Het recente datalek is vele malen groter dan tot nu toe werd verondersteld. We moeten er ernstig rekening mee houden dat de persoonsgegevens van miljoenen Nederlanders in de handen van hackers of cybercriminelen zijn beland. Dave Maasland, de algemeen directeur van cybersecuritybedrijf ESET Nederland, hoopt dat dit ‘een wake-upcall’ is voor bedrijven en overheden.
Dat zegt hij in een interview met het Algemeen Dagblad.
Klanten NS, VodafoneZiggo, Heineken en CZ getroffen door datalek
Het datalek begint steeds grotere vormen aan te nemen. Dinsdag meldde de NS dat er persoonsgegevens zijn ingezien of gestolen van zo’n 780.000 treinreizigers. Zij hebben in het verleden deelgenomen aan één of meerdere klanttevredenheidsonderzoeken, die zijn uitgevoerd door marktonderzoeksbureau Blauw.
Om deze onderzoeken uit te voeren maakt de marktonderzoeker gebruik van de software van Nebu B.V. uit Wormerveer. Die meldde op vrijdag 24 maart dat onbevoegden toegang hadden tot data die het bedrijf verzamelde en verwerkte voor verschillende opdrachtgevers. Voor zover bekend zijn namen, woonadressen, e-mailadressen en telefoonnummers in de handen van hackers terechtgekomen. Of er meer informatie is gelekt, wordt momenteel onderzocht.
Vandaag en gisteren meldden zich meer slachtoffers van het datalek. Telecomaanbieder VodafoneZiggo zei dat privégegevens van ongeveer 700.000 Nederlanders zijn ontvreemd. Bierproducent Heineken en zorgverzekeraar CZ hebben het over respectievelijk 22.000 en 3.000 gedupeerden. Alle partijen hebben melding van het datalek gedaan bij de Autoriteit Persoonsgegevens.
Internationaal filmfestival, golfclub, ArboNed en Trevvel eveneens getroffen
Daar houdt de lijst met slachtoffers niet op. De organisatie van het Internationaal Film Festival Rotterdam (IFFR) zegt dat persoonlijke data van bezoekers die ooit hebben deelgenomen aan een publieksonderzoek zijn gestolen. Het IFFR raadt bezoekers aan om waakzaam te zijn voor valse sms- of WhatsApp-berichten. Deze berichten lijken afkomstig van echte bedrijven, maar in werkelijkheid proberen oplichters op deze manier aanvullende persoonsgegevens te stelen.
De Koninklijke Nederlandse Golf Federatie (NGF) zegt in een reactie dat privégegevens van 107.000 golfers die hebben deelgenomen aan het onderzoek naar lidmaatschapsoptimalisatie mogelijk zijn gestolen. Dit onderzoek werd uitgevoerd door marktonderzoeker Blauw. De golfclub waarschuwt dat er de komende tijd phishingberichten uit naam van de club gestuurd kunnen worden.
ArboNed waarschuwde uit voorzorg eveneens klanten die hebben deelgenomen aan een klanttevredenheidsonderzoek om goed op te letten voor phishing. “Er zijn gegevens van onze klanten betrokken bij het datalek bij de softwareleverancier van marktonderzoeksbureau Blauw. Dat vinden wij uiteraard erg vervelend. We hebben Blauw opdracht gegeven om goed uit te zoeken hoe dit heeft kunnen gebeuren. Blauw heeft direct maatregelen getroffen om het lek te dichten en om herhaling te voorkomen”, schrijft de arbodienst in een persverklaring. Het bedrijf zegt het voorval bij de toezichthouder te hebben gemeld.
Trevvel, een organisatie dat leerlingen- en zorgvervoer in Rotterdam en omstreken uitvoert, is eveneens betrokken bij het datalek. In een persverklaring schrijft het vervoersbedrijf dat het gaat om klanten die hebben meegewerkt aan een klanttevredenheidsonderzoek dat is uitgevoerd door Blauw. “Uit voorzorg informeren wij klanten die mogelijk betrokken zijn bij het datalek. Wij vragen onze klanten om alert te zijn op phishingberichten. Ook hebben we een melding gedaan bij de Autoriteit Persoonsgegevens”, aldus Trevvel. Hoeveel klanten het betreft laat het bedrijf in het midden.
Tienduizenden huurders zijn de dupe van datalek
Verder meldden drie woningcorporaties dat er mogelijk persoonsgegevens van huurders zijn gestolen. Het gaat om Stadgenoot (Amsterdam), Vivare (Arnhem) en Haag Wonen (Den Haag). Wat de drie organisaties met elkaar gemeen hebben, is dat ze allemaal zaken doen met marketingbureau USP Marketing Consultancy.
Het marketingbedrijf zegt in een reactie dat onbevoegden mogelijk toegang hadden tot gegevens die het bedrijf verzamelde voor opdrachtgevers. De oorzaak daarvan was een lek bij Nebu B.V. Klanten zijn hierover ingelicht, net als de Autoriteit Persoonsgegevens. Op dit moment loopt er een onderzoek om te achterhalen welke gegevens door de onbevoegden zijn bekeken of gestolen.
Directeur Jan-Paul Strop zegt tegenover het AD dat er mogelijk gegevens van 100.000 tot 150.000 Nederlanders zijn gelekt. Nog zeker vijf tot tien andere marktonderzoekers zijn volgens hem door het lek getroffen.
Maasland: ‘Laat dit een wake-upcall zijn’
Dave Maasland van cybersecuritybedrijf ESET Nederland ziet de bui al hangen en waarschuwt dat cybercriminelen met deze gegevens “hele serieuze fraude” kunnen plegen. “Iemand die naar De Vrienden van Amstel Live is geweest en in het marktonderzoek allerlei vragen heeft ingevuld, geeft een goed beeld over zichzelf en zijn ervaring prijs. Een crimineel krijgt op basis van die gegevens een goed beeld van wat voor een persoon jij bent. Met die gegevens maken ze jou extra gevoelig voor digitale afpersing”, zo zegt Maasland tegen het AD.
Er wordt nog altijd onderzoek gedaan naar de precieze omvang van het datalek. Maasland vreest dat de persoonsgegevens van miljoenen Nederlanders in de verkeerde handen zijn beland. En dat baart hem zorgen. Maasland: “Dit lek laat zien dat het beschermen van het digitale bedrijfsleven nog echt een flinke uitdaging is. Bedrijven en overheden hebben nog heel wat werk te verzetten. Laat dit een wake-upcall zijn.”
Datalekmeldingen zijn vaak te vaag
Gerard Spierenburg, woordvoerder van de Consumentenbond, staat vierkant achter de uitspraken van Maasland. “Kwaadwillenden kunnen jou met die gegevens veel gerichter en persoonlijker benaderen, waardoor je sneller geneigd bent om in de val te lopen.” Hij adviseert om de komende tijd alert te zijn voor nepberichten, bijvoorbeeld over dat je zogenaamd een cadeaubon hebt gewonnen.
De Consumentenbond meldde eerder deze week dat datalekmeldingen veelal te wensen overlaten. Meer dan de helft van de waarschuwingen was te onduidelijk, of er ontbrak cruciale informatie. Zo gaf een kwart van de meldingen niet aan welke gegevens er waren ingezien of gestolen. Verder zijn bedrijven te vaag over wat de gevolgen van een datalek voor de slachtoffers kunnen zijn, en wat zij kunnen doen om eventuele schade te beperken.
“Dat is heel kwalijk. Organisaties lijken zich niet te realiseren dat consumenten daardoor onnodig extra risico’s lopen. Dat moet echt anders”, zo zei Sandra Molenaar, directeur van de Consumentenbond, over deze kwestie.
