Persoonsgegevens miljoenen Nederlanders op straat door datalek bij autobedrijven

 

Grootste datalek ooit in Nederland

RDC is een ICT-dienstverlener voor autogaragebedrijven. Als de auto van een klant aan de beurt is voor een algemene periodieke keuring (apk), krijgt hij daarvan per e-mail een bericht. Dit soort diensten neemt garagehouders heel wat werk uit handen, omdat het proces wordt geautomatiseerd. RDC heeft afspraken met de Rijksdienst voor het Werkverkeer (RDW) om informatie als vervaldatum van apk-keuringen en NAW-gegevens over de auto-eigenaar te delen. Het gaat om zaken als naam, adres, woonplaats, geboortedatum, telefoonnummer, e-mailadres en kenteken. Kortom, RDC heeft toegang tot een schat aan persoonlijke informatie van autobezitters. Dat maakt het bedrijf een geliefd doelwit van hackers en cybercriminelen. Dat lijkt mogelijk het geval te zijn. Uit onderzoek van de NOS blijkt dat NAW-gegevens, contactinformatie en kentekens van miljoenen Nederlanders zijn gestolen. Deze data is gebundeld in een database en wordt momenteel te koop aangeboden op een hackersforum op het dark web. De aanvaller vraagt 35.000 dollar voor de gehele database. Hoeveel mensen exact de dupe zijn van het lek is onbekend. De NOS heeft contact gehad met de hacker. Hij claimt dat het om herleidbare gegevens van 7,3 miljoen Nederlanders gaat. Tegelijkertijd erkent hij dat sommige mensen meerdere keren in de database voorkomen. Het aantal van 7,3 miljoen slachtoffers noemt hij ‘reëel’. Als dat zo is, gaat het om het grootste datalek ooit in Nederland.

Gestolen gegevens zijn gedateerd

Om de data te verifiëren, zocht de NOS contact met degene die de database aanbod op internet. Op deze manier kreeg techredacteur Joost Schellevis een datasample van 58.000 Amsterdammers met een auto of motor. In totaal kreeg de NOS toegang tot 54.000 unieke kentekens. Volgens het medium is een deel van de gegevens verouderd. Zo staan er gegevens in van auto’s die meer dan tien jaar geleden bij een garage zijn geweest. Het woonadres en contactgegevens kloppen mogelijk nog wel. John Fokker, beveiligingsonderzoeker bij McAfee, vertelt tegenover de NOS dat de gestolen gegevens goud waard zijn voor hackers. “Met één druk op de knop” kunnen cybercriminelen volgens hem zien waar dure auto’s staan. Ze hoeven niet langer de straat op om te verkennen. Met de gegevens weten ze precies wie welke auto rijdt en waar deze persoon woont.

Autoriteit Persoonsgegevens op de hoogte gebracht van datalek

Hoe de data precies is gestolen, is onbekend. In een reactie zegt een woordvoerder van RDC de buitgemaakte data te herkennen. Het bedrijf is direct een onderzoek gestart, dat nog steeds in volle gang is. Het lek is tevens gemeld bij de Autoriteit Persoonsgegevens. De RWD bevestigt dat ze in gesprek is met RDC over het lek. Mogelijk heeft het lek consequenties voor de afspraken over informatie-uitwisseling, maar dat kunnen we nu nog niet met zekerheid zeggen. De woordvoerder van RDC zegt niets te weten van een recent datalek. Dat is belangrijk, omdat bedrijven en organisaties verplicht zijn om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als de data eerder is gestolen en het bedrijf er nu pas achter komt, heeft ze in ieder geval haar best gedaan om het lek zo snel mogelijk bij de toezichthouder te melden.

Phishing en identiteitsfraude

De gestolen informatie is niet alleen interessant voor autodieven. Boeven die mensen online oplichten kunnen hiermee eveneens slachtoffers maken. Met de bemachtigde contactgegevens kunnen ze nietsvermoedende slachtoffers gerichter en persoonlijker benaderen. Hun verhaal komt dan geloofwaardiger over, waardoor meer mensen de dupe worden van oplichtingspraktijken. Wanneer oplichters slachtoffers vragen om privacygevoelige of financiële gegevens door te geven, spreken we van phishing. De gestolen gegevens kunnen wellicht ook gebruikt worden voor identiteitsfraude. Daarvan is sprake als een hacker zich uitgeeft voor een ander om zo zijn slag te slaan. Een goed voorbeeld daarvan is WhatsApp-fraude, dat ook wel vriend-in-noodfraude wordt genoemd. Een oplichter doet via het chatplatform alsof hij een vriend, familielid, collega of goede kennis is en vraagt zijn slachtoffers om ze voor hem een rekening kunnen betalen. Doen ze dit niet, dan worden zijn financiële problemen nog groter. Maar eenmaal betaald zijn de slachtoffers hun geld kwijt.

Ticketcounter getroffen door datalek

Begin deze maand deed zich een vergelijkbaar datalek voor bij Ticketcounter. Dat bedrijf beheert de reserveringssystemen van een groot aantal Nederlandse dierentuinen en attractieparken. Mensen die in de afgelopen jaren online een kaartje hebben gekocht, zijn bekend bij Ticketcounter. Doordat een medewerker per ongeluk de klantgegevens van anderhalf miljoen Nederlanders op een onbeveiligde server had geplaatst, wist de aanvaller veel privacygevoelige informatie te stelen. De hacker eiste 7 bitcoin om de buitgemaakte gegevens terug te geven, wat begin deze maand een bedrag van bijna drie ton vertegenwoordigde. Sjoerd Bakker, directeur van Ticketcounter, vertelde dat hij niet van plan was om losgeld te betalen. Volgens hem lopen mensen geen direct gevaar, maar adviseerde hen wel om alert te zijn voor phishingactiviteiten.