REGIO – Hackers hebben een paar weken geleden bij een digitale inbraak mogelijk de gegevens van een paar miljoen Nederlanders in handen gekregen. Wat er precies is gestolen, is nog niet helemaal duidelijk. Wat betekent het dat klantgegevens ‘op straat’ liggen? Hoe werkt zo’n lek precies? Wie heeft die gegevens nu? En waar moet je extra op letten? IT-beveiligingsexpert Dave Maasland geeft uitleg.
Wat is er deze week gebeurd?
Meerdere marktonderzoekbureaus zijn getroffen door een datalek, omdat ze allemaal gebruikmaken van de software van weer een ander bedrijf: Nebu. Het gaat om een programma van het bedrijf Nebu waarmee je enquêtes kunt maken en sturen.
Marktonderzoekbureaus doen in opdracht van bedrijven onderzoek naar hoe tevreden klanten zijn over een bepaald product, dienst of bedrijf. Daarvoor e-mailen ze vragen naar klanten. Als je online iets bestelt, krijg je daarna vaak een e-mail met vragen als: ben je tevreden over je aankoop? Wat kunnen we beter doen?
Om dit soort enquêtes gericht te kunnen sturen, krijgen marktonderzoekbureaus van hun opdrachtgevers hele lijsten met namen en e-mailadressen van hun klanten. En die opdrachtgevers zijn niet de minsten: de NS, vervoerder Trevvel, concertorganisator Vrienden van Amstel Live, telecombedrijf VodafoneZiggo. Het zijn de gegevens van de klanten van deze bedrijven die nu ‘op straat’ liggen.
Dat nog steeds niet helemaal duidelijk is wat er nu precies aan klantgegevens is gestolen, komt deels omdat Nebu niet open is over wat er exact is gebeurd. In eerste instantie hadden ze het over een storing, pas later spraken ze over een datalek. Nu wordt pas duidelijk dat grote hoeveelheden gegevens zijn gestolen uit de software van Nebu.
Zes marktonderzoeksbureaus hebben een kort geding tegen Nebu aangespannen om het bedrijf te dwingen meer informatie te geven over het datalek.
Welke gegevens zijn gestolen?
Er zijn voor zover bekend twee soorten gegevens in verkeerde handen gekomen. Om te beginnen de persoonsgegevens van klanten die de marktonderzoekbureaus hebben gekregen om bijvoorbeeld een tevredenheidsonderzoek te doen. Maar waarschijnlijk zijn ook de onderzoeksgegevens gehackt. Simpel gezegd: de antwoorden die mensen hebben gegeven op zo’n vragenlijst.
Een pensioenaanbieder maakte vrijdag bekend dat waarschijnlijk ook informatie over het inkomen van klanten op straat ligt. Zo kunnen oplichters steeds meer informatie naast elkaar leggen en combineren. Opleidingsniveau, inkomen, interesses. Met dit soort informatie kun je heel gericht zogenoemde profielen van mensen maken. En hoe meer informatie een oplichter over je heeft, hoe nauwkeuriger het profiel, en hoe geloofwaardiger hij zich voor kan doen als bijvoorbeeld een bankmedewerker, of iemand van de Belastingdienst.
Wie heeft die klantgegevens nu?
We kunnen er volgens beveiligingsexpert Dave Maasland vanuit gaan dat criminelen op de computers van Nebu hebben ingebroken om geld te verdienen met de gegevens die ze hebben gestolen. De hackers kunnen de gegevens doorverkopen aan criminelen die aan online oplichting doen. Ze kunnen natuurlijk ook zelf klanten proberen op te lichten.
Wat doen ze met die gestolen gegevens?
Als je meedeed aan een klantenonderzoek van Vrienden van Amstel Live, kon je gratis kaartjes winnen. Een crimineel kan die mensen nu een mailtje sturen met een tekst als: ‘Je hebt inderdaad gewonnen, klik hier om je gratis kaartjes te krijgen’. Het slachtoffer kan op een nep-website overgehaald worden om een wachtwoord in te vullen. Maar het kan ook zijn dat door het aanklikken gijzelsoftware geïnstalleerd wordt. Met alle gevolgen van dien.
Oplichters kunnen ook opbellen en zich voordoen als iemand van de bank of de Belastingdienst en op die manier je proberen op te lichten. Maasland adviseert extra goed op te letten als je een mailtje of een telefoontje krijgt van een bedrijf dat betrokken is bij het datalek.
Wat kun jij daartegen doen?
Criminelen zijn er heel goed in om dat soort nepmailtjes heel echt te laten lijken. Je hebt eigenlijk niet door dat de e-mail niet echt van Vrienden van Amstel Live is, of van de NS. Als iemand je via de telefoon of met een e-mail onder druk zet om metéén iets te doen, bijvoorbeeld een wachtwoord te veranderen of iets in te vullen, doe het dan niet.
Wat volgens Maasland vooral belangrijk is, is om tweestapsverificatie in te schakelen waar dat kan. Tweestapsverificatie betekent dat je pas in twee stappen toegang krijgt. Dus niet alleen met een e-mailadres en wachtwoord, maar nog met een extra toegangscode. Net als een extra veiligheidsslot op de voordeur. Gebruik daarvoor niet je mobiele telefoonnummer, want dat kan ook in handen komen van oplichters. Dat is niet zo veilig. Er zijn speciale authenticator apps die als extra slot op de voordeur functioneren.
Dave Maasland zegt dat het ook goed is om na te denken over welke gegevens je eigenlijk aan bedrijven wil geven en welke niet. Je geboortedatum bijvoorbeeld, moet elk bedrijf waar je een account maakt per se je geboortedatum weten?
Met de eerder genoemde profielen in het achterhoofd: hoe minder een bedrijf van je weet, hoe minder gegevens over jou gestolen kunnen worden, en hoe minder nauwkeurig het profiel is dat ze van je kunnen maken.
Wat kunnen bedrijven ertegen doen?
De bedrijven waarvan de klantengegevens zijn gelekt en de marktonderzoekbureaus zijn slachtoffer van slecht beveiligde software van een ander bedrijf. Maar, zegt Maasland, in het bedrijfsleven wordt er te vaak van uitgegaan dat het wel goed zit met de beveiliging, totdat het misgaat. Eigenlijk moeten we naar een wereld waarin bedrijven tegen elkaar zeggen: laat eerst maar eens zien dat het veilig is allemaal.
Een marktonderzoekbureau moet daar beleid voor hebben, vindt Maasland. Hij zegt dat je zo’n bureau best mag vragen hoe het zit met de veiligheidscertficaten, en of de veiligheid van de software die ze gebruiken eens in de zoveel tijd wordt getest.
Dit is een verhaal van onze mediapartner Rijnmond.