Een persoon zit alleen aan een bureau met een laptop in een kleine kas, omgeven door een donkere, lege ruimte, terwijl op de achtergrond zorgen over datalek in autobedrijven opdoemen.

Datalek autobedrijven: dealers informeren klanten op grote schaal

7,3 miljoen personen betrokken, dit moet je weten

29 mrt 2021, 9:03 • Achtergrond, Autonieuws

Door Bart Oostvogels. Mede-hoofdredacteur AutoRAI.nl en MotorRAI.nl. In de wieg gelegd als automotive journalist. Een échte nieuwsjager en liefhebber van auto’s én motoren. Hoe lichter, hoe beter! Als het maar wielen heeft.

Er is sprake van een groot datalek onder autobedrijven waarbij gegevens van kentekens met bijbehorende adressen van 7,3 miljoen personen op straat terecht zijn gekomen. Het RDC heeft inmiddels al uitgebreid kunnen onderzoeken hoe dit precies heeft kunnen gebeuren. Ook zijn dealerbedrijven gestart met het informeren van klanten over het datalek.

Gegevens te koop aangeboden

RDC zegt in een verklaring: “Op woensdag 24 maart vernamen we dat er op internet voertuig- en persoonsgegevens te koop stonden die mogelijkerwijs afkomstig zouden zijn van RDC. Uit het onderzoek is gebleken dat de gegevens inderdaad tot RDC te herleiden waren. We hebben afgelopen dagen dag en nacht doorgewerkt om te achterhalen hoe het kan dat de gegevens die afkomstig waren uit onze tool CaRe-Mail, buiten ons domein terecht zijn gekomen.”

Onderzoek naar datalek autobedrijven

De verklaring gaat verder: “Zoals eerder gemeld hebben wij op basis van onze security-loggegevens geen aanwijzingen gevonden dat er sprake is geweest van een hack op ons netwerk. Om hier zeker van te zijn, hebben de cybersecurity-experts van Fox-IT dat uitvoerig getoetst door middel van onder andere een pentest (penetratietest) die eventuele kwetsbaarheden van de CaRe-Mailomgeving aan het licht moest brengen. Het forensisch onderzoek heeft vooralsnog geen sporen van een hack aangetoond. Daarnaast zijn er een aantal inzichten naar boven gekomen die ons dichterbij de daadwerkelijke oorzaak van dit datalek brengen. Helaas kunnen wij hangende het onderzoek nog niet aangeven wat dit concreet betekent. Wij zetten het onderzoek met Fox-IT door om achter de oorzaak te komen.”

‘Verhoogde dijkbewaking’

Om er zeker van te zijn dat er geen nieuw datalek ontstaat, geeft RDC samen met Fox-IT voor de hele RDC-omgeving ‘verhoogde dijkbewaking’ ingevoerd. Jan-Willem Gefken, directeur van RDC: “We zijn hier enorm van geschrokken. Sinds woensdag zijn we met man en macht aan het werk om ervoor te zorgen dat we de overlast voor onze zakelijke klanten en hun klanten zoveel mogelijk beperken. Wij zijn met hen in contact en proberen hen zo goed mogelijk bij te staan. Het moge duidelijk zijn dat we er alles aan doen om de onderste steen boven te krijgen. Zodra we meer informatie hebben, zullen we die met alle betrokkenen delen.”

‘Pick&collect’-database

Achter de schermen wordt dus hard gewerkt om de oorzaak van het datalek te vinden. Maar wat is nu precies het risico dat al deze informatie op straat ligt? Simpel: in Nederland is er altijd een adres gekoppeld aan een kenteken. Mensen met slechte bedoelingen zouden dus precies kunnen zien waar bepaalde auto’s zich bevinden. In feite is er een ‘pick&collect’-database gelekt voor autodieven.

Wees alert

Verder zijn er ook persoonsgegevens gelekt, zoals e-mailadressen en telefoonnummers. Dit werkt identiteitsfraude in de hand, omdat door de gegevens een naam, adres en contactgegevens eenvoudig aan elkaar gekoppeld kunnen worden. Als de gegevens te koop worden aangeboden, dan kunnen criminelen er dus diverse kanten mee op. En kennelijk is dat al gebeurd. De gegevens zijn al deels te koop aangeboden op een hackersforum en deels openbaar geplaatst. Dit kan betekenen dat je in de nabije toekomst via e-mail, post of telefonisch benaderd wordt met valse informatie. Wees hier dus alert op.

AVG

De RDC mag consumenten die betrokken zijn bij het ‘datalek autobedrijven’ vanwege de Algemene verordening gegevensbescherming (AVG) niet benaderen. Daarom moedigt RDC autobedrijven aan om klanten over de situatie te informeren. En dat gebeurt inmiddels ook op grote schaal.

Een voorbeeld van zo’n email van een niet nader te noemen autobedrijf:

Langs deze weg willen wij u informeren dat wij gebruik hebben gemaakt van de software die mogelijk geraakt is. De kans is dan ook aanwezig dat de voertuig- en persoonsgegevens die u bij ons heeft achtergelaten, gelekt zijn. Net als u zijn wij zeer geschokt over dit voorval.

Wij zijn in nauw overleg met softwareleverancier RDC over de te nemen stappen. RDC heeft direct Fox-IT, experts op het gebied van cybersecurity, in huis gehaald om te achterhalen hoe de gegevens buiten ons beheer terecht zijn gekomen. Ook heeft RDC direct een melding bij de Autoriteit Persoonsgegevens gedaan.

Indien u hier aanvullende vragen over heeft beantwoorden wij deze graag.

Uiteraard heeft u als consument ook de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Dat kunt u doen op hun website: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap

Indien u per mail of telefoon benaderd wordt door partijen die werkzaamheden aan uw auto willen uitvoeren en daarvoor willen langskomen op uw huisadres of u vragen de auto ergens langs te brengen, gaat u daar niet op in! Wij zullen u nooit op deze manier benaderen over technische updates.

2,5 miljoen mailadressen

Het is mogelijk dat je een soortgelijke email hebt ontvangen. De kans dat je betrokken bent bij het ‘datalek autobedrijven’ is enorm groot. RDC: “De verkoper van de voertuig- en persoonsgegevens zegt over 60% van door ons verwerkte data te beschikken.” In het datalek zijn er overigens geen wachtwoorden gelekt, maar het is altijd verstandig om die wachtwoorden om een bepaalde periode even te veranderen. Bij het datalek zijn ongeveer 2,5 miljoen mailadressen gelekt. Er zijn geen ip-adressen gelekt. Je kunt overigens hier een melding maken bij de Autoriteit Persoonsgegevens.