Hackers van NAM-lek brengen wereldwijd schade toe aan grote bedrijven

Het hoofdkantoor van de NAM in Assen
Het hoofdkantoor van de NAM in Assen © Google Streetview
De hackers die verantwoordelijk zijn voor het datalek bij de NAM hebben wereldwijd schade toegebracht. Het lek zat in software van de Amerikaanse leverancier Accellion, waar de NAM net als veel andere bedrijven gebruik van maakt. Daardoor zijn de gegevens van 19.000 mensen buitgemaakt.
De prestigieuze Harvard Business School in de Verenigde Staten, de Centrale Bank van Nieuw Zeeland, vliegtuigbouwer Bombardier in Canada en een groot Amerikaans advocatenkantoor - met Donald Trump als client - zijn enkele van de getroffen bedrijven en instanties. Maar ook grote supermarktketens en transportbedrijven in de VS en Australië zijn geraakt.

Grote bestanden versturen

De Amerikaanse overheid heeft twee weken geleden al gewaarschuwd voor aanvallen op het softwaresysteem van Accellion. Met dat programma kunnen grote bestanden worden verstuurd. De NAM gebruikt de speciale software om grote informatiebestanden te versturen naar het Instituut Mijnbouwschade Groningen.
In totaal zijn bij de NAM van zo'n 19.000 mensen de namen en adressen gelekt. 'In 115 gevallen gaat het om versleutelde privacydata en bij een handvol mensen gaat het echt om een privacyinbreuk’, aldus een woordvoerder van de NAM. ‘Met die mensen hebben wij dinsdagmiddag meteen contact opgenomen.’
De NAM noemt het incident heel vervelend en extra wrang dat gedupeerden van de aardbevingen nu ook hierbij gedupeerd zijn. ‘Dit is een onderwerp wat wij ook heel erg belangrijk vinden, maar de oorzaak ligt bij een externe partij.’

Wees extra alert

De Fraudehelpdesk roept mensen op om extra alert te zijn als zij via de mail of een sms worden benaderd om gegevens in te voeren. ‘Eigenlijk raden we mensen altijd aan om daar alert op te zijn’, zegt een woordvoerder. ‘Maar nu misschien nog iets meer.’
De data wordt volgens de Fraudehelpdesk steeds interessanter voor internetcriminelen naarmate gegevens gecombineerd kunnen worden. Zoals een naam en adresgegevens gecombineerd met een inschrijving bij een bepaalde instantie, een bedrijf of een bank.
'Dat is het goud voor oplichters. Hoe meer gegevens, hoe interessanter. En je kunt er eigenlijk niets aan doen. We raden daarom ook het gebruik van sterke en unieke wachtwoorden aan. Zodat een crimineel niet meteen in alle andere accounts terecht kan.'

Criminele actie

Een van de mensen die ook door de NAM is gebeld in verband met het datalek, is voorzitter Lolke Weegenaar van de stichting Waardevermindering door Aardbevingen Groningen (WAG). Van zijn leden - en dus ook van hemzelf - zijn de naam en adresgegevens gelekt. ‘Het is pijnlijk en uitermate vervelend’, zegt Weegenaar. ‘Dit is een criminele actie.’
Het is volgens Weegenaar echter niet aan de stichting om verder een rol in te spelen in het geheel, hoewel de lijst met gegevens volgens hem wel eigendom is van WAG. ‘Het is een zaak tussen de individuele deelnemer en de NAM’, zegt hij. ‘De lijst bij ons betreft ook uitsluitend een naam en adres. Dat zijn dezelfde gegevens als die in het telefoonboek staan.'

Is het ransomware?

In sommige gevallen elders in de wereld zijn met dit lek gegevens gestolen en moet de eigenaar betalen om die gegevens terug te krijgen: het gaat dan om het zogeheten ransomware. De NAM wil niet aangeven of daar bij het gasbedrijf ook sprake van is. ‘Wij gaan nooit in op vragen over ransomware’, verklaart een woordvoerder het beleid.
Of de NAM ook actie onderneemt tegen de softwareleverancier bij wie het lek zat, is ook niet duidelijk. ‘Over partijen met wie we werken geven wij geen commentaar.'