Dat blijkt uit onderzoek van RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De gestolen database van Allekabels, met daarin de privégegevens van zo’n 3,6 miljoen mensen, is eind januari op een hackersforum te koop aangeboden voor een bedrag vanaf 15.000 euro.

De advertentie is maanden geleden al verwijderd, wat erop duidt dat de gegevens toen zijn verkocht. Inmiddels worden ze verhandeld onder cybercriminelen, en worden de gegevens actief misbruikt om mensen phishingberichten te sturen, op te lichten of te hacken.

Miljoenen wachtwoorden

Het gaat in totaal om zo’n 2,6 miljoen unieke e-mailadressen die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Die wachtwoorden moeten eerst nog worden gekraakt, wat gebruikelijk is na een datalek. Bij Allekabels is dat een fluitje van een cent: een groot deel van de wachtwoorden is zeer zwak versleuteld en volgens experts binnen seconden te kraken.

De andere miljoen gegevens zijn persoonsgegevens van mensen die via een webshop als Bol.com en Amazon bij Allekabels hebben besteld. Van hen zijn geen e-mailadressen of wachtwoorden gelekt.

Het is het grootste datalek met wachtwoorden in Nederland ooit, zo stelt ethisch hacker Rickey Gevers. Hij is oprichter van Scattered Secrets, een website waar je kan opzoeken in welke datalekken jouw gegevens voorkomen. “Het Allekabels-lek is voor cybercriminelen ontzettend interessant en waardevol door alle wachtwoorden en gevoelige informatie”, vertelt hij. Op de tweede plek staat prostitutiesite Hookers waarvan in 2019 zo’n 250.000 wachtwoorden zijn uitgelekt.

IBAN-nummers

Ook zijn zo’n 109.000 IBAN-nummers van Allekabels-klanten gestolen en verhandeld. Deze gegevens zijn goud waard voor criminelen omdat ze op twee manieren kunnen worden misbruikt. Allereerst worden de gegevens door bedrijven en organisaties gebruikt ter controle van je identiteit. Met zo’n IBAN-nummer wordt het gemakkelijk om identiteitsfraude te plegen.

Als tweede kunnen IBAN-nummers worden misbruikt voor zeer gerichte phishingaanvallen. Een crimineel kan een geloofwaardig phishingbericht opstellen door jouw naam, woonadres en rekeningnummer erin te verwerken. Als ontvanger zul je zo’n bericht sneller vertrouwen omdat jouw daadwerkelijke gegevens erin staan.

Chippy1337

Allekabels was sinds februari van dit jaar op de hoogte dat hun database te koop werd aangeboden op een hackersforum. Volgens Allekabels was de informatie die daar werd verkocht gestolen door een werknemer die inmiddels is ontslagen. Hij zou 5000 klantgegevens hebben gestolen en die klanten zijn toen door Allekabels over het datalek geïnformeerd.

In de criminele hackerswereld wordt een heel ander beeld geschetst. Allekabels zou in augustus 2020 zijn gehackt door Chippy1337, een anonieme hacker die vaker bij populaire Nederlandse websites inbreekt. “Ze hebben toen mijn achterdeurtje gevonden, Allekabels weet sindsdien van de hack”, vertelt hij tegen RTL Nieuws. “Het maakt ze niets uit en ze reageren niet op mijn mails.” Waarna de hacker vroeg: “Wil je de database?”

Ontzettende klap

Vervolgens kreeg RTL Nieuws verschillende datasets om de gegevens te controleren, die corresponderen met de periode waarin de hack zou zijn gepleegd.

“Dit is compleet nieuw voor ons”, zegt Constantijn Souren, operationeel directeur van Allekabels, als we hem informeren over de gestolen gegevens. “We hebben destijds geprobeerd om contact te krijgen met degene die de database aanbood, maar dat is niet gelukt. Dit is ook voor ons een ontzettende klap.”

Er wordt momenteel door Allekabels onderzoek gedaan naar de hack.

Phishingberichten

Het vermoeden is dat Allekabels wel degelijk op de hoogte was van de hack, zo stellen verschillende experts en klanten. Dat zit zo: sommige klanten gebruiken een uniek e-mailadres voor Allekabels, zoals allekabels@jouwdomein.nl of jouwnaam+allekabels@gmail.com. Op die manier weten klanten wanneer en waar hun gegevens zijn gelekt of doorverkocht: ze ontvangen dan phishing- of spamberichten op dat unieke e-mailadres.

RTL Nieuws heeft meer dan dertig mensen uit de database opgebeld om de gelekte gegevens te controleren. De klanten met zo’n uniek e-mailadres hebben van Allekabels allemaal een bericht gehad dat hun gegevens zijn gelekt – volgens Allekabels zaten zij allemaal toevallig tussen de 5000 gegevens die deze ex-medewerker had gestolen.

Het overgrote merendeel, dat een normaal e-mailadres gebruikt en dus niet weet of hun gegevens zijn gelekt, is niet geïnformeerd, zo blijkt uit een rondgang van RTL Nieuws.

Kwalijke zaak

Dat zaakje stinkt, vindt ethisch hacker Rik van Duijn van cybersecuritybedrijf Zolder. Hij was één van de eerste die ontdekte dat er een lek was bij Allekabels, omdat hij ook op zo’n uniek mailadres phishingberichten ontving. Toen hij zag dat veel vrienden met zo’n uniek adres ook door Allekabels over het lek werden geïnformeerd, vertrouwde hij het niet: hoe groot is de kans dat die paar vrienden precies tussen die 5000 gedupeerden zaten?

“Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt”, vertelt hij. “Dat zou een kwalijke zaak zijn en dat lijkt me zeker iets voor de Autoriteit Persoonsgegevens om te onderzoeken.”

Als RTL Nieuws deze situatie voorlegt aan Allekabels, stelt het bedrijf dat het enkel de mensen heeft geïnformeerd waarvan hun gegevens zijn gestolen. Daar zouden veel van dat soort unieke e-mailadressen tussen zitten. Wel zegt Allekabels een intern onderzoek te doen naar de hele situatie.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) laat in een reactie weten dat het “informatie en documenten” opvraagt bij Allekabels naar aanleiding van de bevindingen van RTL Nieuws. “Allekabels is verplicht alle gevraagde informatie en documentatie te leveren”, laat een woordvoerder weten.

De AP merkt dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. “Dat is ernstig, want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen.”

Het opzettelijk niet melden van een datalek aan betrokkenen is een ernstige overtreding van de AVG en zeer kwalijk, zo stelt de AP.

Lees meer op rtlnieuws.nl