Blauw, een marktonderzoeker, heeft begin 2023 te maken gehad met een datalek. Dit gerenommeerde Nederlandse marktonderzoeksbureau werkt voor diverse bekende organisaties, waaronder de NS, Vrienden van Amstel Live, VodafoneZiggo en zorgverzekeraar CZ. Miljoenen Nederlanders zijn getroffen door dit datalek, waarbij klantgegevens op straat zijn beland. Het datalek zou zomaar eens het grootste datalek ooit in Nederland kunnen zijn. Had dit datalek voorkomen kunnen worden?
Op 24 maart werd marktonderzoeksbureau Blauw hard getroffen door een datalek. Als trouwe klant van Nebu, dat hun software gebruikt voor marktonderzoeken, waren ze zich er niet van bewust dat ook andere marktonderzoeksbureaus slachtoffer waren geworden van deze inbraak.
Over Nebu
Nebu is een Hongaars bedrijf met een vestiging in Wormerveer. Twee jaar geleden werd het onderdeel van Enghouse Systems, een beursgenoteerd Canadees bedrijf. Tot op heden hebben beide organisaties niet gereageerd op verzoeken om een reactie. Het telefoonnummer van de Nederlandse afdeling is verwijderd van de website, wat erop lijkt te duiden dat Nebu zo min mogelijk naar buiten wil communiceren.
Een Nederlandse vertegenwoordiger van het bedrijf was afwezig tijdens de berichtgeving. Volgens een advocaat van Enghouse, het Canadese moederbedrijf van Nebu, is het van groot belang om kwaadwillenden geen extra inzicht te verschaffen over de getroffen maatregelen van Nebu. Desondanks is Blauw teleurgesteld in de “ongestructureerde en onvolledige” informatie die het softwarebedrijf tot nu toe heeft gepresenteerd.
Wat is wel bekend?
Cybercriminelen hadden zich toegang verschaft tot waardevolle informatie die Blauw verzamelt voor hun opdrachtgevers, waaronder namen, e-mailadressen, telefoonnummers en zelfs de gegeven antwoorden in de onderzoeken. Pas op 27 maart bevestigde Nebu dat er inderdaad gegevens waren gestolen.
Maar wat zo vreemd is, is dat Nebu pas na drie weken met nieuws naar buiten kwam over wat er precies was gebeurd. Het bleek namelijk dat de hack bij Nebu al op 10 maart had plaatsgevonden, en het duurde maar liefst 31 uur voordat ze erachter kwamen. Gedurende die tijd hadden de hackers ongeveer 45 minuten de tijd gehad om de gegevens te stelen.
Helaas is Blauw nog steeds in het ongewisse over welke klantendata er precies via Nebu is gelekt. Ze hebben aangedrongen op meer informatie over de hack, maar het kostte hen veel moeite om deze te verkrijgen. Nebu weigert echter om extern forensisch onderzoek toe te staan, met als argument de veiligheid.
Blauw geeft aan dat Nebu slechts beperkte informatie heeft gedeeld over de gebeurtenissen. Nebu B.V. geeft geen enkele hint over de oorzaak van het datalek. Gelukkig heeft de rechter vorige week besloten dat Nebu deze informatie moet verstrekken. Ze moeten een gedetailleerd overzicht geven van de exacte uitvoering van de aanval en de stappen die de aanvallers hebben genomen nadat ze toegang hadden gekregen. Om ervoor te zorgen dat Nebu zich hieraan houdt, heeft de rechter dwangsommen opgelegd. Voor elke overtreding moet Nebu een bedrag van 25.000 euro betalen, met een maximum van 500.000 euro.
Inmiddels heeft Nebu enigszins meer informatie verstrekt over de aanval, maar essentiële vragen blijven onbeantwoord. Blauw en andere getroffen partijen blijven ongeduldig wachten op volledige openheid van zaken.
Datalek Nebu treft 156 organisaties
Steeds meer bedrijven meldden dat er persoonsgegevens waren gestolen. Inmiddels hebben al 156 organisaties bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt.
Zo meldde de NS dat de gegevens van ongeveer 780.000 treinreizigers waren buitgemaakt, VodafoneZiggo schatte dat ongeveer 700.000 klanten waren getroffen en bierbrouwer Heineken en zorgverzekeraar CZ werden getroffen, waarbij respectievelijk 22.000 bezoekers van De Vrienden van Amstel Live en 3.000 mensen met een collectieve verzekering slachtoffer waren van het lek.
Andere gedupeerden zijn het Internationaal Film Festival Rotterdam (IFFR), de Koninklijke Nederlandse Golf Federatie (NGF).
Deze incidenten benadrukken de kwetsbaarheid van persoonsgegevens en de impact die datalekken hebben op zowel bedrijven als consumenten.
Had Blauw dit datalek kunnen voorkomen?
Als bedrijf dat diensten verleent aan de markt, moet je er allereerst voor zorgen dat je eigen omgeving goed beveiligd is. Zeker als een organisatie veel met persoonlijke data werkt. Als marktonderzoekbureau is dit uiteraard het geval. Bij Blauw lijken ze volgens een onderzoek van Techzine dat onderdeel in ieder geval goed op orde te hebben.
Bijna elk bedrijf vertrouwt op software van externe partijen, en Blauw vormt hierop geen uitzondering. Maar wanneer een organisatie vertrouwt op een IT-leverancier, blijft de organisatie zelf verantwoordelijk voor de beveiliging van persoonsgegevens.
Blauw gaat dus niet volledig vrijuit bij dit grote datalek. Als eindverantwoordelijke voor hun diensten zijn ze namelijk verantwoordelijk voor het geleverde product. Dit betekent ook dat ze ervoor moeten zorgen dat hun eigen software-distributieketen in orde is. Met andere woorden, Blauw had ook bij Nebu moeten controleren of ze voldoen aan de vereisten op het gebied van beveiligingshygiëne.
Als softwareleverancier van Blauw lijkt het erop dat Nebu op het gebied van beveiligingshygiëne de boel niet op orde hebben
De zwakke beveiligingspositie van Nebu was geen incident, het was al twaalf maanden bekend. Met name patching, netwerkbeveiliging en applicatiebeveiliging scoren ver beneden de maat.
Een van de problemen op het gebied van netwerkbeveiliging bij Nebu was bijvoorbeeld dat het UpNP-protocol toegankelijk was. Een dergelijke kwetsbaarheid mag eenvoudigweg niet voorkomen, omdat het de deur voor hackers wagenwijd openzet. Hoewel op dit moment niet met zekerheid te zeggen is of dit de manier is geweest waarop de hackers bij Blauw zijn binnengekomen, geeft het wel aan dat er zaken niet op orde waren bij Nebu.
Conclusie
Het datalek bij Nebu en de gevolgen ervan laten zien dat bedrijven zoals Blauw een grote verantwoordelijkheid dragen als het gaat om de beveiliging van persoonsgegevens en hun softwareleveranciers. Het niet goed waarborgen van security hygiene kan ernstige gevolgen hebben voor zowel bedrijven als consumenten.
Getroffen bedrijven kunnen te maken krijgen met reputatieschade, verlies van vertrouwen bij klanten en mogelijke juridische gevolgen. Daarnaast brengt een datalek ook hoge kosten met zich mee, zoals het herstellen van systemen, het verbeteren van beveiligingsmaatregelen en mogelijk compenseren van gedupeerde klanten.
Voor consumenten kunnen de gevolgen variëren van identiteitsdiefstal en financiële schade tot het risico op oplichting en phishing-aanvallen. Het is dus belangrijk dat consumenten waakzaam blijven, regelmatig wachtwoorden wijzigen en voorzichtig zijn met het delen van vertrouwelijke informatie.
Dit incident benadrukt het belang van een goede beveiliging van persoonsgegevens en een zorgvuldige keuze van betrouwbare IT-leveranciers. Bedrijven moeten proactief zijn in het handhaven van security hygiene in hun gehele softwareleveringsketen om dergelijke datalekken te voorkomen en de privacy en veiligheid van henzelf en hun klanten te waarborgen.