Steeds vaker meldingen van data-diefstal bij bedrijven, meer hacks of toeval?

Odido, Booking.com, Basic-Fit: kort na elkaar maken grote bedrijven bekend dat er gegevens zijn gestolen nadat er digitaal is ingebroken. Vinden er nu opeens meer hacks plaats?

“Het is eigenlijk toevallig”, zegt Eward Driehuis van cybersecuritybedrijf ThreatFabric. De aanval op Basic-Fit vindt niet plaats omdat de criminelen het specifiek op Basic-Fit gemunt hadden, maar omdat ze weten dat daar gegevens zijn te halen, zegt hij.

“Het is gewoon: omdat ze naar binnen kúnnen komen, gaan ze naar binnen en jatten alles wat ze kunnen.”

De diefstal van gegevens bij Basic-Fit is, als je naar het grote plaatje kijkt, helemaal niet zo groot, zegt Driehuis. Het bedrijf maakte vandaag bekend dat er gegevens van 200.000 Nederlanders zijn gedownload. Bij Odido ging het om 6,5 miljoen mensen.

“Odido was echt een grote. Wat dat betreft is de hack bij Basic-Fit helemaal niet zo groot”, zegt Driehuis. “Maar dat betekent niet dat het voor de uiteindelijke slachtoffers geen impact heeft.”

De persoonlijke gegevens die bij Odido, Booking.com en Basic-Fit zijn gestolen, kunnen bijvoorbeeld door criminelen gebruikt worden om jou weer op te lichten.

Hoe meer gegevens ze van je hebben, hoe overtuigender een e-mail, telefoontje of sms kan zijn. Bijvoorbeeld omdat criminelen ook jouw klantnummer kunnen noemen: informatie die normaal alleen bij het bedrijf zelf ligt.

Een verband tussen deze aanvallen is er voor zover bekend niet. Van Odido weten we dat er een gespecialiseerde groep hackers achter de inbraak zat: de Shinyhunters. Zij laten hun slachtoffers een menselijke fout maken om toegang te krijgen tot accounts van medewerkers die veel gegevens kunnen inzien.

Het is niet bekend wie er achter de aanvallen bij Booking.com en Basic-Fit zitten. Ook is onduidelijk hoe zij precies zijn binnengekomen in de onlinesystemen van de bedrijven.

Er zijn nog veel meer hacks, zegt Driehuis. “De kleintjes komen niet in het nieuws. Die zie je allemaal niet. Er zijn misschien wel duizenden bedrijven in Nederland die al gehackt zijn, maar dat helemaal niet weten.”

De Autoriteit Persoonsgegevens waarschuwt dat iedereen er vanuit moet gaan dat zijn gegevens al gestolen zijn, of dat dat gaat gebeuren. Bedrijven die worden gehackt, zijn in de meeste gevallen verplicht dat aan deze toezichthouder te melden.