Er zijn nieuwe details opgedoken over het datalek bij Nebu B.V. Hackers wisten al op vrijdag 10 maart de interne systemen van de softwareleverancier binnen te dringen. Ze wisten onder meer toegang te krijgen tot een wachtwoordkluis. De cyberaanval werd na 31 uur ontdekt.
Dat zegt marktonderzoeker Blauw tegen het Algemeen Dagblad.
Naar schatting twee miljoen Nederlanders slachtoffer van datalek
Het datalek bij Nebu B.V. houdt de gemoederen al ruim twee weken bezig. Onbekenden slaagden erin om de computersystemen van het softwarebedrijf te infiltreren. Daarbij zijn persoonsgegevens van naar schatting zo’n twee miljoen Nederlanders ontvreemd. Het gaat om namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata en geslacht. De softwareleverancier onderzoekt momenteel of de daders meer data hebben buitgemaakt.
Een groot aantal bedrijven en organisaties meldde de afgelopen tijd dat ze de dupe waren geworden van het datalek. Bij de NS zijn de gegevens van ongeveer 780.000 treinreizigers in de handen van de aanvallers terechtgekomen, bij VodafoneZiggo naar schatting zo’n 700.000 klanten. Bij bierbrouwer Heineken en zorgverzekeraar CZ zijn respectievelijk 22.000 bezoekers van De Vrienden van Amstel Live en 3.000 mensen die zijn aangesloten bij een collectieve verzekering de dupe van het lek.
Andere gedupeerden zijn het Internationaal Film Festival Rotterdam (IFFR), de Koninklijke Nederlandse Golf Federatie (NGF), ArboNed, ProRail, het Rotterdamse leerlingenvervoersbedrijf Trevvel, de Nationale Postcode Loterij, de Rijksdienst voor Ondernemend Nederland (RVO), woningcorporaties Stadgenoot, Vivare en Haag Wonen, en pensioenfondsen PME en PFZW.
Hackers hadden driekwartier nodig om persoonsgegevens te stelen
Gisteren diende het kort geding dat marktonderzoeksbureau Blauw heeft aangespannen tegen Nebu. Volgens Blauw-topman Jos Vink is het kort geding noodzakelijk, omdat de softwareontwikkelaar weigert om antwoord te geven op prangende vragen. “We moeten weten welke gegevens zijn gelekt, maar ook hoe dat heeft kunnen gebeuren”, vertelde hij afgelopen week tegenover de pers.
Bij het kort geding zijn er nieuwe details over de gebeurtenissen naar buiten gebracht. Zo blijkt dat Nebu op vrijdag 10 maart werd getroffen door een grootschalige cyberaanval. Hackers slaagden er toen in om toegang te krijgen tot het bedrijfsnetwerk van de softwareleverancier. Ze wisten onder meer een wachtwoordkluis te kraken.
De aanvallers zouden ongeveer 45 minuten bezig zijn geweest om de persoonsgegevens te stelen. Naast persoonsgegevens zouden de daders ook de hand hebben weten te leggen op informatie over inkomens en pensioengegevens. Medewerkers van Nebu merkten pas na 31 uur dat ze getroffen waren door een cyberaanval.
Blauw en Nebu willen gezamenlijk aan oplossing werken
De advocaat van Blauw is niet te spreken over hoe Nebu communiceert met klanten over het datalek. “Nebu hult zich bewust in vaagheden en komt de contractuele afspraken en wettelijke verplichtingen niet na. Van een gedegen onderzoek is geen sprake. We hebben er geen vertrouwen meer in”, zei hij dinsdag in de rechtbank volgens het Algemeen Dagblad.
De advocaat van Nebu erkende tijdens de zitting dat de communicatie te wensen overliet. “Het cyberincident is momenteel Nebu’s grootste prioriteit. Maar als zaken nog niet duidelijk voor Nebu zijn, kan van Nebu niet worden verwacht informatie te verstrekken. De bij hen ontstane ophef is te begrijpen, maar de uitingen die ze in de media doen zijn onjuist.”
De softwareleverancier wilde het kort geding het liefst achter gesloten deuren houden. De voorzieningenrechter stak daar echter een stokje voor. Blauw en Nebu vertelden dat ze gezamenlijk aan een oplossing willen werken. Aan het eind van de middag moeten ze aan de rechtbank laten weten of ze het hebben uitgepraat. Zo niet, dan zal de rechter donderdag met een uitspraak komen.
