Het gaat niet alleen om persoonlijke informatie maar ook om bij de reservering opgegeven bankinformatie, zoals rekeningnummers, namen, achternamen, telefoonnummers, e-mailadressen, postcodes… En die gegevens waren niet voor even onbeschermd. Naar verluidt zou dat al gedurende twee jaar het geval zijn geweest. Het gaat om een van de grootste datalekken in Spanje van de laatste jaren.
De officiële website voor aankoop van toegangskaarten (tickets.alhambra-patronato.es) wordt beheerd door een bedrijf dat verbonden is aan het regionale ministerie van Cultuur van de Junta de Andalucía. Dit bedrijf behandelt alle reserveringen en verkopen van toegangskaarten voor het monument. En van al die reserveringen zijn alle verstuurde gegevens blootgesteld.
Hackersgroep
De fout, waarvan al sinds medio 2017 sprake is, werd ontdekt door de hackers-groep La9, die is verbonden met Anonymous, het internationale collectief van hacktivisten en activisten dat zijn pijlen vooral richt op overheden en grote bedrijven en organisaties. Teknautas, het technologieportaal van de Spaanse krant El Confidencial heeft het veiligheidslek kunnen bevestigen en verifiëren.
Dit lek maakt de website kwetsbaar voor drie verschillende soorten SQL-injecties, een bekend type aanval dat toegang geeft tot gegevens die zijn opgeslagen op webservers door het toevoegen van kwaadaardige codes.
El Confidencial heeft na verificatie van het lek contact opgenomen met Hiberus Tecnología in Zaragoza, de provider van het Patronato de la Alhambra y Generalife. Dit bedrijf tekende in april 2017 een contract met de Junta de Andalucía om het online kaartverkoopsysteem te beheren en onderhouden, samen met het bedrijf Sicomoro Servicios Integrales. Twee dagen nadat over het probleem werd gecommuniceerd verzekerde een woordvoerder van Sicomoro Servicios aan de journalisten van Teknautas dat ‘vanaf vandaag elk incident dat mogelijk is opgetreden is opgelost en correct afgehandeld’.
De fout op de website van het Alhambra is inmiddels hersteld. Dat geldt niet voor andere websites onder beheer van Hiberus, waaronder musea, diverse autonome regio’s en websites via welke kaarten voor evenementen en concerten worden verkocht. El Confidencial heeft besloten de namen van deze websites niet te publiceren om gegevensfiltratie te voorkomen.
Het Alhambra werd in 2018 door 2,7 miljoen mensen bezocht. Hieronder zijn er velen voor wie reisbureaus en agentschappen de kaarten hebben geregeld. Gegevens van particuliere bezoekers die individueel hun kaarten kochten die op straat zijn komen te liggen zijn DNI, telefoonnummers, emailadres, postcode, leeftijd, geslacht, kortom alle gegevens die men heeft moeten invullen om de kaarten te registreren.
Voor de duizend reisbureaus van over de hele wereld is het een ander verhaal. Zij moesten wel inloggen en ook bankgegevens invullen zoals IBAN. Bovendien verschenen van 340 reisagentschappen ook de wachtwoorden die zij gebruikten om toegang tot het systeem te krijgen. Die informatie was toegankelijk voor iedereen die over wat basisinformaticakennis beschikte.
‘Zeer ernstig’
Volgens experts heeft Hiberus erg oude technieken gebruikt. Bijna alle bedrijven in de branche hebben hun systemen al geactualiseerd om dit soort grote beveiligingsproblemen te voorkomen. Bovendien werd gebruik gemaakt van de zogenoemde ‘web aplication firewall of WAF’, een extra beveiligingslaag die zeer aan te bevelen is en waarvan de meeste bedrijven die met dit soort budgetten werken wel gebruik maken. Dat dit nu een bedrijf overkomt dat zoveel miljoenen registraties moet verwerken op een ’ticketing’ platform is ‘zeer ernstig’. Hiberus verdient voor het beheer van de Alhambra-website zeker één miljoen euro op jaarbasis.
Hackers kunnen de via het lek achterhaalde gegevens verkopen aan cybercriminelen, zoals bedrijven die phishing mails versturen om aan gevoelige gegevens zoals creditcardgegevens of wachtwoorden te komen.