Niet duizenden maar miljoenen gebruikers getroffen door datalek Allekabels

16-04-2021 | door: Redactie

Niet duizenden maar miljoenen gebruikers getroffen door datalek Allekabels

Het datalek bij Allekabels treft geen vijfduizend gebruikers, maar 3,6 miljoen mensen. Data van deze gebruikers is begin dit jaar online te koop aangeboden.

Begin februari lichtte de Nederlandse webshop Allekabels zo'n vijfduizend klanten in over een datalek. Een medewerker zou tijdens het thuiswerken gegevens hebben ontvreemd en die data circuleerden kort nadien ook online. Het zou gaan om namen, mailadressen, postadressen en soms telefoonnummers en geboortedata, maar geen wachtwoorden.

Dat blijkt nu niet te kloppen. De Nederlandse RTL-onderzoeksjournalist Daniël Verlaan wist te achterhalen dat het lek in werkelijkheid 3,6 miljoen mensen treft en dat Allekabels mogelijk de hack bewust verzweeg. Voor 2,6 miljoen mensen gaat het om namen, mailadressen, postadressen, geboortedata en versleutelde wachtwoorden. Het resterende miljoen komt van klanten die via externe webshops (zoals Bol.com) bij Allekabels bestelden. Hiervan zijn geen mailadressen of wachtwoorden gelekt. Ook bevat de dataset 109.000 IBAN-nummers (bankrekeningnummers).

Onduidelijke communicatie

RTL stelt ook een paar onduidelijkheden aan de kaak. Enerzijds zegt de hacker achter het datalek dat Allekabels in augustus 2020 het achterpoortje ontdekte en afsloot. Hij zou toen Allekabels hebben gecontacteerd maar geen antwoord hebben gekregen. Later werden die gegevens te koop aangeboden voor 15.000 euro.

Allekabels zelf zegt tegen RTL dat het voor hen om nieuwe informatie gaat en dat het destijds zonder succes contact probeerde te zoeken met de hacker. Het bedrijf zegt de hack nu zelf te onderzoeken.

Beperkt ingelicht

Maar er zijn wel aanwijzingen dat Allekabels wel degelijk wist dat de omvang veel groter was. Zo lijkt het er op dat het bedrijf in februari enkel klanten heeft ingelicht die een uniek mailadres hebben gebruikt bij Allekabels. Onder meer Gmail laat dat toe door bijvoorbeeld [email protected] op te geven.

De zender belde een dertigtal mensen op en stelt vast dat mensen met een uniek mailadres in februari al werden gecontacteerd, overige gebruikers niet. Dat wijst er op dat Allekabels mogelijk wist van de omvang van het datalek, maar besloot om enkel de mensen te contacteren waarbij eventueel misbruik rechtstreeks naar de database van Allekabels zou leiden.

'Nieuw systeem'

Data News nam in februari ook contact op met Allekabels naar aanleiding van het aanvankelijke, kleine, lek. Ook onze redactie kreeg het verhaal van de zogezegde vijfduizend klantgegevens te horen, maar het bedrijf vulde dat meteen aan door te benadrukken dat het een nieuw klantensysteem zou installeren waarbij dergelijk misbruik door medewerkers niet langer mogelijk was.

Onze redactie vond dat toen een interessante aanpak en stelde zelfs voor om, eens het systeem in werking was, daar een uitgebreider artikel aan te wijden. De securityverantwoordelijke van Allekabels ging daar toen mee akkoord, maar reageerde nadien niet meer op meerdere telefoontjes om daar verder op in te gaan.

Update 16/4/21

Allekabels is vannacht en vanmorgen van start gegaan met het inlichten van haar klanten. Bij accounts van voor 1 september 2018 is ook het wachtwoord gekraakt, bij klanten die pas nadien zich hebben geregistreerd is dat niet het geval.

De site bevestigt dat het op 23 augustus 2020 slachtoffer werd van een hack en dat het toen meteen de Autoriteit Persoonsgegevens heeft ingelicht. Het is onduidelijk of die 'meteen' op 23 augustus of op vandaag slaat. Gezien de webshop gisteren nog tegenover RTL verrast reageerden op de omvang van de hack.

Allekabels spreekt zelf van 'een minderheid van de klanten' wiens wachtwoord is gekraakt. Maar op een datalek van 3,6 miljoen mensen zijn dat nog steeds enorme aantallen.

In samenwerking met Datanews

Terug naar nieuws overzicht
Security