Het datalek bij de afvalmaatschappij Limburg.net, waarbij gegevens van 311.000 gezinnen in de handen van hackers kwamen, blijkt groter dan gedacht. Waarover moeten de slachtoffers zich zorgen maken?
Afgelopen vrijdag bleek dat – vermoedelijk Russische – cybercriminelen aan de haal gingen met 311.000 gehackte rijksregisternummers en adressen van klanten van de afvalmaatschappij Limburg.net. ‘Op de servers stonden enkel openbare of zeer verouderde data’, staat te lezen op de website. ‘Maar rijksregisternummers en adressen veranderen natuurlijk niet snel’, zegt Pieterjan Van Leemputten, journalist bij Data News. ‘Bovendien moeten we ons de vraag stellen waarom die data nog bewaard werden. Gegevens die niet meer gebruikt worden, kunnen het best verwijderd worden. Daarmee verklein je de kans dat er iets misloopt.’
Onderzoek van dataspecialist Tim Verheyden (VRT NWS) bracht maandag aan het licht dat er niet alleen rijksregisternummers, maar ook gevoelige info over schuldaflossingen en erfenissen gelekt werden bij de cyberaanval. Van Leemputten: ‘Vermoedelijk werden die gegevens bijgehouden om na te gaan of mensen recht hadden op een verminderd tarief. Wat het in ieder geval blootlegt, is dat de dataset veel groter is dan Limburg.net nu doet uitschijnen. Ofwel weet Limburg.net niet waar ze mee bezig zijn, ofwel verzwijgen ze dingen.’
Verheyden ontdekte dat de gestolen data intussen circuleren op het darkweb, maar ook al hun weg vonden naar de veel toegankelijkere berichtendienst Telegram.
Wat kunnen mensen met slechte bedoelingen zoal met die gestolen data doen?
Pieterjan Van Leemputten: Vooral de combinatie van gestolen informatie kan gevaarlijk zijn. Grofweg hebben mensen met slechte bedoelingen twee mogelijkheden.
Enerzijds kan de persoon van wie de data gestolen zijn veel makkelijker opgelicht worden via gerichte phishingmails. Dat is wat het vaakst gebeurt. Omdat de oplichter informatie heeft over het slachtoffer – zoals een naam, een adres, een geboortedatum of een rijksregisternummer – kan die daarmee vertrouwen winnen. Hoe meer mensen een phishingmail krijgen, hoe groter de kans dat iemand erop klikt. Bij de hack van Limburg.net gaat het over 311.000 rijksregisternummers, wat betekent dat een op de drie Limburgers getroffen is. Dat zijn véél mensen. Bovendien zijn het gezinshoofden, de facto hebben de hackers dus bijna alle Limburgse adressen. Als hackers zich voordoen als Limburg.net, kunnen ze mensen waarvan ze de data hebben bijvoorbeeld een mail sturen met de boodschap dat ze nog een openstaande schuld hebben staan. Als ze dat bedrag laag houden, is de kans reëel dat mensen zich daar geen vragen bij stellen en betalen.
Anderzijds kunnen mensen met slechte bedoelingen anderen oplichten door zich, met jouw gegevens, als jou voor te doen. Zo’n identiteitsfraude komt gelukkig zelden voor. Meestal heb je itsme of een andere digitale toepassing nodig om online ergens in te loggen. Maar er zijn situaties waarbij je slechts een handvol gegevens nodig hebt, zoals een rijksregisternummer, om iemand te overtuigen van je identiteit. Wie naar een klantendienst belt met een zogezegd probleem, kan met gestolen persoonsgegevens soms een medewerker overtuigen dat hij die persoon is of vertegenwoordigt, en zich zo pakweg een gsm-nummer toe-eigenen. Met dat gsm-nummer kunnen criminelen dan nog een stap verder gaan. Opnieuw: dit is geen schering en inslag, maar het is niet ondenkbaar en wel gevaarlijk als het gebeurt bij politici of bedrijfsleiders.
Vooral de combinatie van gestolen informatie kan gevaarlijk zijn.
Wat kun je doen als je slachtoffer wordt van phishing of identiteitsfraude?
Van Leemputten: Weinig. In veel gevallen zijn je data – je naam, je adres, je rijksregisternummer – onveranderlijk. Als je merkt dat je slachtoffer bent van identiteitsdiefstal, moet je dat meteen melden bij de politie. Anders kan het je veel geld kosten.
Bij phishing moet je vooral alert blijven voor verdachte e-mails, al kan iedereen tegenwoordig in de val lopen. De mails komen bijzonder geloofwaardig over en winnen vertrouwen met specifieke informatie over jou. Vraag je af waar ze die informatie vandaan halen. Je geboortedatum is vaak wel ergens te vinden op het internet, maar je rijksregisternummer of een kopie van je identiteitskaart, horen bedrijven in principe niet bij te houden. Al gebeurt dat wel vaak en als je pech hebt, kun je daar serieus door in de problemen komen.
Zijn steden en gemeenten dan niet voldoende beschermd tegen zulke cyberaanvallen?
Van Leemputten: We zullen steeds vaker zien dat bedrijven en overheden ten prooi vallen aan hackers, en ook dat kan iedereen overkomen.
Limburg.net had die oude data beter verwijderd van zijn servers. Het is misschien niet illegaal om die bij te houden, maar de GDPR (General Data Protection Regulation, wetgeving die het beheer en de beveiliging van persoonlijke gegevens van Europese burgers regelt, nvdr.) zegt ook dat gegevens niet langer bewaard mogen worden dan nodig. Als er wel recente data gestolen zijn, dan liegen ze in hun communicatie.
Op het moment dat overheidsbesturen of bedrijven gehackt worden, moeten ze kunnen aantonen dat ze hun zaken op orde hebben. Dat ze niets bewaard hebben wat niet bewaard moest blijven. Voor heel wat bedrijven is dat nog een oefening. In dit geval is het een pijnlijke les voor Limburg.net. Het pijnlijke is dat niet Limburg.net de prijs betaalt, maar de Limburgers.
Fout opgemerkt of meer nieuws? Meld het hier