De Koninklijke Nederlandse Voetbalbond (KNVB) heeft losgeld betaald aan de hackersgroep die verantwoordelijk is voor de cyberaanval. Of leden van de groep de buitgemaakte gegevens ook daadwerkelijk hebben ingezien, kan de voetbalbond niet zeggen. Om het zekere voor het onzekere te nemen, besloot de bond om een onbekend bedrag aan losgeld te betalen zodat de gegevens niet verspreid zouden worden.
Dat meldt de KNVB in een update over de gebeurtenissen.
LocktBit steelt berg aan vertrouwelijke gegevens
Het is begin april als de KNVB bekendmaakt dat ze is getroffen door een cyberaanval. Leden van de hackersgroep LockBit slaagden er toen in om de interne systemen van de voetbalbond van de KNVB Campus in Zeist binnen te dringen. Hiervoor gebruikten ze gijzelsoftware. Deze werd geactiveerd toen een medewerker een malafide bijlage van een phishingmail opende.
Bij de aanval hebben de hackers naar verluidt 305 GB aan vertrouwelijke gegevens buitgemaakt. Dan moet je denken aan NAW-gegevens, contactgegevens, bankrekeningnummers, medische gegevens, kopieën van paspoorten en contracten van spelers, documenten van het secretariaat en vertrouwelijke documenten over tuchtzaken.
LockBit eiste één miljoen euro aan losgeld. Als de KNVB dat bedrag zou betalen, zouden er geen gegevens openbaar worden gemaakt.
Afspraken gemaakt met hackers over niet-publiceren en verwijderen data
Lange tijd wilde de KNVB niet zeggen of ze wel of geen losgeld had betaald. In een update over de cyberaanval laat de voetbalbond vandaag weten dat er losgeld is betaald. “Deskundigenonderzoek kon niet uitwijzen welke gegevens daadwerkelijk waren buitgemaakt of ingezien. Dit stelde ons voor een dilemma zonder een optie die voor ons prettig voelde”, zo stelt de bond in een verklaring.
Als de gestolen gegevens openbaar en verspreid zouden worden, zou dat wel eens ernstige consequenties kunnen hebben voor de betrokkenen. “Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen. Daarom werden er onder deskundige begeleiding afspraken gemaakt over het niet-publiceren en verwijderen van gegevens”, aldus de bond.
Hoeveel losgeld er is betaald, laat de KNVB in het midden. Tegelijkertijd zegt de bond ‘niet volledig op de belofte van criminelen’ te kunnen terugvallen. Ze roept gedupeerden dan ook op om zelf alert te blijven op “eventuele signalen van misbruik van hun gegevens”.
‘Aanval had geen noemenswaardige impact’
Vlak na de cyberaanval vertelde een woordvoerder van de KNVB dat de aanval “geen noemenswaardige impact” had op de bedrijfsvoering en dat voetbalwedstrijden gewoon doorgingen. Hoeveel man er de dupe zijn geworden van het datalek, is eveneens onbekend.
De bond heeft het voorval destijds bij de Autoriteit Persoonsgegevens gemeld. Ook is er aangifte gedaan bij de politie.
