Donderdag 21 september is een datalek in de ANWB-webwinkel ontdekt, waardoor een bestand met gegevens van klanten voor derden toegankelijk is geweest. Het lek is inmiddels gedicht. Getroffen klanten zijn hier dinsdag 3 oktober per e-mail over geïnformeerd. De automobilistenvereniging heeft het lek bij de Autoriteit Persoonsgegevens gemeld.
In de e-mail meldt de ANWB: ‘Door een fout van een van onze it-leveranciers is een bestand met verkoopgegevens van de ANWB Webwinkel onbeschermd op het internet terechtgekomen. Het betreft hier gegevens over aankopen in de ANWB Webwinkel waarin namen, adressen, telefoonnummers, betaalvoorkeuren en e-mailadressen van klanten voorkomen. Ook uw gegevens zitten daarbij. NB: Bankgegevens, creditcardgegevens en inloggegevens zijn niet toegankelijk geweest.’
De ANWB schrijft verder in zijn e-mail: ‘Hoewel wij hebben vastgesteld dat slechts een klein deel van de gelekte gegevens mogelijk gezien is door derden, willen wij alle klanten van wie de gegevens toegankelijk zijn geweest, uit voorzorg op de hoogte brengen.’
De autobond zegt na het het ontdekken van het datalek onmiddellijk maatregelen te hebben getroffen. ‘Wij hebben de betreffende persoonsgegevens van onze klanten direct afgeschermd en ontoegankelijk gemaakt.’ Wel waarschuwt het bedrijf zijn klanten dat de gegevens die zichtbaar zijn geworden, door cybercriminelen kunnen worden gebruikt voor het versturen van spam en phishing mails. Zij dienen de komende tijd extra alert te zijn op verdachte e-mails.
Slot en grendel
Het lek is veroorzaakt door een ‘menselijke fout’. Een leverancier van webshopsoftware – de bond wil niet aangeven welke partij dat was – zou een filter niet correct hebben ingesteld waardoor de gegevens niet meer achter ‘slot en grendel’ stonden.
Het zou gaan om gegevens van zo’n 87.000 klanten. Nieuwssite Nu.nl meldt dat er ook nog data uit een database zijn gelekt met daarin 45.000 e-mailadressen. Volgens de automobilistenvereniging zijn er in totaal 95.000 mensen getroffen, omdat sommige mailadressen in beide databases stonden.
Hoewel de ANWB al op 21 september op de hoogte was van het lek, heeft de vereniging pas op 3 oktober zijn klanten geïnformeerd. De autobelangenbehartigersclub wilde eerst gelekte informatie die in Google terecht was gekomen verwijderen, voordat de fout wereldkundig werd gemaakt, aldus Nu.nl.