Het Openbaar Ministerie Oost-Nederland heeft een gevangenisstraf van 20 maanden, waarvan 5 voorwaardelijk, geëist tegen een 28-jarige hacker uit Amsterdam. Deze hacker wordt ervan beschuldigd persoonsgegevens van ruim honderdduizend gasten, crewleden en artiesten te hebben gestolen door in te breken in een systeem van NexSelect, dat data beheert van onder andere The Support Group en ID&T, organisatoren van grote dancefestivals.

De officier van justitie benadrukt dat deze hack geen kwajongensstreek was, maar een zorgvuldig voorbereide en uitgevoerde operatie. Het vergt volgens hem een vergelijking met een uitgebreide inbraak over meerdere dagen, waarbij de hacker stap voor stap toegang verkreeg tot gevoelige informatie.
De hacker, werkzaam als zelfstandig ICT’er, wist binnen te dringen in het systeem door het gebruikersaccount van een leidinggevende te kraken. Hierdoor kon hij onder meer de broncode naar zich toe trekken en beschikken over een enorme hoeveelheid gegevens. Dit leidde tot datadiefstal en vernieling van data, met grote gevolgen voor de betrokken bedrijven en hun reputatie.

Imagoschade
Het OM is van mening dat de hacker zwaar gestraft moet worden, omdat hij naliet de bedrijven te waarschuwen voor de kwetsbaarheden in hun systeem. In plaats daarvan wilde hij zijn buit bestuderen zonder betrapt te worden. Deze hackaanval ging volgens het OM veel verder dan nieuwsgierigheid en resulteerde in verlies van data, persoonsgegevens en intellectuele eigendom.
De bedrijven hebben na de hack alle gebruikers gewaarschuwd en de imagoschade voor het systeem, genaamd Evi, was aanzienlijk. De zaak dient voor de rechtbank in Almelo, waar het OM zijn strafeis heeft gepresenteerd.

Reactie ID&T Group
“Bij de inbreuk in 2022 zijn er gegevens van door ons ingehuurd personeel en relaties in handen gekomen van onbevoegden”, reageert een woordvoerster van ID&T Group. “Bij ontdekking van het datalek bij onze leverancier hebben wij in overleg met onze privacyjurist direct de maatregelen genomen die van ons als verwerkingsverantwoordelijke verwacht woorden. Dit betreft onder andere melding bij de Autoriteit Persoonsgegevens, het informeren van betrokkenen en het offline halen van deze tool door onze leverancier. Wij vinden het als ID&T Group belangrijk om te benoemen dat het hier geen gegevens van ticketkopers betreft. Wij nemen de veiligheid van gegevens van onze bezoekers en andere betrokkenen zeer serieus en waren dan ook verrast en ontsteld dat dit lek bij onze leverancier is ontstaan. Bij onze nieuwe leverancier hebben we contractueel strengere voorwaarden opgenomen om ervoor te zorgen dat de situatie zich hopelijk niet herhaalt.”