Privacy
233 seconden leestijd

Hackers kraken webwinkel, die zwijgt

Hackers stalen klantgegevens bij elektronica-webwinkel ReplaceDirect.nl. Die besloot de zaak stil te houden. Dat is dom en onfatsoenlijk.

Vaak wordt in Nederland lacherig gedaan als er kleine datalekken zijn, waarbij niet veel meer uitlekt dan iemands naam en e-mailadres. Maar met die gegevens kun je al een misleidende mailing maken, die volledig correct is geadresseerd. Omdat de gegevens kloppen gaan alarmbellen niet zo snel af en is het slachtoffer dus eerder geneigd in de val te trappen. Als het misgaat is het vervolgens maar helemaal de vraag hoe en waar de gegevens zijn gelekt.

Slimme burgers
Met dank aan sommige oplettende burgers komt dit soort zaken soms wel naar boven. Toen Erik Jan Koedijk namelijk een mail van Paypal kreeg met de mededeling dat zijn account was geblokkeerd, leken de gegevens wel erg authentiek. De mail bleek erop gericht om mensen te bedonderen: phishing heet dat. Omdat Koedijk een eigen domein heeft, gebruikt hij overal een ander e-mailadres en was het meteen duidelijk waar de data die de oplichters gebruiken vandaan komt. Dat blijkt elektronica-webwinkel ReplaceDirect. Erg handig en slim van Koedijk.

Maar vreemd genoeg heeft ReplaceDirect Koedijk nooit geïnformeerd dat ze waren gehacked of dat de data was gestolen. Als hij verhaal haalt, erkent het bedrijf in bedekte woorden het probleem. “Het is ons bekend dat in februari enkele klanten last hebben ondervonden van phishingmail. Deze phisingmail werd inderdaad verzonden uit naam van PayPal”, schrijft de onderneming. “Inmiddels laten wij door een extern beveiligingsbedrijf actief onze servers scannen en testen. Hieruit zijn een aantal punten naar voren gekomen die door onze IT afdeling zijn opgelost.”

Diginotartje
MyMicro Group B.V., de onderneming waar ReplaceDirect onder valt, wist dus dat gegevens misbruikt werden (worden?) en informeerde de klanten niet. Het bedrijf geeft geen antwoord op herhaalde vragen van mijn kant en dus blijft het onduidelijk wat er precies is gebeurd. Maar wie klant is laat in ieder geval voorletters, tussenvoegsel, achternaam, adres, woonplaats, e-mailadres en telefoonnummer achter. Bij betaling kan dat meer zijn, bijvoorbeeld een creditcard- en/of bankrekeningnummer.

Met het niet informeren miskent de onderneming de eigen klanten. Zij zijn immers het slachtoffer. Het doet allemaal erg denken aan de zaak-Diginotar. Na de inbraak daar was er eveneens hard bewijs dat gegevens werden misbruikt. Ook de certificaatautoriteit hield haar mond en deed er richting de media het zwijgen toe. ReplaceDirect flikt dus ook een Diginotartje.

In de beveiligingsindustrie is het gebruikelijk klanten juist wel te informeren om zo het risico te beperken. Binnenkort zal een meldplicht in de wet worden opgenomen en in de toekomst zal dit soort bedrijven dus wel melding aan de klanten moeten doen. Nu is het vooral dom en onfatsoenlijk van de onderneming. Helemaal omdat Koedijk ze heeft geprobeerd te overtuigen het goede te doen.

Maar nu het bekend is, zal ik honneurs voor ReplaceDirect waarnemen:

Geachte klant, 

Ergens in februari is ingebroken bij ReplaceDirect. Hierdoor zijn uw klantgegevens in handen van oplichters gevallen. Ons is bekend dat deze criminelen ook proberen via zogenaamde phishingmails klanten te benaderen en te bedonderen. Reageer niet op dit soort mails en wees erg voorzichtig. Voor wachtwoorden geldt het advies overal een ander wachtwoord te gebruiken en deze bij ReplaceDirect meteen te veranderen.
Natuurlijk zijn we bij HP/de Site erg geschrokken en zijn we meteen een onderzoek gestart. We hebben de verantwoordelijk gegevensverwerker, MicroGroup, om opheldering gevraagd. Ook hebben we de zaak natuurlijk gemeld bij het Openbaar Ministerie, dat nu overweegt op eigen gezag een strafrechtelijk onderzoek te starten. Dat is wel het minste dat u van ons als verantwoordelijke partij mag verwachten. De ontstane situatie vinden we erg vervelend voor u.

Met vriendelijke groet, 

Brenno de Winter
Columnist HP/de Site

Deze zaak is slecht voor het vertrouwen in online winkelen en strekt niet tot eer van het Thuiswinkel Waarborg. Het vertrouwen waar ReplaceDirect over spreekt op zijn site is echt wel geschonden. Wat moet u met zo’n club? Ik zeg: haal inspiratie uit hun naam!


Brenno de Winter

Brenno de Winter is onderzoeksjournalist met een specialisatie in IT-beveiliging en privacy. In 2011 werd Brenno verkozen tot Journalist van het jaar.

Lees ook
Meer artikelen