hebben, laat staan wijzigen / verwijderen. Kwalijk.
Lemodile
@donviktor16 oktober 2023 14:00
Zie hiervoor en ook de vraag die @gabba25 stelt het privacybeleid dat op hun website staat. Of je het er mee eens bent is natuurlijk een tweede maar ze geven de volgende verklaring voor het opslaan van deze data:
Je kunt bij onze bioscopen aan de kassa een filmkaartje kopen en wat lekkers halen voor tijdens de film. Soms vragen we je om een legitimatiebewijs te tonen. Dit moeten wij controleren in verband met: * de kijkwijzer van films voor 16 jaar en ouder; * het bestellen van alcohol aan de bar. Hier geldt een minimale wettelijke leeftijd van 18 jaar; * het toekennen van bepaalde kortingen zoals met een CJP-pas, 65+ en een studentenpas; * het gebruik van een Vue Movie Pass voor toegang tot een film. We controleren dit omdat wij daar een wettelijke plicht toe hebben, om te controleren of je recht hebt op een kortingskaartje of om te controleren dat je de daadwerkelijke houder bent van de getoonde Movie Pass. Van het legitimatiebewijs wordt nooit een kopie gemaakt. Als je een aankoop afrekent met een pinpas of een creditcard slaan we enkel gegevens op die niet naar jou zijn te herleiden. Deze gegevens worden gebruikt om de betaling af te handelen.
Zal dus voor een deel zitten in "is de pass-houder wel wie deze zegt te zijn".

Overigens ben ik het wel met jullie eens, het kan echt met minder gegevens opslaan. Je hebt geen precieze geboortedata nodig, een toggle met 16+ Y/N en 18+ Y/N zou m.i. volstaan. Rekeningnummer lijkt me ook niet nodig voor de beschreven doeleinden.

[Reactie gewijzigd door Lemodile op 16 oktober 2023 14:04]

n8n
@Lemodile16 oktober 2023 14:02
ze hoeven in dat geval slechts een boolean op te slaan met 18+ ja of nee.
Hieronymuski
@n8n16 oktober 2023 14:05
Mee eens, maar op welk moment ga je dit opnieuw controleren?

Wordt een redelijk gedoe als je elke keer met inloggen wordt gevraagd om jouw geboortedatum, om te kijken of je ondertussen al 18 bent geworden.
n8n
@Hieronymuski16 oktober 2023 14:10
Wanneer iemand met een 18+ veld op false een ticket wil aanschaffen dat deze leeftijd vereist wordt kan er opnieuw naar gevraagd worden, net als wanneer je aan het loket een kaartje zou kopen.
Lemodile
@Hieronymuski16 oktober 2023 14:10
Dat is vaak het spanningsveld. Enerzijds moet je er naar streven om met de minimale verwerking van persoonsgegevens tot iets functioneels te komen, anderzijds kan het vaak een stuk gebruiksvriendelijker als je nét iets meer data ophaalt.

Het voorbeeld met de toggle speelt bij 16+ (kijkwijzer), 18+ (alcohol), 30+ (dan geen CJP meer mogelijk), 65+ (kortingen). Je zou het aantal updates kunnen beperken door niet elke keer te vragen maar alleen als een soort 'bezwaar-knop' op het moment dat je als gebruiker iets geweigerd wordt i.v.m. je leeftijd. Maar dan nog is het vaak updaten.
jeroen_loeffen
@Hieronymuski16 oktober 2023 14:53
Toegangscontrole moet aan de zaal, niet bij de kaartverkoop. Het gaat er helemaal niet om wie de kaart koopt, het gaat er om wie er in de zaal gaat kijken. Dus: kaartverkoop hoeft alleen te waarschuwen dat je de zaal niet inkomt als je de juiste leeftijd niet hebt, die hoeft de leeftijd niet te weten.
Blokker_1999
@n8n16 oktober 2023 14:11
Nee, want dat is een moving target. Wat als ik op 17 jaar zo een pass heb en ik wordt 18, dan heb jij nog altijd een boolean die meld dat ik nog geen 18 ben ondanks dat dit wel het geval is.
The Zep Man
@Blokker_199916 oktober 2023 14:12
Nee, want dat is een moving target. Wat als ik op 17 jaar zo een pass heb en ik wordt 18, dan heb jij nog altijd een boolean die meld dat ik nog geen 18 ben ondanks dat dit wel het geval is.
Dan geef je de eerste keer dat je de bioscoop bezoekt zodra je 18 bent aan dat je 18 bent. Medewerker verifieert dat en zet de boolean op true. No big deal.

Of als je het echt automatisch wilt: sla van iemand onder de 18 jaar de datum op waarop die 18 wordt (effectief de geboortedatum, maar met een legitieme reden). Verwijder vervolgens die datum en vervang het met een 'ouder dan 18' waarde zodra die datum bereikt is. Easy peasy.

[Reactie gewijzigd door The Zep Man op 16 oktober 2023 14:14]

SunnieNL
@Lemodile16 oktober 2023 16:13
Een rekeningnummer of creditcardnummer is een persoonsgegeven omdat die altijd naar een persoon te herleiden zijn. Het is immers een uniek nummer direct verbonden aan mij als persoon (de enkele OF rekening daargelaten). Dus die zou volgens hun eigen tekst niet opgeslagen moeten worden.
gabba25
@donviktor16 oktober 2023 13:55
Zelfde geldt voor geboortedatum. Waarom wordt dit gevraagd/opgeslagen? Ik snap het wel he, big data. handig voor het bedrijf om te onderzoeken welk publiek, wanneer komt enzo. Het moet maar eens afgelopen zijn met het verzamelen van onnutige data door bedrijven.

/edit zo ook geslacht

[Reactie gewijzigd door gabba25 op 16 oktober 2023 13:55]

Fly-guy
@gabba2516 oktober 2023 14:01
Misschien gebruiken ze die datum zodat je (zelf) geen tickets kunt kopen die een minimale leeftijd hebben.
(Ja, ik weet het, makkelijk te omzeilen.)
gabba25
@Fly-guy16 oktober 2023 14:03
Als dat al zo is, hoef je niet de geboortedatum te vragen maar een JA/NEE ik ben ouder dan ... Dus het is dan een mooi excuus om toch de randjes op te zoeken.
The Zep Man
@gabba2516 oktober 2023 14:10
Als dat al zo is, hoef je niet de geboortedatum te vragen maar een JA/NEE ik ben ouder dan ...
En als het antwoord 'ja' is hoef je het nooit meer te vragen. Je zou de eerste keer dit kunnen laten verifiëren in de bioscoop. Dus:

-Klant geeft aan minimaal 18 jaar oud te zijn.
-Medewerker bevestigt dat klant minimaal 18 jaar oud is.

Een minimum aan informatie om te verwerken (op te slaan voor een langere tijd) om de lading te dekken, en onderhoudsarm.

[Reactie gewijzigd door The Zep Man op 16 oktober 2023 14:11]

Byron010
@gabba2516 oktober 2023 14:24
/advocaat van de duivel

Als het onnuttige data is, waarom maakt het dan uit :+

ala; het is wel nuttig voor een bedrijf. Bijv inzicht krijgen in wat voor klanten voornamelijk je product gebruiken, waardoor je je product en marketing kan afstemmen of aanvullen.

Stel ik heb een app waar naderhand blijkt dat 90% van de gebruikers 70+ is, ondanks dat dat misschien niet m'n beoogde doelgroep was. Dan kan het handig zijn om het in het design rekening te houden dat de gebruikers meer moeite hebben met kleine letters, dus kan ik het design wat groter te maken zodat het makkelijker te lezen is voor die doelgroep.
tedades
@Byron01016 oktober 2023 15:58
Dat is precies het idee achter de AGV: dat je data niet voor andere doeleinden moet gebruiken dan waarvoor ze verstrekt zijn geworden. Juist omdat het super handig kan zijn om van alles uit de verzamelde data te halen; iets waarvoor die gegevens niet verstrekt zijn geworden. Een vinkje zetten in een checkbox om te bevestigen dat je 18 jaar of ouder bent klinkt als een relevante keuze omdat je hiermee minder persoonsgegevens verwerkt dan bij het opslaan van een geboortedatum.

De AVG heeft dan ook deze stelling: "Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag u alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.".
Byron010
@tedades16 oktober 2023 16:24
Ja maar dat is dus ook het lastige van de AVG, die laat naar mijn mening veel ruimte voor interpretatie.
Als doel is om de leesbaarheid van de app voor de belangrijkste doelgroep te optimaliseren, is het dan toegestaan?

Of: (als het een product breed doel moet zijn)
Ik wil een (bijvoorbeeld boodschappenlijstjes) app maken die voor elke doelgroep geoptimaliseerd is aan de hand van de gemiddelde behoeftes van die doelgroep. Dus dan is het oke om leeftijd te vragen en aan de hand daarvan het design aan te passen?

wat ik hiermee probeer te zeggen:
voor mijn gevoel kan er altijd wel een doel bij gevonden/verzonnen worden.
R4gnax
@Byron01016 oktober 2023 22:26
Als doel is om de leesbaarheid van de app voor de belangrijkste doelgroep te optimaliseren, is het dan toegestaan?
Zijn de gegevens voor dat doel verstrekt?
Nee?
Nou; dan niet dus.

De AVG/GDPR kent het principe van doelbinding.
Dat gegevens voor andere doeleinden nuttig kunnen zijn, wil niet zeggen dat je ze daar dan ook verder voor mag blijven verwerken.
kodak
@donviktor16 oktober 2023 14:10
Omdat je als klant een relatie met het bedrijf hebt, niet met hun dienstverleners. Je bankrekening laat je bij je dienstverlener achter zodat zij de betaaldienst kunnen regelen. Dat ze dat vaak uitbesteden is hun keuze. Dat er bij de opslag bij je dienstverlener iets lek kan zijn gaat daarbij net zo goed op voor betaaldiensten. Dat die het mogelijk beter geregeld hebben is eerder een argument dat een bedrijf zoals in dit nieuws het ook beter hoort te beschermen.
CH4OS
@donviktor16 oktober 2023 14:29
De Payment Service Provider (PSP) hoeft niet de enige betaal mogelijkheid te zijn natuurlijk. Ik denk niet dat een gemiddelde 3rd party PSP bijvoorbeeld de Nationale Bioscoopbon als valide betaalmiddel accepteert en een additionele bij betaling, kan natuurlijk ook gewoon met de PIN pas betaald worden. Daarnaast is een PSP niet verantwoordelijk voor jouw data van betalingen, wel voor de uitvoering en controle op de betaling of deze bijvoorbeeld succesvol verlopen is.

[Reactie gewijzigd door CH4OS op 16 oktober 2023 14:32]

Kopri
16 oktober 2023 14:07
Ik heb bij deze meteen aangevraagd of ze mijn account willen verwijderen. Kijk dat mijn mail of wachtwoord uitgelekt wordt is een ding, maar betalingsgegevens... Kom op zeg, dat hadden ze echt beter kunnen voorzien.
CH4OS
@Kopri16 oktober 2023 14:13
Dan heb je de mail niet goed gelezen. Er is geen data gestolen, er zijn enkel "wat" gegevens gelekt naar de media/journalistiek om aan te tonen dat er wel degelijk een lek is.
Kopri
@CH4OS16 oktober 2023 14:18
Het gaat mij niet om het data stelen. Ik heb de mail wel gelezen. Het is het feit hoe hiermee omgegaan wordt door zo'n bedrijf als Vue wat in mijn ogen de reputatie van het bedrijf schaadt.
CH4OS
@Kopri16 oktober 2023 14:21
Ze hebben in Augustus ook al een bericht gedaan en nu komt Vue met de melding dat het opgelost is en hoe ze dat gedaan hebben, dat lijkt mij prima en zelfs meer dan wat menig ander bedrijf doet.

Zie nieuws: Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoe... - Het bericht uit Augustus.

[Reactie gewijzigd door CH4OS op 16 oktober 2023 14:22]

Kopri
@CH4OS16 oktober 2023 14:22
Dat artikel is mij over het hoofd gevlogen, maar ik ben nog steeds niet te spreken over hoe dit gegaan is.
jcbvm
@CH4OS16 oktober 2023 22:30
Wat ze alleen niet hebben gedaan is alle slachtoffers in autgustus al inlichten. Ik heb namelijk alleen nu een e-mail gehad en niet in augustus. Dat vind ik bijna 2 maanden na datum echt te laat!
CH4OS
@jcbvm16 oktober 2023 23:24
Men is - als ik het mij goed herinner - alleen verplicht slachtoffers in te lichten. Voor zover bekend is er niets gestolen, dus geen slachtoffers en dus geen meldplicht naar de getroffen personen, wel naar de AP een meldplicht.
jcbvm
@CH4OS17 oktober 2023 00:21
Dat het niet verplicht is wil nog niet zeggen dat het een bedrijf wel zo sieren om te doen, al is het alleen al uit voorzorg voor mogelijk getroffen gebruikers
CH4OS
@jcbvm17 oktober 2023 01:03
Ik kan mij ook voorstellen dat veel klanten misschien ten onrechte zich zorgen gaan maken en juist daardoor een bedrijf (Vue Cinemas nu dus) zouden overspoelen met vragen. Als het niet per se nodig is, kan ik ergens wel begrijpen dat men het niet doet.

Al blijft het netter om hwt wél te doen natuurlijk, dat ben ik zeker eens. Maar de keus van Vue kan ik wel begrijpen.

[Reactie gewijzigd door CH4OS op 17 oktober 2023 01:04]

Wilco Pancras
@CH4OS16 oktober 2023 14:49
Als je de mail echt goed leest, hebben
de forensische experts geen aanwijzing [hebben] gevonden dat een onbevoegde partij, anders dan mogelijk de ethische hacker en RTL Nieuws-journalist (die ons inmiddels de garantie hebben gegeven alle gegevens te hebben verwijderd), uw persoonsgegevens in handen heeft gekregen.
...

Dat ze geen aanwijzing hebben gevonden betekent niet dat er niks is gebeurd.

[Reactie gewijzigd door Wilco Pancras op 16 oktober 2023 14:53]

useruser
@Wilco Pancras16 oktober 2023 18:39
Absence of evidence does not equal evidence of absence.
Will_M
16 oktober 2023 14:05
Ik kreeg hier zojuist ook een mail van VUE aangaande dit datalek. Wel grappig dat het al op 25 Augustus door RTL kenbaar gemaakt is en dat ik daar m'n kaartjes op 9 September pas online bestelt heb (en daar nog nooit eerder iets online bestelt heb gehad).

Ik mag hopen dat dat datalek in de tussenliggende twee weken toch wel gedicht / gemitigeerd is geweest :o
CH4OS
@Will_M16 oktober 2023 14:12
Ik mag hopen dat dat datalek in de tussenliggende twee weken toch wel gedicht / gemitigeerd is geweest :o
Als je niet zeker bent, gewoon jouw wachtwoord wijzigen. Met een password manager zo gepiept.
Will_M
@CH4OS16 oktober 2023 19:19
Valt nog niet zo niet mee om bij VUE een wachtwoord aan te passen terwijl je er geen account hebt? Het opgegeven mailadres was in mijn geval alleen maar noodzakelijk om de digitale kaartjes te kunnen ontvangen. Het lijkt er meer op dat ze alle mailadressen welke ze ooit verzameld hebben nu aangeschreven hebben (wat feitelijk nog veel erger is doordat ze niet weten hoe groot de schade is / kan zijn).
CH4OS
16 oktober 2023 13:55
Het datalek werd eind augustus van dit jaar geopenbaard op basis van de ondervindingen van een hacker
Dit is wel wat genuanceerder, want er zijn 2 dingen gebeurd:
1) Een ethical hacker had op 25 augustus ontdekt dat er wat gaten in de website en app van Vue zijn
2) Deze ontdekte gaten ook daadwerkelijk misbruikt. Uit de email die ik ook ontvangen heb:
Wat is er gebeurd?

U bent wellicht op de hoogte van een artikel van RTL Nieuws dat op 25 augustus 2023 is gepubliceerd, waarin is gemeld dat een ethische hacker ongeautoriseerd toegang heeft gekregen tot onze website en app en bepaalde klantgegevens. Vue heeft dit zeer serieus genomen en onmiddellijk melding gemaakt bij de Autoriteit Persoonsgegevens. We hebben ook een volledige forensische- en beveiligingsaudit van onze website en app uitgevoerd, ondersteund door externe beveiligings- en forensische experts.

Deze onderzoeken hebben bevestigd dat de ethische hacker kwetsbaarheden heeft ontdekt, die door onbevoegden konden worden gebruikt om toegang te krijgen tot de persoonsgegevens van onze online klanten. Het is ook gebleken dat andere onbevoegden dan de ethische hacker toegang hebben gehad tot onze website en app. De forensische experts hebben echter geconstateerd dat alleen de ethische hacker in beperkte mate persoonsgegevens heeft gedownload om de kwetsbaarheden aan te tonen aan de RTL Nieuws journalist. De ethische hacker en RTL Nieuws journalist hebben schriftelijk bevestigd deze beperkte gegevens definitief te hebben verwijderd. De forensische experts hebben geen aanwijzing gevonden dat onbevoegde partijen, anders dan mogelijk de ethische hacker en RTL Nieuws journalist, uw persoonsgegevens ook in handen hebben gekregen.
Zie vetgedrukte deel. Een ander interessant stukje is denk ik ook wel dat er wel degelijk een deel daadwerkelijk gelekt is, om de journalistiek aan te tonen dat er wel degelijk een lek was:
De forensische experts hebben echter geconstateerd dat alleen de ethische hacker in beperkte mate persoonsgegevens heeft gedownload om de kwetsbaarheden aan te tonen aan de RTL Nieuws journalist.
In hoeverre er dan dus sprake is van 'ethical' hacking, valt ook wel te bezien, wat mij betreft. Deze hacker was het immers ook te doen om de sensatie, want waarom zoek je anders RTL Nieuws op.

[Reactie gewijzigd door CH4OS op 16 oktober 2023 14:04]

BigSmurf
16 oktober 2023 14:20
Wel bijzonder, ik heb ooit via een of andere bioscoopbon eenmalig bij Vue een film gezien en nooit een account bij ze aangemaakt, maar kreeg wel de mail vandaag. Blijkbaar hebben ze dat e-mailadres gekregen, maar ik ben nu ook benieuwd welke gegevens ze nog meer hebben gekregen (en opgeslagen). Meteen maar gevraagd en ook direct verwijdering in gang gezet.

Wat mij het meest tegenvalt is dat ze nu pas communiceren naar alle klanten, terwijl we inmiddels bijna 2 maanden verder zijn. Alsof ik mogelijk nu pas phishing of iets dergelijks ga ontvangen.
StephanVierkant
16 oktober 2023 15:33
Datalek na datalek en helaas nog geen zicht op verbeteringen van onze informatie-infrastructuur. Naast beveiliging moeten we vooral aan data-minimalisatie werken. Ik weiger bij webshops altijd mijn geslacht te vertellen. Niet omdat dat zo geheim is, maar gewoon uit principe: ze hebben het nooit nodig voor de uitoefening van de overeenkomst. Alleen blijf ik roepende in de woestijn; niemand ziet het probleem. Maar waarom moet een bioscoop weten wat m'n geslacht is? Dat is namelijk dé relevante vraag.

We moeten echt een systeem krijgen waarbij een DigiD-achtig platform informatie kan delen met derde partijen. Dan kun je namelijk écht werken aan dataminimalatie: in zo'n geval kan Vue Cinema niet je geboortedatum (date) opvragen, maar alleen of je (boolean) op het moment van de film een bepaalde leeftijd hebt bereikt.
mvrhrln
@StephanVierkant16 oktober 2023 17:23
Zo'n systeem is er toch al (of in de maak), is hier ook op tweakers geweest laatst met een of ander onderwerp.

zie: nieuws: Gemeente Nijmegen gaat inloggen met Yivi voor burgers mogelijk maken

[Reactie gewijzigd door mvrhrln op 16 oktober 2023 17:24]

Cowbeef
16 oktober 2023 14:00
"Is het incident gemeld bij de Autoriteit Persoonsgegevens?

Ja, we hebben het incident gemeld bij de Autoriteit Persoonsgegevens in overeenstemming met de eisen van de Algemene Verordening Gegevensbescherming (AVG)."

Heeft iemand enig idee wat die eisen zijn? Iets van een boete of gewoon een foei niet meer doen?
CH4OS
@Cowbeef16 oktober 2023 14:06
De eisen van het melden van een datalek bij de AP is natuurlijk niet de/een boete. Dat wordt later bepaald. Gezien er geen data gestolen is, denk ik dat de impact van de melding klein is. In die zin is de enige eis dus: heeft het een verhoogd risico dat er (klant)gegevens op straat zijn komen te liggen, nu dit lek aan het licht gekomen is. Als het antwoord daarop 'Ja' is, dien je binnen 72 uur dat te melden bij de AP.

De AP legt uit hoe en wanneer je een datalek meldt bij hen.

[Reactie gewijzigd door CH4OS op 16 oktober 2023 14:10]

PhRiXoS
@Cowbeef16 oktober 2023 14:07
binnen 72 uur melden bij de AP en dan stappenplan doorlopen.

https://www.autoriteitper...n/datalek-dit-moet-u-doen
Hieronymuski
@Cowbeef16 oktober 2023 14:07
Ik denk dat ze het hebben over de eisen van melding maken. Dit moet bijvoorbeeld binnen 72 uur gebeuren.
SkyStreaker
16 oktober 2023 14:09
Had de mail ook al gesubmit, eerlijkheidshalve wist ook niet dat al eind augustus gemeld is geweest.
Kecin
16 oktober 2023 14:20
Nu pas. Ik heb die gasten gemailt, aangesproken, gebeld, en bij mij zeiden ze: niets aan de hand meneer.
Nogsteeds is er een lek. Probeer maar eens een gek karakter te gebruiken in je password veld bijvoorbeeld. Waar-de-loos bedrijf...

Dat was trouwens in juni...

[Reactie gewijzigd door Kecin op 16 oktober 2023 14:20]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee