De gegevens van zeker twee miljoen mensen zijn op straat beland door grote datalekken bij marktonderzoekers. De oorzaak zou liggen bij een softwarebedrijf.
Cybercriminelen hebben mogelijk toegang gekregen tot de persoonsgegevens van miljoenen mensen. Onderzoekbureaus die in opdracht van grote bedrijven klanttevredenheidsonderzoeken uitvoeren kregen te maken met een datalek.
Begin deze week meldden de Nederlandse Spoorwegen al dat namen, e-mailadressen en telefoonnummers van bijna 800.000 klanten die hebben meegedaan aan een tevredenheidsonderzoek mogelijk op straat zijn beland. Later bleken onder meer ook VodafoneZiggo, zorgverzekeraar CZ, ArboNed, vervoersbedrijf Trevvel, het Nederlands Filmfestival, verschillende woningbouwcorporaties en pensioenfonds PME getroffen. Bij PME, voor de metaal- en technieksector zijn mogelijk niet alleen namen en e-mailadressen, maar ook inkomensgegevens gelekt. Naar schatting gaat het in totaal om de gegevens van zeker twee miljoen mensen, mogelijk nog meer.
Gelekt via marktonderzoekers
Het is geen toeval dat juist deze organisaties deze week een datalek meldden. In al deze gevallen zijn gegevens gelekt via marktonderzoekers. Dat zijn bureaus die in opdracht van bedrijven en organisaties onderzoeken hoe tevreden mensen zijn over de dienstverlening. Van de opdrachtgevers krijgen zij bepaalde klantgegevens, antwoorden van mensen worden via een enquête verzameld en verwerkt.
Meerdere marktonderzoekers hebben al bevestigd dat via hen gegevens zijn gelekt. Het probleem zou liggen bij de software die ze gebruiken om enquêtes te houden. Die software wordt geleverd door Nebu B.V. en dat bedrijf zou zijn getroffen door een hack.
Eén van de getroffen onderzoekersbureaus is Blaauw Research. In een persbericht op de website schrijft het bedrijf dat Nebu heeft bevestigd dat er sprake is geweest van ‘onbevoegde toegang’ en dat data zijn gestolen. Het is niet duidelijk om wat voor soort gegevens het precies gaat. Blaauw Research heeft inmiddels een kort geding aangespannen tegen Nebu, in de hoop zo meer informatie los te krijgen. Dat kort geding dient dinsdag. Nebu heeft nog niet publiekelijk gereageerd.
25.000 datalekken
Cybercriminelen proberen vaker via hacks persoonsgegevens te verkrijgen. Die kunnen bijvoorbeeld worden ingezet om phishing mails te sturen of mensen telefonisch te proberen op te lichten. Bedrijven en organisaties die getroffen worden door een datalek zijn verplicht dat te melden bij de Autoriteit Persoonsgegevens (AP). Die toezichthouder kreeg in 2021, het meest recente jaar waarvan de gegevens compleet zijn, bijna 25.000 meldingen van datalekken binnen. Zo'n 9 procent daarvan werd veroorzaakt door cyberaanvallen.
Blaauw Research en andere betrokken bedrijven hebben ook dit recente datalek bij de AP gemeld. Die vraagt nu om opheldering. Behalve melden, zijn bedrijven ook verplicht om verdere informatie te delen met de AP.
Lees ook:
Een enorm datalek bij de GGD, wat betekent dat?
De staat wordt voor de rechter gesleept na een groot datalek bij de GGD’en tijdens de coronapandemie. Volgens de schadeclaim van stichting ICAM waren mogelijk 6,5 miljoen mensen de dupe van de gegevensdiefstal. Wat zijn de gevolgen?
