Datalek bij webshop Allekabels blijkt gigantische hack

Het datalek bij Allekabels treft geen vijfduizend maar 3,6 miljoen mensen. Daar zitten minstens 146.000 Belgen bij.

Begin februari lichtte Allekabels, een Nederlandse webshop die ook in België actief is, zo’n vijfduizend klanten in over een datalek. Een medewerker zou tijdens het thuiswerken gegevens hebben ontvreemd en die data circuleerden kort nadien ook online. Het zou gaan om namen, mailadressen, postadressen en soms telefoonnummers en geboortedata, maar geen wachtwoorden.

Dat blijkt nu niet te kloppen. De Nederlandse RTL-onderzoeksjournalist Daniël Verlaan wist te achterhalen dat het lek in werkelijkheid 3,6 miljoen mensen treft en dat Allekabels mogelijk de hack bewust verzweeg.

Voor 2,6 miljoen mensen gaat het om namen, mailadressen, postadressen, geboortedata en versleutelde wachtwoorden. Het resterende miljoen komt van klanten die via externe webshops (zoals Bol.com) bij Allekabels bestelden. Hiervan zijn geen mailadressen of wachtwoorden gelekt. Ook bevat de dataset 109.000 IBAN-nummers (bankrekeningnummers).

Belgische slachtoffers

Hoeveel Belgen er precies betrokken bij het datalek is niet duidelijk. Maar Verlaan zegt aan Data News dat er 146.000 mailadressen met een .be-extensie in de dataset zitten. Het werkelijke aantal Belgen ligt vermoedelijk veel hoger gezien Belgen met een Gmail- of ander adres hier nog niet zijn meegeteld.

Onduidelijke communicatie

RTL stelt ook een paar onduidelijkheden aan de kaak. Enerzijds zegt de hacker achter het datalek dat Allekabels in augustus 2020 het achterpoortje ontdekte en afsloot. Hij zou toen Allekabels hebben gecontacteerd maar geen antwoord hebben gekregen. Later werden die gegevens te koop aangeboden voor 15.000 euro.

Allekabels zelf zegt aan de Nederlandse tv-zender dat het voor hen om nieuwe informatie gaat en dat het destijds zonder succes contact probeerde te zoeken met de hacker. Het bedrijf zegt de hack nu zelf te onderzoeken.

Beperkt ingelicht

Maar er zijn wel aanwijzingen dat Allekabels wel degelijk wist dat de omvang veel groter was. Zo lijkt het er op dat het bedrijf in februari enkel klanten heeft ingelicht die een uniek mailadres hebben gebruikt bij Allekabels. Onder meer Gmail laat dat toe door bijvoorbeeld gebruikersnaam+allekabels@gmail.com op te geven.

De zender belde een dertigtal mensen op en stelt vast dat mensen met een uniek mailadres in februari al werden gecontacteerd, overige gebruikers niet. Dat wijst er op dat Allekabels mogelijk wist van de omvang van het datalek, maar besloot om enkel de mensen te contacteren waarbij eventueel misbruik rechtstreeks naar de database van Allekabels zou leiden.

‘Nieuw systeem’

Data News nam in februari ook contact op met Allekabels naar aanleiding van het aanvankelijke, kleine, lek. Ook onze redactie kreeg het verhaal van de zogezegde vijfduizend klantgegevens te horen, maar het bedrijf vulde dat meteen aan door te benadrukken dat het een nieuw klantensysteem zou installeren waarbij dergelijk misbruik door medewerkers niet langer mogelijk was.

Onze redactie vond dat toen een interessante aanpak en stelde zelfs voor om, eens het systeem in werking was, daar een uitgebreider artikel aan te wijden. De securityverantwoordelijke van Allekabels ging daar toen mee akkoord, maar reageerde nadien niet meer op meerdere telefoontjes om daar verder op in te gaan.

Update 16/4/21

Allekabels heeft vannacht en vanmorgen haar klanten ingelicht. Bij accounts van voor 1 september 2018 is ook het wachtwoord gekraakt, bij klanten die pas nadien zich hebben geregistreerd is dat niet het geval.

De site bevestigt dat het op 23 augustus 2020 slachtoffer werd van een hack en dat het toen meteen de Autoriteit Persoonsgegevens (de Nederlandse gegevensbeschermingsautoriteit) heeft ingelicht. Het is onduidelijk of die ‘meteen’ op 23 augustus of op vandaag slaat. Gezien de webshop gisteren nog tegenover RTL uit de lucht viel over de omvang van de hack.

Allekabels spreekt zelf van ‘een minderheid van de klanten’ wiens wachtwoord is gekraakt. Maar op een datalek van 3,6 miljoen mensen zijn dat nog steeds enorme aantallen.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content