Datalek bij EasyPark: wat zijn de gevolgen, risico's en gevaren?

Verschillende persoonsgegevens zijn gelekt door een hack bij parkeerapp EasyPark. Dat liet het bedrijf afgelopen december weten aan de slachtoffers van het lek. Het gaat niet om gevoelige informatie waarmee betalingen kunnen worden gedaan, zegt EasyPark Group. Maar wat kan er wél gebeuren met deze gestolen persoonlijke gegevens? Kassa legt het uit.

EasyPark heeft getroffen klanten via onder meer een e-mail op de hoogte gesteld van het datalek. Daarin liet het bedrijf weten dat hackers toegang hebben gekregen tot één of meer van de volgende gegevens. Het gaat onder andere om namen, telefoonnummers, woonadressen, e-mailadressen én enkele cijfers van creditcardnummers of het IBAN.

In Nederland gebruiken zo'n drie miljoen mensen EasyPark. Daarmee vertrouwen ze hun persoonsgegevens toe aan het bedrijf. Journalist en presentator Roos Abelman is één van deze klanten: zij is namelijk slachtoffer van het datalek. Abelman doet naar eigen zeggen "heel veel moeite" om haar privégegevens af te schermen

"Ik heb bij de Kamer van Koophandel mijn adres afgeschermd. Ik heb mijn adres laten verwijderen van alle websites waar mijn adres op stond. En online zorg ik ervoor dat mijn huis, mijn kinderen en het nummerbord van mijn auto nooit in beeld zijn. Daar ben ik me erg bewust van", zo vertelt Abelman.

Om het lekken van eventuele betaalgegevens maakt ze zich geen zorgen, aangezien het slechts om een gedeelte van haar rekeningnummer gaat. "Het gaat mij erom dat er mensen zijn – ik weet niet wie – die mijn naam en adres hebben."

Ethisch hacker Sijmen Ruwhof zocht voor Kassa op het darkweb naar de gegevens die bij de aanval op EasyPark zijn buitgemaakt. Volgens Ruwhof is de informatie daar niet te vinden. Maar daarmee is niet gezegd dat dat zo blijft.

"Tweeënhalf jaar geleden was ParkMobile gehackt, de voorloper van het huidige EasyPark. Toen werd de buitgemaakte data door de hacker te koop gezet op internet", zo vertelt Ruwhof.

"Er werd iets van 150.000 euro voor gevraagd. Daar werd echter niet voor betaald, en daarop besloot de hacker 'hier heb je het, internet, je mag het vrijelijk downloaden'. Er bleken 23 miljoen verschillende persoonsgegevens in het datalek te zitten. Nu is EasyPark wéér slachtoffer. En ook nu vertelt het bedrijf niet om hoeveel persoonsgegevens het gaat. Het zou zomaar kunnen dat het wederom een omvangrijk lek blijkt te zijn."

Klanten van EasyPark moeten volgens Ruwhof beducht zijn op phishingmails die persoonsgericht geschreven zijn, dus bijvoorbeeld met een persoonlijke aanhef of andere informatie die naar jou te herleiden valt. "In het datalek zijn je naam, je telefoonnummer, je adres en enkele cijfers van je bankrekening buitgemaakt. Daar kun je heel realistische phishingmails mee sturen", stelt Ruwhof.

Zo'n mail kan bijvoorbeeld uit naam van jouw bank worden verzonden. Vervolgens gaat het bijvoorbeeld over iets als een automatisch incasso, en als zo'n valse mail dan echte, kloppende gegevens bevat zoals jouw naam, adres én de laatste paar cijfers van jouw bankrekeningnummer, kan het er volgens Ruwhof heel legitiem uitzien. Hij vervolgt: "Bij mails moet je altijd je onderbuikgevoel aanspreken, zo van 'klopt dit, en is dit inderdaad iets dat ik verwacht?'"

Kassa sprak ook met Europarlementariër Paul Tang (PvdA), die zich hard maakt voor databescherming. Hij pleit voor meer boetes voor bedrijven die gegevens niet goed genoeg beschermen tegen diefstal.

"Bedrijven hebben die verplichting onder de AVG. De enige manier om bedrijven de verantwoordelijkheid te laten voelen, is door ze voldoende te beboeten", zo stelt Tang. Daar ligt volgens hem een taak voor de Autoriteit Persoonsgegevens, die toezichthouder is. "Het aantal boetes neemt toe, maar je ziet ook dat de handhaving van die wet nog onvoldoende is. We hebben belang bij een samenleving waar data zó centraal is komen te staan dat er een hele goede toezichthouder is die voldoende middelen heeft om te handhaven. Ik zie meer datalekken dan boetes."

Enigszins in het verlengde hiervan stelt Tang ook dat bedrijven verplicht moeten worden om automatisch software-updates uit te voeren voor de producten die zij leveren. "Ik moet zelf mijn telefoon updaten. Waarom is dat niet de verantwoordelijkheid van de fabrikant?"

In een verklaring schrijft EasyPark dat het bedrijf de veiligheid van klantgegevens wel degelijk belangrijk vindt en daarom onafhankelijke experts inzet voor de digitale beveiliging. Het bedrijf zegt actie te hebben ondernomen om de aanval te stoppen én andere aanvallen in de toekomst te voorkomen.

De data die gelekt is, is volgens de Europese regelgeving geen gevoelige data, zegt EasyPark Group.

Hieronder lees je de volledige reactie van EasyPark, met onder meer antwoorden op de vragen die Kassa het bedrijf heeft gesteld (.pdf)