Menu Zoeken Mijn RTL Nieuws

29 augustus 2017 18:19

Privégegevens 20.000 autokopers op straat door lek kredietverstrekker

Door een fout in de website van kredietverstrekker AutoCash was het mogelijk om de maandsalarissen, woonlasten en andere gevoelige gegevens van 20.000 Nederlandse autokopers in te zien. Slachtoffers reageren geschokt: "Hoe weet jij dit allemaal?"

AutoCash wordt door zo'n 80 autodealers in Nederland ingezet om financiering aan te bieden voor het kopen of leasen van een auto. Het is onderdeel van Volkswagen Pon Financial Services, een samenwerking tussen Volkswagen en de Nederlandse auto-importeur Pon.

In het datalek komen niet alleen de privégegevens van AutoCash-klanten voor, maar ook van mensen die enkel een kredietaanvraag hebben ingediend. RTL Z heeft in een korte tijd de gegevens van minstens 400 mensen ingezien. Volgens het bedrijf waren de gegevens van 20.000 klanten in te zien door het lek.

Netto maandsalaris

Het lek bevindt zich in het online portaal van AutoCash, waar autodealers klanten met een krediet kunnen toevoegen en beheren. Na het inloggen kun je door een cijfertje in de url aan te passen de privégegevens van andere mensen met een AutoCash-krediet inzien. De tipgever heeft naar eigen zeggen het lek al maanden geleden aangekaart bij de softwareleverancier, maar met zijn melding is niets gedaan.

Naast de volledige naam, het woonadres en telefoonnummer waren ook de maandelijkse krediet- of leasekosten en het IBAN-rekeningnummer in te zien. Bij een deel van de klanten werd ook het netto maandsalaris getoond, de hoogte van de huur of hypotheek en of ze alimentatie betalen.

1759 euro per maand

Zo zien we bijvoorbeeld de privégegevens van een 41-jarige Amsterdammer. Hij verdient 1759 euro netto en heeft een huur van 572 euro per maand. Voor 186 euro in de maand betaalt hij in vijf jaar een Mercedes af, waarbij hij een aanbetaling van 5520 euro heeft gedaan.

De Amsterdammer reageert geschokt als we hem bellen en hem zijn woonadres, salaris en huur voorleggen. "Heel mijn hart begint nu te kloppen! Ik vind het niet kunnen dat ik mijn persoonlijke gegevens aan een bedrijf heb gegeven, en dat al die gegevens nu op straat liggen. Nu kunnen kwaadwillenden allemaal dingen met mijn gegevens doen!"

Ernstig lek

Dit soort privégegevens zijn een goudmijn voor criminelen, vertelt beveiligingsonderzoeker Sijmen Ruwhof, die het lek bij AutoCash 'ernstig' vindt: "Door dit soort gegevens aan een phishingmail toe te voegen zijn mensen sneller geneigd om bijlages te openen of op linkjes te drukken, waarna de computer met bijvoorbeeld ransomware wordt besmet."

Dat gevaar ziet ook Andre Vermeulen, woordvoerder van Fraudehelpdesk. Volgens hem is het gebruiken van gestolen privégegevens voor phishingmails 'een trend die absoluut groter gaat worden'. Criminelen hebben bijvoorbeeld een gestolen klantenbestand van een valet-parking bij Schiphol gebruikt om drie dure auto's te stelen door zich voor te doen als de eigenaar, vertelt hij.

Lek is gedicht

Na melding van RTL Z is het lek in het portaal van AutoCash gedicht. Het datalek wordt bij de Autoriteit Persoonsgegevens gemeld, bevestigt een woordvoerder van Volkswagen Pon Financial Services.

Volgens het bedrijf is er op dit moment 'geen aanleiding om aan te nemen dat klantgegevens niet veilig zouden zijn geweest'. "De online veiligheidsprocedures ten aanzien van het beschermen van klantgegevens worden naar aanleiding hiervan aangescherpt. We betreuren het dat RTL ons hierop heeft moeten wijzen", aldus een woordvoerder.

'Onze data zijn veilig'

Eerder deze maand lagen de gegevens van 100.000 Nederlandse leaserijders op straat na een lek bij softwarepartij CarWise ICT. Volkswagen Pon Financial Services reageerde toen in een inmiddels verwijderd bericht (screenshot) dat de klantgegevens 'veilig zijn' en dat er 'continu wordt getoetst of er kwetsbaarheden zijn'.

Daar gelooft Ruwhof niets van: "Het eerste dat je bij zo'n onderzoek test is of je toegang hebt tot gegevens waar je eigenlijk geen toegang tot zou moeten hebben." Dit soort lekken komt volgens hem ook vaak voor. "Dit is meestal een teken dat een bedrijf zijn algehele databeveiliging niet op orde heeft."

Topnieuws