Bnnvara schrijft in een mail naar slachtoffers dat de omroep Qualifio gebruikte voor online formulieren waar abonnees, potentiële abonnees of leden hun persoonsgegevens kunnen invullen. Tweakers heeft deze mail ingezien. De omroep gebruikt deze gegevens om de VARAgids te kunnen opsturen en voor de administratie van abonnementsgelden.

Het datalek ontstond na een update waardoor een Qualifio-database ‘een aantal dagen’ openbaar toegankelijk was. Qualifio bevestigt volgens de omroep dat deze gegevens ook daadwerkelijk zijn benaderd. Het gaat om naam- en adresgegevens, geboortedata en bankrekeningnummers. Deze gegevens zijn door ‘onbevoegden’ buitgemaakt, schrijft de omroep. Het lek zou inmiddels gedicht zijn.

Bnnvara zegt tegen Tweakers dat er informatie is uitgelekt van 1300 leden en abonnees. De omroep heeft in totaal ruim vierhonderdduizend leden. De omroep benadrukt dat Bnnvara niet de enige organisatie is die getroffen is en dat het lek inmiddels bij de Autoriteit Persoonsgegevens is gemeld.

De toegang vanuit Qualifio naar Bnnvara-systemen is tevens geblokkeerd en van nieuwe authenticatie voorzien. De omroep zegt ook de procedures en maatregelen rondom de beveiliging te evalueren. Het incident is tot slot gemeld bij de Belgische politie en het Belgische centrum voor cybersecurity, aangezien Qualifio gevestigd is in België. Bnnvara werd op woensdag 9 juni voor het eerst ingelicht over het incident.

Mogelijk zijn er ook gegevens van andere bedrijven gelekt, aangezien Qualifio veel klanten had. Tweakers heeft vragen bij Qualifio gesteld over het datalek. Op de website van het bedrijf staan bedrijven als Mailchimp, Adobe, Salesforce, Nestlé, MediaMarkt en L’Oréal vermeld. Het is niet duidelijk of deze bedrijven daadwerkelijk slachtoffer zijn van het datalek. Bnnvara zegt tegen Tweakers van Qualifio te hebben gehoord dat het bedrijf ‘honderden klanten’ heeft, waarvan ‘een aanzienlijk deel’ is getroffen.

Ook omroep VPRO is betrokken bij het incident, bevestigt de omroep bij Tweakers. Het gaat hierbij om mensen die via een online formulier van Qualifio zichzelf hebben aangemeld voor acties en evenementen. Hier zijn persoonsgegevens van 3800 mensen uitgelekt, waarbij naam, e-mailadres en relatienummer zijn buitgemaakt. Van een deel is ook het geslacht uitgelekt. De VPRO benadrukt dat er geen bankgegevens of wachtwoorden zijn uitgelekt en zegt dat het incident is gemeld bij de AP.

Lees meer op tweakers.nl