Zeker 2 miljoen Nederlandse klantgegevens lijken verband te houden met een groot Nederlands datalek. Naast NS en VodafoneZiggo werden nog drie andere bedrijven getroffen: ook de klantgegevens van de Nederlandse ArboNed en transportbedrijf Trevvel lijken gelekt.
De Autoriteit Persoonsgegevens heeft nog geen volledig beeld kunnen geven. De toezichthouder zal een onderzoek starten. Personen kunnen meerdere keren voorkomen in de gegevens. Eerder was al duidelijk dat naast NS en VodafoneZiggo ook zorgverzekeraar CZ en Vrienden van Amstel Live getroffen werden. Het lijkt erop dat Rijksdienst voor Ondernemend Nederland en woningbouwvereniging Stadgenoot dat ook doen.
Verschillende marktonderzoekers bevestigden tegenover de NOS dat zij slachtoffers waren. Op de vraag waarom wijzen ze allemaal naar softwareleverancier Nebula, eigendom van een Canadees bedrijf. De marktonderzoeker die tot nu toe het meest betrokken is bij het datalek is Blauw Research. Dit bedrijf voert een klanttevredenheidsonderzoek uit. Blauw-topman Jos Vink zegt tegen de NOS dat zijn bedrijf nog steeds niet weet welke informatie is gestolen. Beveiliging van de digitale keten
Als een bedrijf wil weten wat klanten van zijn dienstverlening vinden, kan het een marktonderzoeker inhuren. Hij voert de vragen en persoonlijke gegevens in Nebuo in. “Dit hele incident laat zien hoe belangrijk het is om de hele digitale keten te beveiligen”, zegt Dave Maasland, CEO van beveiligingsbedrijf ESET Nederland. Je ziet dat één zwakke schakel in een leverancier verstrekkende gevolgen kan hebben.
Vink, CEO van marktonderzoeker Blauw, vertelt dat hij in principe alleen iemands naam en e-mailadres opslaat, dit kan ook gelden voor informatie over waar iemand klant is en of het een zakelijke of particuliere klant is. Volgens hem zijn de enquêtes zelf kort en bevatten ze weinig persoonlijke gegevens. Hoe dit voor andere marktdeelnemers zal werken, is onduidelijk.
De CEO van Blauw zegt dat zijn bedrijf bijna drie weken geleden voor het eerst hoorde dat er iets mis was. Het gebeurde in het weekend van 11 maart. Vervolgens spraken ze over de mislukking en dat ze probeerden de diensten te herstellen. De dinsdag daarop werd duidelijk dat het om een digitale aanval ging. De zaak werd laat in de avond Nederlandse tijd per e-mail gemeld en de volgende dag door een Vink-functionaris voorgelezen.
“Toen gingen alle alarmbellen af en probeerden we via e-mail en telefoon contact op te nemen met het bedrijf”, zegt hij. We wilden weten hoe lang de hackers binnen waren en of er gegevens waren gestolen. Ze werkten op geen enkele manier mee.
Volgens de tip werden klanten en de Autoriteit Persoonsgegevens op 16 maart op de hoogte gebracht. Een dag later werd het advocatenkantoor ingeschakeld om de druk op softwareleverancier Nebu op te voeren. Ook het Nederlandse Cyber Security Centrum en de Canadese tegenhanger werden op dezelfde dag op de hoogte gebracht. Verwerkingssamenvatting
Blauw besloot daarop samen met vijf andere instanties een rapport te lanceren om Nebu te dwingen meer informatie te verstrekken. Afgelopen weekend en maandag deelde Nebu meer informatie. Maar Blauw weet nog steeds niet welke informatie er is gestolen. De hoorzitting is gepland voor aanstaande dinsdag. Welke andere instanties bij de zaak betrokken zijn, kan de CEO van Blauw niet zeggen.
Marktonderzoeker USP vertelde de NOS dat ook dit impact had. Dit bedrijf heeft maximaal 350.000 klanten en maximaal 150.000 buitenlandse klanten. Ook het marktonderzoek van het Mobile Center bevestigt dat het getroffen is door het datalek. In eerste instantie wilde het bedrijf niets zeggen over de cijfers, maar na het verschijnen van dit artikel zei het bedrijf dat het om 3.000 mensen gaat. De gegevens betreffen namen, adresgegevens en telefoonnummers. De CEO zegt dat dit voor geen enkele privacy-informatie geldt. Het bedrijf heeft de autoriteiten op de hoogte gesteld. Cybercriminaliteit.
Het beveiligingsbedrijf ESET Maasland vermoedt dat het om een cybercriminaliteit gaat met fraude als doel. Je hebt bovenal betrouwbare middelen nodig om ergens te komen. Je moet het slachtoffer ergens op laten klikken.
Als iemand zojuist een klanttevredenheidsonderzoek heeft ingevuld en vervolgens als bedankje een e-mail ontvangt met een cadeaubon het enige wat je hoeft te doen is op de onderstaande link te klikken – Dan kan het heel aantrekkelijk zijn.
“Met dat soort informatie kun je geloofwaardig op grote schaal vals spelen”, zegt Maasland. Hij adviseert mensen vooral op hun hoede te zijn voor e-mails die direct om actie vragen.Dit is het belangrijkste signaal.Ook benadrukt hij het belang van het beveiligen van accounts met een goed wachtwoord en tweestapsverificatie.