PlusNieuws
Groot datalek bij Waternet, gegevens bezoekers Waterleidingduinen op straat
Bij Waternet heeft een grootschalige hack plaatsgevonden. Het gaat om ongeveer 48.000 mensen uit heel het land die tussen 2015 en 2021 naar de Amsterdamse Waterleidingduinen zijn gegaan.
Deze mensen hebben online een entreeticket gekocht voor het natuurgebied. Het gaat om persoonsgegevens voor de aankoop van toegangs- en parkeerkaarten via de website van de Amsterdamse Waterleidingduinen. De hackers wisten daardoor namen en rekeningnummers te bemachtigen.
Een woordvoerder benadrukt dat het niet gaat om klantengegevens van mensen die drinkwater hebben bij Waternet en dat er ook geen data is gestolen van een van de servers. De stichting wijt het aan kwetsbaarheid in het systeem. “Dat waren we zelf ook tegengekomen en hebben we in 2021 opgelost,” zegt een woordvoerder. “Maar toen wisten we niet dat er al een hack heeft plaatsgevonden. Dat is pas later bij het politieonderzoek naar voren gekomen.”
Waternet zegt dat iedereen van wie ze contactgegevens hebben, is geïnformeerd. Ook bieden ze excuses aan voor de diefstal en is er een melding gemaakt bij Autoriteit Persoonsgegevens, de privacywaakhond. Ze benadrukken wel dat criminelen in principe weinig kunnen doen met alleen deze gegevens.
Tientallen bedrijven
De informatie is naar buiten gekomen wegens een groot onderzoek van politie Amsterdam vorige maand. Daaruit blijkt dat miljoenen persoonsgegevens zijn gestolen bij een groot aantal Nederlandse bedrijven in de periode van 2015-2021. Drie hackers zijn inmiddels aangehouden, waaronder de hoofdverdachte die zich overdag juist bezighield met cybersecurity.
Twee verdachten verdienden volgens de politie ook veel geld met het verhandelen van de buitgemaakte data. Zij stelden lijsten samen met telefoonnummers en rekeningnummers van duizenden mensen. De lijsten worden gekocht door criminelen die zich bijvoorbeeld voordoen als medewerker van een bank. Met behulp van de privégegevens hebben ze een overtuigend verhaal om hun slachtoffers in de val te lokken.
Het onderzoek van de politie begon in maart 2021, nadat een groot bedrijf in Nederland aangifte had gedaan van datadiefstal en chantage door criminelen. In totaal zijn zeker tientallen bedrijven in Nederland slachtoffer van de hackers geworden. Namen wil de politie niet geven, maar het gaat onder meer om restaurants, zorginstellingen, webshops, sociale media en onderwijsinstellingen. Het spoor leidde uiteindelijk naar de drie jongste verdachten.
Opstappen
Het rommelt al een tijd bij Waternet, de uitvoeringsorganisatie voor waterbeheer in Amsterdam en omstreken. Op eigen gezag besloot Waternet tot aanschaf van een nieuw IT-systeem voor de inning van de drinkwaterfacturen en waterschapsbelastingen. De ingebruikname, eind 2020, verliep dramatisch en zorgde voor grote vertragingen bij het versturen van de waterschapsaanslagen en foutieve (soms dubbele) drinkwaterfacturen.
Het leidde ertoe dat Waternet onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT) kwam staan, omdat de digitale beveiliging niet op orde was. Die is inmiddels op orde, al houdt ILT het nog wel ‘nauwlettend’ in de gaten.
Deze week werd bekend dat de directeur belast met IT per 1 april vertrekt. Volgens een woordvoerder van Waternet is er geen directe link tussen de nieuwe hack en zijn vertrek. “De website van de Amsterdamse Waterleidingduinen wordt beheerd door een externe partij en staat hier los van.”
