De persoonsgegevens die hackers eind vorig jaar van EasyPark wisten buit te maken, zijn niet gevoelig. Bovendien zijn er geen gegevens gestolen die betrekking hebben op locatie, voertuigregistratie of parkeersessies. De veiligheid en privacy van klantgegevens zijn van het grootste belang.
Dat zegt EasyPark in een reactie tegenover Kassa. Het consumentenprogramma besteedde afgelopen weekend aandacht aan de hack.
EasyPark doelwit van cyberaanval
In december 2023 maakte EasyPark bekend dat het bedrijf het slachtoffer was geworden van een cyberaanval. Daarbij werden persoonlijke gegevens van een onbekend aantal klanten gestolen, waaronder namen, telefoonnummers, woonadressen en e-mailadressen. Ook wisten de aanvallers de hand te leggen op enkele cijfers van IBAN- en creditcardnummers. Gedupeerden werden persoonlijk op de hoogte gebracht van het voorval. Ze kregen verder het advies om alert te zijn op phishing. De Autoriteit Persoonsgegevens is eveneens ingelicht over het incident.
“Geen enkele combinatie van deze gestolen gegevens kan worden gebruikt om betalingen uit te voeren”, zo stelde EasyPark. De ontwikkelaar van de parkeer-app bestempelde bovendien de gestolen gegevens als ‘niet-gevoelige klantdata’. Experts hadden het idee dat EasyPark daarmee het datalek bagatelliseerde. Het BNNVARA-programma Kassa onderzocht wat hackers met de gestolen gegevens konden doen.
Ruwhof: ‘Het kan een omvangrijk lek zijn’
Het consumentenprogramma stelt dat drie miljoen Nederlanders hun persoonsgegevens toevertrouwen aan EasyPark. Ethisch hacker Sijmen Ruwhof onderzocht of de buitgemaakte gegevens op het dark web werden verkocht. Dat was volgens hem niet het geval. Dat betekent echter nog niet dat het datalek met een sisser is afgelopen. “Tweeënhalf jaar geleden was ParkMobile gehackt, de voorloper van het huidige EasyPark. Toen werd de buitgemaakte data door de hacker te koop gezet op internet”, zo vertelt Ruwhof.
De ethisch hacker benadrukt dat de daders 150.000 euro vroegen voor de dataset. Toen niemand bereid was dat bedrag te betalen, werden alle gegevens gratis online gezet. “Er bleken 23 miljoen verschillende persoonsgegevens in het datalek te zitten. Nu is EasyPark wéér slachtoffer. En ook nu vertelt het bedrijf niet om hoeveel persoonsgegevens het gaat. Het zou zomaar kunnen dat het wederom een omvangrijk lek blijkt te zijn”, vreest Ruwhof.
Net als EasyPark waarschuwt Ruwhof dat betrokkenen goed moeten oppassen dat ze niet het slachtoffer worden van phishing. “In het datalek zijn je naam, je telefoonnummer, je adres en enkele cijfers van je bankrekening buitgemaakt. Daar kun je heel realistische phishingmails mee sturen.”
EasyPark: ‘Aanval was niet gericht op het systeem van ParkMobile’
In een reactie benadrukt EasyPark dat het bedrijf, samen met externe experts, direct beveiligings- en privacymaatregelen heeft getroffen om de cyberaanval te stoppen. Uit veiligheidsoverwegingen kan EasyPark geen details prijsgeven over de aard van de maatregelen. Verder zegt het bedrijf dat onafhankelijke veiligheidsexperts regelmatig beveiligingstests uitvoeren. Dat maakt naar eigen zeggen onderdeel uit van het ‘doorlopende veiligheidsprogramma’.
EasyPark ontkent dat de cyberaanval gericht was op het systeem van ParkMobile. Er is dan ook geen link met die aanval. “De cyberaanval op ParkMobile in de Verenigde Staten die plaatsvond in 2021 had geen gevolgen voor klanten in Nederland of gebruikers buiten de Verenigde Staten en vond plaats voordat EasyPark Parkmobile/ParkNow overnam [in 2021, red.]”, aldus het bedrijf.
Toch houdt EasyPark vol dat er geen gevoelige gegevens zijn buitgemaakt. “De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd en we willen benadrukken dat er geen parkeergegevens met betrekking tot locatie, voertuigregistratie of parkeersessies zijn blootgesteld”, aldus het bedrijf.
Tang: ‘Meer datalekken dan boetes’
Europarlementariër Paul Tang (PvdA) vindt dat bedrijven meer moeten doen om persoonlijke gegevens van klanten te beschermen tegen diefstal. Doen ze dit niet, dan vindt hij dat er boetes uitgedeeld moeten worden.
“Bedrijven hebben die verplichting onder de AVG. De enige manier om bedrijven de verantwoordelijkheid te laten voelen, is door ze voldoende te beboeten. Het aantal boetes neemt toe, maar je ziet ook dat de handhaving van die wet nog onvoldoende is. We hebben belang bij een samenleving waar data zo centraal is komen te staan dat er een hele goede toezichthouder is die voldoende middelen heeft om te handhaven. Ik zie meer datalekken dan boetes”, aldus Tang tegenover Kassa.
