Met de gehackte data kunnen oplichters levensechte phishingmails sturen
Een laboratorium in Rijswijk is in juli gehackt, en dat heeft flink wat gevolgen gehad. De gegevens van bijna een half miljoen deelnemers aan een bevolkingsonderzoek zijn op straat komen te liggen. Maar hoe ernstig is dit eigenlijk, en wat kunnen criminelen met deze gestolen informatie?
Bij de hack zijn de persoonlijke en medische gegevens van bijna 485.000 vrouwen buitgemaakt. Daarnaast zijn er ook gegevens van mogelijk duizenden andere patiënten gelekt, omdat de hackers ook toegang hebben gekregen tot andere systemen van het lab. De aanval vond begin juli plaats en trof het laboratorium waar tests worden uitgevoerd voor twee bedrijven die onder Clinical Diagnostics Nederland vallen. Dit bedrijf is op zijn beurt weer een onderdeel van Eurofins, een medisch-diagnostisch bedrijf dat meerdere laboratoria in Nederland heeft.
Tijdens de hack van Clinical Diagnostics NMDL zijn de gegevens van het Nationaal bevolkingsonderzoek gestolen, waar de vrouwen deelnamen aan een onderzoek naar baarmoederhalskanker. Naast de uitstrijkjes voor dit onderzoek, verwerkte het andere bedrijf – Clinical Diagnostics LCPL – op dezelfde locatie ook monsters voor huisartsen, zorginstellingen en overheden. Dit lab doet bijvoorbeeld ook onderzoek naar soa's met behulp van DNA-technieken.
Wat is er gelekt?
De gelekte informatie bevatte uitslagen van verschillende medische onderzoeken die voor huisartsen, ziekenhuizen en zelfstandige klinieken zijn uitgevoerd. In een verklaring heeft Clinical Diagnostics Nederland laten weten dat een hacker kort toegang heeft gehad tot hun ICT-systeem en gegevens heeft gekopieerd. De systemen zijn inmiddels weer veilig. Maar helaas hebben de hackers wel adresgegevens, burgerservicenummers, namen van zorgverzekeraars en zorgverleners, en informatie over aangevraagde medische onderzoeken in handen gekregen. Gelukkig zijn andere labs van Clinical Diagnostics niet getroffen.
In hun verklaring meldt het bedrijf dat de cyberaanval “afgelopen weken” is ontdekt. Ze zijn meteen begonnen met onderzoek en hebben even gewacht met het delen van informatie, zodat ze eerst de juiste stappen konden ondernemen.
Wat kunnen criminelen met deze gestolen gegevens?
Er zijn drie scenario's mogelijk. Ten eerste kunnen ze losgeld eisen van Clinical Diagnostics, waarbij ze na betaling de gegevens teruggeven. Ten tweede kunnen ze gedupeerden afpersen met hun persoonlijke informatie. En als derde optie kunnen ze de dataset verkopen op het dark web aan andere oplichters.
Dit is een enorme dataset van bijna een half miljoen personen, vol met allerlei persoonlijke gegevens. Cybercriminelen kunnen deze informatie gebruiken om zeer gerichte phishingmails te versturen die bijna niet van echte e-mails te onderscheiden zijn. Denk bijvoorbeeld aan een mail met de uitslag van je uitstrijkje, compleet met de datum van je test en de naam van je behandelend arts. Klik je op de link in zo’n mail, dan kan je zelf gehackt worden. Slachtoffers moeten ook oppassen voor berichten die inspelen op de hack, zoals een e-mail die zogenaamd van het bevolkingsonderzoek komt en waarin staat dat je je gestolen gegevens kunt veiligstellen door op een link te klikken. Zelfs als maar 1 procent van de gedupeerden zo’n link aanklikt, is de hack voor de criminelen al een succes.
De Autoriteit Persoonsgegevens adviseert slachtoffers van een datalek om het wachtwoord van het gelekte e-mailadres te wijzigen en gehackte wachtwoorden niet opnieuw te gebruiken. Mensen die vermoeden dat hun gegevens misbruikt zijn, kunnen contact opnemen met het Centraal Meldpunt Identiteitsfraude en aangifte doen bij de politie. Ook kunt u fraude altijd melden bij de Fraudehelpdesk.
