Privédata Nederlandse leaserijders op straat door lek

Privédata Nederlandse leaserijders op straat door lek

07-08-2017 07:17 Laatste update: 26-04-2018 18:43

Door een lek bij softwarepartij CarWise ICT waren de privédata van meer dan 100.000 Nederlandse leaserijders in te zien.

Ook zag je of de bestuurders boetes hadden gekregen en waarvoor. Dat blijkt uit onderzoek van de Nederlandse tak van beveiligingsbedrijf ESET. Directeur Dave Maasland wilde overstappen op een andere leasemaatschappij en ontdekte samen met zijn broer Donny dat het door een lek mogelijk was om de gegevens van andere leaserijders in te zien.

Het lek zit in het softwarepakket LeaseWise dat door tientallen leasebedrijven wordt gebruikt. Deze bedrijven delen samen een database, waardoor de Maasland-broers toegang hadden tot de privégegevens van meer dan 100.000 Nederlanders.

Naam en adres

"Door een simpele actie uit te voeren, lieten we de software denken dat we iemand anders waren", zegt Maasland tegen RTL Z, die stelt dat het 'een kwestie van cijfertjes aanpassen' was. "Dat proces is te automatiseren, waarmee we de privégegevens van alle leaserijders van de aangesloten partijen konden verkrijgen."

Het gaat om de volledige naam, het woonadres, e-mailadres, telefoonnummer en werkgever van de leaserijder. Ook kon Maasland informatie over de leaseauto bekijken, zoals de prijs, het aantal gereden kilometers en of ontvangen boetes. Daarbij staat ook de hoogte en reden van de boete vermeld.

Financieel interessante groep

Dat vormt een risico, want met de privégegevens kunnen criminelen onder andere persoonlijke mails versturen waarin malware zit verstopt, legt Maasland uit. Leaserijders zijn ook een financieel interessante doelgroep omdat zij meestal hogere functies in het bedrijfsleven bekleden.

Maasland kwam in het lek ook gegevens van zichzelf en enkele ESET-collega's tegen. Hij heeft uit ethische overwegingen besloten om de gegevens van andere leaserijders niet te bekijken.

Geen aanwijzingen voor misbruik

De Maasland-broers ontdekten vorige week het lek en meldden het toen direct bij CarWise ICT. De kwetsbaarheden zijn daarna binnen een dag gedicht, stelt René Fabrie, directeur van het bedrijf: "We hebben na de melding van ESET direct het systeem gesloten en de nodige beveiligingsaanpassingen doorgevoerd."

Of de gegevens ook zijn gestolen door criminelen, kan Fabrie niet zeggen: "Maar op dit moment zijn daar geen aanwijzingen voor." Fabrie heeft ook zijn klanten geïnformeerd over het lek. Deze leasebedrijven moeten volgens Fabrie zelf afwegen of zij het datalek melden aan de Autoriteit Persoonsgegevens.

In totaal zijn er 798.000 leaseauto's in Nederland, blijkt uit informatie van de Nederlandse Autoleasemaatschappijen (VNA)