Op internet staan voertuig- en persoonsgegevens te koop afkomstig van autobranche-automatiseerder RDC. Nader onderzoek wijst uit dat het gaat om verouderde gegevens uit de periode september 2018 tot eind januari 2019 uit het eigen programma Caremail. Volgens het it-bedrijf, dat it-diensten verleent aan garages, is er geen sprake geweest van een hack maar van een datalek. Ook Belgische gegevens zijn gelekt, zij het op kleine schaal.
De NOS kreeg lucht van het datalek bij RDC en lichtte het bedrijf in over de gestolen gegevens. De Nederlandse nieuwsdienst heeft contact gehad met de cybercrimineel die de data te koop aanbiedt. Het zou gaan om herleidbare gegevens van 7,3 miljoen personen: naw-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata, blijkt uit onderzoek van de NOS. De gegevens worden op een populair hackersforum te koop aangeboden.
Mocht het aantal van 7,3 miljoen gestolen datapunten kloppen, dan gaat het om een van de grootste Nederlandse datalekken ooit, aldus de NOS.
Volgens een woordvoerder van de RDC blijkt uit de security-loggegevens dat er geen sprake is geweest van een hack. Het bedrijf spreekt van een datalek in, hoogstwaarschijnlijk, de eigen applicatie Caremail die intern op een server draait. Via deze software laten garagehouders hun elektronische communicatie met klanten verlopen over bijvoorbeeld afspraken en apk’s. ‘Wij vermoeden dat het lek zit in de exportfunctionaliteit van Caremail. De mogelijkheid om in dit systeem data te exporten en op te vragen is dan ook voorlopig afgesloten.’
RDC onderzoekt nog verder hoe de automobieldata zijn buit gemaakt en op internet te koop staan. Het bedrijf heeft een melding bij de Autoriteit Persoonsgegevens gedaan en zal naar verwachting aangifte van cyberdiefstal doen bij de politie.
Eind vorig jaar verkocht RDC zijn Belgische tak aan Evobel. Navraag leert dat ook een aantal (ex-) klanten in België zijn geraakt door het datalek, zij het op kleine schaal ten opzichte van de grote database achter Caremail.
RAI Documentatiecentrum
RDC gaat al meer dan vijftig jaar mee in de ict-branche. Begonnen als RAI Documentatiecentrum verkocht het onder andere verkoop- en registratiestatistieken voor de automobielbranche. RDC ontwikkelde zich daarna als it-huis en datacenter voor deze sector. Naast de RAI Vereniging werd Bovag (BOnd Van Automobielhandelaren en Garagehouders) aandeelhouder via de dochtermaatschappij Bovemij. Deze verzekeraar van de mobiliteitssector nam op 1 januari 2017 alle aandelen over.
RDC is tegenwoordig marktdataleverancier en it-dienstverlener met een aantal specifieke oplossingen voor onder meer apk, voorraadbeheer en taxatie. Het bedrijf bedient zo’n 15.000 klanten en ongeveer 40.000 gebruikers in Nederland. Er werken 170 man bij RDC.
Weer een groot datalek. Om de haverklap zijn er hacks en gewone datalekken waarbij soms heel veel gegevens buit gemaakt worden. Doordat er steeds meer gestolen databases te koop zijn, kunnen criminelen meer database gegevens aan elkaar koppelen. Zo zijn er meer uitgebreide profielen van potentiële slachtoffers te maken, met meer relevante details. Die gegevens kunnen voor specifieke doelen gebruikt worden. Wat wil de criminele klant: auto’s van een bepaald type stelen, klanten per bank selecteren, mensen met financiële problemen zoeken om voor de criminelen als muilezel te gaan werken? Met betere gegevens kan de criminele organisatie efficiënter werken. Big data, niet van Google, niet van AliExpress, niet van de overheid, maar van, ja van wie eigenlijk?
Wat in de zaak van RDC opvalt is dat er ook oude gegevens gestolen zijn. Er is dus geen goed data lifecycle management door het business model.
En waar staan we over 10 jaar? De datalekken en hacks hebben alles te maken met cyber security en AVG. Maar Sander Dekker van het Ministerie van Justitie en Veiligheid weigert bijvoorbeeld om de Autoriteit Persoonsgegevens meer middelen te geven. Hij vindt dat de AP maar eerst slimmer moet werken. Maar hoe dat moet, dat weet hij ook niet. Hoelang moeten de problemen nog doorgeschoven worden van deze digibetocraat?
Ik zal maar niet ingaan op déjà vu die ik krijg bij het lezen van: “Wij vermoeden dat het lek zit in de exportfunctionaliteit van Caremail.”
Hoe zit het eigenlijk met de toestemming?
Er zijn privégegevens van het RDW naar een commercieel bedrijf gegaan, zonder toestemming.
Weet iemand hoe dit zit, of hoe dit kan?
Ron, de RDW levert aan de RDC publieke en niet publieke voertuiggegevens en sommige daaraan gekoppelde persoonsgegevens. Niet-publieke voertuiggegevens zijn bijvoorbeeld gemelde kilometerstanden. De gegevens worden door de RDC verkregen op basis van de Verstrekkingsvoorwaarden inzake het Kentekenregister van de Dienst Wegverkeer 2015. De RDC werkt o.a. voor BOVAG garages die particuliere en lease auto’s onderhouden. Gegevens verkregen door garages worden verwerkt via het BOVAG Auto Registratie Systeem van de RDC. Zo komen veel gegevens bij elkaar.
@Jaap van Belkum;
Het lijkt mij toch vreemd, dat dit wordt doorgegeven aan een commercieel bedrijf, zonder toestemming.
De BOVAG is ook een commercieel bedrijf !
Ron, de motoreigenaar, autodealer/garage, lease bedrijven, verzekeringsbedrijven, enz., moeten het RDW informatie aanleveren. Ze mogen bij het RDW als trusted parties ook informatie opvragen om die te vergelijken met informatie die ze hebben. De informatie-uitwisseling moet diverse vormen van fraude tegengaan. “Voor van de RDW verkregen gevoelige gegevens geldt dat deze nooit via/in een public Cloud (of vergelijkbaar) getransporteerd/opgeslagen mogen worden.” Ontvangende partijen mogen voor hun gegevensverwerking derden inhuren, zoals het RDC.
De buitenwacht weet niet wie, welke informatie heeft. Pieter Derks zei al: bedenk goed wat je met je Bonuskaart doet.