Miljoenen wachtwoorden en privégegevens op straat door hack webshop Allekabels.nl
De privégegevens en wachtwoorden van miljoenen Nederlanders liggen op straat na een hack bij de populaire webshop Allekabels. Volgens experts is dit het grootste datalek met wachtwoorden in Nederland ooit. De gestolen gegevens worden misbruikt door criminelen.
Dat blijkt uit onderzoek van RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De gestolen database van Allekabels, met daarin de privégegevens van zo'n 3,6 miljoen mensen, is eind januari op een hackersforum te koop aangeboden voor een bedrag vanaf 15.000 euro.
De advertentie is maanden geleden al verwijderd, wat erop duidt dat de gegevens toen zijn verkocht. Inmiddels worden ze verhandeld onder cybercriminelen, en worden de gegevens actief misbruikt om mensen phishingberichten te sturen, op te lichten of te hacken.
Miljoenen wachtwoorden
Het gaat in totaal om zo'n 2,6 miljoen unieke e-mailadressen die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Die wachtwoorden moeten eerst nog worden gekraakt, wat gebruikelijk is na een datalek. Bij Allekabels is dat een fluitje van een cent: een groot deel van de wachtwoorden is zeer zwak versleuteld en volgens experts binnen seconden te kraken.
De andere miljoen gegevens zijn persoonsgegevens van mensen die via een webshop als Bol.com en Amazon bij Allekabels hebben besteld. Van hen zijn geen e-mailadressen of wachtwoorden gelekt.
Het is het grootste datalek met wachtwoorden in Nederland ooit, zo stelt ethisch hacker Rickey Gevers. Hij is oprichter van Scattered Secrets, een website waar je kan opzoeken in welke datalekken jouw gegevens voorkomen. "Het Allekabels-lek is voor cybercriminelen ontzettend interessant en waardevol door alle wachtwoorden en gevoelige informatie", vertelt hij. Op de tweede plek staat prostitutiesite Hookers waarvan in 2019 zo'n 250.000 wachtwoorden zijn uitgelekt.
IBAN-nummers
Ook zijn zo'n 109.000 IBAN-nummers van Allekabels-klanten gestolen en verhandeld. Deze gegevens zijn goud waard voor criminelen omdat ze op twee manieren kunnen worden misbruikt. Allereerst worden de gegevens door bedrijven en organisaties gebruikt ter controle van je identiteit. Met zo'n IBAN-nummer wordt het gemakkelijk om identiteitsfraude te plegen.
Als tweede kunnen IBAN-nummers worden misbruikt voor zeer gerichte phishingaanvallen. Een crimineel kan een geloofwaardig phishingbericht opstellen door jouw naam, woonadres en rekeningnummer erin te verwerken. Als ontvanger zul je zo'n bericht sneller vertrouwen omdat jouw daadwerkelijke gegevens erin staan.
Chippy1337
Allekabels was sinds februari van dit jaar op de hoogte dat hun database te koop werd aangeboden op een hackersforum. Volgens Allekabels was de informatie die daar werd verkocht gestolen door een werknemer die inmiddels is ontslagen. Hij zou 5000 klantgegevens hebben gestolen, en die klanten zijn toen door Allekabels over het datalek geïnformeerd.
In de criminele hackerswereld wordt een heel ander beeld geschetst. Allekabels zou in augustus 2020 zijn gehackt door Chippy1337, een anonieme hacker die vaker bij populaire Nederlandse websites inbreekt. "Ze hebben toen mijn achterdeurtje gevonden, Allekabels weet sindsdien van de hack", vertelt hij tegen RTL Nieuws. "Het maakt ze niets uit en ze reageren niet op mijn mails." Waarna de hacker vroeg: "Wil je de database?"
Ontzettende klap
Vervolgens kreeg RTL Nieuws verschillende datasets om de gegevens te controleren, die corresponderen met de periode waarin de hack zou zijn gepleegd.
"Dit is compleet nieuw voor ons", zegt Constantijn Souren, operationeel directeur van Allekabels, als we hem informeren over de gestolen gegevens. "We hebben destijds geprobeerd om contact te krijgen met degene die de database aanbood, maar dat is niet gelukt. Dit is ook voor ons een ontzettende klap."
Er wordt momenteel door Allekabels onderzoek gedaan naar de hack.
Phishingberichten
Het vermoeden is dat Allekabels wel degelijk op de hoogte was van de hack, zo stellen verschillende experts en klanten. Dat zit zo: sommige klanten gebruiken een uniek e-mailadres voor Allekabels, zoals allekabels@jouwdomein.nl of jouwnaam+allekabels@gmail.com. Op die manier weten klanten wanneer en waar hun gegevens zijn gelekt of doorverkocht: ze ontvangen dan phishing- of spamberichten op dat unieke e-mailadres.
RTL Nieuws heeft meer dan dertig mensen uit de database opgebeld om de gelekte gegevens te controleren. De klanten met zo'n uniek e-mailadres hebben van Allekabels allemaal een bericht gehad dat hun gegevens zijn gelekt - volgens Allekabels zaten zij allemaal toevallig tussen de 5000 gegevens die deze ex-medewerker had gestolen.
Het overgrote merendeel, dat een normaal e-mailadres gebruikt en dus niet weet of hun gegevens zijn gelekt, is niet geïnformeerd, zo blijkt uit een rondgang van RTL Nieuws.
Kwalijke zaak
Dat zaakje stinkt, vindt ethisch hacker Rik van Duijn van cybersecuritybedrijf Zolder. Hij was één van de eersten die ontdekte dat er een lek was bij Allekabels, omdat hij ook op zo'n uniek mailadres phishingberichten ontving. Toen hij zag dat veel vrienden met zo'n uniek adres ook door Allekabels over het lek werden geïnformeerd, vertrouwde hij het niet: hoe groot is de kans dat die paar vrienden precies tussen die 5000 gedupeerden zaten?
"Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt", vertelt hij. "Dat zou een kwalijke zaak zijn en dat lijkt me zeker iets voor de Autoriteit Persoonsgegevens om te onderzoeken."
Als RTL Nieuws deze situatie voorlegt aan Allekabels, stelt het bedrijf dat het enkel de mensen heeft geïnformeerd waarvan hun gegevens zijn gestolen. Daar zouden veel van dat soort unieke e-mailadressen tussen zitten. Wel zegt Allekabels een intern onderzoek te doen naar de hele situatie.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) laat in een reactie weten dat het "informatie en documenten" opvraagt bij Allekabels naar aanleiding van de bevindingen van RTL Nieuws. "Allekabels is verplicht alle gevraagde informatie en documentatie te leveren", laat een woordvoerder weten.
De AP merkt dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. "Dat is ernstig, want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen."
Het opzettelijk niet melden van een datalek aan betrokkenen is een ernstige overtreding van de AVG en zeer kwalijk, zo stelt de AP.
Wat kun je nu doen?
Allereerst is het belangrijk om je wachtwoord voor Allekabels te veranderen. Als je dat wachtwoord ook op andere plekken gebruikt, is het verstandig om dat wachtwoord ook daar aan te passen.
Wees alert op phishing. Veel Allekabels-klanten ontvangen via e-mail nepberichten van een bank met een slimme truc van criminelen: in plaats van je op een linkje laten klikken proberen ze je een QR-code te laten scannen die je naar de phishingwebsite leidt. Daar proberen ze vervolgens je bankgegevens buit te maken.
Omdat het bij zo'n 109.000 mensen ook hun IBAN-nummer betreft, is het belangrijk dat je zelfs berichten met daarin het juiste rekeningnummer wantrouwt. Bel altijd zelf de bank op om te controleren of een bericht klopt, en gebruik dan het telefoonnummer dat je vindt op de officiële website van de bank.