Allekabels.nl gehackt, volledige database uitgelekt

Abonneer je gratis op Techzine!

De volledige database van Allekabels.nl is te koop aangeboden geweest op het internet. Daarin staan de gegevens van zo’n 3,6 miljoen mensen opgeslagen. Ook wachtwoorden staan in de database, al zijn die versleuteld. Allekabels was op de hoogte van de omvang van het lek, maar probeerde dat te verbergen.

Het datalek werd opgemerkt door RTL-redacteur Daniël Verlaan. In een Twitter-draad vertelt hij dat de gestolen database al eind januari te koop werd aangeboden. Toen Verlaan vervolgens contact opnam met Allekabels, ontkende de webwinkel schuld. Er zouden slechts vijfduizend gegevens zijn gestolen door een werknemer die inmiddels is ontslagen.

3,6 miljoen persoonsgegevens

Dit blijkt nu een leugen van het bedrijf te zijn, want enkele maanden later stuitte Verlaan op een volledige database van Allekabels. In de database staan zo’n 2,6 miljoen unieke e-mailadressen die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Die wachtwoorden zijn gesalt en met MD5 gehasht of met bcrypt versleuteld. Daar bovenop zijn er ongeveer een miljoen gegevens van klanten die een bestelling hebben geplaatst via Bol.com of Amazon. Daarmee is het volgens ethisch hacker Rickey Gevers het grootste Nederlandse datalek met wachtwoorden ooit. Ook ongeveer 109.000 IBAN-nummers van Allekabels-klanten zijn gestolen.

Phishingaanvallen al begonnen

De gestolen gegevens zijn zeer interessant voor kwaadwillenden, die ze kunnen gebruiken om phishingaanvallen mee uit te voeren. Met de IBAN-nummers zijn zelfs vormen van identiteitsfraude mogelijk. Phishingaanvallen op basis van de gestolen gegevens blijken al in de omloop te zijn. Verlaan nam contact op met gebruikers die een uniek e-mailadres voor Allekabels hadden aangemaakt, die met dat unieke e-mailadres konden zien dat het e-mailadres bij Allekabels was uitgelekt. Op deze adressen waren namelijk al phishingberichten binnengekomen.

Allekabels bleek wel op de hoogte

Om de situatie schrijnender te maken, bleken er vijfduizend mensen te zijn die een dergelijk uniek e-mailadres gebruikten voor mail van Allekabels. Er bestaan daarom sterke vermoedens dat dit de vijfduizend gebruikers zijn waar Allekabels het eerder over had en dat de webwinkel alleen de mensen heeft geïnformeerd die konden aantonen dat er een hack bij de webwinkel geweest is.

Verlaan heeft ook contact gehad met de hacker die de database heeft weten te bemachtigen. Die vertelt de website in augustus 2020 gehackt te hebben. Allekabels heeft niet veel later de backdoor in hun systeem gevonden en die afgesloten. “Ze hebben toen mijn achterdeurtje gevonden, Allekabels weet sindsdien van de hack”, vertelt hij tegen RTL Nieuws. “Het maakt ze niets uit en ze reageren niet op mijn mails.” Waarna de hacker vroeg: “Wil je de database?”

Reactie Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft al op de gegevensdiefstal gereageerd. De privacywaakhond heeft al de nodige informatie en documenten bij Allekabels opgevraagd en die is verplicht die te leveren. De Autoriteit vindt het heel ernstig als gedupeerden niet op de hoogte worden gesteld dat hun gegevens zijn uitgelekt. Bovendien is het niet melden van een datalek aan de gedupeerden een ernstige overtreding van de AVG.

Tip: Booking.com moet GDPR-boete van half miljoen betalen (Update)