Een softwareleverancier waarmee de Nederlandse Spoorwegen (NS) samenwerkt, is getroffen door een datalek. Daarbij zijn mogelijk privégegevens van 780.000 klanten buitgemaakt. Uit voorzorg informeert het spoorwegbedrijf gedupeerden.
De NS meldt het mogelijke datalek in een persverklaring.
Ongeautoriseerde toegang bij softwareleverancier
Het datalek vond plaats bij Nebu B.V., een leverancier van software die marktonderzoeksbureau Blauw gebruikt om tevredenheidsonderzoeken uit te voeren. De NS werkt met deze partij samen om onder treinreizigers te peilen wat zij van de dienstverlening van de NS vinden.
De NS ontving op zaterdag 25 maart bericht van de marktonderzoeker over het datalek. Die zegt op zijn beurt dat een dag eerder onbevoegden toegang hadden tot data die het bedrijf verzamelt voor opdrachtgevers. Op maandag 27 maart bevestigde Nebu B.V. dat er persoonsgegevens waren ontvreemd. Daarop nam de marktonderzoeker contact op met de NS.
Bij het datalek zijn privacygevoelige gegevens als namen, e-mailadressen en telefoonnummers wellicht in verkeerde handen beland. De NS benadrukt dat klanten zich geen zorgen hoeven te maken om hun financiële gegevens of wachtwoorden: deze data zijn niet gelekt.
Datalek gemeld bij Autoriteit Persoonsgegevens
Zowel marktonderzoeksbureau Blauw als de NS zegt te betreuren dat het voorval heeft plaatsgevonden. Welke data er precies zijn ontvreemd of ingezien, kan Blauw op dit moment niet met zekerheid zeggen. Momenteel loopt er een onderzoek om een antwoord te krijgen op deze vraag.
De NS zegt dat ze de marktonderzoeker heeft gevraagd om uit te zoeken hoe dit heeft kunnen gebeuren. Laatstgenoemde bevestigt op zijn beurt dat er direct maatregelen zijn getroffen om het lek te dichten en herhaling te voorkomen.
Beide partijen hebben het voorval gemeld bij de Autoriteit Persoonsgegevens.
NS waarschuwt voor phishing
Uit voorzorg heeft de NS vandaag 780.000 klanten per e-mail op de hoogte gebracht van de recente gebeurtenissen. Daarin vraagt het spoorwegbedrijf om alert te zijn voor phishing.
Hackers en cybercriminelen doen zich dan voor als een betrouwbare instantie, zoals een bank, en benaderen nietsvermoedende mensen in de hoop dat zij inloggegevens of andere persoonlijke informatie afstaan. Deze data verkopen ze dan, of gebruiken ze om hun slachtoffers financieel te benadelen.
Update (29 maart 2023): naast de NS is ook VodafoneZiggo een van de slachtoffers van het datalek bij softwareleverancier Nebu B.V. De telecomaanbieder bevestigde woensdag dat er mogelijk privégegevens van ongeveer 700.000 klanten zijn buitgemaakt. Net als bij de NS zijn er namen, woonadressen, e-mailadressen en telefoonnummers gestolen. Bankrekeningnummers en wachtwoorden zijn veilig, zo benadrukt het telecombedrijf.
Een woordvoerder van marktonderzoeker Blauw vertelt tegenover het AD dat er persoonsgegevens van klanten van veertien partnerbedrijven zijn ingezien of gestolen. Om welke bedrijven het gaat wil hij niet zeggen.
Update (30 maart 2023): een woordvoerster van Heineken maakte donderdag 30 maart bekend dat de privégegevens van 22.000 bezoekers van De Vrienden van Amstel Live op straat zijn beland door het datalek bij Nebu B.V. Het biermerk heeft alle gedupeerden via een e-mail op de hoogte gesteld van het voorval. Daarin waarschuwt het bierconcern om alert te zijn voor phishing.
Ook klanten van CZ zijn de dupe van het datalek bij de softwareleverancier. Volgens een woordvoerder van de zorgverzekeraar gaat het om gegevens van ruim 3.000 klanten die vallen onder een collectieve verzekering. Werknemers kunnen zo’n verzekering tegen gunstige voorwaarden afsluiten via hun werkgever. De gegevens van organisaties die een collectieve verzekering bij CZ hebben afgesloten zijn op straat beland. De woordvoerder zegt dat er onder meer namen en e-mailadressen zijn buitgemaakt.
Update (30 maart 2023): drie woningcorporaties zijn eveneens de dupe van het datalek bij de softwareleverancier. Het gaat om Stadgenoot (Amsterdam), Vivare (Arnhem) en Haag Wonen (Den Haag). Alle drie de organisaties doen zaken met USP Marketing Consultancy, dat op zijn beurt software gebruikt van Nebu B.V. uit Wormerveer. Volgens directeur Jan-Paul Strop zijn er persoonsgegevens van 100.000 tot 150.000 Nederlanders ontvreemd.
Het Internationaal Film Festival Rotterdam (IFFR) is eveneens slachtoffer van het datalek. De organisatie van het filmfestival zegt dat persoonlijke data van bezoekers die ooit hebben deelgenomen aan een publieksonderzoek zijn gestolen. Het IFFR raadt bezoekers aan om waakzaam te zijn voor valse sms- of WhatsApp-berichten.
De Koninklijke Nederlandse Golf Federatie (NGF) zegt in een reactie dat privégegevens van 107.000 golfers die hebben deelgenomen aan het onderzoek naar lidmaatschapsoptimalisatie mogelijk zijn gestolen. Dit onderzoek werd uitgevoerd door marktonderzoeker Blauw. De golfclub waarschuwt dat er de komende tijd phishingberichten uit naam van de club gestuurd kunnen worden.
ArboNed waarschuwde klanten die hebben deelgenomen aan een klanttevredenheidsonderzoek om goed op te letten voor phishing. De arbodienst was eveneens klant bij Blauw. Het bedrijf heeft de marktonderzoeker gevraagd om de onderste steen boven te krijgen. ArboNed heeft het lek gemeld bij de toezichthouder.
Trevvel, een organisatie dat leerlingen- en zorgvervoer in Rotterdam en omstreken uitvoert, is eveneens betrokken bij het datalek. In een persverklaring schrijft het vervoersbedrijf dat het gaat om klanten die hebben meegewerkt aan een klanttevredenheidsonderzoek dat is uitgevoerd door Blauw. Hoeveel klanten het betreft laat Trevvel in het midden.
