Update 5/6/2024, 09:21, Laura Herijgers – De klantengegevens van Bol zijn mogelijk betrokken in de aanval op Addcomm. Dit meldt het bedrijf in een e-mail aan zijn klanten.
Bol stelt daarnaast maatregelen in tegen Addcomm en vraagt het bedrijf in het bijzonder zijn datasecurity beter op orde te houden. Zolang daar geen garantie voor is, houdt Bol de klantgegevens in eigen handen. “Bol werkt nauw samen met AddComm om ervoor te zorgen dat de gegevens bij het hervatten van de operatie veilig zijn”, klinkt het verder.
Er is overigens geen zekerheid over het datalek van klantgegevens bij Bol. Mochten er toch gegevens gelekt zijn, dan zitten daar geen bankgegevens tussen. Die zet het bedrijf namelijk niet door naar Addcomm.
Update 29/5/2024, 20:45 – Energiebedrijf Eneco meldt eveneens dat gegevens van zijn klanten in handen zijn gevallen van cybercriminelen bij de aanval op Addcomm. Daarmee voegt het bedrijf zich bij een steeds langer wordende lijst van getroffen organisaties.
“Op dit moment is nog niet duidelijk welke gegevens zijn verkregen” meldt Eneco volgens dagblad De Telegraaf. De energieleverancier roept klanten op alert te zijn op mogelijke nepberichten als phishingmails.
Naast Eneco en de hieronder genoemde organisaties uit het originele bericht zijn blijkbaar ook het gemeentelijke belastingkantoor GBTwente en de gemeente Groningen getroffen. Het was al bekend dat het drinkwaterbedrijf in die provincie bij de getroffen organisaties zat.
Update 28/5/2024 – Addcomm weegt het privacybelang van zijn klanten zwaarder dan het principe om zich niet te laten afpersen door cybercriminelen, meldt het bedrijf in een verklaring. Dat betekent dat het afspraken heeft gemaakt met de hackers over het niet-publiceren van buitgemaakte klantdata en het verwijderen daarvan. Of de criminelen zich aan de afspraken houden en niet alsnog de gegevens publiceren of doorspelen naar andere malafide partijen, is natuurlijk maar de vraag.
Dit besluit zou zijn genomen onder begeleiding van externe cybersecurity experts, ‘om de schade voor onze klanten zoveel mogelijk te beperken’. Volgens Addcomm zijn van een ‘selecte groep klanten’ gegevens buitgemaakt tijdens de cyberaanval op het bedrijf, staat in de verklaring.
Ter contrast: enige tijd geleden werden gegevens buitgemaakt bij de Belgische brouwerij Duvel Moortgat. Die besloot niet te betalen, waarna de criminelen de gegevens openbaar maakten. Een dergelijke rigoreuze beslissing is sowieso geen optie voor Addcomm, omdat de gestolen gegevens afkomstig zijn van klanten van het bedrijf.
Origineel bericht 27/5/2024: Door een datalek bij het bedrijf Addcomm liggen mogelijk de gegevens op straat van klanten van ABN Amro, diverse woningcorporaties, drinkwaterbedrijven en andere instanties. Het zou gaan om een ransomware-aanval waarbij systemen zijn versleuteld en data is ontvreemd. De bedrijven hebben hun ‘klantcommunicatie’ uitbesteed aan Addcomm, het gaat dan meestal om het versturen van rekeningen, aanslagen en aanmaningen.
Enkele van de getroffen instanties zijn de woningscorporaties Staedion (Den Haag), en Eigen Haard (Amsterdam), naast drinkwaterbedrijven in Drenthe en Groningen, meldt security.nl. Ook energieleverancier Vattenfall en de Regionale Belasting Groep (RBG), dat de belastingen int voor diverse gemeenten en waterschappen, zijn getroffen.
Daarnaast meldt ABN Amro dat mogelijk gegevens zijn buitgemaakt van ‘een beperkt aantal klanten’. De bank heeft de dienstverlening door Addcomm tijdelijk stopgezet, staat in een eigen verklaring.
Te laat om hack te stoppen
Addcomm meldt zelf dat de hack heeft plaatsgevonden tussen 5 en 17 mei. Het bedrijf ontdekte de hack op 17 mei, maar was toen te laat om te voorkomen dat data door de cybercriminelen werd versleuteld. De systemen van Addcomm waren door de aanval ook tijdelijk niet beschikbaar voor hun klanten.
Enkele bedrijven hebben het lek al openbaar gemaakt, waaronder het Waterbedrijf Groningen en diens Drentse evenknie WMD. Deze bedrijven laten weten dat ze ‘onderzoeken’ of klantgegevens zijn buitgemaakt, wat blijkbaar niet onomwonden vast lijkt te staan. Ook het Hoogheemraadschap Hollands Noorderkwartier (HHNK) is getroffen. Volgens deze instantie zijn bij het lek mogelijk naam, adres, woonplaats, burgerservicenummer en mogelijk zelfs eigendomsgegevens van onroerend goed buitgemaakt.
In de verklaring van de RBG staat vermeld dat de organisatie naam, adres, woonplaats, burgerservicenummer (BSN), bankrekeningnummer, e-mailadressen en eigendomsgegevens van huizen en bedrijfspanden verwerkt. De verklaring maakt niet expliciet of deze gegevens ook allemaal zijn buitgemaakt.
‘Enorm geschrokken’
De woningcorporaties Eigen Haard en Staedion hebben hun eigen verklaringen uitgedaan. Eigen Haard is naar eigen zeggen ‘enorm geschrokken’ van de aanval bij Addcomm en maant klanten -zoals in vrijwel alle uitgedane verklaringen staat- de komende tijd alert te zijn op phishingmails, verdachte ‘bankberichten’, telefoontjes of sms’jes. Staedion verhuurt zo’n 44.000 panden in Den Haag, Eigen Haard is goed voor 60.000 huurwoningen, bedrijfsruimtes en winkelpanden.
Afgelopen vrijdag meldde ook het waterschap Drents Overijsselse Delta een datalek. Het waterschap meldde dat toegang tot het eigen online portaal voor onbevoegden mogelijk was. Het was toen nog niet duidelijk of er daadwerkelijk gegevens waren buitgemaakt, hoewel het openbaar beschikbaar stellen van gegevens sowieso een datalek is, volgens de definitie die de Autoriteit Persoonsgegevens hanteert.
Het is overigens goed mogelijk dat de komende periode meer bedrijven melding gaan maken. De ransomware-aanval maakt eens te meer duidelijk hoe kwetsbaar gegevens van gewone burgers zijn wanneer ze in een database van (semi-)overheidsinstanties of bedrijven staan. Die instanties besteden het versturen van rekeningen en aanmaningen tegenwoordig vaak uit aan gespecialiseerde bedrijven, waardoor er een groot ‘single point of failure’ ontstaat.
Lees ook: Overheidsdienst UWV schendt wederom het vertrouwen van werkzoekenden