Grote datalekken breiden zich verder uit: ‘Voor mij is dit een ontbindende voorwaarde voor mijn contract bij Basic-Fit’

Trend van datalekken bij grote bedrijven

De datalekken bij Basic-Fit en Booking.com passen in een trend dit jaar. Eerder zijn ook al bedrijven als Odido, Eurocamp en Roan getroffen. Grote hoeveelheden klantgegevens komen in handen van criminelen, die die informatie gebruiken voor gerichte oplichting.

Hoe groot is het datalek bij Basic-Fit?

Bij Basic-Fit gaat het om een tamelijk groot datalek. In Nederland zijn gegevens van ongeveer 200.000 leden buitgemaakt. Wereldwijd gaat het om zo’n 1 miljoen van de in totaal 5,8 miljoen leden. Het goede nieuws is dat de hack deze keer wel snel is ontdekt, sneller dan bij Odido in elk geval. Binnen enkele minuten is het lek al gestopt. Maar op dat moment zijn toch behoorlijk veel gegevens al gedownload door de criminelen.

Wat is er precies gelekt?

De gelekte informatie is uitgebreid. Het gaat om namen, adressen, e-mailadressen, telefoonnummers en geboortedata. Ook bankrekeningnummers (IBAN) en lidmaatschapsgegevens zijn bemachtigd. Denk daarbij aan abonnementstype, betalingen en zelfs welke vestigingen van de sportschool iemand recent heeft bezocht. Maar wachtwoorden, identiteitsbewijzen, medische gegevens, sportieve statistieken zouden volgens de sportschoolketen niet zijn gelekt.

Zeer geloofwaardige phishingberichten behoren tot de risico’s

Hoewel er voorlopig geen direct bewijs is dat de gegevens al zijn misbruikt, zijn de risico’s groot. Met deze combinatie van gegevens kunnen criminelen namelijk zeer geloofwaardige phishingberichten maken. Leden van de sportschool kunnen bijvoorbeeld een e-mail krijgen die lijkt te komen van Basic-Fit.

Daarin kan dan een verzoek staan om een betaling te doen of om gegevens te controleren. Ook telefonische oplichting ligt op de loer. En omdat het IBAN-nummer ook is gelekt, kunnen nep-incasso’s extra echt lijken. Let daar dus heel goed voor op. Valse telefoontjes van de ‘klantenservice’ behoren eveneens tot de mogelijkheden.

Bij Booking.com toegang tot boekingsinformatie en contactgegevens

Bij de hack van Booking.com hebben onbevoegden mogelijk toegang gekregen tot boekingsinformatie en contactgegevens van klanten (e-mailadressen en telefoonnummers). Maar financiële gegevens zijn volgens het bedrijf niet buitgemaakt. Anders dan bij Basic-Fit heeft Booking niet bekend gemaakt hoeveel klanten precies zijn getroffen. Inmiddels is de toegang voor de hackers afgesloten. Ook zijn de klanten geïnformeerd.

Het risico bij Booking zit ‘m vooral in gerichte phishing. Criminelen kunnen bijvoorbeeld een bericht sturen dat lijkt te komen van een hotel, met de vraag om een betaling opnieuw te doen. Omdat ze weten waar en wanneer iemand reist, komen zulke berichten betrouwbaar over.

Bij de vergelijkbare recente hack van Eurocamp en Roan, is meteen door deze vakantiebedrijven medegedeeld dat de combinatie van reisinformatie gekoppeld aan privé adressen uitgesloten was. Er zou dus geen risico bestaan voor fysieke onveiligheid zoals inbraak. Want de adressen zijn daar niet in handen van de criminelen terechtgekomen. Voor de goede orde: dat is bij Booking ook niet het geval.

Reacties van onze melders

Zowel Basic-Fit als Booking hebben de datalekken gemeld bij toezichthouder de Autoriteit Persoonsgegevens. Beide bedrijven zeggen dat het lek onder controle is en waarschuwen klanten om alert te zijn. Tegelijkertijd groeit de onvrede onder consumenten. Onze melders geven aan dat hun gegevens de afgelopen maanden al vaker zijn gelekt en dat ze sindsdien meer spam en fraudepogingen ontvangen. “Zo langzamerhand liggen alle gegevens van alle Nederlanders op straat,” zegt Alies. “In het afgelopen half jaar zijn mijn persoonlijke gegevens achtereenvolgens gelekt bij KLM, Bol.com, Odido en nu weer Basic-Fit. Ik ontvang meer spammail dan berichten van m’n eigen familie en vrienden.”

Klaas gaat nog een stap verder: “Datalekken zouden een ontbindende voorwaarde moeten zijn voor onze contracten bij zulke bedrijven. Dan zouden zij ook eens de pijn voelen die wij steeds lijden door hun enorme geklungel.”

Tips voor getroffen consumenten

Voor consumenten die getroffen zijn, is het nu zaak om extra voorzichtig te zijn. Maar hoe kunt u eigenlijk weten dat uw persoonlijke gegevens bij de buit zitten? De Nederlandse politie heeft de website Check je Hack, waar u kunt zien in welke datalekken u (nog meer) voorkomt. Let verder goed op verdachte e-mails, sms’jes of telefoontjes. Klik niet zomaar op links en deel nooit wachtwoorden of pincodes.

Check ook regelmatig uw bankrekening op onbekende afschrijvingen. Het is aanbevelenswaardig om wachtwoorden te wijzigen en waar mogelijk tweestapsverificatie aan te zetten. En onthoud de vuistregel: een echt bedrijf zal nóóit via e-mail, sms of telefoon vragen om gevoelige gegevens of om snel een betaling te doen. Daarmee verraden criminelen hun slechte bedoelingen bij voorbaat al.

Individuele schadeclaim of massaclaim?

Meldpunt Actueel krijgt veel vragen of het mogelijk is om een schadevergoeding te krijgen van genoemde bedrijven. In het geval van Odido legt advocaat Els Doornhein recentelijk uit dat dat nog niet zo gemakkelijk is. “Je moet wel kunnen aantonen dat je door het datalek schade hebt geleden. En als consument sta je in je eentje tegenover Odido, dat is heel lastig.”

Ook Mirjam de Witte van de Consumentenbond bevestigt dit beeld: “De link tussen de opgelopen schade en het datalek bij Odido moet je echt heel duidelijk kunnen aantonen tegenover een rechter.” Het indienen van een massaclaim (aangespannen door een groep samenwerkende gedupeerden) heeft misschien meer succes.

(Bron: De Telegraaf, AD, NOS, Politie, archief. Foto: ANP)

Honderdduizenden persoonlijke gegevens op straat door datalek Odido: ‘Dit is echt één van de grootste datalekken uit de Nederlandse geschiedenis’