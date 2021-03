Persoonsgegevens van miljoenen autobezitters zijn op straat beland. Journalisten van de NOS ontdekten dat de gegevens te koop werden aangeboden op een hackersforum. Waar ze zijn gestolen is bekend, hóe nog niet.

De gegevens komen uit de databases van RDC, een onderneming die de autobranche ict-diensten aanbiedt. RDC werd door de NOS gewezen op de diefstal en zegt geschrokken te zijn. Het bedrijf herkent de data maar zegt niet gehackt te zijn. RDC onderzoekt nu hoe de gegevens dan wel zijn ontvreemd.

De onderneming biedt onder meer garages aan hun klanten een geautomatiseerd bericht te sturen dat hun auto APK-gekeurd moet worden. Het beschikt daarvoor over klantgegevens die door garages worden aangeleverd, maar deels ook door de RDW, de rijksdienst voor het wegverkeer.

De gegevens die nu zijn gestolen, zijn gedateerd - ze stammen uit periode september 2018 - februari 2019 - maar namen, huis- en email-adressen zullen in veel gevallen nog actueel zijn. Ze zijn interessant voor autodieven die willen zien op welk adres een gewenst autotype geparkeerd staat, of voor internetcriminelen die de computers van particulieren willen hacken.

De gegevens werd afgelopen weekeinde aangeboden op een hackersforum voor 35.000 dollar. Verslaggevers van de NOS deden zich voor al belangstellende kopers om een deel van de data te kunnen inzien.

Mogelijk door medewerkers zelf ontvreemd

Dit datalek is in omvang vergelijkbaar met het lek dat twee maanden geleden aan het licht kwam bij de GGD en die tot grote ophef leidde. Uit de databases die worden bijgehouden in de strijd tegen corona waren data ontvreemd van miljoenen mensen die waren getest of betrokken in bron- en contactonderzoek. Die diefstal bleek gepleegd door GGD-medewerkers die toegang hadden tot de data. Dat kan ook in dit geval het scenario zijn geweest.

Bedrijven zijn verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. Dat gebeurde vorig jaar bijna 24.000 keer. Datalekken komen dus heel veel voor, maar in lang niet alle gevallen gaat het om een interne diefstal of een hack van buiten; ook administratieve fouten, zoals betalingsherinneringen die op een verkeerd adres belanden, zijn een datalek. En omdat de incassobureaus daarin zorgvuldiger zijn geworden was dat aantal van 24.000 gemelde lekken een aanzienlijke daling (11 procent) ten opzichte van 2019, meldt de Autoriteit Persoonsgegevens in zijn jaarverslag.

Aanvallen van buiten (hacks, malware en phishing) namen daarentegen fors in aantal toe, vorig jaar met 30 procent, en in 2019 was er al een vergelijkbare stijging: 25 procent. Die aanvallen maken nog steeds maar een klein deel uit van het totale aantal datalekken (5 procent) maar ze baren de Autoriteit Persoonsgegevens zorgen, door die sterke stijging en door de grote aantallen mensen die er het slachtoffer van kunnen worden.

Instellingen in de sector gezondheid en welzijn zijn het belangrijkste doelwit van hackers, gevolgd door onderwijsinstellingen. Verleners van ict-diensten, zoals RDC er een is, komen op plaats drie.

