Wie klanttevredenheidsonderzoeken wil laten uitvoeren, kan terecht bij gespecialiseerde onderzoeksbureaus als Blauw en USP. Die kopen de software achter hun online vragenlijsten weer in van een andere partij: het in Wormerveer gevestigde Nebu. Daar verkregen indringers toegang tot een enorme hoeveelheid vertrouwelijke data uit deze marktonderzoeken, blijkt nu.
Het in Nederland opgerichte Nebu legt zich toe op software voor marktonderzoeken en is bepaald geen nieuwkomer: sinds zijn oprichting in 1992 is het naar meerdere landen uitgebreid. Wat er is gebeurd, is nog onbekend. Het kan variëren van een geavanceerde hack tot een slordige medewerker die zijn laptop had laten slingeren. Zeker is dat onbevoegden toegang hebben gekregen tot het netwerk en gegevens hebben buitgemaakt van meerdere onderzoeksbureaus. Wat precies, en hoeveel – dat zoekt Nebu nog uit.
Niels Waarlo is algemeen verslaggever van de Volkskrant. Eerder werkte hij op de wetenschapsredactie en schreef hij over tech.
Bij VodafoneZiggo en de NS, die bureau Blauw hadden ingeschakeld voor klantonderzoeken, zijn voor zover bekend de meeste mensen geraakt. De indringers hadden toegang tot data van respectievelijk ongeveer 700 duizend en 780 duizend klanten. Ook van duizenden klanten van zorgverzekeraar CZ en bezoekers van International Film Festival Rotterdam en De Vrienden van Amstel Live zijn mogelijk gegevens gestolen. In totaal zijn veertien klanten van Blauw getroffen, het bureau wil de overige namen van deze organisaties niet vrijgeven.
De gevolgen blijven niet beperkt tot klanten van Blauw. Donderdag meldde ook USP zich: gegevens van 100 duizend tot 150 duizend mensen zouden via dit bureau misschien op straat zijn beland. Woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) meldden hierdoor te zijn getroffen.
Ook hier is het lek bij Nebu de oorzaak. Volgens USP-directeur Jan-Paul Strop zijn er meer marktonderzoekers slachtoffer. Ook Wim van Slooten, de directeur van branchevereniging voor marketingbureaus, zegt van ‘een stuk of vijf’ marketingonderzoekers te hebben begrepen dat zij getroffen zijn.
Deze zaak illustreert een grote kwetsbaarheid in de digitale veiligheid, aldus Dave Maasland, directeur van cyberbeveiligingsbedrijf Eset. ‘NS doet zaken met kleinere partijen, die op hun beurt weer toeleveranciers hebben. Het is heel moeilijk de hele keten te beveiligen. Een lek bij één partij kan meteen leiden tot een lek bij een heleboel partijen, waardoor miljoenen mensen de dupe kunnen worden.’
Dat hangt helemaal af van de aard en omvang van de datadiefstal, en die is nog onbekend. Als blijkt dat op grote schaal namen, mailadressen en telefoonnummers zijn gestolen, kunnen oplichters daar gebruik van maken voor phishing of babbeltrucs. Denk aan sms’jes waarin criminelen zich voordoen als een familielid dat vraagt om geld. Wat dit datalek echter uitzonderlijk maakt, is dat er potentieel ook antwoorden uit marktonderzoeken zijn gelekt, zegt Maasland.
Bij tevredenheidsonderzoeken willen bedrijven een beeld kunnen vormen van hun klanten, zegt hij. ‘Als zulke informatie over hoe mensen zich gedragen is gelekt – wat ze op tv kijken, hoe vaak ze de trein pakken – kan dat enorm waardevolle informatie opleveren voor oplichters.’ Hoe meer criminelen van een slachtoffer weten, hoe makkelijker het is om vertrouwen te winnen, aldus Maasland.
Er vindt een levendige handel in persoonlijke gegevens plaats tussen cybercriminelen, zegt Maasland. ‘Dit is geen theoretisch gevaar’, zegt hij, verwijzend naar de drie Nederlanders die eerder dit jaar werden opgepakt. Ze zouden onder meer lijsten met persoonsgegevens hebben verhandeld, waar ook bankrekeningnummers op stonden en waarin het bijvoorbeeld mogelijk was te filteren op geboortejaar. Zo wordt het een stuk makkelijker om je als oplichter voor te doen als bankmedewerker.
Bij datalekken met grote risico’s is het bij wet verplicht om gedupeerden daarvan op de hoogte te stellen. Toch is het goed mogelijk dat grote lekken volledig onder de radar blijven, volgens Maasland. ‘Ik ben bang dat dit het topje van de ijsberg is.’
Niet alleen kunnen bedrijven datalekken verzwijgen omdat klanten er niet direct iets van merken, ze hebben niet altijd door dat ze zijn bestolen. ‘Je moet beveiligingsmensen hebben die zien: er is om 7 uur iemand ingelogd in een land waar dat niet hoort’, zegt hij. ‘Veel bedrijven hebben geen digitaal cameratoezicht.’
Vul online alleen de hoognodige informatie in bij het aanmaken van accounts of het invullen van vragenlijsten, aldus Maasland. ‘Bedrijven hoeven je verjaardag vaak echt niet te hebben, het is alleen omdat ze je dan een leuk verjaardagsberichtje kunnen sturen. Veel mensen vullen alle vragen braaf in, maar dat hoeft niet.’
Hoewel ze in dit geval niet tot de gelekte gegevens behoren, lekken ook wachtwoorden nog weleens uit. Maasland adviseert daarom een online wachtwoordkluis of een wachtwoordenboekje te gebruiken met voor elk account een ander wachtwoord. Tweestapsverificatie, zoals een sms met een controlecode, voorkomt dat cybercriminelen meteen kunnen inbreken als ze toch een wachtwoord weten te bemachtigen.
‘Als iemand wil dat je snel iets doet, moet er een belletje gaan rinkelen’, zegt hij verder over phishingberichten, vaak bedoeld om geld af te troggelen. Ooit verrieden deze berichten zichzelf in veel gevallen door de dramatische spelling, maar die tijden zijn volgens Maasland voorbij nu kunstmatig intelligente taalprogramma’s als ChatGPT perfect lopende teksten kunnen genereren.
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
U bent niet ingelogd
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2023 DPG Media B.V. - alle rechten voorbehouden