Bij de aanval op de Nederlandse Aardolie Maatschappij (NAM) is ook gevoelige persoonsinformatie buitgemaakt van mensen die zijn gedupeerd door aardbevingsschade, zo heeft demissionair minister Van ‘t Wout van Economische Zaken laten weten op Kamervragen van het CDA.

De NAM gebruikt de Accellion File Transfer Appliance (FTA)-server voor het uitwisselen van bestanden. Afgelopen december maakten aanvallers gebruik van verschillende zerodaylekken om toegang tot FTA-servers van organisaties te krijgen. Nadat er toegang was verkregen installeerden de aanvallers een webshell om hun toegang te behouden en gegevens te stelen. Op 21 december rolde Accellion een hotfix voor de kwetsbaarheden uit.

De afgelopen maanden maakten verschillende organisaties bekend dat ze slachtoffer van een inbraak op hun FTA-server waren geworden. In het geval van de NAM werd de FTA-server gebruikt om het Instituut Mijnbouwschade Groningen (IMG) informatie te verstrekken met gegevens over de afhandeling van waardedalingsclaims. Door de inbraak is deze informatie in handen van aanvallers gekomen. Het gaat om persoons- en adresgegevens van 19.000 personen, zo maakte de NAM in maart bekend.

Minister Van ‘t Wout bevestigt dit: “Voor het overgrote deel betreft het vooral NAW-gegevens, zoals initialen, achternaam, adres en woonplaats en soms ook geboortedatum en -plaats. De gelekte adressen variëren in gegevens: bij tweederde deel van de adressen staat bijvoorbeeld geen naamsinformatie vermeld maar enkel een adres, huisnummer, postcode en plaatsnaam.”

Bij 122 mensen gaat het ook om gevoelige persoonsinformatie, zoals bijvoorbeeld e-mailadressen en telefoonnummers, merkt de minister op. Van zeven mensen staan in de gestolen dataset ook bankgegevens en vaststellingovereenkomsten met de NAM. Deze zeven personen zijn telefonisch door de NAM ingelicht. De overige 115 personen van wie de gevoelige persoonsgegevens zijn gelekt hebben een e-mailbericht of brief van de NAM ontvangen met daarin adviezen en informatie.

De organisatie heeft daarnaast een speciaal telefoonnummer en e-mailadres opengesteld voor de overige 19.000 personen van wie de gegevens werden buitgemaakt. Het NAM ontving in totaal zeventien vragen over het datalek. Mochten slachtoffers van het datalek schade ondervinden, dan kunnen ze de NAM aansprakelijk stellen, aldus Van ‘t Wout.

Source