Zeevat is een van de anderhalf miljoen Nederlanders die maandag te horen kreeg dat hij slachtoffer is van het datalek bij Ticketcounter, een platform dat toegangskaartjes aanbiedt voor onder andere dierentuinen en pretparken.

Nadat Zeevat bericht kreeg, belde hij zijn bank voor advies. „Ze hebben tijdelijk mijn rekening bevroren, maar konden verder weinig doen.”

Volgens de twintiger is het vooral zaak om scherp te zijn bij verdachte mailtjes of telefoontjes. „Ik kreeg dinsdagochtend al een telefoontje van een onbekend nummer en heb maar niet opgenomen.”

Volgens Ticketcounter is er sprake van een „menselijke fout”; een back-up van persoonsgegevens die per ongeluk online kwam. Hierna gijzelden kwaadwillenden de bestanden en eisten 7 bitcoins, zo’n 300.000 euro, losgeld. De data uit die bestanden zijn nu openbaar gemaakt.

Ticketcounter is niet de enige organisatie die kampt met een datalek. Begin februari werd de GGD slachtoffer en de afgelopen dagen kwamen daar Hogeschool Inholland en winkelketen Blokker bij. Maandag meldde de Autoriteit Persoonsgegevens nog dat het aantal meldingen van datalekken door hacks het afgelopen jaar met ruim 30 procent is gestegen. In 2019 was dat een nog stijging van 25 procent.

Geen verrassing, volgens ethisch hacker Sijmen Ruwhof. „Ontwikkelingen op technologisch gebied gaan veel sneller dan wetgeving kan bijhouden. Bovendien geven veel bedrijven weinig prioriteit aan beveiliging van persoonsgegevens. Zolang het goed gaat, is er volgens hen vrijwel geen budget nodig.”

Identiteitsfraude

De lage prioriteit die persoonsgegevensbeveiliging inneemt bij bedrijven is volgens Ruwhof misplaatst. „Wereldwijd zijn meer dan 10 miljard gebruikersaccounts gehackt”, aldus de beveiligingsadviseur. „Dat zijn enkel cijfers van de grote en bekende hacks, het daadwerkelijke aantal ligt dus nog vele malen hoger.”

De persoonsgegevens die openbaar komen, kunnen flinke schade berokkenen. „Kwaadwillenden kunnen bijvoorbeeld met behulp van gelekte gebruikersnamen en wachtwoorden inloggen bij webshops en zo bestellingen in naam van het slachtoffer doen.” Met gelekte scans van paspoorten kunnen criminelen identiteitsfraude plegen, door bijvoorbeeld auto’s of woningen te huren. Bewijs dan maar eens dat jij het niet was.

De databases met soms miljoenen persoonsgegevens worden op internetfora aangeboden. Hoe completer de set, des te meer geld dat oplevert. „De prijzen variëren van een paar honderd euro tot enkele duizenden euro’s”, zegt Ruwhof. „Data als burgerservicenummers of paspoorten zijn moeilijker te bemachtigen, dat maakt een set waardevoller.”

Alter ego

Volgens Ruwhof kunnen consumenten er niet meer van uitgaan dat bedrijven persoonsgegevens veilig opslaan. „Een heel cynische houding, maar wel reëel. Bedrijven zijn uit op winst en niet op het beveiligen van je data.”

Consumenten kunnen volgens de beroepshacker wel maatregelen nemen om de schade van een datalek te beperken. „Op internet is het verstandig streetwise te zijn: als je iets onbelangrijks als een concertkaartje bestelt, waarom zou je dan je echte naam geven? Je kunt ook iets bestellen onder een alter ego, wees niet al te eerlijk als het er niet toe doet.“

Wanneer iemand toch slachtoffer is van een lek, is het zaak de schade te beperken. „Je zou zo snel mogelijk het wachtwoord moeten veranderen bij het bedrijf waar je data is gelekt”, zegt Ruwhof. „Mocht je hetzelfde wachtwoord vaker gebruiken –wat niet verstandig is– dan kun je die wachtwoorden beter ook snel aanpassen. Daarna zou je kunnen informeren welke data precies gelekt zijn, om daar gericht actie op te kunnen ondernemen.”

Verder bieden de meeste sociale media tweestapsverificatie aan. Hiermee voeren gebruikers naast hun wachtwoord ook een code in die ze bijvoorbeeld via sms krijgen. Ruwhof: „Met zo’n dubbele vergrendeling kan een hacker niet zomaar op je account inloggen.”

Volgens Ruwhof schiet de handhaving en opsporing van criminelen bij datadiefstal ernstig tekort. Aangifte doen heeft volgens hem dan ook weinig zin. „Ik ken bedrijven die voor honderdduizenden euro’s zijn opgelicht, waarna de politie de zaak niet eens wilde onderzoeken en vervolgens seponeerde”, aldus Ruwhof. „Het is op het moment het Wilde Westen; de politie beschikt nog over te weinig kennis en capaciteit. Daarnaast is onderzoek tijdrovend en duur.”

Ook van de politiek valt volgens Ruwhof weinig te verwachten. „In de Tweede Kamer zitten maar weinig mensen die kennis op dit gebied hebben. Na de verkiezingen is dat aantal waarschijnlijk nog lager. Intussen zal de consument er de rest van zijn leven last van hebben; na een datalek krijg je de gegevens bijna niet meer van internet af.”

Ruwhof denkt dat er voorlopig onvoldoende maatregelen komen om het tij te keren. „Het moet eerst goed misgaan voordat mensen wakker worden en ingrijpen.”