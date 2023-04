Ook de gegevens van bezoekers van De Vrienden van Amstel Live zijn mogelijk gestolen. Beeld ANP

Wat is er misgegaan?

Wie klanttevredenheidsonderzoeken wil laten uitvoeren, kan terecht bij gespecialiseerde onderzoeksbureaus als Blauw en USP. Die kopen de software achter hun online vragenlijsten weer in van een andere partij: het in Wormerveer gevestigde Nebu. Daar verkregen indringers toegang tot een enorme hoeveelheid vertrouwelijke data uit deze marktonderzoeken, blijkt nu.

Nebu legt zich toe op software voor marktonderzoeken en is bepaald geen nieuwkomer: sinds zijn oprichting in Nederland in 1992 is het naar meerdere landen uitgebreid. Ondertussen heeft het bedrijf een Canadese eigenaar: Enghouse. Sinds de cyberaanval zou het vrijwel geen informatie van de Canadezen mogen delen, maar zeker is dat onbevoegden toegang hebben gekregen tot het netwerk en gegevens hebben buitgemaakt van meerdere onderzoeksbureaus. Wat precies, en hoeveel – dat zoekt Nebu nog uit.

Over de auteur Niels Waarlo is algemeen verslaggever van de Volkskrant. Eerder werkte hij op de wetenschapsredactie en schreef hij over tech.

Wie zijn de gedupeerden?

Bij VodafoneZiggo en de NS, die bureau Blauw hadden ingeschakeld voor klantonderzoeken, zijn voor zover bekend de meeste mensen geraakt. De indringers hadden toegang tot data van respectievelijk ongeveer 700 duizend en 780 duizend klanten. Ook van duizenden klanten van zorgverzekeraar CZ en bezoekers van International Film Festival Rotterdam en De Vrienden van Amstel Live zijn mogelijk gegevens gestolen. In totaal zijn veertien klanten van Blauw getroffen.

Blauw heeft een kort geding aangespannen tegen Nebu, dat volgens Jos Vink, topman van Blauw, nauwelijks informatie geeft over het lek. In het kort geding, dat komende dinsdag dient, eist het onderzoeksbureau meer informatie.

De gevolgen blijven niet beperkt tot klanten van Blauw. Donderdag meldde ook USP zich: gegevens van 100- tot 150 duizend mensen zouden via dit bureau misschien op straat zijn beland. Woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) meldden hierdoor te zijn getroffen.

Ook hier is het lek bij Nebu de oorzaak. Volgens USP-directeur Jan-Paul Strop zijn er meer marktonderzoekers slachtoffer. Ook Wim van Slooten, de directeur van een branchevereniging voor marketingbureaus, zegt van ‘een stuk of vijf’ marktonderzoekers te hebben begrepen dat zij getroffen zijn.

Deze zaak illustreert een grote kwetsbaarheid in de digitale veiligheid, aldus Dave Maasland, directeur van cyberbeveiligingsbedrijf Eset. ‘NS doet zaken met kleinere partijen, die op hun beurt weer toeleveranciers hebben. Het is heel moeilijk zo’n keten te beveiligen. Een lek bij één partij kan meteen leiden tot een lek bij een heleboel partijen, waardoor miljoenen mensen de dupe kunnen worden.’

Hoe groot is de schade?

Dat hangt helemaal af van de aard en omvang van de datadiefstal, en die is nog onbekend. Als blijkt dat op grote schaal namen, mailadressen en telefoonnummers zijn gestolen, kunnen oplichters daar gebruik van maken voor phishing of babbeltrucs. Denk aan sms’jes waarin criminelen zich voordoen als een familielid dat vraagt om geld. Wat dit datalek echter uitzonderlijk maakt, is dat er potentieel ook antwoorden uit marktonderzoeken zijn gelekt, zegt Maasland.

Bij tevredenheidsonderzoeken willen bedrijven een beeld kunnen vormen van hun klanten, zegt hij. ‘Als zulke informatie over hoe mensen zich gedragen is gelekt – wat ze op tv kijken, hoe vaak ze de trein pakken – kan dat enorm waardevolle informatie opleveren voor oplichters.’ Hoe meer criminelen van een slachtoffer weten, hoe makkelijker het is om vertrouwen te winnen, aldus Maasland.

Er vindt een levendige handel in persoonlijke gegevens plaats tussen cybercriminelen, zegt Maasland. ‘Dit is geen theoretisch gevaar’, zegt hij, verwijzend naar de drie Nederlanders die eerder dit jaar werden opgepakt. Ze zouden onder meer lijsten met persoonsgegevens hebben verhandeld, waar ook bankrekeningnummers op stonden en waarin het bijvoorbeeld mogelijk was te filteren op geboortejaar. Zo wordt het een stuk makkelijker om je als oplichter voor te doen als bankmedewerker.

Meldt een organisatie het altijd als gegevens gelekt zijn?

Bij datalekken met grote risico’s is het bij wet verplicht om gedupeerden daarvan op de hoogte te stellen. Toch is het goed mogelijk dat grote lekken volledig onder de radar blijven, volgens Maasland. ‘Ik ben bang dat dit het topje van de ijsberg is.’

Niet alleen kunnen bedrijven datalekken verzwijgen omdat klanten er niet direct iets van merken, ze hebben niet altijd door dat ze zijn bestolen. ‘Je moet beveiligingsmensen hebben die zien: er is om 7 uur iemand ingelogd in een land waar dat niet hoort’, zegt hij. ‘Veel bedrijven hebben geen digitaal cameratoezicht.’

Hoe kunnen internetgebruikers zich wapenen tegen dit soort datalekken?

Vul online alleen de hoognodige informatie in bij het aanmaken van accounts of het invullen van vragenlijsten, aldus Maasland. ‘Bedrijven hoeven je verjaardag vaak echt niet te hebben, het is alleen omdat ze je dan een leuk verjaardagsberichtje kunnen sturen. Veel mensen vullen alle vragen braaf in, maar dat hoeft niet.’

Hoewel ze in dit geval niet tot de gelekte gegevens behoren, lekken ook wachtwoorden nog weleens uit. Maasland adviseert daarom een online wachtwoordkluis of een wachtwoordenboekje te gebruiken met voor elk account een ander wachtwoord. Tweestapsverificatie, zoals een sms met een controlecode, voorkomt dat cybercriminelen meteen kunnen inbreken als ze toch een wachtwoord weten te bemachtigen.

‘Als iemand wil dat je snel iets doet, moet er een belletje gaan rinkelen’, zegt hij verder over phishingberichten, vaak bedoeld om geld af te troggelen. Ooit verrieden deze berichten zichzelf in veel gevallen door de dramatische spelling, maar die tijden zijn volgens Maasland voorbij nu kunstmatig intelligente taalprogramma’s als ChatGPT perfect lopende teksten kunnen genereren.