Dutch IT Chanel Logo mobile
Search icon
Floris Hulshoff Pol - 28 december 2022

Gegevens Belgische bankklanten te koop aangeboden

Data protection Identity protection Security Privacy
Gegevens Belgische bankklanten te koop aangeboden image

Op een forum voor datalekken worden driehonderdduizend gegevens van onder meer Belfius-klanten aangeboden. Van een handvol klanten staan het adres en telefoonnummer al online.

De hacker in kwestie biedt zowel de gegevens van achthonderdduizend klanten van een Spaanse bank aan, als de gegevens van driehonderdduizend bij een Belgische Bank. Op basis van de testdata die de dader vrijgeeft kon Data News afleiden dat het om klanten van Belfius gaat. Een snelle controle doet vermoeden dat de data authentiek is. Inmiddels is duidelijk dat bij de totale dataset ook gegevens van andere banken betrokken zijn.

Wel adressen, geen rekeningstanden

De dataset bevat onder meer de voor- en achternaam van een klant, het volledige adres, telefoonnummer(s), geboortedatum, rekeningnummer en IBAN. Wel bevat de voorbeelddata verschillende dubbele records, waardoor het werkelijk aantal getroffen klanten mogelijk iets lager ligt. De lijst bevat wel geen financiële details zoals rekeningstanden of transacties.

Veel details over de herkomst van de gegevens zijn er niet. De dader beweert dat ze afkomstig zijn uit callcenters en dat het om gegevens van dit jaar gaat die nog niet eerder zijn verspreid. Het is daarom ook niet duidelijk of het lek via een (extern) callcenter van Belfius is veroorzaakt, of afkomstig is van een andere speler die op zijn beurt klanten van Belfius contacteerde.

Desalniettemin blijft het om gevoelige data gaan, omdat zaken als rekeningnummers of adressen en telefoonnummers niet snel veranderen. Wie de gegevens zou kopen kan zich zo bijvoorbeeld voordoen als de bank en via phishingmails of telefonisch mensen oplichten wiens data wordt gedeeld. Ook kan een dader zich zo ook makkelijk voordoen als een van de slachtoffers om er verdere identiteitsfraude mee te plegen.

Niet beperkt tot Belfius

Ethisch hacker Inti De Ceukelaire heeft ontdekt dat de gegevens niet beperkt zijn tot Belfius. Het gaat onder meer ook om gegevens van ING. Naast de driehonderdduizend gegevens, zouden er ook nog honderdduizend gegevens als onvolledige data zijn gelekt.

De Ceukelaire leerde uit eigen onderzoek dat de gegevens zouden gelekt zijn via een interne medewerker van een Turks of Kosovaars callcenter. Belangrijker daarin is dat die toegang er nog steeds is. Dat wil zeggen dat de data ook door anderen kan worden gekopieerd en misbruikt. Voor zover bekend is die data niet van buitenaf te vinden.

De persoon die de gegevens te koop had gezet, heeft zijn post intussen verwijderd.

In samenwerking met Data News

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Floris Hulshoff Pol

Floris Hulshoff Pol

Floris Hulshoff Pol freelancer bij FHPContent is sinds 2005 actief als journalist en (web)redacteur voor verschillende zakelijke bladen en websites voor de ICT- en telecombranche in Nederland.

Daarnaast beheert hij sinds 2012 zijn eigen onafhankelijke nieuwssite TelecomNieuwsNet met telecomnieuws.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!