Zo lek als een mandje

[Dial_888]

Gegevens van duizenden Porsche-rijders op straat, ook diverse BN’ers gedupeerd

Op een hackersforum worden de gegevens van 39.000 Nederlandse Porsche-rijders te koop aangeboden. Het gaat onder meer om de privégegevens van een oud-international, een bekende schrijver, een tv-producent en diverse andere bekende Nederlanders.

Het pakket met de gegevens is waarschijnlijk onderdeel van de enorme datadiefstal bij het bedrijf RDC, dat eerder deze week door de NOS werd onthuld. RDC ondersteunt autodealers en garages in heel Nederland op ict-gebied. Het wordt nu als afzonderlijke set data te koop aangeboden. Een pakket met gegevens van bezitters van luxe wagens is aantrekkelijk: criminelen kunnen daarmee immers specifiek aan de haal met gegevens van mensen met veel geld, of naar de luxe auto’s zelf. Een deel van de klantgegevens staat al open en bloot online.

De bekende Nederlanders reageren geschrokken als deze site hen daarmee confronteert. ,,Hoe kom je aan mijn nummer?", vraagt een bekende Nederlandse schrijver na met het lek te zijn geconfronteerd. Ook een topvoetballer, een tv-producent en de fractievoorzitter van een landelijke partij zijn getroffen. Op verzoek van de gedupeerden noemt deze site hun namen niet.

Volgens cybersecurity-experts kunnen criminelen veel kwaads met de vele gegevens. ,,In het geval van Porsche kunnen er bijvoorbeeld phishingmails worden gestuurd vanaf een namaak-website, waarbij terugroepacties worden aangekondigd’’, zegt één van hen. ,,Zo van: ‘In het kader van een terugroepactie wordt uw auto door ons opgehaald.’ De meeste mensen zullen daar niet in trappen. Maar wanneer er van die duizenden klanten zes zo goedgelovig zijn om hun auto mee te geven, lachen die boeven zich rot.”

Typenummer
Ernstiger nog is een andere manier waarop criminelen gebruik kunnen maken van de data: autodieven hoeven alleen op typenummer te zoeken om te zien waar een specifieke luxe Porsche voor de deur staat. Porsche Nederland verwijst naar moederbedrijf PON, dat bevestigt dat het zaterdag door de politie op de hoogte is gesteld van de digitale inbraak.

,,Daarbij zijn vertrouwelijke klantgegevens buitgemaakt’’, zegt woordvoerder Jacques Gijssen. ,,Wij doen op dit moment onderzoek, in samenwerking met de relevante autoriteiten, en doen er alles aan om eventuele overlast voor klanten zoveel mogelijk te beperken. Wij zullen hen zo spoedig mogelijk informeren.”

PON betreurt de kwestie. ,,De gegevens van onze klanten liggen nu op straat. Dat vinden wij zeer spijtig, maar we kunnen het niet terugdraaien. We zullen ons nu richten op wat we wel voor onze klanten kunnen doen. En dat begint met het in kaart brengen van het lek en om welke klanten het precies gaat. Dan zullen wij hen informeren.”

Volgens deskundigen wordt in het bedrijfsleven nog altijd vaak naïef gedacht over cybersecurity. ,,Als iets dat ver van je bed is, dat een ander overkomt. Dat geldt ook voor burgers: mensen denken toch ‘Wat geeft het nou dat ze mijn mailadres hebben’. Maar in de praktijk kan zo’n lek hele nare gevolgen hebben.”

BRON: AD.NL

[MY00]

Niet alleen van Porsche rijders hoor. Ik heb al 3 mailings gehad van bedrijven waar we ooit onze gevens hebben achter gelaten ivm aankoop auto.

[Johann]

Hier stroomt de mailtjes ook de afgelopen dagen binnen, four and counting...maar grappig genoeg nog niets van een Porsche dealer ontvangen

[Novastorm]

Die zitten nog in de onderzoekfase, terwijl de oplichters gewoon al die e-mail adressen al aan het gebruiken zijn, helaas loopt de gehackte partij bijna altijd achter de feiten aan, extra vervelend als je zelf niet gehackt bent maar een bedrijf waar je een dienst afneemt is gehackt, dan ben je afhankelijk van dat bedrijf om je de informatie aan te leveren die je nodig hebt.

[bjft]

Ik heb inmiddels wel bericht gehad van PCT. Ben benieuwd wat dit verder voor gevolgen heeft.

[Johann]

Dus ik mag over enekel weken/maanden weer nieuwe speeltjes uitzoeken. De dievegilde bij, ik blij

Maar volgens mij is er geen run op Macan Diesels en 924's

[MarcoB]

Kun je ook ergens nagaan of je op die lijst staat en met welke gegevens? Ik heb ook een mail gehad van bedrijf. Die gaf aan dat hun klantgegevens niet in die datbase stonden.

[Olaf]

.... zelfs niks in m'n SPAM BOX ~ straks thuis eens kijken of de 11jes er nog staan

[Dial_888]

Ik heb tot op heden geen mailings mbt Porsche ontvangen met linkjes die je vervolgens kunt aanklikken.

Maar ik begrijp hieruit dat de RDW ook een handel heeft gemaakt van kentekens..

[Arnoud69]

Niet te geloven dit. Je zou toch denken aan 2021 dat iedereen wel een beetje met wat data om kan gaan. Kennelijk niet.

[Novastorm]

Er werken nog steeds overal mensen, en dat zijn de zwakke schakels die op phishing mails klikken en malware binnen halen, bedrijven doen tegenwoordig vaak tests door zelf een phishing mail te (laten) sturen naar hun werknemers en je zult verbaasd zijn over hoeveel mensen op links klikken, vervolgens zien veel mensen wel dat het niet de bekende omgeving is en houden daarna op, maar er zijn ook nog een aantal mensen die zelfs hun inloggegevens ingeven of bestanden downloaden.

Daarnaast is goede security duur en veel bedrijven willen er niet voor betalen, tot hun data op straat ligt en dan kan ineens alles ongeacht wat het kost.

[Targa Floriaan]

Ook nog niets gehoord. Als ze nou de GTI weghalen, heb ik tenminste een reden om iets nieuws te zoeken

[hilmp2]

Kun je ook ergens nagaan of je op die lijst staat en met welke gegevens? Ik heb ook een mail gehad van bedrijf. Die gaf aan dat hun klantgegevens niet in die datbase stonden.

In de 'legale' wereld zullen alleen specifieke autoriteiten de lijst hebben, en misschien PON inzicht gegeven.
Ik denk niet dat die lijst veel gedeeld zal worden met autobedrijven vanwege de gevoeligheid, waarschijnlijk alleen een bericht dat hun klanten terug te vinden zijn.

Maar er is altijd nog het dark web.

[hilmp2]

Daarnaast is goede security duur en veel bedrijven willen er niet voor betalen, tot hun data op straat ligt en dan kan ineens alles ongeacht wat het kost.

Je kan al het nodige doen als bedrijf zonder dat het gelijk duur moet zijn, en de laatste jaren zie je dat ook steeds meer.
De financieel mentale grens of 'risk appetite' verschilt per branche en bedrijf, zie dat steeds beter afgewogen worden maar kan zeker nog beter om dit soort datalekken te voorkomen.
Datalekken als ook andere incidenten leiden zeker tot meer daadkracht maar het is vooral zaak om het op dat benodigde niveau te houden, de aandacht is vaak tijdelijk en zeker niet alles

[MarkS]

Natuurlijk zou iedere organisatie een kosten baten analyse moeten maken, of het nou de dealer is of het RDC. De “risk appetite” ihkv de AVG / persoonsgegevens / klant data etc is in principe 0 natuurlijk. Dat het een derde partij betreft zou ook niet moeten uitmaken want het bedrijf dat gebruik maakt van die uitbestede dienst(verlening) blijft (eind)verantwoordelijk. Maar je ziet dat het in de praktijk juist daar vaak mis gaat. Helaas.

https://www.computable.nl/artikel/nieuw ... talek.html

De oorzaak zou geen hack zijn geweest maar bij het RDC zelf hebben gelegen. Extra pijnlijk.

[boxster550spyder]

RDC heeft inmiddels zelf ook aangegeven dat de oorzaak van het datalek bij haar zelf ligt.

Hier ook een handige FAQ van het RDC:
https://www.rdc.nl/mededelingen/rdc-onderzoekt-datalek-de-meest-gestelde-vragen-en-antwoorden/

Het RDC verwijst voor vragen naar de zgn. verwerkingsverantwoordelijke (in de meeste gevallen dus een dealer of autobedrijf).

[MarkS]

Ze (ver)wijzen naar elkaar. In de mail die ik ontving van een van onze merkdealers staat expliciet dat bij vragen ik met de servicedesk van RDC contact kan/moet opnemen. En je kunt een klacht indienen bij de AP. Ik snap dat ze hierover moeten communiceren en informeren. Maar feitelijk kun je er natuurlijk precies niks mee.

[boxster550spyder]

Tip:
Je kan een zgn. Inzageverzoek indienen bij de merkdealer.
(De meeste Porsche dealers hebben hier wel iets over in hun Privacy Statement staan wat op hun website te vinden is).
Vraag daarbij om een opgave van alle persoongegevens die ze van jou bezitten en verwerken.
Vraag daarbij ook vooral met welke derde partijen ze jouw persoongegevens delen en waarom ze dat doen.
Een voorbeeld van een inzageverzoek is te vinden op de website van de AP.
Een klacht indienen als particulier bij de AP zal zeer waarschijnlijk niet veel opleveren aangezien ze een enorme achterstand hebben in het verwerken van alle vragen en klachten (werkelijk duizenden).

[MarkS]

Klopt. Die “tip” staat ook in de bewuste mail. Maar ik blijf erbij, veel schiet je er niet mee op.

[boxster550spyder]

Mark,

Helaas heb je gelijk.
Als de data eenmaal zijn gelekt is dat niet meer ongedaan te maken.
Niet door ons zelf, niet door de dealer en ook niet door RDC.
Zelfs de AP (Autoriteit Persoonsgegevens) kan ‘slechts’ een waarschuwing geven of een boete uitdelen.
Dat is dan vervelend voor RDC maar gaat ons zoals gezegd niet helpen.

Schrale troost: Voor kleinere datalekken zijn er inmiddels fikse boetes uitgedeeld door de AP.

[MarkS]

Franc, ik ben dan ook, misschien meer beroepsmatig, nog wel geïnteresseerd in de exacte oorzaak van het lek. Zeker omdat het vooralsnog niet lijkt om een hack van buitenaf te gaan. Ben benieuwd of ze met die informatie, zodra bekend, ook nog naar buiten komen.

[boxster550spyder]

Ik volg dit geval ook beroepsmatig.
Kijkend naar eerdere voorbeelden verwacht ik wel dat RDC op een gegeven moment met een statement zal komen.
Keurig bekennen dat er fouten zijn gemaakt, excuses maken en beterschap beloven.
Details over hun (informatie) beveiliging, screening van medewerkers etc. zal zeker niet gedeeld worden.

Bij RDC en Dealers heb ik verzoeken ingediend (is voor mij dagelijkse kost).
Ik verwacht geen wonderen maar hoop wel op meer bewustwording, vooral bij de dealers.

[MarkS]

Volledig eens met dat laatste. Ik denk dat er veel te makkelijk vanuit wordt gegaan dat het “wel goed geregeld is allemaal”. Juist ook als ze dit uitbesteden aan derden. Benieuwd wat je terugkrijgt.

[boxster550spyder]

Na een week de volgende antwoorden ontvangen:

RDC
Verwijst naar de dealers en geeft aan dat particulieren hen juridisch niet aansprakelijk kunnen stellen.

PCG
Heeft de ontvangst van mijn verzoek bevestigd maar nog geen antwoord gegeven.
(Daar mogen ze ook 30 dagen de tijd voor nemen conform de AVG).

PCE (en PCM)
Geven aan dat bij het datalek betrokken Porsche rijders/bezitters van PON vorige week een bericht zouden hebben moeten ontvangen.
(Heb ik overigens (gelukkig) niet gekregen).
Tevens geven ze aan zelf geen gegevens te hebben gedeeld met RDC aangezien ze daar geen relatie mee hebben.

Tot zo ver.

[Mart WTL]

Daar heb ik een aantal jaren geleden es een keertje stevig over aan de bel gehangen met de RDW. Zo kreeg ik al uitnodigingen voor APK thuis van onbekende garages voor mijn doorgaanse oto's. Maar toen ik een bericht kreeg van een opkopers club of ik de Elf wilde verkopen, brak bij mij de klomp. Heb dus gevraagd hoe dat zat met de privacy gegevens en dat ik er niet op zat te wachten dat deze gegevens algemeen bekend zijn, danwel aan derden beschikbaar worden gesteld. Het is toch te bizar voor woorden dat je via de rdw al je gegevens moet bloot geven en dat die gegevens vervolgens gewoon beschikbaar blijken te zijn voor iedereen met een garage of niet eens. Maar veel verder dan vage antwoorden kwam ik niet. ik ben inmiddels verhuisd en heb op mijn huidige adres nog geen merkgerelateerde apk of verkoop uitnodigingen ontvangen. Desalniettemin zoals het dus blijkbaar gaat, ga ik er maar gewoon vanuit dat elke boerenlul met een criminele inslag aan die gegevens kan komen als ie dat zou willen ... Lekker dan, maar wel belachelijk!!!