Gegevens 3,6 miljoen klanten op straat door datalek Allekabels.nl

Dat schrijft Daniël Verlaan, techjournalist bij RTL Nieuws. Hij heeft de dataset ingezien en belde dertig willekeurige personen om de echtheid ervan vast te stellen.

Ook IBAN-nummers buitgemaakt

In de database staan 2,6 miljoen unieke e-mailadressen. Deze zijn gekoppeld aan een groot aantal persoonsgegevens, waaronder namen, geboortedata, woonadressen, telefoonnummers en versleutelde wachtwoorden. De overige één miljoen entries zijn afkomstig van mensen die via verkoopplatformen als Bol.com en Amazon iets bij Allekabels.nl hebben besteld. Van deze laatste groep zijn geen e-mailadressen of wachtwoorden gelekt. Ook zijn de IBAN-nummers van ongeveer 109.000 klanten van Allekabels.nl gestolen. Dat geeft aanleiding om je grote zorgen te maken. Met een IBAN-nummer is het mogelijk om identiteitsfraude te plegen, bijvoorbeeld als een bedrijf dit nummer vraagt om je identiteit te controleren. Daarnaast wordt dit bankrekeningnummer gebruikt voor spearphishingaanvallen. Als ze dit aanvullen met persoonlijke gegevens die via deze hack zijn buitgemaakt, is de oplichting des te geloofwaardiger.

Dataset te koop aangeboden vanaf 15.000 euro

Allekabels.nl stuurde afgelopen februari een waarschuwingsmail naar 5.000 klanten. Daarin schreef het bedrijf dat een medewerker die vanuit huis werkte de gegevens had gestolen. Volgens Verlaan klopt er niets van deze lezing. De techjournalist sprak met Chippy1337, een bekende in de hacking community. De hacker zegt dat hij in augustus 2020 Allekabels.nl had gehackt. “Ze hebben toen mijn achterdeurtje gevonden. Allekabels weet sindsdien van de hack”, vertelt hij tegenover RTL Nieuws. Volgens hem heeft het bedrijf nooit op zijn e-mails gereageerd. Eind januari bood de aanvaller de database te koop aan op een hackersforum op het dark web. Geïnteresseerden konden bieden op de dataset vanaf 15.000 euro. De advertentie is volgens Verlaan maanden geleden verwijderd, wat hoogstwaarschijnlijk betekent dat de database verkocht is. Volgens de techjournalist worden de gegevens verhandeld onder cybercriminelen, en worden de gestolen gegevens actief misbruikt om phishingberichten te versturen en online accounts te hacken.

Toezichthouder: ‘De schade kan flink oplopen’

Constantijn Souren, operationeel directeur van Allekabels.nl, ontkent dat hij vorig jaar al op de hoogte was van de diefstal van privégegevens. Hij zegt dat zijn bedrijf geprobeerd heeft om contact te leggen met de aanvaller die de dataset te koop aanbood, maar dat is niet gelukt. “Dit is ook voor ons een ontzettende klap”, zegt hij. Het bedrijf doet nu intern onderzoek naar de zaak. De Autoriteit Persoonsgegevens bevestigt dat het ‘informatie en documenten’ heeft opgevraagd bij Allekabels.nl over de zaak. “Allekabels is verplicht alle gevraagde informatie en documentatie te leveren”, zo vertelt een woordvoerder. Hij noemt het een ernstige zaak. “Als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen.”

‘Alle klanten geïnformeerd waarvan de gegevens waren gestolen’

Ethisch hacker en securitydeskundige Ricky Gevers zegt tegen RTL Nieuws dat het hier om het grootste datalek met wachtwoorden ooit gaat in Nederland. “Het Allekabels-lek is voor cybercriminelen ontzettend interessant en waardevol door alle wachtwoorden en gevoelige informatie”, vertelt hij. Rik van Duijn, net als Gevers een ethische hacker, denkt dat er iets niet in de haak is. Allekabels.nl heeft veel klanten die over een uniek of aangepast e-mailadres voor de webshop beschikken. Van Duijn vermoedt dat de retailer alleen klanten heeft geïnformeerd die wisten dat hun gegevens bij de webwinkel waren gelekt. “Dat zou een kwalijke zaak zijn en dat lijkt me zeker iets voor de Autoriteit Persoonsgegevens om te onderzoeken.” Allekabels.nl laat weten dat ze in februari alle klanten heeft geïnformeerd waarvan de gegevens waren gestolen. Update: Allekabels.nl laat in een e-mail aan klanten weten dat het wachtwoorden alleen van accounts die vóór 1 september 2018 zijn aangemaakt gekraakt kunnen worden. Om ‘de belangen van klanten maximaal te beschermen’ heeft de retailer de wachtwoorden van gedupeerde klanten onmiddellijk gewist. Verder waarschuwt het bedrijf dat slachtoffers de komende tijd door oplichters benaderd kunnen worden. “Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We stellen alles in het werk om de belangen van u als klant optimaal te beschermen”, eindigt Allekabels.nl zijn e-mail. De kabelverkoper heeft een FAQ-pagina online gezet waar het antwoord heeft op de meestgestelde vragen.