Sunweb meldde deze week dat gedupeerden van phishingmails, verstuurd uit naam van de reisorganisatie, geen compensatie hoeven te verwachten. Dat terwijl hackers via Sunweb toegang kregen tot verschillende contactgegevens. De reisorganisatie kan de verantwoordelijkheid toch niet zomaar van zich afschudden.
Sinds eind september hebben meerdere klanten van Sunweb een mail ontvangen waarin zij werden verzocht een betaling te doen, met de waarschuwing dat hun reis anders zou worden geannuleerd. De berichten bleken afkomstig van cybercriminelen die persoonsgegevens van de reisorganisatie hadden buitgemaakt door in hun systemen te infiltreren.
Een onduidelijk aantal klanten is de dupe geworden van het zogenoemde phishing, bleek maandag. Ook hebben meerdere klanten uitgesproken dat ze bang zijn voor inbrekers als ze op vakantie zijn. De in Nederland gevestigde reisorganisatie noemt de hack een "vreselijk incident", maar zegt geen compensatie aan te bieden. Het is alleen de vraag of ze er ook zo makkelijk van afkomen.
"Als je klant wordt, zeker binnen een digitale omgeving, mag je verwachten dat je gegevens voldoende gewaarborgd worden", onderstreept Taino Lourents, advocaat bij rechtsbijstandsverzekeraar DAS. "Op het moment dat derden toegang krijgen tot systemen, ligt er een verantwoordelijkheid bij Sunweb. Het is kort door de bocht om naar aanleiding van een datalek te zeggen: we gaan niets betalen."
De advocaat verwijst naar artikel 82 van de Algemene Verordening Gegevensbescherming (AVG), waarin staat dat mensen zowel materiële als immateriële schade mogen claimen bij de organisatie die hun gegevens verwerkt zodra er een datalek plaatsvindt. "Maar de consument moet wel kunnen aantonen dat hij naar aanleiding van het datalek een betaling heeft verricht."
Zodra je een link kunt aantonen tussen de phishingmail en het datalek bij Sunweb, heeft Sunweb een probleem om zich daartegen te verweren, stelt Lourents. "Als een neppe Sunweb-mail gebruikmaakt van informatie die de organisatie van jou heeft gekregen, kan ik me goed voorstellen dat je een rechter kunt overtuigen."
Sunweb erkende begin deze week dat hackers hun systemen waren binnengedrongen en waarschuwde klanten in hetzelfde bericht voor phishingmails. "Sunweb heeft de verplichting om zijn klanten hierover in te lichten", zegt Lourents. Maar het waarschuwen van de klanten dekt hen zeker niet in tegen aansprakelijkheid. "Het is niet op dezelfde dag ontdekt en kenbaar gemaakt. In die tussenliggende periode is van alles misgegaan."
Volgens Lourents is Sunweb verantwoordelijk voor een gedegen toepassing van de AVG. "Je kunt niet zeggen: we verzamelen die gegevens en als het goed gaat, heeft de klant er profijt van, en als het misgaat, heeft die klant pech. Ze hebben een scala aan verplichtingen, en technische bescherming is daarvan een groot onderdeel."
De reisorganisatie meldt dat hackers contactgegevens hebben buitgemaakt, waaronder mailadressen, telefoonnummers en reisinformatie. Door die gegevens ook in de phishingmails te verwerken, kwamen de berichten extra overtuigend over. Cybersecurityexpert Gert-Jan de Boer waarschuwt dat phishingmails sowieso steeds realistischer worden.
"Met de komst van programma's als ChatGPT zie je minder snel dat zulke mails uit het buitenland komen, omdat er geen spelfouten meer in staan", zegt hij. "Het wordt voor élke consument lastiger om te zien wat het verschil is tussen een echte mail en een phishingmail."
Toch zijn er nog slimme trucjes om te controleren of een mail van de juiste afzender is. "Zo kunnen hackers niet zomaar een mail sturen vanaf het domein van Sunweb", legt hij uit. Op zijn website benadrukt Sunweb welke domeinnamen van de reisorganisatie zijn. "Tegelijkertijd zegt dat ook weer niet alles", nuanceert De Boer. "Veel organisaties gebruiken namelijk mailinglijsten of externe providers die namens hen advertenties en dergelijke versturen."
Veel mensen lezen hun mails bovendien op de telefoon. Daar is het lastiger om in één oogopslag te zien van welk domein een bericht komt. "Waar je wel op kunt letten, is of de mail een dwingende toon heeft", vervolgt De Boer. "Het is ongebruikelijk dat een organisatie je direct vraagt geld over te maken, met de dreiging dat anders je reis wordt geannuleerd."
Sunweb zegt dat het bedrijf naar aanleiding van de hack de beveiliging van zijn systemen heeft verbeterd, maar het is niet bekend in hoeverre die beveiliging daarvoor ondermaats was. Volgens De Boer zouden de gegevens ook gestolen kunnen zijn bij een toeleverancier van het bedrijf. De organisatie heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens, die het verder gaat onderzoeken.
"Hoe dan ook moeten bedrijven ervoor zorgen dat bepaalde gegevens gecodeerd zijn of niet bij elkaar worden opgeslagen", vermeldt Lourents. Daardoor kunnen hackers bij een inbraak niet eenvoudig aan volledige klantgegevens komen om overtuigende phishingmails te maken. "Kan Sunweb met deze uitkomst volhouden dat de beveiliging op orde was? Ik vraag het me af."
Source: Nu.nl economisch