Door een datalek bij het bedrijf RDC zijn de persoonsgegevens van miljoenen Nederlanders buitgemaakt door een hacker. De gegevens worden te koop aangeboden op een populair hackersforum. Het bedrijf zegt het lek gemeld te hebben bij de Autoriteit Persoonsgegevens.
RDC is een ICT-dienstverlener voor autogarage bedrijven. Als de auto van een klant aan de beurt is voor een algemene periodieke keuring (apk), krijgt hij daarvan per e-mail een bericht. Dit soort diensten neemt garagehouders heel wat werk uit handen, omdat het proces wordt geautomatiseerd. RDC heeft afspraken met de Rijksdienst voor het Werkverkeer (RDW) om informatie als vervaldatum van apk-keuringen en NAW-gegevens over de auto-eigenaar te delen. Het gaat om zaken als naam, adres, woonplaats, geboortedatum, telefoonnummer, e-mailadres en kenteken.
Schat aan persoonlijke informatie autobezitters
Kortom, RDC heeft toegang tot een schat aan persoonlijke informatie van autobezitters. Dat maakt het bedrijf een geliefd doelwit van hackers en cybercriminelen. Dat lijkt mogelijk het geval te zijn. Uit onderzoek van de NOS blijkt dat NAW-gegevens, contactinformatie en kentekens van miljoenen Nederlanders zijn gestolen. Deze data is gebundeld in een database en wordt momenteel te koop aangeboden op een hackersforum op het darkweb. De aanvaller vraagt 35.000 dollar voor de gehele database.
Hoeveel mensen exact de dupe zijn van het lek is onbekend. De NOS heeft contact gehad met de hacker. Hij claimt dat het om herleidbare gegevens van 7,3 miljoen Nederlanders gaat. Tegelijkertijd erkent hij dat sommige mensen meerdere keren in de database voorkomen. Het aantal van 7,3 miljoen slachtoffers noemt hij ‘reëel’. Als dat zo is, gaat het om het grootste datalek ooit in Nederland.
Om de data te verifiëren, zocht de NOS contact met degene die de database aanbod op internet. Op deze manier kreeg techredacteur Joost Schellevis een datasample van 58.000 Amsterdammers met een auto of motor. In totaal kreeg de NOS toegang tot 54.000 unieke kentekens. Volgens het medium is een deel van de gegevens verouderd. Zo staan er gegevens in van auto’s die meer dan tien jaar geleden bij een garage zijn geweest. Het woonadres en contactgegevens kloppen mogelijk nog wel.
John Fokker, beveiligingsonderzoeker bij McAfee, vertelt tegenover de NOS dat de gestolen gegevens goud waard zijn voor hackers. “Met één druk op de knop” kunnen cybercriminelen volgens hem zien waar dure auto’s staan. Ze hoeven niet langer de straat op om te verkennen. Met de gegevens weten ze precies wie welke auto rijdt en waar deze persoon woont.
Hoe de data precies is gestolen, is onbekend. In een reactie zegt een woordvoerder van RDC de buitgemaakte data te herkennen. Het bedrijf is direct een onderzoek gestart, dat nog steeds in volle gang is. Het lek is tevens gemeld bij de Autoriteit Persoonsgegevens. De RWD bevestigt dat ze in gesprek is met RDC over het lek. Mogelijk heeft het lek consequenties voor de afspraken over informatie-uitwisseling, maar dat kunnen we nu nog niet met zekerheid zeggen.
De woordvoerder van RDC zegt niets te weten van een recent datalek. Dat is belangrijk, omdat bedrijven en organisaties verplicht zijn om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als de data eerder is gestolen en het bedrijf er nu pas achter komt, heeft ze in ieder geval haar best gedaan om het lek zo snel mogelijk bij de toezichthouder te melden.
Online oplichting
De gestolen informatie is niet alleen interessant voor autodieven. Boeven die mensen online oplichten kunnen hiermee eveneens slachtoffers maken. Met de bemachtigde contactgegevens kunnen ze nietsvermoedende slachtoffers gerichter en persoonlijker benaderen. Hun verhaal komt dan geloofwaardiger over, waardoor meer mensen de dupe worden van oplichtingspraktijken. Wanneer oplichters slachtoffers vragen om privacygevoelige of financiële gegevens door te geven, spreken we van phishing.
De gestolen gegevens kunnen wellicht ook gebruikt worden voor identiteitsfraude. Daarvan is sprake als een hacker zich uitgeeft voor een ander om zo zijn slag te slaan. Een goed voorbeeld daarvan is WhatsApp-fraude, dat ook wel vriend-in-noodfraude wordt genoemd. Een oplichter doet via het chatplatform alsof hij een vriend, familielid, collega of goede kennis is en vraagt zijn slachtoffers om ze voor hem een rekening kunnen betalen. Doen ze dit niet, dan worden zijn financiële problemen nog groter. Maar eenmaal betaald zijn de slachtoffers hun geld kwijt.
Begin deze maand deed zich een vergelijkbaar datalek voor bij Ticketcounter. Dat bedrijf beheert de reserveringssystemen van een groot aantal Nederlandse dierentuinen en attractieparken. Mensen die in de afgelopen jaren online een kaartje hebben gekocht, zijn bekend bij Ticketcounter. Doordat een medewerker per ongeluk de klantgegevens van anderhalf miljoen Nederlanders op een onbeveiligde server had geplaatst, wist de aanvaller veel privacygevoelige informatie te stelen.
De hacker eiste 7 bitcoin om de buitgemaakte gegevens terug te geven, wat begin deze maand een bedrag van bijna drie ton vertegenwoordigde. Sjoerd Bakker, directeur van Ticketcounter, vertelde dat hij niet van plan was om losgeld te betalen. Volgens hem lopen mensen geen direct gevaar, maar adviseerde hen wel om alert te zijn voor phishing activiteiten.
Meer info over ‘datalekken’ of bekijk de weekoverzichten van datalekken.
Keyless hacking (relay hacking)
Door deze mega datalek wordt het wel heel interessant om auto's op bestelling te stelen. Autodieven gaan tegenwoordig slim (of eigenlijk sluw) te werk, ze hebben géén autosleutel of transponder meer nodig om ongemerkt een auto te kunnen stelen. Door middel van geavanceerde hardware kunnen criminelen auto’s –uitgerust met keyless entry– op afstand ontgrendelen. In een mum van tijd en volkomen ongemerkt, zelfs vanaf jouw eigen oprit.
Voor ‘relay hacking’ hoeft men namelijk alléén maar binnen een straal van 6 meter tot jouw autosleutel te geraken. Zelfs de muren van je woning houden keyless entry diefstal niet tegen. Wanneer de crimineel in kwestie binnen het afstandsbereik van 6 meter tot jouw autosleutel staat, heeft hij slechts twee kleine kastjes nodig om jouw auto te stelen: een ontvanger en een zender ten behoeve van RFID: radio frequency identification.
Met de ontvanger wordt het digitale signaal van jouw autosleutel opgevangen. Vervolgens wordt het signaal gekopieerd, versterkt c.q. verlengd en draadloos doorgestuurd naar een zender. Deze zender bootst het signaal na en stuurt het naar jouw auto. Dit fenomeen wordt ook wel ‘relay hacking’ of ‘keyless entry hacking’ of ‘Signal Amplification Relay Attack’ (SARA) genoemd. Zie hieronder een beveiligingscamerafilmpje ter illustratie
Dankzij het nagebootste radiosignaal gaat de auto van het slot en kan hij worden gestart zónder de daadwerkelijke autosleutel met draadloze transponder.
Hoe voorkomen
Thuis locatie
Autodiefstal door middel van radiofrequentie-identificatie van het keyless entry systeem van een auto is relatief gemakkelijk te voorkomen.
- Berg autosleutels met draadloze transponder binnenshuis goed op; liever niet te dicht bij buitenmuren
- Een gemakkelijke en goedkoop middel ter preventie van ‘relay hacking’ is de aanschaf van een stalen sleutelkistje
- Óf bij voorkeur een RFID SECPAC: een beschermhoes voor radiotransponders, bestaande uit 6 lagen die het uitgaande radiosignaal van je autosleutel verstoren c.q. afschermen c.q. blokkeren
Aluminiumfolie blokkeert c.q. verstoort nét als staal het signaal van een draadloze autosleutel, dus bij gebrek aan beters kun je jouw transponder in zilverfolie wikkelen. Zodoende kan het signaal minder gemakkelijk worden opgevangen. Een aluminium opbergblik is overigens ook een prima sleutelopbergplaats; hetzelfde geldt voor een koelkast.
Bovendien is het belangrijk dat je autosleutel zich niet binnen 6 meter van buitenmuren bevindt.
Uit locatie
Stel, je pakt een terrasje of pikt een bioscoopje. Je doet je autosleutel in je broekzak en hebt een gezellige avond. Helaas kunnen criminelen in dezelfde ruimte aanwezig zijn met als doel het signaal van jouw autosleutel op te vangen met een signaalversterker.
Nadat men dit radiosignaal heeft opgepikt, wordt het signaal versterkt en doorgestuurd naar een handlanger. Diegene maakt vervolgens moeiteloos jouw autoportier open en kan onverhoopt wegrijden. Wil je ‘relay hacking’ voorkomen? Dan is er eigenlijk maar één optie: keyless entry in zijn geheel uitschakelen in het computermenu van jouw auto.
Het is óók mogelijk om je auto extra te laten beveiligen. Door het toepassen van een aanvullend autobeveiligingssysteem maak je het autodieven extreem lastig. Zo verklein je de kans op autodiefstal. Een andere optie is om een startonderbreker op je anti-diefstalsysteem te laten installeren. Hiermee kun je jouw auto op afstand blokkeren.
Dit document 'How to prevent keyless car theft' is gekocht, je kunt het wel bekijken, maar wil je het downloaden kun je het artikel kopen voor $1,99 dollar bij WikiHow
Live webinar over car-hacking
Slimmere auto’s en datalekken maken het autodieven makkelijker om in te breken. Wil je hier meer over weten? Bekijk de webinar terug in onderstaande video.
Bron: wikihow.com, goedkopeautoverzekering.nl, nos.nl, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.