De privé adressen en telefoonnummers van mogelijk miljoenen Nederlanders zijn in handen gevallen van criminelen. De gegevens zijn gestolen bij een bedrijf dat aan dealers en garages ICT diensten aanbiedt. Naast de NAW gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, zo blijkt uit onderzoek. De gegevens worden op een populair hackers forum te koop aangeboden.
Het exacte aantal mensen dat door het lek is getroffen, is niet bekend. Het gaat volgens de hacker die de gegevens te koop aanbiedt om herleidbare gegevens van 7,3 miljoen personen, maar dezelfde mensen kunnen meerdere keren in het gelekte bestand voorkomen. Het e-mailadres zou in 2,5 miljoen gevallen aanwezig zijn. Volgens het bewuste ICT bedrijf klinkt het aantal van 7,3 miljoen gestolen datapunten “reëel”. In dat geval is het een van de grootste Nederlandse datalekken ooit.
“Voor criminelen is dit zeer nuttige informatie”, zegt beveiligingsonderzoeker John Fokker van McAfee, die bij de politie onderzoek deed naar online-criminaliteit en de georganiseerde misdaad. Het lek bevond zich bij het bedrijf RDC, dat garages bijvoorbeeld de mogelijkheid biedt om klanten automatisch te mailen als het tijd is voor hun APK keuring. Een deel van de informatie heeft het bedrijf van de Rijksdienst voor het Wegverkeer (RDW) gekregen. Die instantie houdt de voertuigadministratie bij.
Hoe de data precies zijn gestolen, is een raadsel. Een woordvoerder van het getroffen bedrijf RDC laat, na een eerste inventarisatie van het lek, het volgende weten: “Het onderzoek is nog in volle gang. We hebben al melding gemaakt bij de Autoriteit Persoonsgegevens”. Het gaat om oudere data: het kan daarom zijn dat ze langer geleden al zijn gestolen, maar nu pas worden aangeboden. Het bedrijf zegt niets van een recent lek te weten.
“Boevenbendes die deze gegevens in handen krijgen, kunnen nu met één klik op de knop zien waar dure auto’s staan”, zegt beveiligingsonderzoeker Fokker. “Ze hoeven de straat niet meer op”. Ook voor internet oplichters kan de grote hoeveelheid personalia interessant zijn, om mensen gerichter en persoonlijker te kunnen benaderen. Tevens kunnen persoonsgerichte aanvallen nu makkelijker worden. Verschillende prominenten zijn in de dataset te vinden, onder wie een fractieleider in de Tweede Kamer. “Je weet nu waar ze wonen en in welke auto ze rijden”, zegt Fokker.
De gegevens verschenen dit weekend op het hacker forum; de verkoper zei 35.000 dollar voor de gegevens te willen. Een deel van de data is openbaar op internet geplaatst. In het bestand zitten onder andere de gegevens van 58.000 Amsterdammers met een auto of motor. Het gaat daarbij om 54.000 unieke kentekens. Deels zijn dat weliswaar verouderde gegevens, waaronder auto’s die niet meer in gebruik zijn. Maar hoewel het kenteken inmiddels op een andere naam kan staan, kunnen bijvoorbeeld het huisadres, e-mailadres of telefoonnummer nog wel kloppen. Er staan zelfs gegevens in van auto’s die meer dan 10 jaar geleden bij een bepaalde garage zijn geweest. “Je kunt je afvragen waarom dat niet jaren geleden al is gewist”, zegt Fokker. “Het is echt gevaarlijk om dit soort gegevens jarenlang op dezelfde plek te bewaren”.
Het bedrijf RDC krijgt onder strenge voorwaarden data van de RDW, zoals informatie over de vervaldatum van APK keuringen en grove informatie over de eigenaren van auto’s, zoals de cijfers van de postcode en geboortejaar. Of dat nu op losse schroeven komt te staan, is (nog) niet bekend. “Er is contact met RDC en over consequenties wordt gesproken”, is het enige wat een woordvoerder van de RDW kwijt wil.
Vorige maand was sprake van een vergelijkbaar datalek: daarbij werden de gegevens buitgemaakt van mensen die via het bedrijf Ticketcounter kaartjes voor bijvoorbeeld musea en dierentuinen kochten. Ook daarbij ging het om een onbekend aantal adresgegevens. Volgens de Autoriteit Persoonsgegevens waren er in 2020 meer van dit soort ‘megadatalekken’, waarbij de gegevens van meer dan 100.000 personen op straat kwamen te liggen. In 2019 waren dat er nog 68, maar vorig jaar al 76. Bij 257 datalekken waren minimaal 10.000 mensen betrokken.