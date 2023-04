cyberaanvalDe grootschalige cyberaanval op softwareleverancier Nebu uit Wormerveer kan nog grotere gevolgen hebben dan tot nu toe is vastgesteld. In de afgelopen dagen hebben zeker 139 bedrijven en organisaties aan de bel getrokken, omdat persoonsgegevens van klanten mogelijk op straat zijn beland. Dat stelt de Autoriteit Persoonsgegevens (AP) op basis van een nieuwe inventarisatie.

Eerder maakten media melding van circa 25 bedrijven, maar dat aantal blijkt dus veel hoger. De AP sluit in gesprek met deze site niet uit dat het datalek nog groter wordt. Het gaat om een uiterst zeldzame zaak, zegt een woordvoerder. ,,Dit heeft onze volledige aandacht. Een lek met deze aantallen komt bijna nooit voor. Het gaat om een groot en ernstig incident.” De privacytoezichthouder waarschuwt dat bedrijven zich meer bewust moeten zijn van hun verantwoordelijkheid bij het doorgeven van persoonsgegevens.

Of al die bedrijven en organisaties, zoals de NS en VodafoneZiggo, ook daadwerkelijk de dupe zijn geworden, weten ze niet zeker. Niemand kan dat nog met zekerheid zeggen, omdat er veel onduidelijkheid is over de aanval en het lek. Het bedrijf dat is aangevallen, Nebu in Wormerveer, geeft weinig informatie, en werkt bovendien niet alleen voor Nederlandse partijen, maar ook voor veel marktonderzoeksbureaus in het buitenland. Intussen heeft het bedrijf wel bevestigd dat er data is gestolen. ,,Maar het zou ook zo kunnen zijn dat daar geen data van Nederlandse bureaus tussen zitten”, zegt Jos Vink, topman van directeur Blauw, een van de partners.

Er bestaat de vrees dat van enkele miljoenen mensen in Nederland persoonlijke informatie is gelekt. Het gaat hierbij niet alleen om namen, leeftijden, geslacht en e-mailadressen, maar in een enkel geval mogelijk ook om informatie over het inkomen en pensioensgegeven. Zulke gegevens zijn voor cybercriminelen een goudmijn. Het lek is inmiddels gedicht, benadrukt Nebu.

Vanwege de ernst van het lek vraagt Autoriteit Persoonsgegevens om opheldering van alle betrokken partijen. Dus ook van Nebu. Marktonderzoeker Blauw spande een kort geding aan tegen Nebu, omdat die weigerde meer informatie over de cyberaanval te geven. Onder druk van de rechter stelt de softwaremaker nu bereid te zijn uit te zoeken wat ze kunnen delen. Doen ze dat onvoldoende, dan volgt donderdag een vonnis van de rechter.

Blauw verricht al jarenlang enquêtes voor onder meer NS, VodafoneZiggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel. Die willen er zo achterkomen wat er speelt onder hun achterban. Blauw gebruikt daarvoor, net als enkele andere marktonderzoekers, software van Nebu. Nu blijkt dat de persoonsgegevens van klanten die aan zo’n onderzoek meewerkten in het vizier zijn gekomen van cybercriminelen. Die wisten de computersystemen van Nebu binnen te dringen en toegang tot een wachtwoordkluis te krijgen. Pas 31 uur later werd de aanval ontdekt. Het duurde vervolgens twee weken voordat klanten werden geïnformeerd, zegt marktonderzoeker Blauw, een van de gedupeerde partijen.

Van 167 studenten en medewerkers van de Hogeschool van Amsterdam (HvA) zijn mogelijk ook persoonlijke gegevens gelekt via Nebu, meldt de hogeschool woensdag. Bij de HvA gaat het om gebruikers van de Global Mind Monitor (GMM), een tool waarmee studenten en medewerkers de ontwikkeling van competenties kunnen evalueren. Het kan zijn dat namen, e-mailadressen en wachtwoorden van GMM zijn buitgemaakt, maar mogelijk ook ingevulde antwoorden en nationaliteiten van studenten en hun ouders.

De HvA is mogelijk getroffen via onderzoeksbureau Etil, leverancier van de evaluatietool. ,,Er is verdachte activiteit geconstateerd op de servers waarop de gegevens van GMM staan”, aldus de hogeschool. Woensdag informeerde de onderwijsinstelling de mogelijk getroffen studenten en medewerkers. Ook heeft de HvA het lek gemeld bij de Autoriteit Persoonsgegevens (AP). De hogeschool adviseert studenten te letten op phishingmails en de tool niet meer te gebruiken totdat er meer bekend is over de veiligheid.

Dat de Nederlandse organisaties nu massaal naar buiten treden met het mogelijke datalek, heeft te maken met de privacyregels. Een datalek moet binnen 72 uur na ontdekking zijn gemeld bij de Autoriteit Persoonsgegevens. Ook de betrokken klanten moeten zo snel mogelijk van op de hoogte worden gebracht. Volgens de AP moeten bedrijven extra aandacht besteden aan het beschermen van persoonsgegevens die ze hebben verzameld. ,,Dan denk je, dat is een open deur. Maar wees je er ook bewust van dat je als bedrijf verantwoordelijk bent voor de persoonsgegevens wanneer je ze doorgeeft voor een marktonderzoek”, zei een woordvoerder eerder tegen het ANP.

Liggen je gegevens na een datalek op straat? Zo beveilig je je accounts A. Gebruik sterke wachtwoorden Het is lastig om voor al onze digitale accounts goede wachtwoorden te blijven verzinnen, maar gemakzucht is een groot risico. Steek daarom toch energie in een uniek wachtwoord voor elk account, om te voorkomen dat iemand die het vindt meteen overal toegang heeft. Een slimme manier om sterke wachtwoorden te maken en het overzicht te houden, is met wachtwoordmanagers zoals LastPass, KeePass en 1Password. B. Gebruik 2-factor authenticatie 2-factor authenticatie of 2FA is een extra beveiligingslaag die aan je wachtwoord een tweede stap toevoegt, bijvoorbeeld via je mobieltje. Je wordt dan naast dat wachtwoord ook gevraagd om een code die op je telefoon verschijnt. Dat hoeft niet bij ieder inlog, dus erg onhandig is het niet. Lees je in op turnon2fa.com. C. Gebruik een reserve mailadres We ontvangen veel digitale nieuwsbrieven met tips en kortingen, maar de achterliggende databases zijn kwetsbare doelwitten voor criminelen. Bij een hack maken die een waslijst aan e-mailadressen buit. Maak daarom een extra mailaccount voor websites waar je je persoonlijke e-mailadres niet wil achterlaten, en laat je naam en andere gegevens zo veel mogelijk achterwege.

Wat kun je nog meer doen tegen een datalek? - Wees extra alert. Behandel elk verzoek dat met betalen, overboeken of inloggen heeft te maken met argwaan. Laat je niet overtuigen door persoonlijke gegevens die in een bericht of telefoontje worden genoemd. - Bel zelf je bank bij twijfel. Ga niet in op mailtjes, sms’jes of telefoontjes van ‘je bank’ die je iets opdragen. Log ook niet in via een linkje in een bericht. Controleer berichten via de bank-app of beveiligde omgeving op de website. - Een echt bericht van de bank krijg je via de bank-app, de echte website of brief. Maar let op: ook berichten per brief kunnen nep zijn. - Beperk en verwijder data. Voer bij het maken van accounts geen onnodige gegevens in. En ga je weg bij een bedrijf of website? Verwijder dan je account. - Meld ID-fraude. Wordt er identiteitsfraude gepleegd met je gegevens, neem dan contact op met Centraal Meldpunt Identiteitsfraude en –fouten en doe aangifte, voor hulp en schadebeperking. - Meld datalek. Er is een meldplicht voor organisaties om datalekken te melden. Loop je zelf tegen een datalek aan en reageert de betrokken organisatie niet (goed), dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Bron: Consumentenbond.nl

