Wat je moet weten over het datalek bij het bevolkingsonderzoek: ‘Vertrouw niemand’

Eerder deze maand stalen internetcriminelen privégegevens van ruim 485.000 vrouwen die meededen aan het bevolkingsonderzoek voor baarmoederhalskanker. Gedupeerden worden nu gewaarschuwd voor fraude. Waar moet je precies op letten? En hoeveel zorgen moet je je maken nu je burgerservicenummer gelekt is?
Een tijdlijn: wat is er gebeurd?
Op maandag 11 augustus werd bekend dat hackers privégegevens van ruim 485.000 vrouwen gestolen hebben bij een cyberaanval op laboratorium Clinical Diagnostics. Dit laboratorium deed onderzoek voor het bevolkingsonderzoek naar baarmoederhalskanker.
De hackers hebben toegang gekregen tot de volgende gegevens:
- Naam
- Geslacht
- Geboortedatum
- Adres
- Burgerservicenummer (BSN)
- Gegevens over het type onderzoek en testuitslagen
- Gegevens over de aanvrager
Dinsdag 19 augustus en woensdag 20 augustus kregen 405.000 vrouwen een brief van het bevolkingsonderzoek dat hun gegevens gelekt zijn. Van de overige 80.000 gedupeerden kon het bevolkingsonderzoek nog niet met zekerheid zeggen of hun gegevens gekoppeld zijn aan het bevolkingsonderzoek of aan een ander onderzoek uitgevoerd door Clinical Diagnostics. Bij de hack zijn namelijk ook patiëntendata van Bergman Clinics en het Alrijne ziekenhuis buitgemaakt.
Vrijdag 22 augustus maakten de hackers bekend dat ze de gestolen gegevens niet gaan publiceren. Eerder hadden ze al een deel van de informatie openbaar gemaakt, om de druk op Clinical Diagnostics om losgeld te betalen op te voeren. Ook dat deel zouden ze, naar eigen zeggen, weer verwijderd hebben.
Wees alert op ‘alle vormen van fraude’
Dat de hackers de gegevens weer offline hebben gehaald nadat ze eerst gedeeltelijk online zijn gezet, betekent niet automatisch dat het probleem nu opgelost is. Het kan nog steeds zo zijn dat jouw gegevens in verkeerde handen zijn beland. Vandaar dat het bevolkingsonderzoek en Clinical Diagnostics gedupeerden in een brief oproepen om alert te zijn op fraude.
Volgens Marianne Junger, hoogleraar Cyber Security bij de Universiteit Twente, gaat het dan om alle vormen van fraude. “Criminelen verzinnen van alles. Ze kunnen je benaderen via de mail, via de telefoon en ze zouden zelfs naar je huis kunnen gaan.”
En dit kan met allerlei boodschappen. “Als een gebeurtenis veel in het nieuws is, gebruiken criminelen dat soms als aanleiding voor hun benadering. Nu zou je bijvoorbeeld kunnen denken aan een boodschap als: ‘je gegevens zijn niet veilig, download nu deze virusscanner’”, geeft ze als voorbeeld.
‘Je kunt eigenlijk niemand meer vertrouwen’
“Wees daarom elke keer als er geld of gegevens aan je gevraagd worden alert en check de afzender”, benadrukt Tanya Wijngaarde, woordvoerder van de Fraudehelpdesk. Word je gebeld en om allerlei gegevens gevraagd? Hang dan op en bel zelf de instantie terug. Zo weet je zeker dat je daadwerkelijk met die instantie belt. “Je kunt eigenlijk niemand meer vertrouwen”, is haar boodschap.
“Oplichters kunnen je op allerlei wijzen benaderen”, bevestigt ook Herbert Bos, hoogleraar Systems and Network Security aan de Vrije Universiteit. “Ze kunnen zelfs aan de deur komen of fysieke brieven sturen namens de bank, de overheid of bedrijven. Omdat het er allemaal officieel uitziet en het allerlei ‘geheime’ gegevens van jou bevat, heb je ws geen argwaan.”
Hoe erg is het dat je BSN op straat ligt?
Met deze ‘geheime’ gegevens, doelt Bos vooral op de combinatie van jouw privé-informatie. Dat je BSN bekend is, hoeft an sich namelijk niet zo heel erg te zijn. Wijngaarde vertelt dat ze nog maar weinig fraude met BSN zien. “Tot nu toe zien we eigenlijk alleen maar van die Engelstalige bandjes die worden afgespeeld bij een telefoontje, waarbij ze soms de laatste drie nummers van een BSN toevoegen om geloofwaardig over te komen.”
Maar omdat het nu in combinatie met je naam, adres en geboortedatum is gelekt, wordt het een ander verhaal. “Hoe meer informatie lekt en hoe meer privé zulke data is, hoe interessanter ze zijn voor criminelen”, vertelt Bos. “Als je bijvoorbeeld mensen geld wilt aftrogggelen via phishing/WhatsApp/telefoonfraude, helpt het je geloofwaardigheid als je allerlei informatie hebt over het slachtoffer. Hoe completer de data, hoe waardevoller.”
“Het gaat om de combinatie van gegevens”, bevestigt Junger. “Alleen je naam of je BSN hebben ze niet zo veel aan. Het is vooral vervelend dat het nu om een combinatie van gegevens gaat. Denk bijvoorbeeld aan de informatie die nodig is om een bankrekening te openen. Als je iemands naam, adres, geboortedatum en BSN weet, kun je een heel eind komen.”
Dit kunnen criminelen nog meer met jouw gegevens
Wijngaarde vertelt dat je daarnaast moet opletten voor eventuele afpersing. “Nu gebeurt dat wel eens met de boodschap dat je porno hebt gekeken en dat dat openbaar gemaakt wordt als je niet betaalt.” Maar dat zou dus bijvoorbeeld ook met de uitslag van het bevolkingsonderzoek kunnen.
“Stel dat je een ziekte hebt, dan wil je misschien niet dat je werkgever of partner dat weet”, vult Bos aan. “Zulke specifieke gegevens zijn dus handig voor oplichters om af te persen.
“Vaak worden de gegevens door criminelen gekoppeld aan andere gegevens uit eerder datalekken. En soms kunnen gegevens gebruikt worden om op jouw naam en kosten dingen te bestellen”, vertelt hij verder.
“Tenslotte gebruiken mensen vaak delen van hun persoonlijke gegevens voor wachtwoorden. Hoe meer lekt, hoe makkelijker het wordt om die wachtwoorden te kraken. Bijvoorbeeld: in eerder lek is jouw emailadres en de hash (een soort versleuteling) van je wachtwoord. Met meer van jouw gegevens kunnen criminelen proberen om je wachtwoord te raden.” Je doet er dus goed aan om jouw wachtwoorden te wijzigen.