D9D1E2

Datalekken in Nederland

2012

Hackers krijgen toegang tot servers ondernemersorganisatie, gebruiken verkregen persoonsgegevens voor phishing (2012/11/13)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

De Zaak.

Verwerking

Website.

Betrokkenen

"[...] 38.000 klanten [...]" [Security.nl, 2012/11/13]

Soort (persoons)gegevens

"[...] e-mailadressen en adresgegevens van 38.000 klanten [...]" [Security.nl, 2012/11/13]

"'Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn e-mailadressen', bevestigt algemeen directeur [...] van Small Business Publishing. Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers als het gelijknamige kennisnetwerk op de website." [WebWereld, 2012/11/14]

"[In een waarschuwingsmail aan alle klanten] biecht de uitgeverij op dat de cyberinbrekers niet alleen mailadressen maar ook naw-gegevens (naam, adres en woonplaats) hebben buitgemaakt. Op basis daarvan is de zogenaamde Nuon-incassomail verzonden. 'De Zaak heeft ondertussen aangifte gedaan van computervredebreuk en alles in het werk gezet om de website en de servers weer veilig te maken, aldus de waarschuwingsmail met daarin ook een Q&A." [WebWereld, 2012/11/15]

Type incident

Inbreuk op de vertrouwelijkheid en potentieel de beschikbaarheid en de integriteit van de verwerkte gegevens.

Beschrijving van het incident

"Aanvallers hebben bij De Zaak de gegevens van 38.000 klanten gestolen en gebruikt voor het versturen van een phishingaanval in naam van energiebedrijf Nuon. Ook werd er malware op de website dezaak.nl geplaatst, zo laat de organisatie weten. [...] Aanvallers wisten door nog onbekende reden toegang tot de servers van De Zaak te krijgen. Daarbij zijn e-mailadressen en adresgegevens van 38.000 klanten buitgemaakt. De gestolen e-mailadresgegevens zijn vervolgens bestookt met een e-mail van een incassobureau genaamd Proquest Incasso dat in naam van Nuon een openstaande rekening wilde vorderen. De links in het e-mailbericht wezen naar een website die bezoekers via een Java-lek probeerde te infecteren. Naast de datadiefstal werd ook het 'Torrat-virus' op de website zelf geplaatst. Deze malware is al enkele maanden in Nederland actief. "Het is mogelijk dat niet alle virusscanners de betreffende infectie kunnen vinden. Binnen tests die wij zelf hebben uitgevoerd hebben wij positieve resultaten geconstateerd met: Microsoft Security Essentials, AVG trial versie, Avira en Avast", aldus de ondernemersorganisatie." [Security.nl, 2012/11/13]

"Onderzoek door De Zaak en internet-beveiligingsbedrijf Fox IT heeft uitgewezen dat de criminelen zich onrechtmatig toegang hebben verschaft tot de servers van De Zaak. Daarbij zijn e-mail adressen en naw-gegevens buitgemaakt. Die adresgegevens zijn gebruikt om eerdergenoemde e-mail te versturen. Op die manier proberen de uiterst professioneel opererende criminelen achter bankgegevens te komen. [...] Op de site en de webshop van De Zaak heeft tijdelijk een verwijzing gestaan naar het zogenaamde Torrat-virus. Deze verwijzing is door cybercriminelen op de site geplaatst. Daarnaast hebben de criminelen zich toegang verschaft tot gegevens van 38.000 klanten van De Zaak. Het gaat hierbij in ieder geval om e-mail adressen en NAW gegevens. [...] Omdat criminelen de beschikking hebben over een e-mail adres kunnen zij deze misbruiken door phishing e-mails en malware e-mails te sturen naar onze klanten. Dit is de afgelopen dagen ook gebeurd." [De Zaak, 2012/11/13]

"De daadwerkelijke inbraak is naar schatting vorige week gepleegd. 'Wij kregen [vorige week - red.] dinsdagmiddag een beveiligingswaarschuwing, van Microsoft', vertelt [de directeur] aan Webwereld. Het ging om een malwaremelding, over de inhoud van een website: de eigen website van De Zaak. De directeur geeft aan dat er bij het bedrijf zelf aanvankelijk niet duidelijk was waar de melding precies betrekking op had. 'We konden niet 1-2-3 ontdekken wat er aan de hand was.' Dus is contact gezocht met Microsoft, wat niet direct tot antwoorden leidde. Ondertussen gingen de eigen technische mensen op onderzoek uit. In de nacht van dinsdag op woensdag, vorige week, werd de gestolen data echter al benut. Toen kwam er plots een phishingmail aan bij vele Nederlandse ondernemers. 'Niet een 'Nigeriaanse mail, even vlug met Google vertaald', geeft [de directeur] aan." [WebWereld, 2012/11/14]

"'De besmetting zat diep verborgen in onze webshop. Op een bestelpagina, voor een pocket', zegt algemeen directeur [...] van Small Business Publishing. [...] [De] aanmaning van het niet-bestaande Proquest Incasso zogenaamd namens energiebedrijf Nuon heeft zelf een dubbele lading. Enerzijds wordt de ontvangers gesommeerd om een bescheiden achterstallig bedrag over te boeken op een rekeningnummer bij ABN Amro. Anderzijds leiden enkele van de links in de phishingmail naar malware." [WebWereld, 2012/11/15]

"De oplichters die internetgebruikers eerder een aanmaning zogenaamd namens Nuon stuurden, hebben vanochtend een nieuwe mail verzonden: dit keer gaat het om een betalingsvoorstel namens een niet bestaand advocatenkantoor. Namens Embuste Advocaten (Embuste is Portugees voor 'nep'), zogenaamd gevestigd aan de Johannes Vermeerstraat 338 in Amsterdam, wordt een betaling van 750 euro voorgesteld. Dat laatste staat in een bijlage, die vermoedelijk wederom met malware is besmet. Het vermelde e-mailadres en het webadres bestaan beide niet. Ook nu weer is de naam van de afzender in het bericht zelf opgenomen. [...] Werd de vorige mail via Leaseweb verstuurd, deze nieuwe mail loopt via Cyso.net uit Alkmaar. De oplichters maken gebruik van zeker 38.000 gehackte adresgegevens van DeZaak." [Emerce, 2012/11/19]

Respons van de organisatie

"Onze specialisten hebben direct maatregelen genomen. We hebben de systemen en de website van De Zaak onmiddellijk aangepast en gecorrigeerd. De site is inmiddels virus vrij. Ook hebben wij onafhankelijke, externe specialisten ingeschakeld om controles uit te voeren om te zorgen dat dit niet meer kan voorkomen. [...] wij hebben een bericht naar onze klanten gestuurd waarin wij ze informeren over de ontstane situatie en van advies voorzien. Ook hebben wij op onze website www.dezaak.nl een bericht en deze 'Vraag & Antwoord' (Q&A) geplaatst. [...] Bij ons zijn geen schadegevallen bekend. Mochten klanten van De Zaak onverhoopt schade hebben, dan verzoeken we ze om contact met ons op te nemen via: 088 1182040. We zullen per individueel geval bekijken of een klant in aanmerking komt voor een vergoeding. In de phishing e-mail die de criminelen hebben verstuurd, wordt dringend verzocht geld over te maken aan 'Stichting Derdengelden Proquest Incasso', naar een rekeningnummer van de ABN AMRO. Mocht u geld hebben overgemaakt naar deze rekening, dan krijgt u dit terug. Dit is inmiddels door ABN AMRO bevestigd." [De Zaak, 2012/11/13]

"De Zaak heeft ondertussen aangifte gedaan van computervredebreuk en alles in het werk gezet om de website en de servers weer veilig te maken. Ook zijn er maatregelen getroffen om misbruik in de toekomst te voorkomen." [Security.nl, 2012/11/13]

"Het in de phishingmail aangereikte Haagse telefoonnummer is een nummer van een wel echt incassobureau: Cannock Chase, dat ook voor Nuon incasso's doet. Het bellen van dat 070-nummer levert inmiddels een voicemailbericht op waarin wordt gewaarschuwd dat de mail nep is. De melding van Cannock Chase geeft ontvangers van de phishingmail ook het advies om hun computers te scannen. Bezoeken van de links in de nepmail kunnen namelijk malware hebben binnengebracht." [WebWereld, 2012/11/14]

"In [de] buit zitten 38.000 mailadressen van Nederlandse ondernemers. De Zaak stuurde al die klanten afgelopen maandag een waarschuwing per mail. 'Wellicht heeft u er in de afgelopen dagen over gelezen op andere websites of heeft u zelf een verdachte e-mail ontvangen, waarin een incassobureau u opdraagt een openstaande vordering van Nuon te voldoen. Deze e-mail is het werk van internetcriminelen.' De getroffen webshop is offline gehaald en wordt nu geheel vernieuwd en beter beveiligd. Dit gebeurt op aanwijzen van beveiligingsbureau Fox IT dat vorige week woensdag door De Zaak is ingeschakeld. Dat inhuren van die specialisten is gedaan nadat vorige week dinsdag de malware op de eigen site werd gedetecteerd en datdat er die nacht direct een overtuigende phishingmail werd afgevuurd op Nederlandse ondernemers." [WebWereld, 2012/11/15]

Bronnen

2012/11/13

2012/11/14

2012/11/15

2012/11/19

.