PRIVACY
Datalek breidt zich uit: zeker twee miljoen klanten getroffen, ook klanten van Trevvel
Het aantal bedrijven dat betrokken is bij het datalek neemt nog steeds toe. Eerder deze week was al duidelijk dat de NS, VodafoneZiggo, zorgverzekeraar CZ en Vrienden van de Amstel Live waren getroffen. Nu komen daar vervoersbedrijf Trevvel, de Nederlandse Golf Federatie en ArboNed bij. Deze bedrijven maken via marktonderzoekbureau's gebruik van enquêtesoftware, bijvoorbeeld om klanttevredenheid te onderzoeken. De gegevens van zeker twee miljoen klanten liggen op straat.
De Autoriteit Persoonsgegevens start een onderzoek naar het datalek. Een totaalbeeld heeft de toezichthouder nog niet. Het kan overigens zijn dat mensen meerdere keren voorkomen in de gelekte klantgegevens, omdat ze klant zijn bij meerdere bedrijven.
Meerdere marktonderzoekers hebben aan de NOS bevestigd slachtoffer te zijn. Gevraagd naar de oorzaak wijzen ze allemaal naar softwareleverancier Nebu, dat onderdeel is van een Canadees bedrijf. De NOS heeft het bedrijf vandaag telefonisch en per mail benaderd, maar nog geen reactie ontvangen.
Als een bedrijf wil weten hoe klanten denken over een dienst of product, kunnen zij een marktonderzoeker inschakelen. Die maakt gebruik van de software van Nebu bij het invoeren van de vragen en de persoonsgegevens van de klanten, zoals namen, emailadressen en telefoonnummers.
"Dit hele incident laat het belang zien van het beveiligen van de hele digitale keten", zegt Dave Maasland, ceo bij beveiligingsbedrijf ESET Nederland. "Je ziet dat één zwakke schakel bij een leverancier verstrekkende gevolgen kan hebben."
Blauw Research
De marktonderzoeker die tot nu toe het vaakst in verband wordt gebracht met het datalek, is het Rotterdamse onderzoeksbureau Blauw Research. Dit bedrijf doet klanttevredenheidsonderzoek. Topman Jos Vink van Blauw zegt in gesprek met de NOS dat zijn bedrijf nog altijd niet weet welke data gestolen zijn.
Naar eigen zeggen bewaart zijn bedrijf in principe alleen een naam en e-mailadres van iemand. Maar het kan ook gaan om informatie over waar iemand klant is, en of het een zakelijke of privéklant betreft. De vragenlijsten zelf zijn volgens hem kort en bevatten weinig persoonsgevoelige informatie. Hoe dat bij andere marktpartijen zit, is onduidelijk.
Softwareleverancier werkte niet mee
De topman van Blauw zegt dat zijn bedrijf bijna drie weken geleden voor het eerst te horen kreeg dat er iets mis was. Er werd toen gesproken van een storing en dat er geprobeerd werd diensten te herstellen. De dinsdag erna bleek dat het ging om een digitale aanval. Dit werd 's avonds laat Nederlandse tijd per mail gemeld, een medewerker van Vink las dit de volgende dag.
"Toen gingen alle alarmbellen af en probeerden we in contact te komen met het bedrijf via mail en telefoon", zegt hij. "We wilden weten hoe lang hackers binnen zijn geweest en of er data is buitgemaakt. Zij werkten op geen enkele manier mee."
Klanten en de Autoriteit Persoonsgegevens zijn volgens Vink op 16 maart geïnformeerd. Een dag later is een advocatenkantoor ingeschakeld om de druk op softwareleverancier Nebu te verhogen. In diezelfde dagen zijn ook het Nederlandse Cyber Security Center en de Canadese evenknie geïnformeerd.
Kort geding
Vervolgens besloot Blauw om samen met vijf andere marktonderzoekbureaus een kort geding aan te spannen om Nebu te dwingen meer informatie te verstrekken. Afgelopen weekend en maandag heeft Nebu inderdaad meer gegevens gedeeld. Maar Blauw weet nog altijd niet welke data zijn gestolen. Volgende week dinsdag staat een zitting gepland. Welke andere bureaus meedoen met deze zaak, kan de Blauw-topman niet zeggen.
Marktonderzoeker USP heeft de NOS laten weten ook getroffen te zijn. Bij dit bedrijf gaat het om maximaal 350 duizend klanten en daarbovenop ook nog om maximaal 150 duizend klanten in het buitenland. Mobiel Centre Marktonderzoek bevestigt ook getroffen te zijn door het datalek, maar wil over aantallen niks zeggen. Het gaat daar om namen, adresgegevens en in sommige gevallen om telefoonnummers.
Oplichting
Beveiligingsdeskundige Dave Maasland vermoedt dat er sprake is van cybercriminaliteit met oplichting als doel. "Je hebt daarbij vooral een geloofwaardig middel nodig om ergens binnen te komen. Je moet je slachtoffer zover krijgen ergens op te klikken."
Als iemand net heeft meegewerkt aan een klanttevredenheidsonderzoek en daarna een e-mail krijgt met als bedankje een cadeaubon - 'je hoeft alleen maar op onderstaande link te klikken' - dan kan dat heel verleidelijk zijn.
"Met dit soort gegevens kun je op grote schaal geloofwaardig oplichten", zegt Maasland. Hij raadt mensen vooral aan om op te letten bij mails die direct om een actie vragen. "Dat is het belangrijkste signaal."
Daarnaast wijst hij op het belang van het beveiligen van accounts met een krachtig wachtwoord en een tweede verificatie tijdens het inloggen, de zogeheten tweestaps-verificatie. Een voorbeeld van een app die daarvoor gebruikt kan worden, is Google Authenticator.
