Belgische en Nederlandse klantengegevens van speelgoedwinkel online te koop

Het bestand met klantengegevens wordt aangeboden op een gespecialiseerd hackersforum op het internet, waar de oplichter beweert een 'bol.com-database' te hebben. 

In het bestand kan je zien wat mensen gekocht hebben, wat hun voor- en achternaam is en soms ook wat de aankoop kost. Daarnaast zijn ook bezorggegevens beschikbaar. Ook zie je welke betalingswijze mensen hebben gekozen, zoals een kredietkaart of bancontact.

Onderzoek leert dat het bestand inderdaad aankoopgegevens bevat van mensen die via Bol.com speelgoed kochten. Na contact met Bol.com en een intern onderzoek bij de webshop zelf blijkt dat het datalek zit bij een partner van Bol.com die speelgoed verkoopt op onder meer bol.com en eigen webshops. Het gaat om Toppie Speelgoed. Wie rechtstreeks bij Toppie Speelgoed kocht, duikt ook met e-mailadres en telefoonnummer op in de lijst, als dat bij de aankoop werd achtergelaten. Wie via Bol.com een product kocht, enkel met naam en afleveradres. Dat komt omdat Bol.com slechts beperkte gegevens naar externe partners stuurt.

"Een hacker heeft misbruik gemaakt van een technisch proces dat we een tijdje geleden hebben uitgevoerd en waarbij klantengegevens van de ene server naar de andere zijn overgezet. De oplichters kunnen gelukkig niet de hele aankoopgeschiedenis van onze klanten zien, geen betaalmethodes of bankrekeningnummers", zegt Mike Bruinsma van Toppie Speelgoed.

"Bol.com biedt ondernemers uit België en Nederland de mogelijkheid om hun assortiment via ons, als platform, te verkopen", vertelt Marjolein Verkerk van Bol.com. "Om te zorgen dat klanten hun pakketje ontvangen, delen wij met die ondernemers alleen de gegevens die nodig zijn om het pakketje te kunnen bezorgen, zoals naam en adres. Standaard geen telefoonnummer of emailadres. De privacy van onze klanten staat altijd voorop.  De uitwisseling van deze gegevens gaat via onze beveiligde systemen. Dit incident is buiten onze systemen voorgevallen en is dus te wijten aan het eigen systeem van de ondernemer. Iedere ondernemer in Nederland en Belgie is zelf verantwoordelijk voor het volgen van de wet waaronder het juist verwerken van data."

Volgens Bol.com is de impact van het lek voor haar klanten beperkt omdat de hele dataset geen paswoorden, accounts, e-mailadressen en geen bankrekeningnummers bevat van Bol.com-klanten. Wel vraagt Bol.com uit voorzorg dat de verantwoordelijke voor het lek, Toppie Speelgoed, de Nederlandse Autoriteit Persoonsgegevens op de hoogte brengt, dat is de instantie die in Nederland waakt over privacy en persoonsgegevens. 

"Dat is intussen gebeurd", zegt Mike Bruinsma, "en we gaan aangifte doen bij de politie. Daarnaast vind ik dat er door de autoriteiten te weinig wordt gedaan om hackers op te sporen. De hacker is de crimineel in dit verhaal, niet ik."

Hackers met slechte bedoelingen die bestanden met persoonlijke gegevens in handen krijgen, kunnen daar natuurlijk misbruik van maken en mensen oplichten. Dat kan gaan van identiteitsdiefstal tot zelfs het hacken van je telefoon of berichten onderscheppen, indien de hacker je telefoonnummer heeft. Wat in het geval van dit datalek beperkt is. Daarnaast kunnen hackers, als ze het mailadres van mensen hebben en hun aankoopgedrag kennen, hen bijvoorbeeld op sociale media frauduleuze en valse advertenties tonen. En hen zo oplichten. 

Maar het hoeft zelfs allemaal niet zo technisch. Oplichters die zelfs nog maar je telefoonnummer hebben en je aankoopgegevens, kunnen zich bijvoorbeeld uitgeven voor iemand van de klantendienst van de webwinkel en je op die manier in alle vertrouwen andere gegevens ontfutselen. Of nog eenvoudiger, kijken wie dure spullen koopt en er inbreken.

Het is niet de eerste keer dat er persoonlijke data lekt bij webwinkels door hacking. Het is sowieso belangrijk dat als je online accounts aanmaakt, je veilige wachtwoorden kiest. Vorig jaar ontdekte de Nederlandse zender RTL Nieuws dat duizenden gehackte webshopaccounts door hackers te koop werden aangeboden. Criminelen kunnen daarmee spullen op naam en rekening van de slachtoffers bestellen.

Het lukte journalisten toen om onder meer iPhones, draadloze hoofdtelefoons en dure merkkledij te kopen op rekening van iemand anders.