Wie er de kranten op naslaat, kan het beamen: het lijkt wel datalekken te regenen. Er was bijvoorbeeld het grote datalek bij autobedrijven en ook Booking.com kreeg recent nog een boete nadat er persoonsgegevens waren gelekt. Nu is het de beurt aan de webwinkel Allekabels.nl. In tegenstelling tot wat ze eerder beweerden, zijn niet de gegevens van 5.000 personen gelekt, maar van zo’n 3,6 miljoen mensen.
Ruim 3,6 miljoen klanten zijn getroffen door het datalek
De volledige database van Allekabels zou zijn gelekt. De privégegevens en de wachtwoorden van zo’n 3,6 miljoen klanten liggen hierdoor op straat. Het is zelfs het grootste Nederlandse datalek waar wachtwoorden bij betrokken zijn. Bij het datalek bij de autobedrijven ging het nog om persoonsgegevens van meer dan 7 miljoen mensen, maar toen waren er geen wachtwoorden gelekt.
De gestolen persoonsgegevens zijn intussen al aangeboden op een hackersforum waar ze zo’n 15.000 euro moesten opbrengen. Naast versleutelde wachtwoorden gaat het onder meer om geboortedatums, telefoonnummers, adressen en namen. Bovendien gaat het niet alleen om gegevens van klanten die rechtstreeks bij Allekabels bestelden, maar ook om persoonsgegevens van klanten die via tussenschakels als Amazon of bol.com bestellingen plaatsten. Van meer dan 100.000 klanten zijn zelfs bankrekeningnummers verhandeld.
Phishingpraktijken zijn al gestart
Voor kwaadwillenden zijn dergelijke gegevens heel waardevol. Zij kunnen de gegevens namelijk gebruiken voor phishing- en oplichtingspraktijken. Met gegevens als je naam, woonadres en rekeningnummer kunnen ze bijvoorbeeld veinzen dat ze je bank zijn en je zo geld afhandig maken.
Dergelijke phishingberichten zouden intussen ook al verzonden zijn. Zo zijn er klanten die speciaal voor hun bestelling bij Allekabels.nl een uniek mailadres hadden aangemaakt. Dit mailadres hebben ze nooit voor iets anders gebruikt. Het gaat dan om klanten met mailadressen als [email protected]. Zij geven nu aan daadwerkelijk phishingmails te hebben ontvangen. Deze mails zijn enkel naar het datalek bij Allekabels te herleiden.
Onduidelijke communicatie door Allekabels
RTL-redacteur Daniël Verlaan zou contact hebben gehad met de hacker. Volgens hem zou de database al in augustus 2020 gehackt zijn. De hacker zou ook zelf contact hebben willen opnemen met het bedrijf, maar er kwam volgens hem nooit een reactie op zijn mails. Wel heeft Allekabels het achterdeurtje gevonden en gesloten. RTL nam contact op met Allekabels en zij gaven aan dat dit voor hen volledig nieuw was. Ze ontkenden het verhaal dat de hacker voorschotelde.
Om het zaakje nog wat stinkender te maken, lijkt het erop dat Allekabels – die het eerder nog had over de gegevens van zo’n 5.000 personen – wel degelijk op de hoogte was van de omvang van het lek. Allekabels zou echter enkel klanten met unieke mailadressen op de hoogte hebben gebracht en andere klanten niet. Volgens Allekabels gaat het louter om toeval en gaat het om gegevens die werden gestolen door een medewerker. Daarom zijn enkel die 5.000 klanten geïnformeerd en niet de ruim 3,6 miljoen andere mensen. Daar zaten toevallig veel personen met zo’n uniek mailadres bij. Toeval bestaat, maar wellicht zal de Autoriteit Persoonsgegevens de zaak grondig onderzoeken.
Torenhoge boetes zijn mogelijk
Intussen heeft de Autoriteit Persoonsgegevens documenten en informatie opgevraagd bij het bedrijf. Allekabels is nu verplicht om aan het onderzoek mee te werken. Bij de Autoriteit Persoonsgegevens willen ze het onderzoek in alle rust voeren. Ze merken wel op dat er altijd organisaties wars zijn van meldingen over datalekken. Dit is een ernstige overtreding en kan zware gevolgen hebben. Recent kreeg bijvoorbeeld Booking.com nog een boete van 475.000 euro omdat het een datalek niet tijdig had gemeld. Toen ging het om de persoonsgegevens van ruim 4.000 mensen.
Wij kunnen enkel maar aanbevelen om altijd snel actie te ondernemen bij een datalek en om meteen juridisch advies in te winnen. Datalekken of de omvang ervan verzwijgen, is zeker geen goed idee. Wij van MKB Juristen staan zoals steeds voor je klaar.
