Cybercrime Een laboratorium in Rijswijk werd in juli gehackt, waardoor de gegevens van een half miljoen deelnemers aan een bevolkingsonderzoek uitlekten. Waarom komt dit nu pas naar buiten? En hoe kunnen de slachtoffers zich wapenen tegen oplichters?
Nederland heeft gratis en vrijwillige bevolkingsonderzoeken naar drie soorten kanker: borst-, baarmoederhals- en darmkanker.
Spijt betuigen, dat is het enige dat Elza den Hartog nog resteert. De voorzitter van de raad van bestuur van Bevolkingsonderzoek Nederland, maakte maandag bekend dat een van de laboratoria waar uitstrijkjes worden geanalyseerd, is gehackt. Criminelen hebben de gegevens van bijna een half miljoen vrouwen buitgemaakt.
Daar blijft het alleen niet bij. Ook de persoonlijke en medische gegevens van mogelijk duizenden andere patiënten werden gestolen en gelekt. De hackers waren namelijk ook actief in andere systemen van hetzelfde lab.
De hack werd begin juli uitgevoerd op systemen van een laboratorium in Rijswijk. Daar worden monsters getest voor twee bedrijven, die allebei onder Clinical Diagnostics Nederland vallen. Dat bedrijf is weer onderdeel van Eurofins, een medisch-diagnostisch bedrijf, dat meerdere laboratoria in Nederland heeft.
Bij een hack van het ene bedrijf – Clinical Diagnostics NMDL – werden de gegevens van het Nationaal bevolkingsonderzoek buitgemaakt. De 485.000 vrouwen deden mee aan een onderzoek naar baarmoederhalskanker.
Naast de uitstrijkjes van het bevolkingsonderzoek verwerkte het andere bedrijf – Clinical Diagnostics LCPL – op dezelfde locatie óók monsters voor huisartsen, zorginstellingen en overheden. Het lab doet bijvoorbeeld onderzoek naar soa’s met dna-techniek.
RTL Nieuws bekeek een ‘sample’ die de hackers online hadden gezet op het dark web, een geanonimiseerd gedeelte van internet. Daarin zaten gegevens van zo’n vijftigduizend personen. De gelekte data bevatten uitslagen van allerlei soorten medisch onderzoek dat voor huisartsen, ziekenhuizen en zelfstandige klinieken uitgevoerd werd.
In een verklaring zegt Clinical Diagnostics Nederland maandag dat een hacker kort toegang heeft gehad tot het ict-systeem en gegevens heeft weten te kopiëren. De systemen zijn nu weer veilig. Het leverde de hackers niettemin adresgegevens van patiënten op, hun burgerservicenummers, namen van hun zorgverzekeraars en zorgverleners en gegevens over aangevraagde medische onderzoekers. Meer labs van Clinical Diagnostics zijn niet getroffen.
Clinical Diagnostics laat maandagavond aan persbureau ANP weten dat het ‘vooral’ gaat om gegevens uit de afgelopen drie jaar.
Het bedrijf schrijft in de verklaring dat de cyberaanval „afgelopen weken” werd ontdekt. „We zijn meteen begonnen met een eerste onderzoek. We hebben even gewacht met het delen van informatie, zodat we eerst de juiste stappen konden nemen.”
Clinical Diagnostics laat aan NRC weten de toedracht van de hack te onderzoeken. Op 6 augustus stelde het bedrijf Bevolkingsonderzoek Nederland op de hoogte. Vervolgens maakte Bevolkingsonderzoek Nederland het lek bekend, om patiënten te waarschuwen. Verder heeft het de samenwerking met het laboratorium opgeschort.
Z-CERT, het cybersecurity-expertisecentrum voor de zorg, zag al langer sporen van de hack op het dark web. „We hebben contact opgenomen met Clinical Diagnostics, omdat we een sample van de dataset op het dark web zagen verschijnen”, zegt Wim Hafkamp, directeur van Z-cert, tegen NRC.
Het expertisecentrum spoorde Clinical Diagnostics sinds de vondst op het dark web aan om gedupeerden op de hoogte te stellen, maar dat deed het niet. „Van het bevolkingsonderzoek weten we zeker dat er data werden gelekt”, zegt Hafkamp die al vermoedde dat meer zorginstellingen gedupeerd waren. Nadat de gehackte gegevens werden gepubliceerd, verspreidde Z-CERT een eigen persbericht, waarin het klanten van het lab aanspoort opheldering te vragen.
Clinical Diagnostics zegt tegen NRC geen uitspraak te kunnen doen over of meer partijen gedupeerd raakten dan Bevolkingsonderzoek. Ook wil het niet vertellen waarom niet alle gedupeerden op de hoogte werden gesteld. Wel laat het weten dat „alle getroffen personen persoonlijk per brief in de komende weken geïnformeerd” worden.
Gijzelsoftwarebende Nova claimt op haar dark web-site een laboratorium van Eurofins te hebben gehackt. Op die site was een sample van de gestolen gegevens te bekijken. NRC heeft die data niet bekeken.
Die hack staat niet meer op ‘de voorpagina’ van Nova, maar is terug te halen. Het bericht is gedateerd op 6 juli. Volgens de bende zijn zo’n driehonderd gigabyte aan data ontvreemd. Zulke claims zijn niet te verifiëren: hackers bluffen vaak over de waarde van hun buit.
Nova blijkt een recente toevoeging aan de veranderlijke verzameling hackersgroeperingen. De groep maakte afgelopen maart enige naam door te claimen de systemen van de Italiaanse gemeente Pisa te hebben gekraakt. Tegen betaling kunnen andere hackers hun software huren. Nova wil dan 10 procent van ‘de winst’.
Slachtoffers van deze benden worden bijgehouden op dataleksites op het dark web. Nova kan tot dusver negentien hacks op haar conto schrijven. „Data zijn gelekt, je moet je schamen en iedereen die met je werkt ook”, staat op de site – in gebroken Engels – als bedrijven of organisaties weigerden het losgeld te betalen.
De ‘leksite’ is deel van het afpersingsmodel van gijzelsoftwarebendes: hacks worden gepubliceerd om de druk om te betalen op te voeren. Al langer versleutelen cybercrimebenden niet alleen gegevens van systemen die ze binnendringen, ze dreigen ook buitgemaakte data te publiceren. Die gegevens worden dan via geanonimiseerde netwerken verspreid.
Grofweg hebben ze drie opties. Ze kunnen losgeld claimen bij de gedupeerde (in dit geval Clinical Diagnostics), die na betaling de gegevens terugkrijgt. Of ze kunnen gedupeerde patiënten, bijvoorbeeld, met hun persoonlijke data afpersen of oplichten. Of de dataset wordt verkocht op het dark web aan andere oplichters.
„Dit is een dataset van bijna een half miljoen personen, vermenigvuldigd met een heleboel verschillende persoonlijke gegevens”, zegt Joris Bijvoets, functionaris gegevensbescherming bij privacy-consultancybedrijf AVG Compleet. „Hackers kunnen met deze data heel specifieke phishingmails maken die haast niet van echte mails te onderscheiden zijn, zoals een met de uitslag van je uitstrijkje met de datum van je test en de naam van je behandelend arts. Klik je op de link in de mail naar de zogenaamde uitslag, dan word je zelf gehackt.”
Slachtoffers moeten volgens Bijvoets ook bedacht zijn op mails die inspelen op de hack, zoals een bericht dat zogenaamd afkomstig is van het Bevolkingsonderzoek en waarin staat dat de gestolen gegevens kunnen worden veiliggesteld door op een link te klikken.
Zelfs al zou maar 1 procent van alle gedupeerden zo’n link per ongeluk aanklikken, dan nog is de hack buitengewoon lucratief, zegt Bijvoets. „En als jouw werkcomputer geïnfecteerd is, of je zit op het wifi-netwerk van je werk, dan kan zich dat als een olievlek verspreiden. Hackers hebben maar één zwakke schakel nodig om een hele organisatie plat te leggen of te bespioneren.”
Misbruik van de gegevens is niet uit te sluiten, waarschuwt Clinical Diagnostics op zijn site. „De hacker heeft toegang gehad tot persoonsgegevens. Hierbij zijn ook gegevens gekopieerd. Daarom is het belangrijk extra waakzaam te zijn voor misbruik van deze informatie.” Het bedrijf waarschuwt gedupeerden om niet op links in verdachte mails, sms’jes of app-berichten te klikken en te waken voor telefoontjes van anonieme bellers.
De Autoriteit Persoonsgegevens adviseert slachtoffers van een datalek het wachtwoord van het gelekte e-mailadres te wijzigen en gehackte wachtwoorden niet her te gebruiken. Mensen die zeker weten dat misbruik is gemaakt van hun gegevens, kunnen zich melden bij het Centraal Meldpunt Identiteitsfraude en aangifte doen bij de politie.
Source: NRC