Datalek bij NAM, gegevens 19.000 mensen op straat

Hoofdkantoor van de Nederlandse Aardoliemaatschappij (NAM) in Assen

De Nederlandse Aardolie Maatschappij (NAM) is getroffen door een datalek. Door een beveiligingslek in de software van de firma Accellion liggen de NAW-gegevens van 19.000 mensen die een waardedalingclaim hebben ingediend bij de NAM op straat. Het lek is inmiddels gedicht en de Autoriteit Persoonsgegevens is op de hoogte gebracht.

Dat schrijft de NAM dinsdagavond in een persbericht.

Naam en adresgegevens van 19.000 Nederlanders gestolen

De NAM zegt dat ze de software van Accellion op verzoek van het Instituut Mijnbouwschade Groningen (IMG) gebruikt om gegevens over de afhandeling van waardedalingsclaims af te handelen. Met het programma worden zogeheten ‘large file transfers’ beveiligd verstuurd. In deze bestanden worden zaken als naam, adres en woonplaats van mensen die tussen 2014 en 1 juli 2020 een waardedalingclaim bij de NAM hebben ingediend vermeld. Ook van mensen die bij Stichting Waardevermindering door Aardbevingen Groningen (Stichting WAG) zijn aangesloten en huiseigenaren die op eigen houtje een rechtszaak tegen de NAM hebben lopen, zijn persoonsgegevens gestolen.

Het bedrijf benadrukt in de persverklaring dat het overgrote deel van de gegevens die gelekt zijn persoons- en adresgegevens zijn. Het gaat om zo’n 19.000 mensen. Bij een kleine groep zijn ook privacygevoelige gegevens buitgemaakt. Een woordvoerder bevestigt tegenover diverse media dat van 120 mensen gegevens als e-mailadres, telefoonnummer of bankgegevens zijn gestolen. De NAM heeft telefonisch contact met hen opgenomen. De overige gedupeerden hebben een brief over het voorval ontvangen.

Beveiligingslek in software is de oorzaak van het datalek

De NAM zegt eind vorige week te zijn geïnformeerd over het datalek. Naar eigen zeggen gaat het om een grootschalig datalek “waarbij wereldwijd van vele bedrijven en instanties allerlei informatie is ontvreemd door hackers”. De aardoliemaatschappij zegt dat de aanvallers niet in de IT-systemen van het bedrijf zijn geweest. Het datalek is ontstaan door een beveiligingslek in de software van Accellion. De softwaremaker zegt het lek inmiddels te hebben gedicht. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

De NAM weet niet wie er verantwoordelijk is voor de datadiefstal, of wat de aanvallers met de gegevens gaan doen. Daarom adviseert de organisatie om ‘de komende periode’ extra alert te zijn op verdachte berichten via e-mail, telefoon of andere communicatiemiddelen. “Ga nooit in op deze berichten en klik niet op onbekende links”, zo waarschuwt de NAM. Het bedrijf zegt dat ze op geen enkele wijze om pincodes, inloggegevens, bankrekeningnummer of andere persoonlijke en/of financiële gegevens vraagt.

“Wij betreuren het ten zeerste dat uw schadedossier onderdeel is van dit grootschalige datalek. Vanzelfsprekend is dit datalek volstrekt onacceptabel. Wij betreuren deze situatie dan ook enorm. Wij doen er alles aan om herhaling van dergelijke aard te voorkomen”, schrijft de NAM. Wie vragen heeft over het voorval, kan contact opnemen met de afdeling communicatie.

Toezichthouder waarschuwt voor explosieve toename hacks en datadiefstallen

Begin deze maand luidde de Autoriteit Persoonsgegevens de noodklok. De toezichthouder constateerde dat het aantal datadiefstallen afgelopen jaar met 30 procent is toegenomen ten opzichte van 2019. Daarmee kwam het aantal meldingen van datalekken uit op 1.173. Verder schat de privacywaakhond in dat er vorig jaar persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders.

Volgens AP-bestuursvoorzitter Aleid Wolfsen kan dit voor een groot deel worden verklaard doordat we informatiebeveiliging niet serieus genoeg nemen. Als meer bedrijven en particulieren tweestapsverificatie hadden geïmplementeerd, had een groot deel van het leed voorkomen kunnen worden. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren”, aldus Wolfsen.

Voor de Partij van de Arbeid (PvdA) en de Socialistische Partij (SP) was dit aanleiding om schriftelijk vragen te stellen aan minister Sander Dekker voor Rechtsbescherming. Beide partijen maken zich zorgen over de personele en financiële capaciteit van de Autoriteit Persoonsgegevens. Ze willen van minister Dekker horen of de toezichthouder voldoende middelen heeft om datadiefstallen en hacks te onderzoeken. De SP wil dat meerfactorauthenticatie de norm wordt bij inloggen. Hij vroeg aan de minister of hij wilde onderzoeken of dit mogelijk is.

Update (23 maart 2021): niet alleen de NAM is de dupe van het beveiligingslek in de software van Accellion. Ook Royal Dutch Shell is slachtoffer geworden van deze bug. Via een persverklaring laat de oliemaatschappij weten dat uit onderzoek is gebleken dat een ongeautoriseerd persoon enige tijd toegang had tot vertrouwelijke bestanden. Het gaat om persoonlijke gegevens en data van stakeholders in het bedrijf. Shell zegt de gedupeerden op de hoogte te hebben gesteld en contact te hebben gehad met ‘relevante toezichthouders en autoriteiten’.

Het onderzoek naar het voorval is nog steeds in volle gang. De oliemaatschappij schrijft dat er geen aanwijzingen zijn dat andere belangrijke IT-systemen van het bedrijf getroffen zijn, omdat de FTA-server (File Transfer Appliance) geïsoleerd draait van de rest van de digitale infrastructuur van Shell.

“Cyberveiligheid en privacy van persoonsgegevens zijn belangrijk voor Shell en wij werken voortdurend aan verbetering van onze praktijken op het gebied van informatierisicobeheer”, zo schrijft Shell. “Wij zullen onze IT-systemen blijven controleren en onze beveiliging blijven verbeteren. Wij betreuren de bezorgdheid en het ongemak die dit voor de getroffen partijen kan veroorzaken.”

Naast Shell zijn volgens cybersecuritybedrijf FireEye wereldwijd zo’n honderd bedrijven en organisaties getroffen door het beveiligingslek in de software van Accellion. 

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen