Met videoDe grootschalige cyberaanval op softwarebedrijf Nebu, waarbij de persoonsgegevens van vermoedelijk miljoenen Nederlanders op straat zijn komen te liggen, is al op vrijdag 10 maart begonnen. Cybercriminelen drongen die nacht binnen in de computersystemen van het bedrijf in Wormerveer en wisten onder meer toegang tot een wachtwoordkluis te krijgen.

De aanval werd pas 31 uur later door Nebu ontdekt en is niet meteen met benadeelden gedeeld, zegt marktonderzoeker Blauw, een van de gedupeerde partijen, dinsdag in de rechtbank in Rotterdam. Daar dient een kort geding dat het bedrijf heeft aangespannen tegen Nebu, het bedrijf dat de software levert voor klantvriendelijkheidsonderzoeken. Blauw houdt die enqûetes namens tal van grote bedrijven, zoals NS en VodafoneZiggo. Die organisaties, toevallig allebei aanwezig in de rechtbank, melden dat er gegevens van mogelijk honderdduizenden klanten zijn gelekt.

In totaal zouden de hackers, van wie de identiteit nog altijd onbekend is, circa 45 minuten bezig zijn geweest om de persoonsgegevens te stelen. Het gaat hierbij niet alleen om namen, leeftijden, geslachten en e-mailadressen, maar in een enkel geval ook om informatie over het inkomen en pensioensgegevens van mensen. Zulke gegevens zijn voor cybercriminelen een goudmijn. Hoeveel data er precies zijn gestolen, is nog altijd onduidelijk. Het lek is inmiddels gedicht, benadrukt Nebu.

‘Een nachtmerrie’

Het uitlekken van persoonsgegevens is voor iedere partij die deze bewaart en opslaat ‘een nachtmerrie’, stelt de advocaat van Blauw in haar betoog. Ze eist via het kort geding dat Nebu alle beschikbare informatie overdraagt en een externe partij forensisch onderzoek laat doen naar de cyberaanval. ,,De reputatie van Blauw valt of staat met het zorgvuldig omgaan van klantgegevens. Als dat niet gebeurt, kan dat voor onze klanten ernstige consequenties hebben.”

Blauw, al jaren vaste partner van Nebu, hoopte dat Nebu ‘betrouwbaarheid hoog in het vaandel had staan’. ,,Maar niets bleek minder waar. Nebu hult zich bewust in vaagheden en komt de contractuele afspraken en wettelijke verplichtingen niet na. Van een gedegen onderzoek is geen sprake. We hebben er geen vertrouwen meer in”, klonk het resoluut in de rechtbank.

Ook voor de media is Nebu nog altijd compleet onbereikbaar. Op de website wordt nog steeds niets vermeld over de aanval. Contactgegevens werden zwijgzaam verwijderd.

De advocaat van Nebu erkent tijdens de zitting dat de communicatie beter had gemoeten. Inmiddels gaat dat een stuk beter, zegt hij. ,,Het cyberincident is momenteel Nebu’s grootste prioriteit. Maar als zaken nog niet duidelijk voor Nebu zijn, kan van Nebu niet worden verwacht informatie te verstrekken. De bij hen ontstane ophef is te begrijpen, maar de uitingen die ze in de media doen zijn onjuist.”

Nebu, onderdeel van wereldwijd concern, vindt het kort geding onnodig en mogelijk zelfs schadelijk voor het bedrijf. Liever wilde men de zitting achter gesloten deuren houden. ,,We willen voorkomen dat informatie over beveiligingsmaatregelen op straat komt te liggen zodat kwaadwillenden daarmee aan de slag kunnen’’, legde de advocaat van het softwarebedrijf uit. De voorzieningenrechter wees dat verzoek af.

Aan het einde van het kort geding werd duidelijk dat Nebu en Blauw samen naar een oplossing gaan zoeken. Nebu zegt bereid te zijn meer informatie te willen delen. Uiterlijk woensdag aan het einde van de middag moeten de partijen aan de rechtbank laten weten of het conflict is uitgepraat. Op basis daarvan zal de rechter donderdag met een uitspraak komen.

Nebu zelf was overigens niet aanwezig, een vertegenwoordiger van het Canadese moederbedrijf volgt het kort geding via een liveverbinding.

Datalek steeds groter

Ongeveer 25 organisaties hebben tot nu toe gemeld dat ze mogelijk de dupe zijn van het datalek. Daaronder zijn de NS, spoorbeheerder ProRail, verzekeraar CZ, provider VodafoneZiggo, de Nederlandse Golf Federatie, Vrienden van Amstel Live, de Nationale Postcode Loterij, de Rijksdienst voor Ondernemend Nederland en enkele gemeenten en woningcorporaties. Ook pensioenfonds PME is mogelijk getroffen. Daar zouden inkomensgegevens van mensen die pensioen opbouwen, kunnen zijn uitgelekt.

Bij Pensioenfonds Zorg & Welzijn (PFZW) zijn eveneens persoonlijke gegevens van ongeveer 95.000 deelnemers mogelijk naar buiten gekomen door een groot datalek bij een bedrijf dat software levert aan marktonderzoekers. De potentiële gedupeerden krijgen dinsdag bericht. Experts houden er rekening mee dat zeker enkele miljoenen Nederlanders ongewild betrokken zijn geraakt bij het lek.

Blauw zag een zitting zonder media niet zitten. ,,Er zijn veel partijen betrokken bij deze zaak en die willen het ook kunnen volgen. Denk aan opdrachtgevers en autoriteiten. Ons standpunt is dat de zitting openbaar moet zijn, zodat zij het kunnen volgen’’, zegt bestuursvoorzitter Jos Vink.

