De woningcorporaties die in maart het slachtoffer waren van een cyberaanval, hebben geen losgeld betaald aan de verantwoordelijke hackers. De daders hebben daarop alle buitgemaakte data online gezet. De persoonsgegevens van duizenden huurders zijn daardoor op straat beland.
Dat schrijven BN/De Stem en PCZ.
Conti eist 15 miljoen euro losgeld
Eind maart waren acht woningcorporaties het doelwit van hackers. Het gaat om Alwel, Brederode Wonen, Laurentius, L’Esceaut, Trivire, QuaWonen, De Woningstichting en Zayaz. De woningcorporaties maakten allemaal gebruik van de diensten van ICT-bedrijf The Sourcing Company uit Woerden. Dat bedrijf bevestigde dat hackers in maart een ransomware-aanval hadden uitgevoerd. Zodoende wisten de aanvallers de hand te leggen op een deel van de bestanden die de ICT-dienstverlener beheert.
Om te bewijzen dat het menens was, publiceerden de daders een deel van de gestolen data op het dark web. Het ging in totaal om 8 GB aan gegevens. Uit onderzoek van RTL Nieuws bleek dat het om kopieën van paspoorten, namen, woonadressen, telefoonnummers, e-mailadressen, BSN-nummers en bankgegevens ging. Volgens de nieuwszender zit de Conti-groep achter de aanval. Zij eisten naar verluidt 15 miljoen euro aan losgeld.
‘Huurders hoeven niet bang te zijn’
De getroffen woningcorporaties hebben vanaf het eerste moment gezegd geen losgeld te zullen betalen. Doordat ze voet bij stuk hielden, hebben de daders alle gestolen informatie op het dark web gezet. Volgens BN/De Stem en PCZ gaat het om 89 mappen met in totaal 126 GB aan privacygevoelige en vertrouwelijke data, waaronder namen, adressen, telefoonnummers en bankrekeningnummers van huurders.
“Maar het zijn gegevens waar de daders volgens de deskundigen die we hebben geraadpleegd niet veel mee kunnen”, zo vertelt Noud Bex. Hij voert namens de gehackte woningcorporaties het woord. “We snappen heel goed dat mensen vragen hebben of ongerust zijn. Maar op basis van wat onze experts zeggen, hoeven huurders niet bang te zijn dat hun identiteit wordt misbruikt”, aldus de woordvoerder.
Het is een uiterst opmerkelijke uitspraak. Op het internet is er een levendige handel in persoonsgegevens. Hackers en cybercriminelen gebruiken deze data onder meer om slachtoffers te bestoken met phishingmails. Hoe meer details zo’n bericht bevat, des te eerder men geneigd is om erin te trappen.
Tegelijkertijd waarschuwen de corporaties om de komende maanden extra alert te zijn en vreemde e-mails in de gaten te houden.
Enorme impact
Bex benadrukt dat de aanvallers geen kopieën van paspoorten of wachtwoorden van huurders hebben buitgemaakt. Woningcorporaties mogen deze gegevens volgens hem wettelijk gezien niet opslaan. De kopieën van rijbewijzen en identiteitsbewijzen die eerder online verschenen, waren van medewerkers van de corporaties en externe contacten zoals zzp’ers. Volgens Bex ging het om “een paar honderd mensen”. Zij zijn allemaal geïnformeerd en mogen op kosten van de woningcorporaties nieuwe identiteitspapieren opvragen.
Volgens de woordvoerder gaat nog enige tijd duren voordat het cloudbedrijf uit Woerden van de (reputatie)schade is hersteld. “Want de impact van de hack is enorm. Je weet niet wat je meemaakt. Alle computersystemen waren platgelegd. Je kunt niets meer. Dan pas besef je hoe afhankelijk je bent van ICT.” De getroffen corporaties besteden volgens hem veel aandacht aan cybersecurity. “Je dat denkt dat je alles op orde hebt. En dan neuzen die de criminelen ineens toch rond in jouw computers. Het is echt verbluffend hoe ze te werk gaan. De brutaliteit.”
Het besluit om geen losgeld te betalen was volgens Bex een zorgvuldige afweging. “We wilden natuurlijk eerst weten welke gegevens gestolen waren. Bij wie is wat ingezien en welke risico’s brengt dat met zich mee? Bij een eerste inventarisatie door de experts bleek dat het zeer waarschijnlijk geen informatie was waarmee je bijvoorbeeld identiteitsdiefstal kunt plegen. Dat losgeld zou betaald moeten worden met maatschappelijk geld, geld over de rug van de huurders. Het ging om een absurd hoog bedrag. Je wilt niet meewerken aan zulke criminele praktijken. Ja, in die zin hebben ze inderdaad een verkeerde hack gezet.”
Huurders begripvol over situatie
Huurders waren niet overspannen of gestrest door de cyberaanval. “We krijgen relatief weinig reacties. Mensen die reageren hebben vragen en zijn vooral bezorgd. En er is veel begrip dat we niet hebben betaald. Dat doet ons goed”, aldus Bex.
