Hoe groot datadiefstal is wordt vaak pas laat duidelijk

Wekenlang stond één van de in beslag genomen computers te ratelen op het politiebureau om de data op te halen. Hackers bleken de persoonsgegevens van tientallen miljoenen mensen te hebben verzameld. Een megazaak, noemen deskundigen de ontdekking van de hack van duizenden bedrijven in binnen- en buitenland.

De politie in Amsterdam maakte donderdag de aanhouding bekend van een man van 18 jaar en twee mannen van 21. Zij werden al in januari gearresteerd. De politie bekijkt of het netwerk van cybercriminelen groter is dan de drie verdachten die nu in de cel zitten. “Wij onderzoeken ook wie de kopers zijn van de data, en of die ook strafbaar zijn omdat zij gestolen materiaal hebben aangeschaft”, aldus een woordvoerster.

Onder meer wachtwoorden en paspoortgegevens werden buitgemaakt

In het onderzoek, dat twee jaar duurde, werden de privégegevens van klanten van duizenden bedrijven en organisaties in de computers van de verdachten aangetroffen. Het gaat onder meer om wachtwoorden, BSN-nummers en paspoortgegevens. De politie gaat er vanuit dat bij de miljoenen gegevens data zitten van bijna alle Nederlanders.

De verdachten waren vooral actief met het bij elkaar brengen van gestolen informatie - zogenoemde ‘dataraffinage’. “Door uit de ene database de leeftijd van iemand te halen en uit de andere lijst met gegevens het e-mailadres van dezelfde persoon, wordt de informatie steeds meer geld waard”, zegt Pim Takkenberg, directeur van Northwave Cybersecurity.

Volgens de NOS was een van de verdachten betrokken bij het Dutch Institute for Vulnerability Disclosure, een organisatie die juist werkt aan het veiliger maken van computersystemen, en daarvoor van de overheid subsidie krijgt. Deze verdachte zou op die manier toegang hebben tot vertrouwelijke informatie.

Bedrijven worden soms gehackt zonder het zelf te weten

De politie heeft niet bekendgemaakt welke bedrijven en organisaties precies slachtoffer waren van de drie verdachten, wel dat het om heel diverse instellingen ging: van horeca, opleidingsinstituten, webshops tot aan softwarebedrijven, sociale media en instellingen die behoren tot de vitale infrastructuur.

De politie begon twee jaar geleden met het onderzoek naar de hacks na een melding van een Nederlandse bedrijf. Uit het onderzoek bleek vervolgens dat veel bedrijven aan hackers hebben betaald om de gestolen gegevens niet door te verkopen, maar dat de criminelen dat vaak toch wel deden. De hackers eisten 100.000 euro van de bedrijven met een uitschieter naar 700.000. Een van de verdachten verdiende op die manier in een paar jaar 2,5 miljoen euro.

Na een gegevenshack is melding bij Autoriteit Persoonsgegeven verplicht

Of alle duizenden bedrijven op deze manier afgeperst zijn, is niet duidelijk. “Een deel van de bedrijven die te maken heeft gehad met de diefstal van gegevens weet dat waarschijnlijk zelf nog niet”, zegt Lodi Hensen, die leiding geeft aan het Computer Emergency Response Team van het Nederlandse cybersecurity-bedrijf Tesorion.

“Wij doen veel onderzoek bij gehackte bedrijven. Soms blijkt pas op een later moment dat er sprake was van datadiefstal en wat de omvang daarvan is. Onlangs bleek dat het bedrijf GoDaddy, dat zich bezighoudt met domeinnamen en webhosting en dus bekend is met informatiesystemen, al in 2019 was gehackt, zonder het zelf te weten.”

Takkenberg wijst erop dat bedrijven vaak pas voldoen aan de wettelijke plicht om een hack te melden als zij er zeker van zijn dat de gegevens weg zijn. “Dat is niet altijd onmiddellijk duidelijk. Je moet het bij de Autoriteit Persoonsgegevens melden als je weet dat gegevens zijn gelekt. En je moet in dat geval ook je klanten informeren. Misschien is dat ook wel gebeurd, maar die klanten hoeven dat natuurlijk niet per se door te vertellen.”

Lees ook:

Cybercriminelen zijn dol op mediabedrijven

Het afgelopen jaar voerden cybercriminelen gestaag aanvallen uit op mediabedrijven. Juist deze bedrijven zijn aantrekkelijk voor hackers.