Persoonsgegevens van zo’n 16.000 ondertekenaars van de petitie ‘Stop de lockdown’, zijn op straat beland. Door een gebrekkige beveiliging van de website van de actiegroep Viruswaarheid, waren deze gegevens tijdelijk voor iedereen toegankelijk. De website is inmiddels aangepakt, waarbij het datalek is gedicht.
Dat schrijft de Volkskrant.
‘Je hoeft geen geoefend hacker te zijn’
Volgens ethisch hacker en beveiligingsonderzoeker Sijmen Ruwhof ging het om een ‘knullig datalek’. Bezoekers hoefden alleen maar het adres van de website aan te passen om toegang te krijgen tot deze vertrouwelijke bestanden. Eenmaal binnen kon iedereen ingevulde formulieren van de online petitie van Viruswaarheid inzien en downloaden. Gegevens als voor- en achternaam, e-mailadres en telefoonnummer waren met een paar muisklikken binnen te halen.
“Het is heel simpel om binnen te komen. Je hoeft daarvoor geen geoefende hacker te zijn. Dat maakt dit lek ook zo ernstig”, vertelt Ruwhof tegenover de Volkskrant. Het ergste is misschien nog wel dat het eenvoudig voorkomen had kunnen worden: de website-ontwikkelaar had de gegevens kunnen afschermen met een gebruikersnaam en wachtwoord.
Viruswaarheid: ‘Datalek is ontstaan door DDoS-aanval’
In een reactie laat Viruswaarheid weten dat het lek wellicht is ontstaan als gevolg van een DDoS-aanval, die eerder deze maand plaatsvond. Daarbij wordt een server met zoveel data- en verbindingsverzoeken bestookt, dat hij het internetverkeer niet langer aankan. Het verkeer verloopt dan zeer traag, of komt in het ergste geval volledig tot stilstand. In beide gevallen geldt dat websites niet of nauwelijks meer te bezoeken zijn.
De actiegroep zegt dat bij herstelwerkzaamheden het datalek mogelijk is ontstaan. Dat wordt op dit moment nog onderzocht. Viruswaarheid geeft aan het lek bij de Autoriteit Persoonsgegevens te melden. Bedrijven en organisaties die geconfronteerd worden met een lek waarbij persoonsgegevens in handen van hackers terecht zijn gekomen, zijn verplicht om binnen 72 uur daarvan melding te maken bij de toezichthouder.
Dit doen cybercriminelen met gestolen persoonsgegevens
Naam- en contactgegevens zijn goud waard voor cybercriminelen en hackers. Deze data verkopen ze door aan andere criminelen, of gebruiken deze data zelf om slachtoffers te maken via phishing, WhatsApp-fraude of identiteitsfraude. Ze doen zich bijvoorbeeld voor als een medewerker van de bank of incassobureau en sturen een e-mail, sms of WhatsApp-bericht naar hun slachtoffer. Ze gebruiken een smoes om hun doelwit te verleiden hun inloggegevens, bankrekeningnummer of andere persoonlijke gegevens in te vullen op een nagemaakte webpagina.
Hebben de aanvallers deze gegevens in handen, dan maken ze de zuurverdiende centen van hun slachtoffers over naar hun eigen rekening. Als hun rekening helemaal is leeggeplunderd, komen gedupeerden erachter dat ze het slachtoffer zijn van gewiekste cybercriminelen. Het kwaad is echter dan al geschied. En omdat het niet-bancaire fraude betreft, zijn banken niet verplicht om de financiële schade te vergoeden.
Met ingang van 2021 hanteren banken een nieuwe procedure tegen cybercriminelen. Als klanten het slachtoffer zijn van betaalfraude, mogen banken de NAW-gegevens van de daders verstrekken aan gedupeerden. Deze informatie wordt niet direct overhandigd door de banken. In de procedure staat dat fraudeurs 21 dagen de tijd hebben om het geld terug te storten. Als de dader dat weigert, dan verstrekken de banken de NAW-gegevens van deze persoon aan het slachtoffer. Voorwaarde is wel dat het slachtoffer aangifte heeft gedaan van betaalfraude.
Privacy in het geding door datalek
Door het datalek is ook de privacy van de ondertekenaars in het geding. Iemand die kwaad in zijn zin heeft kan deze gegevens op het internet publiceren. De naam en contactgegevens van degenen die de online petitie hebben ondertekend, kunnen dan door iedereen worden ingezien. En probeer dan maar eens om je gegevens offline te halen.
En dan is er nog de mogelijke reputatieschade: wil je dat iedereen weet dat je geassocieerd wordt met de actiegroep Viruswaarheid? Velen houden dit liever voor zichzelf, omdat ze geen zin hebben om zich hiervoor te moeten verantwoorden. “Dat is zeker met de toenemende polarisatie in de samenleving rondom de coronacrisis een probleem”, aldus Ruwhof.
