De privégegevens en wachtwoorden van miljoenen Nederlandse klanten zijn gestolen door criminelen, na een hack bij de populaire webshop Allekabels.nl. Dit is het grootste datalek met wachtwoorden in de geschiedenis van Nederland.
Dit werd onthuld door techjournalist Daniel Verlaan. Plus Magazine heeft hem onlang nog geinterviewd. Verlaan meldt dat de gestolen database van Allekabels de gegevens bevat van 3,6 miljoen mensen. Deze informatie is eind januari op een hackerforum te koop aangeboden voor 15.000 euro.
De advertentie is nu weg, dus waarschijnlijk zijn de gegevens al verkocht. De gegevens worden voornamelijk misbruikt om phishingberichten te sturen, maar soms ook om computers te hacken of mensen op te lichten.
Ook zijn zo'n 109.000 IBAN-nummers van Allekabels-klanten gestolen en verhandeld. Dat is dubbel vervelend, want die kunnen worden misbruikt om uw identiteit te controleren door bedrijven, wat identiteitsfraude dus makkeijker maakt. Ten tweede worden deze gebruikt voor gerichte phisingaanvallen. U krijgt vast wel eens een berichtje van de ''Rabobank'', terwijl u helemaal niet bij de Rabobank zit! Maar als de criminelen weten bij welke bank u zit, dankzij de code in het IBAN-nummer, kunnen ze het bericht dus aanpassen aan uw persoonlijke bank, wat de succeskans van de oplichterij vergroot. Dat is dus extra oppassen geblazen.
Miljoenen wachtwoorden weg
De schade: 2,6 miljoen unieke e-maiadressen met koppelingen aan naam, woonadres, telefoonnummers, geboortedate én versleutelde wachtwoorden. Die moeten eerst nog worden gekraakt. Maar dat is niet moeilijk: bij Allekabels.nl waren de wachtwoorden ontzettend zwak versleuteld en dus binnen seconden te kraken door een beetje ervaren hacker. Het lijkt er dus op dat Allekabels.nl serieus steken heeft laten vallen.
Tussen de gegevens zit óók data van mensen die via Bol.com (of Amazon) bij Allekabels iets hebben besteld. Met name Bol.com fungeert in Nederland vaak als tussenpersoon. Van deze mensen zijn de e-mails en wachtwoorden echter niet gelekt, want die geeft Bol niet door aan de partij waarbij de bestelling wordt gedaan, omdat de transactie plaatsvindt op het platform van Bol.
Grootste datalek ooit
Dit is het grootste datalek ooit, zegt ''ethisch hacker'' Rickey Gevers. Dit zijn mensen die bedrijven hacken zonder kwaad in de in, maar meer om bedrijven te waarschuwen dat hun beveiliging te zwak is. Gevers is de oprichter van Scattered Secrets, een website waar je datalekken kunt checken op jouw gegevens.
"Het Allekabels-lek is voor cybercriminelen ontzettend interessant en waardevol door alle wachtwoorden en gevoelige informatie", zegt Gevers.
Het tweede grootste lek ooit vond plaats bij de prostitutiewebsite Hookers, waarbij 250.000 wachtwoorden uitlekten in 2019.
Allekabels wist ervan?
Het bedrijf is sinds februari 2021 al op de hoogte van het datalek: de informatie is volgens Allekabels verkocht door een werknemer, die nu is ontslagen. Hij had volgens Allekabels 5000 klantgegevens gestolen, en Allekabels heeft hen direct geinformeerd.
Volgens de anonieme hacker Chippy1337 is dat een onzinverhaal. Allekabels zou in augustus 2020 al zijn gehackt. "Ze hebben toen mijn achterdeurtje gevonden, Allekabels weet sindsdien van de hack", zo meldde hij aan de journalist van RTL Nieuws. "Het maakt ze niets uit en ze reageren niet op mijn mails." Chippy gaf de database toen aan RTL. Die bleken inderdaad te corresponderen met de periode waarin de hack zou zijn gepleegd.
"Dit is compleet nieuw voor ons", zegt Constantijn Souren van Allekabels. Hij spreekt van een ontzettende klap. Er wordt momenteel door Allekabels onderzoek gedaan naar de hack.
Toch rijst het vermoeden dat Allekabels precies wist wat er was gebeurd, zo stellen experts.
Rik van Duijn, van cybersecuritybedrijf Zolder: "Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt", vertelt hij. "Dat zou een kwalijke zaak zijn en dat lijkt me zeker iets voor de Autoriteit Persoonsgegevens om te onderzoeken."
Autoriteit Persoonsgegevens treedt op
De Autoriteit Persoonsgegevens (AP) laat in een reactie weten dat het inderdaad "informatie en documenten" opvraagt bij Allekabels naar aanleiding van de bevindingen van RTL Nieuws. "Allekabels is verplicht alle gevraagde informatie en documentatie te leveren", laat een woordvoerder weten. Het opzettelijk niet melden van een datalek aan betrokkenen is een ernstige overtreding van de AVG en zeer kwalijk, zo stelt de AP.
Wat kunt u nu doen?
Verander, indien u klant bent, uw wachtwoord bij Allekabels. Gebruikt u hetzelfde wachtwoord op andere plekken? Doe het daar dan ook!
Wees extra alert op phishing-fraude. Omdat het bij zo'n 109.000 mensen ook hun IBAN-nummer betreft, is het belangrijk dat u zelfs berichten met daarin het juiste rekeningnummer wantrouwt. Bel altijd zelf de bank op om te controleren of een bericht klopt, en gebruik dan het telefoonnummer dat u vindt op de officiële website van de bank.
Bron: RTL Nieuws
