Homerun doelwit van hackers: gegevens duizenden sollicitanten gelekt

Online sollicitatieformulier op computerscherm

Het Nederlandse softwarebedrijf Homerun is aangevallen door hackers. Door een kwetsbaarheid in Apache webserversoftware hadden de aanvallers toegang tot alle klantgegevens. Hierdoor zijn waarschijnlijk de persoonsgegevens van duizenden sollicitanten buitgemaakt.

Dat blijkt uit onderzoek van VPNGids.nl.

‘Onbekende bron’ had toegang tot ‘alle data van klanten van Homerun’

Homerun is een bedrijf met een kantoor in Amsterdam dat ondernemingen helpt bij het sollicitatieproces. Homerun heeft een online sollicitatieformulier ontwikkeld die kandidaten moeten invullen om te reageren op een vacature. Alle gegevens die door de sollicitanten worden ingevuld, komen terecht in de database van Homerun.

Bekende klanten van Homerun zijn onder andere World Press Photo, WeTransfer, Dopper, Decathlon, Mollie, Tony’s Chocolonely, Renault Nederland, de VPRO en Belsimpel. In e-mails waarin getroffen bedrijven hun voormalig sollicitanten informeren over het lek, wordt gesproken over “een onbekende bron” die toegang had tot “alle data van de klanten van Homerun”. Homerun wil dit niet bevestigen.

Hackers gingen opportunistisch te werk

Tussen woensdag 20 oktober en donderdag 26 oktober 2021 hadden onbekenden toegang tot klantgegevens die waren opgeslagen op de cloudserver van Amazon Web Services (AWS), een dienst van Amazon. De hackers hadden toegang tot een voor cybercriminelen bekende kwetsbaarheid in de Apache webserversoftware. Dit stelde de vooralsnog onbekende hackers in staat op afstand opdrachten uit te voeren, access tokens te stelen en toegang te krijgen tot gegevens. De patch voor deze kwetsbaarheid verscheen op 15 oktober. Had Homerun deze update geïnstalleerd, dan had het datalek voorkomen kunnen worden.

Apache is een populaire gratis opensourcesoftware die wereldwijd gebruikt wordt om websites te hosten. De daders maakten in dit geval geen gebruik van gijzelsoftware of phishingtactieken, die veelal gebruikelijk zijn bij dit soort aanvallen.

Het verhelpen van de kwetsbaarheid in de Apache webserversoftware was de hoogste prioriteit van Homerun. “We hebben direct benodigde maatregelen genomen, in samenwerking met het gerenommeerde cybersecuritybedrijf Northwave. Daarna zijn we overgegaan tot het informeren van onze klanten”, aldus een medewerker in een eerste reactie. Homerun gelooft niet dat het een gerichte aanval was, maar dat de aanvallers opportunistisch te werk gingen en per toeval bij de bedrijfsgegevens terechtkwamen.

Homerun heeft het datalek gemeld bij de Autoriteit Persoonsgegevens, zo schrijft het bedrijf op haar site. Tevens is er aangifte gedaan bij de politie. Verder zegt het Amsterdamse bedrijf dat het meer privacymaatregelen gaat implementeren. Zo moeten sollicitanten meer controle krijgen over hun gegevens en worden er meer opt-out features geïntroduceerd in de privacyinstellingen.

De volgende gegevens zijn mogelijk ingezien

Volgens een medewerker van Homerun is het lek in de software inmiddels verholpen door de beveiligingsspecialisten van Northwave. Dat bedrijf heeft namens Homerun contact gelegd met de hackers. Dezelfde medewerker zegt dat het bedrijf samen met Northwave tot “een overeenkomst” is gekomen met de hackers. Homerun geeft aan dat er losgeld is betaald, waardoor de “financiële buffer die het bedrijf heeft nu een stuk kleiner is”.

Welke informatie de hackers hebben gekopieerd is lastig te zeggen. Dat is onder meer afhankelijk van de gegevens die sollicitanten zelf hebben ingevuld toen ze solliciteerden op een functie. Aangenomen kan worden dat hoe meer informatie sollicitanten hebben doorgegeven, des te meer gegevens van hen gestolen zijn. Het zou gaan om onder meer:

  • voor- en achternamen;
  • woonadressen;
  • telefoonnummers;
  • e-mailadressen;
  • cv’s;
  • motivatiebrieven;
  • profielfoto’s
  • aantekeningen die tijdens sollicitatiegesprekken en -procedures zijn gemaakt.

Een medewerker van Homerun bevestigt tegenover VPNGids.nl dat de aanvallers klantgegevens hebben gekopieerd. Het gaat vermoedelijk om duizenden sollicitanten. Hoeveel slachtoffers er exact de dupe zijn van het datalek bij Homerun, is vooralsnog niet duidelijk. Op het forum van Tweakers.net is te lezen dat sommige kandidaten zes maanden tot vier jaar geleden ergens hebben gesolliciteerd en afgelopen week een e-mail ontvingen dat hun gegevens mogelijk zijn ingezien door hackers.

Alle gestolen data gewist door hackers

Volgens Homerun hebben de hackers de klantgegevens definitief verwijderd na onderhandelingen met Northwave. De kans dat gestolen gegevens alsnog op het dark web of hackersfora verschijnen, is daardoor uiterst klein. “Northwave heeft ons laten weten dat het niet eerder is voorgekomen dat hackers informatie hebben gelekt nadat zij een overeenkomst hadden bereikt met het getroffen bedrijf”, aldus Homerun.

In een e-mail aan VPNGids.nl laat Homerun topman Willem van Roosmalen weten zo transparant mogelijk te willen zijn over de gebeurtenissen, maar zegt meer tijd nodig te hebben om “alle feiten te verzamelen en controleren”. Verder geeft hij aan dat hij dinsdagochtend een publieke pagina op de website publiceert met meer details over over de cyberaanval en het datalek. Van Roosmalen is vervolgens meerdere malen telefonisch benaderd voor een reactie en aanvullende vragen, maar heeft daar geen gebruik van gemaakt.

Op de vraag of Homerun jarenlang gegevens bewaart van sollicitanten, zegt Van Roosmalen dat Homerun geen inzage heeft in de data van zijn klanten. “Onze klanten zijn eigenaar van hun data in Homerun. Zij hebben dus zelf de controle en verantwoordelijkheid over welke data zij hoe lang bewaren”, aldus de directeur.

Meerdere bekende Nederlandse bedrijven gedupeerd door cyberaanval

Door het datalek bij Homerun zijn diverse bedrijven in Nederland de dupe geworden. Eén van de bevestigde slachtoffers is het Nijmeegse Hubper dat online leerplatformen ontwikkelt voor ruim 150 klanten. Het bedrijf heeft vorige week alle sollicitanten een e-mail gestuurd, waarin ze werden ingelicht over de hack.

Een ander bedrijf dat de dupe is van het datalek is Q42. Het bedrijf  met vestigingen in Den Haag en Amsterdam ontwikkelt onder meer apps, games, robots en websites. In een e-mail aan betrokkenen zegt directeur Jasper Kaizer teleurgesteld te zijn dat dit is gebeurd. Desondanks vindt hij het belangrijk om open en eerlijk te zijn over het lek bij Homerun, maar: “Ik kan het niet mooier maken dan het is”, aldus Kaizer tegenover VPNGids.nl.

VPNGids.nl heeft Tony’s Chocolonely, Renault Nederland, Belsimpel en Decathlon benaderd en om commentaar gevraagd. Geen van deze partijen heeft daarop gereageerd.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen