Dit kunnen hackers met je burgerservicenummer en medische gegevens
De hack gebeurde bij Clinical Diagnostics, een laboratorium dat de monsters van bevolkingsonderzoeken beoordeelt. De gegevens van zeker 485.000 mensen zijn gestolen. Het gaat daarbij om hun namen, woonadressen, geboortedata, burgerservicenummers (bsn) en onderzoeksuitslagen. Een klein deel van die gegevens is na de hack op het dark web, een moeilijk toegankelijk deel van het internet, verschenen, meldde RTL Nieuws.
En dat is gevaarlijk, zegt cybercrime-expert Eward Driehuis. "Criminelen kunnen die gegevens gebruiken voor dingen als identiteitsfraude. Als de criminelen weten wie jouw verzekeraar is én de uitslag weten van een bepaald gezondheidsonderzoek, kunnen ze zichzelf heel geloofwaardig voordoen als jouw verzekeraar of huisarts. Verzekeringsfraude komt nog niet zo vaak voor in Nederland, maar dat gaat zo wel makkelijker worden."
'Levenslang alert'
Slachtoffers zijn daarom volgens de expert 'levenslang veroordeeld tot alertheid'. "Ze kunnen met je burgerservicenummer niet je bank plunderen, maar je moet wel opletten als iemand belt die zich voordoet als je huisarts. Zeg dan: 'Dankjewel, ik bel u even terug op het nummer dat ik van u ken.'"
Wat kun je doen als je gegevens zijn buitgemaakt bij een datalek?
Mensen die slachtoffer zijn van het datalek kunnen zich melden bij het Centraal Meldpunt Identiteitsfraude en aangifte doen bij de politie.
Het is verstandig om je wachtwoord te wijzigen en tweefactorauthenticatie in te stellen. Geef daarnaast nooit je inloggegevens via e-mail en ook niet per telefoon.
Als organisaties je vragen om persoonlijke gegevens te bevestigen, controleer dit dan altijd extra.
Dubbele afpersing
De hackers die de data hebben gestolen, gaan volgens Driehuis vaak hetzelfde te werk. "Eerst versleutelen ze alle bestanden van een bedrijf, waardoor het bedrijf die niet meer kan gebruiken. Vervolgens kopiëren ze alle gegevens naar hun eigen servers", legt de expert uit. "En dan vragen ze geld in ruil voor die bestanden."
Maar daar stopt het niet. Zodra het eerste geld betaald is, komt het tweede dreigement. "Dan zeggen ze: we hebben een kopie van de bestanden. Je moet nog een keer betalen, anders maken we deze informatie publiek. Als bewijs daarvan publiceren ze alvast een klein beetje informatie op het dark web."
Die methode staat ook wel bekend als dubbele afpersing. "Het is een manier die goed werkt voor die criminelen", vertelt Driehuis. "Heel veel bedrijven betalen, omdat het publiceren van die informatie een risico is dat ze niet willen nemen. Als je betaalt, gebeurt er niks. En door die reputatie op te bouwen, zorgen ze ervoor dat bedrijven blijven betalen."
Op goed geluk
Hoe kan je jezelf beschermen tegen cybercriminaliteit? Dat is volgens de expert lastig. "Het vervelende is dat je er niet echt iets aan kan doen. Jij bent zelf niet gehackt, maar het bedrijf waar jouw gegevens staan. Het enige wat je kan doen is hopen dat alle organisaties die gegevens van jou hebben zich goed beveiligen."
Daar ligt volgens Driehuis een taak voor de overheid. "Die moeten leveranciers, zoals Clinical Diagnostics, gewoon goed gaan controleren op hun digitale veiligheid. Het bedrijf zal dit wel weer overleven, maar de slachtoffers hebben hier de rest van hun leven last van."
De Inspectie Gezondheidszorg en Jeugd (IGJ) is vrijdagochtend gestart met een onderzoek naar de informatiebeveiliging van het gehackte laboratorium. Die dag claimde hackersgroep Nova ook de gestolen bestanden te hebben gewist en van het dark web te hebben gehaald.
