Volgens Business Insider zijn persoonsgegevens van 533 miljoen mensen die in 2019 zijn buitgemaakt opnieuw aangeboden op een hackersforum, waardoor het wederom actueel is. Voor Nederland zou het gaan om gegevens van meer dan 5 miljoen accounts. Het betreft onder meer mailadressen, telefoonnummers, volledige namen, geboortedata, locatiegegevens en andere persoonlijke data. Experts waarschuwen dat deze gegevens kunnen worden misbruikt.

Business Insider meldt dat de gegevens worden aangeboden op wat ze omschrijven als een 'low level' hackersforum, een forum waar je zonder al te specifieke kennis bij kunt. De data wordt aangeboden in bulk en betreft de gegevens van circa 533 miljoen Facebookgebruikers uit 106 verschillende landen. 

Volgens persbureau Bloomberg gaat het om gegevens die in 2019 zijn buitgemaakt. Hoewel het in dat opzicht dus oudere data betreft, is het probleem door het opnieuw aanbieden van deze gegevens wederom actueel. 

Bloomberg vroeg Facebook om een reactie. Facebook reageert als volgt: 'Dit zijn oude gegevens waarover eerder in 2019 werd gerapporteerd. We hebben dit probleem in augustus 2019 gevonden en opgelost.'

De data is door Business Insider steekproefsgewijs onder de loep genomen om het waarheidsgehalte te verifiëren. Ze wisten op die manier onder meer telefoonnummers van gebruikers aan bepaalde Facebookprofielen te koppelen, en met behulp van de gelekte e-mailadressen wisten ze via de functionaliteit om het wachtwoord te herstellen delen van mobiele telefoonnummers te achterhalen.

'Grote kans op fraude vanwege de omvang van het lek'

Dergelijke persoonsgegevens zijn waardevol voor criminelen, oplichters en andere kwaadwillenden. Hoe meer persoonlijke informatie ze over je hebben, hoe beter en hoe gerichter ze je online identiteit kunnen nabootsen. Het bedenken van verfijnde vormen van phishing is daarnaast evenmin ondenkbaar, zo stelt Alon Gal, de ontdekker van het lek die verbonden is aan Hudson Rock. Dat is een platform dat cybercrime in kaart brengt.

Met name de enorme omvang van het datalek vormt in potentie een groot probleem, aldus Gal: 'Een database van deze omvang met daarin de persoonsgegevens van meer dan 500 miljoen gebruikers zal vrijwel zeker tot gevolg hebben dat kwaadwillenden deze data misbruiken. Dat kan door geavanceerde pogingen tot oplichting met behulp van 'social engineering', maar ook pogingen tot het hacken van accounts', stelt Gal tegenover Business Insider.

Gal ontdekte de dataset in januari, toen een gebruiker op het betreffende forum adverteerde met een bot die geheel geautomatiseerd de telefoonnummers van honderden miljoenen gebruikers vrij zou geven. Daar stond uiteraard wel een prijs tegenover. Indertijd werd door Motherboard bevestigd dat deze data accuraat en waarheidsgetrouw was.

De volledige dataset is onlangs ter beschikking gesteld op het forum, wat in principe betekent dat iedereen met enige basiskennis met betrekking tot data zijn gang kan gaan met alle gegevens. En dat heeft mogelijk al snel vervelende gevolgen, zo meldt ook het AD.

Wat betekent dit voor jou en wat kun je verder nog doen?

Volgens informatie uit onderstaande tweet gaat het in het geval van Nederland om gegevens van meer dan 5,4 miljoen accounts.

Zitten jouw (persoons)gegevens daarbij? Er zijn inmiddels diverse tools ontwikkeld. Zo kun je checken of dit het geval is. Daarnaast is het raadzaam om hoe dan ook wat voorzorgsmaatregelen te nemen. Het vervelende aan een datalek is dat de informatie zich onmogelijk meer van het internet laat verwijderen als het eenmaal online staat. In spreekwoordelijke zin kunnen we dan ook spreken van een pleister op de wonde.

Toch betekent dat niet dat je helemaal niks kunt doen. Wees de komende tijd extra alert op gerichte pogingen tot oplichting via mail, sms of WhatsApp: met de juiste persoonsgegevens is het voor oplichters immers een stuk makkelijker om het bedrog op overtuigende wijze vorm te geven. Ook als mensen je gericht benaderen in mails waar de nodige informatie in staat, dan is nog niet gezegd dat de inhoud van de mail ook daadwerkelijk op waarheid berust.

Over wachtwoorden werd niet gesproken, maar ga voor de zekerheid na of je voor meerdere platformen hetzelfde wachtwoord gebruikt. Is dat betreffende wachtwoord ooit gelekt? Dan is het voor oplichters en criminelen aantrekkelijk om de combinatie van e-mailadres en wachtwoord op meerdere platformen te proberen in de hoop dat het ergens een keertje raak is. Dat wordt ook wel 'credential stuffing' genoemd.

Om de kans daarop tot een minimum te beperken, is het daarnaast raadzaam om tweestapsverificatie in te schakelen voor alle apps en accounts die je daartoe de mogelijkheid bieden. Ook al heeft een oplichter je inloggegevens bemachtigd, zomaar binnendringen wordt dan een stuk moeilijker.

Bron: AD.nl / Business Insider / Bloomberg / Motherboard