Tien grootste datalekken van 2021

Gepubliceerd op 30 december 2021 om 07:00

2021 gaat de geschiedenisboeken in als een van de meest roerige jaren ooit op het gebied van cybersecurity en informatiebeveiliging. Het ene datalek was nog maar net achter de rug of het volgende lek diende zich alweer aan. Afgelopen jaar werden tal van bedrijven hiermee geconfronteerd.

In dit artikel staan we stil bij de 10 grootste datalekken van 2021. Daarbij beperken we ons tot de gevallen waarbij persoonsgegevens van Nederlanders zijn buitgemaakt. Een datalek zoals bij T-Mobile, waarbij gegevens van meer dan 54 miljoen Amerikaanse klanten werden gestolen, laten we voor onze lijst buiten beschouwing.

1. GGD – levendige handel in persoonsgegevens

Het meest geruchtmakende datalek van 2021 is zonder twijfel het lek bij de GGD. RTL Nieuws ontdekte dat duizenden medewerkers toegang hadden tot de persoons- en medische gegevens van iedereen die zich had laten testen op corona, of onderdeel uitmaakte van een bron- en contactonderzoek.

Dan moet je denken aan voor- en achternamen, woonadressen, contactgegevens, burgerservicenummers (BSN), medische aandoeningen en medicatiegebruik. Deze gegevens werden opgeslagen in twee IT-systemen en via kanalen als Telegram, Snapchat en Wickr doorverkocht aan de hoogste bieder.

Om het nog erger te maken: de eerste meldingen dat het registratiesysteem niet op orde was, kwamen in de zomer van 2020 al binnen. Medewerkers bevestigden dat de bestuurlijke top van de GGD bewust besloot om deze waarschuwingen te negeren. André Rouvoet, voorzitter van de landelijke koepelorganisatie GGD GHOR, bood openlijk zijn excuses aan voor de gang van zaken.

Ook demissionair minister van Volksgezondheid Hugo de Jonge ging diep door het stof in de Tweede Kamer. Hij gaf toe dat hij scherper had moeten toezien op de beveiliging van persoonsgegevens. Als kers op de taart concludeerde de Autoriteit Persoonsgegevens dat de beveiliging van de gegevens te wensen overliet.

Nadat de media over het lek schreven, heeft de minister aanvullende veiligheidsmaatregelen laten treffen. De GGD schakelde de print- en exportfunctionaliteit grotendeels uit, beperkte de zoekmogelijkheden in de computersystemen, liet meer interne controles en externe audits uitvoeren om misbruik te voorkomen en heeft de VOG-administratie (Verklaring Omtrent Gedrag) op orde laten brengen.

Volgens de officiële cijfers zijn er persoonsgegevens verkocht van 1.250 mensen. In theorie hadden ruim 6,5 miljoen Nederlanders de dupe kunnen zijn van de slechte beveiligingspraktijken. Stichting ICAM dreigt daarom nu met een miljardenclaim. De stichting eist een schadevergoeding van 500 euro voor iedereen die in de systemen van de GGD werd genoemd, en 1.500 euro voor de slachtoffers waarvan vaststaat dat hun gegevens zijn verkocht.

2. Ticketcounter – datalek door menselijke fout

Misschien gaat er niet direct een belletje rinkelen als je de naam Ticketcounter hoort. Toch is de kans groot dat je regelmatig bent geholpen door dit bedrijf. Ticketcounter verzorgt het reserveringssysteem voor onder meer dierentuinen, pretparken, musea, theaters en retailers. Als je bijvoorbeeld online een toegangskaartje koopt voor Burgers’ Zoo, dan verwerkt Ticketcounter je reserveringsgegevens.

Begin maart werd Ticketcounter geconfronteerd met een datalek. Het lek ontstond door een menselijke fout: een medewerker had per ongeluk de klantgegevens van anderhalf tot twee miljoen Nederlanders op een onbeveiligde server geplaatst.

Zonder dat men dit in de gaten had, hadden hackers en cybercriminelen maandenlang toegang tot privacygevoelige persoonsgegevens als namen, adressen, geboortedata, telefoonnummers, e-mailadressen en bankrekeningnummers.

Een onbekend persoon stal deze data en dreigde de gegevens te koop aan te bieden op het darkweb. Hij eiste zeven bitcoin aan losgeld van Ticketcounter, wat destijds een waarde had van 285.000 euro. Algemeen directeur Sjoerd Bakker zei van meet af aan dat hij niet van plan was om te betalen.

Na de digitale inbraak verstuurde de Autoriteit Persoonsgegevens een brief naar 46 bedrijven, waarin de toezichthouder hen wees op hun meldplicht. Desondanks waren er weinig ondernemers die ook daadwerkelijk actie ondernamen, omdat ze niet wisten wie ze precies moesten informeren. Daarop besloot Ticketcounter, in overleg met de privacywaakhond, om gedupeerde consumenten zelf in te lichten over het datalek.

3. RDC – grootste datalek uit de Nederlandse geschiedenis

Door een datalek bij RDC werden de persoonsgegevens van miljoenen Nederlandse autobezitters buitgemaakt. RDC is een ICT-dienstverlener voor autogaragebedrijven dat onderhoudsprocessen automatiseert. Als iemand bijvoorbeeld zijn auto naar de garage moet brengen voor een algemene periodieke keuring (apk), krijgt deze persoon vanzelf bericht daarvan.

RDC verwerkt niet alleen persoonlijke gegevens van klanten, maar ook voertuiggegevens zoals het kentekennummer, type auto en onderhoudsgegevens. Deze informatie is uiterst interessant voor criminelen: hiermee zien ze in een oogopslag waar ze dure auto’s kunnen vinden.

Cybersecuritybedrijf Fox-IT ontdekte dat de gegevens afkomstig waren uit CaRe-mail van RDC. Hoe de hackers toegang tot deze tool wisten te krijgen, hebben de beveiligingsmedewerkers nooit weten te achterhalen vanwege problemen met verschillende logbestanden. Naar schatting hebben de daders de persoons- en voertuiggegevens van 7,3 miljoen Nederlanders buitgemaakt. Als dat aantal klopt, dan gaat het hier om het grootste datalek dat we ooit in ons land hebben gezien.

Directeur Jan-Willem Gefken zei belangrijke lessen uit het voorval te hebben getrokken. “Als we één ding geleerd hebben in de afgelopen periode dan is het dat je wel kunt dénken dat je data en systemen veilig zijn, maar dat je dat nooit honderd procent zeker weet.

Het is een maatschappelijke uitdaging om er samen voor te zorgen dat data veilig zijn en blijven bij bedrijven. We dragen ons steentje bij door de geleerde lessen met onze klanten te delen, zodat zij daar hun voordeel mee kunnen doen”, aldus de topman.

4. Allekabels.nl – lek is ‘ontzettend interessant en waardevol’ voor hackers

Een ander datalek met miljoenen Nederlandse slachtoffers, zagen we bij Allekabels.nl. Aanvankelijk schreef de online retailer in een e-mail aan klanten dat een medewerker die vanuit huis werkte verantwoordelijk was voor het lek. Volgens het bedrijf had hij de gegevens van zo’n 5.000 klanten verzameld. Zij ontvingen allemaal een bericht over het lek.

In werkelijkheid bleek het datalek veel groter dan ons werd voorgespiegeld. Een hacker met de naam Chippy1337 vertelde aan RTL Nieuws dat hij in augustus 2020 een backdoor had aangebracht. Via deze achterdeur wist de hacker de privégegevens en wachtwoorden van 3,6 miljoen Nederlanders te bemachtigen: 2,6 miljoen rechtstreeks uit de database van Allekabels.nl, de overige miljoen via verkoopplatformen als Bol.com en Amazon.nl. Van de laatstgenoemde groep werden geen e-mailadressen of wachtwoorden buitgemaakt.

Eind januari bood de aanvaller de volledige dataset aan op een hackersforum op het darkweb. Naar verluidt zijn de gegevens verkocht voor meer dan 15.000 euro. “Het Allekabels-lek is voor cybercriminelen ontzettend interessant en waardevol door alle wachtwoorden en gevoelige informatie”, zo vertelde ethisch hacker Ricky Gevers.

5. Homerun – persoonsgegevens (tien)duizenden sollicitanten ingezien door hacker

Het Amsterdamse softwarebedrijf Homerun ontwikkelt sollicitatieformulieren voor bedrijven die openstaande vacatures hebben. Kandidaten vullen dit formulier in, waardoor hun persoonsgegevens, cv’s en motivatiebrieven in de database van Homerun belanden.

Door een kwetsbaarheid in de Apache webserversoftware hadden hackers toegang tot de klantgegevens die Homerun bewaarde op de cloudserver Amazon Web Services (AWS). Hierdoor zijn privacygevoelige gegevens van duizenden – mogelijk zelfs tienduizenden – sollicitanten ingezien.

Homerun bevestigde tegenover VPNGids.nl dat de aanvallers klantgegevens hadden gekopieerd. In samenwerking met cybersecuritybedrijf Northwave wist het softwarebedrijf ‘een overeenkomst’ te sluiten met de aanvallers. Onderdeel daarvan was dat alle gestolen gegevens werden gewist. De kans dat de buitgemaakte data op een hackersforum op het darkweb belanden, is hierdoor uitgesloten.

Uit aanvullend onderzoek van VPNGids.nl bleek dat diverse bedrijven de bewaartermijn van persoonsgegevens van sollicitanten ruimschoots hadden overschreden. Sommige partijen bewaarden deze data wel vier tot vijf jaar nadat de sollicitatieprocedure was afgerond.

De gangbare bewaartermijn voor dergelijke gegevens is vier weken. De Correspondent, Tony’s Chocolonely, Amac, Blendle en Prowise erkenden dat er fouten zijn gemaakt en beloofden beterschap.

6. Blue Sky Group – pensioengegevens tienduizenden oud-KLM-medewerkers gelekt

In augustus kreeg pensioenbeheerder Blue Sky Group te maken met een datalek. Doordat een medewerker op een kwaadaardige link in een phishingmail drukte, wisten hackers toegang te krijgen tot zijn inbox. Vervolgens drongen ze meerdere computersystemen binnen en hadden ze toegang tot de persoonsgegevens van tienduizenden gepensioneerde KLM-medewerkers.

Naast namen en contactgegevens zijn er bij de hack mogelijk ook polis- en bankrekeningnummers en gegevens over opgebouwde pensioenbedragen buitgemaakt. Volgens de pensioenbeheerder zijn er geen gegevens gelekt van werknemers die momenteel pensioen opbouwen. Direct nadat het lek werd ontdekt, heeft het bedrijf het laten dichten en aanvullende maatregelen getroffen om herhaling in de toekomst te voorkomen.

Naast KLM beheert Blue Sky Group ook de pensioenen van onder meer Philips en SNS Reaal. Bij Philips zouden de gegevens van ongeveer 500 gepensioneerde medewerkers die in het buitenland wonen zijn bemachtigd.

7. Testcoronanu – database stond wagenwijd open

Niet alleen bij de GGD ging het goed mis met de bescherming van persoonsgegevens. Bij Testcoronanu, een bedrijf dat deelnam aan het initiatief Testenvoorjereis.nl, waren de problemen van een hele andere orde. Uit onderzoek van RTL Nieuws bleek dat het kinderlijk eenvoudig was om de uitslag van een coronatest te manipuleren.

Hoe? Door twee extra regels code in je webbrowser in te voeren. Daarna vulde je de gewenste gegevens in en ontving je automatisch een geldig coronatoegangsbewijs in de CoronaCheck-app. Op dezelfde manier kon je ook een Europees coronabewijs aanmaken, of een positieve uitslag veranderen in een negatieve.

Dat was niet het enige euvel bij Testcoronanu. Door het lek kon iedereen de privé- en persoonsgegevens van ruim 60.000 Nederlanders inzien. Dat was mogelijk omdat de beheeromgeving van Googles databasesysteem Firestore niet was afgeschermd door het coronatestbedrijf.

Daardoor stond de deur naar privacygevoelige gegevens wagenwijd open. Namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata, paspoortnummers en medische gegevens lagen daardoor voor het oprapen.

Frederik Zuiderveen Borgesius, hoogleraar ICT & Recht aan de Radboud Universiteit Nijmegen, noemde het datalek ‘heel schokkend’.

“Veel gevoeliger dan dit wordt het niet. Dit is juist waar medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor gaat het nu zo mis.”

8. ROC Mondriaan – privacygevoelige gegevens studenten belanden op het darkweb

In augustus werd ROC Mondriaan opgeschrikt door een datalek. Hackers wisten met behulp van gijzelsoftware een aantal fysieke servers binnen te dringen en de hand te leggen op vertrouwelijke en privacygevoelige informatie.

Nader onderzoek wees uit dat de aanvallers persoonsgegevens van docenten en studenten wisten te stelen. Tevens hadden ze inzage in e-mails gericht aan ouders, klassenlijsten, afhandelingsformulieren van klachten, en financiële gegevens en bedrijfsprotocollen van de school.

Demissionair minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven schreef aan de Tweede Kamer dat de aanvallers vier miljoen euro aan losgeld eisten van de scholengemeenschap. Hans Schutte, voorzitter van het College van Bestuur, bevestigde dit tegenover de media. Hij vertelde tevens dat de onderwijsinstelling het losgeldbedrag niet heeft betaald. Daarop plaatsten de daders de gestolen informatie op het darkweb.

Volgens de school ging het om een ‘omvangrijke hoeveelheid data’. Studenten werden op het hart gedrukt om niet zelf op zoek te gaan naar hun data, omdat de gegevens wel eens besmet zouden kunnen zijn met malware.

“Het openen van bestanden kan schadelijke gevolgen hebben voor je device”, aldus het schoolbestuur. Studenten kregen het advies om alert te zijn voor phishingmails en hun wachtwoorden voor andere websites en online diensten te veranderen.

ROC Mondriaan was niet de enige onderwijsinstelling die afgelopen jaar zijn handen vol had aan een datalek. Hetzelfde overkwam de Hogeschool Arnhem-Nijmegen (HAN), Hanzehogeschool Groningen en de Hogeschool en Universiteit van Amsterdam (HvA en UvA).

9. Raven Hengelsport – persoonsgegevens van 200.000 klanten te koop voor 400 dollar

Raven Hengelsport is een van de grootste aanbieders van hengelsportartikelen in Nederland. De hengelsportketen heeft vestigingen in Almelo, Lelystad, Rijen en Steenwijk. Naast de vier filialen heeft de visserswinkel ook een webshop waar klanten terecht kunnen voor hun visartikelen. In november 2020 kreeg de webwinkel van de keten een opknapbeurt.

Bij de transitie van de oude naar de nieuwe webshop ging er iets mis. Een database met klantgegevens van rond 2018 bleek per ongeluk toegankelijk voor iedereen. Een onbekende hacker zag zijn kans schoon en verzamelde namen, adresgegevens, telefoonnummers en e-mailadressen van zo’n 200.000 klanten. Deze gegevens bood hij te koop aan op een hackersforum voor 400 dollar.

Door een tip kreeg Raven Hengelsport in maart 2021 lucht van het datalek. Diezelfde dag verdween de dataset van het hackersforum. Toeval? Wie zal het zeggen. Dennis de Jong, manager bij de sporthengelketen, reageerde opgelucht toen hij hoorde dat er geen bankgegevens en wachtwoorden tussen de gegevens zaten. “Maar dit is voor onze klanten wel vervelend, omdat ze slachtoffer kunnen worden van phishing”, vertelde hij tegenover NU.nl. Het lek is gemeld bij de Autoriteit Persoonsgegevens en gedupeerden zijn erover ingelicht.

10. Ministerie van Justitie en Veiligheid – externe medewerker gaat boekje te buiten

Afgelopen zomer belandden de persoonsgegevens van 65.000 Rijksambtenaren op plekken waar ze niet thuishoorden. Een oud-medewerker die extern was ingehuurd om kwaliteitscontroles uit te voeren op toegangsdiensten, bleek het datalek te hebben veroorzaakt. Hij had, tegen de regels in, een analysetool en de daaraan gekoppelde data naar zijn eigen werkomgeving en twee andere overheidsdiensten gekopieerd.

Medewerkers van het Openbaar Ministerie, GGD GHOR, IT-dienstverleners en de werkgever van de ingehuurde kracht hadden hierdoor toegang tot de naam, organisatie, geboorteplaats, geboortedatum, nationaliteit, het soort dienstverband, ID- of paspoortnummer, Rijkspasnummer, e-mailadres en geslacht van tienduizenden ambtenaren.

Verantwoordelijk demissionair minister Ferd Grapperhaus veroordeelde de werkwijze van de voormalige werknemer. “Deze informatie moet altijd met grote zorgvuldigheid worden behandeld en die zorgvuldigheid is hier met voeten getreden.” De minister nam het lek uiterst serieus. Hij gaf het Integriteitsbureau van de Dienst Justitiële Inrichting (DJI), cybersecuritybedrijf Fox-IT en Auditdienst Rijk (ADR) de opdracht de zaak tot op de bodem uit te zoeken.

Op basis van de uitkomsten van de onderzoeken besloot minister Grapperhaus om de werkafspraken en procedures bij de inhuur van externe medewerkers aan te scherpen. Daarnaast liet hij de gebruikte analysetool vervangen door de Data Leakage Protection (DLP) tool. Dit is een hulpmiddel dat onderscheid maakt tussen vertrouwelijke en niet-gerubriceerde informatie en het transport daarvan vroegtijdig signaleert.

Tot slot pleitte Grapperhaus voor extra training om medewerkers meer bewust te maken van beveiligingsrisico’s en hun kennis over veilig digitaal werken te vergroten.

Conclusie: een ongeluk zit in een klein hoekje

Datalekken zijn aan de orde van de dag. NAW-gegevens, contactgegevens, bankrekeningnummers en andere persoonlijke data zijn vandaag de dag het nieuwe goud onder hackers en cybercriminelen. Ze gebruiken vertrouwelijke en privacygevoelige gegevens om slachtoffers te maken. Vinden ze dat te veel moeite, dan kunnen ze de buitgemaakte gegevens altijd via hackersfora of het darkweb verkopen aan de hoogste bieder.

Wat de bovenstaande lekken aantonen, is dat een ongeluk in een klein hoekje zit. Een menselijke fout, slecht doordacht toegangsbeleid of lakse beveiligingsmaatregelen zijn in de meeste gevallen de boosdoener van een datalek. Het goede nieuws is dat aan de meeste oorzaken iets te doen is.

Er zijn verschillende manieren om de toegangscontrole tot gevoelige gegevens te regelen, bijvoorbeeld via Role Based Access Control (RBAC). Om de cybersecurity op orde te brengen, vormen een risicoanalyse of een pentest een goede basis. Deze onderzoeken leggen de vinger op de zere plek: ze tonen aan waar eventuele zwakheden zitten en hoe deze opgelost kunnen worden.

Menselijke fouten zijn hardnekkig en lastiger om aan te pakken. Veiligheidsdeskundigen zeggen vaak dat de mens de zwakke schakel vormt als het gaat om cybersecurity en informatiebeveiliging. Een afkorting die securityexperts gebruiken om dit probleem aan te kaarten, is PEBKAC. Dat staat voor ‘Problem Exists Between Keyboard And Chair’.

Door medewerkers regelmatig te trainen maak je ze bewust van veiligheidsrisico’s en maak je je bedrijf of organisatie digitaal weerbaarder tegen cyberaanvallen en andere dreigingen. De kans op een datalek wordt hierdoor een stuk kleiner.

Wekelijks datalek overzicht

Wil je op de hoogte blijven van de dagelijkse datalekken volg dan ons wekelijkse overzichten. Elke zondag het overzicht van de datalekken van de afgelopen week.

Bron: vpngids.nl

Meer info over datalekken

Meer info over darkweb

Cybercrime begrippen uitgelegd

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws over datalekken

Tien grootste datalekken van 2021

2021 gaat de geschiedenisboeken in als een van de meest roerige jaren ooit op het gebied van cybersecurity en informatiebeveiliging. Het ene datalek was nog maar net achter de rug of het volgende lek diende zich alweer aan. Afgelopen jaar werden tal van bedrijven hiermee geconfronteerd.

Lees meer »

Datalekken UWV en SVB

Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om post gerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.

Lees meer »