Op een forum voor datalekken worden driehonderdduizend gegevens van onder meer Belfius-klanten aangeboden. Van een handvol klanten staan het adres en telefoonnummer al online.
De hacker in kwestie biedt zowel de gegevens van achthonderdduizend klanten van een Spaanse bank aan, als de gegevens van driehonderdduizend bij een Belgische Bank. Op basis van de testdata die de dader vrijgeeft kon Data News afleiden dat het om klanten van Belfius gaat. Een snelle controle doet uitschijnen dat de data correct is. Intussen is duidelijk dat bij de totale dataset ook gegevens van andere banken betrokken zijn.
Wel adressen, geen rekeningstanden
De dataset bevat onder meer de voor- en achternaam van een klant, het volledige adres, telefoonnummer(s), geboortedatum, rekeningnummer en IBAN. Wel bevat de voorbeelddata verschillende dubbele records, waardoor het werkelijk aantal getroffen klanten mogelijk iets lager ligt. De lijst bevat wel geen financiële details zoals rekeningstanden of transacties.
Veel details over de herkomst van de gegevens zijn er niet. De dader beweert dat ze afkomstig zijn uit callcenters en dat het om gegevens van dit jaar gaat die nog niet eerder zijn verspreid. Het is daarom ook niet duidelijk of het lek via een (extern) callcenter van Belfius is veroorzaakt, of afkomstig is van een andere speler die op zijn beurt klanten van Belfius contacteerde.
Desalniettemin blijft het om gevoelige data gaan, omdat zaken als rekeningnummers of adressen en telefoonnummers niet snel veranderen. Wie de gegevens zou kopen kan zich zo bijvoorbeeld voordoen als de bank en via phishingmails of telefonisch mensen oplichten wiens data wordt gedeeld. Ook kan een dader zich zo ook makkelijk voordoen als een van de slachtoffers om er verdere identiteitsfraude mee te plegen.
Update 16.30 uur
Ethisch hacker Inti De Ceukelaire heeft ontdekt dat de gegevens niet beperkt zijn tot Belfius. Het gaat onder meer ook om gegevens van ING. Naast de driehonderdduizend gegevens, zouden er ook nog honderdduizend gegevens als onvolledige data zijn gelekt.
De Ceukelaire leerde uit eigen onderzoek dat de gegevens zouden gelekt zijn via een interne medewerker van een Turks of Kosovaars callcenter. Belangrijker daarin is dat die toegang er nog steeds is. Dat wil zeggen dat de data ook door anderen kan worden gekopieerd en misbruikt. Voor zover bekend is die data niet van buitenaf te vinden.
Update 23 uur: De persoon die de gegevens te koop had gezet, heeft zijn post intussen verwijderd.
Fout opgemerkt of meer nieuws? Meld het hier