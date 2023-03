tips voor klantenHet datalek bij circa tien grote Nederlandse marktbureau’s is nog veel groter dan tot nu toe werd verondersteld. Daarvoor waarschuwt Dave Maasland, ceo van het digitale beveiligingsbedrijf Eset Nederland. Van ruim een miljoen Nederlanders is al zeker dat persoonsgegevens mogelijk in handen zijn gekomen van cybercriminelen. ,,We moeten rekening houden dat dit aantal nog veel hoger ligt, mogelijk miljoenen”, zegt Maasland. Klanten moeten de komende weken extra waakzaam blijven, adviseert de Consumentenbond.

Persoonsgegevens van klanten van CZ en bezoekers van de Vrienden van Amstel Live en het Internationaal Film Festival Rotterdam (IFFR) liggen op straat, zo maakten de bedrijven donderdag bekend. Dat geldt ook voor klanten van de NS en VodafoneZiggo. Zij werken allen samen met de bekende marktonderzoeker Blauw. Ook via marktonderzoeksbureau USP zijn de gegevens van nog eens 100.000 tot 150.000 mensen in Nederland gelekt, zegt directeur Jan-Paul Strop, volgens hem zijn vijf tot tien andere grote Nederlandse marktbureaus getroffen door hetzelfde lek. Volgens beide bureaus is de bron van het lek hun softwareleverancier Nebu uit Wormerveer, dat valt onder moederbedrijf Enghouse Systems in Canada.

Uniek

Het is nog onduidelijk om wat voor persoonsgegevens het precies gaat en wat de aanleiding is voor het datalek. Volgens marktonderzoeker Blauw gaat het om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan een klanttevredenheidsonderzoek, zoals namen, mailadressen en telefoonnummers. Ook de gegeven antwoorden in het onderzoek zijn uitgelekt.

Een datalek van deze omvang is in Nederland weliswaar niet nieuw, maar de manier wáárop wel. ,,Het is bij mijn weten vrij uniek dat er persoonsgegevens via een grote marktonderzoeker op straat komen te liggen. Als cybercriminelen straks daadwerkelijk deze onderzoeksdata in handen krijgen, dan zijn ze in staat om hele serieuze fraude te plegen’’, vertelt Maasland.

Van de uitgelekte gegevens kunnen criminelen bijvoorbeeld uitgebreide profielen maken, zegt Maasland. ,,Iemand die naar Vrienden van Amstel Live is geweest en in het marktonderzoek allerlei vragen heeft ingevuld, geeft een goed beeld over zichzelf en zijn ervaring prijs. Een crimineel krijgt op basis van die gegevens een goed beeld van wat voor een persoon jij bent. Met die gegevens maken ze jou extra gevoelig voor digitale afpersing.’’

Wake-upcall

De Consumentenbond beaamt dit. ,,Kwaadwillenden kunnen jou met die gegevens veel gerichter en persoonlijker benaderen, waardoor je sneller geneigd bent om in de val te lopen’’, vertelt woordvoerder Gerard Spierenburg. Klanten van bijvoorbeeld NS en VodafoneZiggo, twee van de veertien gedupeerde bedrijven die met Blauw samenwerken, moeten de komende periode alert zijn. ,,Trap niet in mailtjes waarin staat dat jij vanwege het marktonderzoek een cadeaubon hebt gewonnen. Let goed op de schrijfwijze en op de afzender. Sommige mailtjes lijken akelig echt, maar dat is nu net de truc van deze listige criminelen.’’

Ook woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) zeggen dat gegevens van hun huurders mogelijk ook getroffen zijn. Beide organisaties maken gebruik van USP. Gegevens als namen, woonadressen, mailadressen en telefoonnummers van mensen die zijn uitgenodigd voor klanttevredenheidsonderzoeken zijn mogelijk gelekt. Bankgegevens en wachtwoorden zijn niet gelekt. De corporaties vragen hun huurders om op te letten op brieven, telefoontjes en mails.

De exacte omvang van het datalek is onduidelijk, maar cyberdeskundige Maasland houdt er rekening mee dat het om de persoonsgegevens van miljoenen Nederlanders gaat. ,,Als je alle aantallen bij elkaar optelt zit je al boven het miljoen. En veel datalekken blijven van de radar, omdat veel bedrijven geen cameratoezicht hebben of hun digitale veiligheid niet op orde hebben. Het wezenlijke probleem is dus echt veel groter, en dat baart mij flinke zorgen. Dit lek laat zien dat het beschermen van het digitale bedrijfsleven nog echt een flinke uitdaging is. Bedrijven en overheden hebben nog heel wat werk te verzetten. Laat dit een wake-upcall zijn.”

Incident met GGD

Reden voor paniek is er vooralsnog niet, zeggen zowel Maasland als de Consumentenbond. Het is immers niet met zekerheid te zeggen dat de informatie daadwerkelijk in handen is gekomen van cybercriminelen. Na het incident met de GGD staat iedereen echter op scherp, zegt Maasland. Begin 2021 kwam naar buiten dat GGD-medewerkers handelden in privégegevens van mensen die zich hadden laten testen op besmetting met het coronavirus.

Die gegevens werden uit de GGD-systemen gehaald en verkocht op ondergrondse marktplaatsen op het darkweb, een afgeschermd deel van internet. Cyberfraudeurs zijn op zulke fora bereid veel geld te betalen voor persoonlijke gegevens van mensen. Volgens de GGD’en zijn de data van ongeveer 1250 mensen gestolen, maar ICAM zegt dat er veel meer gedupeerden zijn. In totaal zouden tot 6,5 miljoen mensen de dupe kunnen zijn geworden, aldus de stichting.

Kritiek op bedrijven

Veel organisaties informeren consumenten onvoldoende over datalekken, blijkt uit een steekproef van de Consumentenbond. Ruim de helft van de waarschuwingen is te vaag. In een derde van de mails staat niet wat consumenten zelf kunnen doen om de schade te beperken. ,,Ze vergeten cruciale informatie te delen en soms lijken ze meer bezig met de bescherming van hun reputatie dan met de zorg voor hun klanten. Dat is heel kwalijk. Organisaties lijken zich niet te realiseren dat consumenten daardoor onnodig extra risico’s lopen. Dat moet echt anders’’, aldus Sandra Molenaar, directeur Consumentenbond.

Autoriteit Persoonsgegevens ontving de laatste jaren jaarlijks meer dan 20.000 meldingen van datalekken. Via websites als haveibeenpwned.com en scatteredsecrets.com kunnen consumenten controleren of ze de dupe zijn van gemelde datalekken.

Geen commentaar

Marktonderzoeker Blauw was donderdag niet in de gelegenheid te reageren. In een verklaring zegt het bedrijf nog niet precies te weten wat er is ontvreemd. ‘We vinden het zowel voor onze opdrachtgevers als voor hun klanten die medewerking hebben verleend aan het onderzoek, uiterst vervelend dat deze situatie is ontstaan’, valt te lezen.

Nebu B.V, de leverancier van software die Blauw gebruikt voor marktonderzoek, was eveneens onbereikbaar voor commentaar.

Liggen je gegevens op straat? Zo beveilig je je accounts

A. Gebruik sterke wachtwoorden

Het is lastig om voor al onze digitale accounts goede wachtwoorden te blijven verzinnen, maar gemakzucht is een groot risico. Steek daarom toch energie in een uniek wachtwoord voor elk account, om te voorkomen dat iemand die het vindt meteen overal toegang heeft. Een slimme manier om sterke wachtwoorden te maken en het overzicht te houden, is met wachtwoordmanagers zoals LastPass, KeePass en 1Password.

B. Gebruik 2-factor authenticatie

2-factor authenticatie of 2FA is een extra beveiligingslaag die aan je wachtwoord een tweede stap toevoegt, bijvoorbeeld via je mobieltje. Je wordt dan naast dat wachtwoord ook gevraagd om een code die op je telefoon verschijnt. Dat hoeft niet bij ieder inlog, dus erg onhandig is het niet. Lees je in op turnon2fa.com.

C. Gebruik een reserve mailadres

We ontvangen veel digitale nieuwsbrieven met tips en kortingen, maar de achterliggende databases zijn kwetsbare doelwitten voor criminelen. Bij een hack maken die een waslijst aan e-mailadressen buit. Maak daarom een extra mailaccount voor websites waar je je persoonlijke e-mailadres niet wil achterlaten, en laat je naam en andere gegevens zo veel mogelijk achterwege.



Wat kun je nog meer doen tegen een datalek?

- Wees extra alert. Behandel elk verzoek dat met betalen, overboeken of inloggen heeft te maken met argwaan. Laat je niet overtuigen door persoonlijke gegevens die in een bericht of telefoontje worden genoemd.

- Bel zelf je bank bij twijfel. Ga niet in op mailtjes, sms’jes of telefoontjes van ‘je bank’ die je iets opdragen. Log ook niet in via een linkje in een bericht. Controleer berichten via de bank-app of beveiligde omgeving op de website. - Een echt bericht van de bank krijg je via de bank-app, de echte website of brief. Maar let op: ook berichten per brief kunnen nep zijn. - Beperk en verwijder data. Voer bij het maken van accounts geen onnodige gegevens in. En ga je weg bij een bedrijf of website? Verwijder dan je account. - Meld ID-fraude. Wordt er identiteitsfraude gepleegd met je gegevens, neem dan contact op met Centraal Meldpunt Identiteitsfraude en –fouten en doe aangifte, voor hulp en schadebeperking. - Meld datalek. Er is een meldplicht voor organisaties om datalekken te melden. Loop je zelf tegen een datalek aan en reageert de betrokken organisatie niet (goed), dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Bron: Consumentenbond.nl