Bij webshop Allekabels.nl zijn de privégegevens van 3,6 miljoen klanten gestolen, waaronder e-mailadressen, namen, adresgegevens, telefoonnummers, geboortedata en versleutelde wachtwoorden. Verder gaat het ook om 109.000 IBAN-nummers van Allekabels-klanten, meldt RTL Nieuws op basis van eigen onderzoek.

De database van de webwinkel werd in januari van dit jaar op internet te koop aangeboden voor een bedrag van 15.000 euro. De advertentie is verwijderd, wat zou suggereren dat de dataset is verkocht. Volgens RTL maken criminelen inmiddels actief misbruik van de gestolen data door phishingmails te versturen of op accounts in te breken.

De gestolen data bestaat uit 2,6 miljoen e-mailadressen en versleutelde wachtwoorden van klanten die direct bij Allekabels.nl bestelden. De overige 1 miljoen klanten bestelden via webshops als Amazon en Bol bij Allekabels. Van hen zijn geen inloggegeven gelekt, maar wel andere persoonsgegevens.

In februari van dit jaar waarschuwde Allekabels voor een datalek waarbij de gegevens van vijfduizend klanten waren gestolen. De webshop liet destijds weten dat een medewerker “vermoedelijk vanuit een thuiswerksituatie” excessief klantgegevens had opgehaald.

De aanvaller achter de inbraak laat tegenover RTL Nieuws weten dat hij vorig jaar augustus bij Allekabels heeft ingebroken en de webshop hiervan op de hoogte is. “Dit is compleet nieuw voor ons”, laat Constantijn Souren van Allekabels in een reactie op het datalek weten. De webshop zegt dat het destijds heeft geprobeerd om contact te krijgen met de persoon die de gestolen klantendatabase aanbood, maar dat dit niet is gelukt. De webwinkel is een onderzoek naar de inbraak gestart.

Sommige klanten vermoeden dat Allekabels al eerder afwist van de inbraak, omdat ze op specifieke voor de webshop aangemaakte e-mailadressen phishingmails en spamberichten ontvingen. RTL Nieuws nam contact op met dertig mensen in de database. Alle benaderde klanten met een uniek Allekabels-adres blijken in februari door Allekabels te zijn gewaarschuwd dat hun gegevens door de medewerker waren gestolen.

De Autoriteit Persoonsgegevens heeft Allekabels nu om opheldering gevraagd. Onlangs legde de toezichthouder Booking.com nog een boete van 475.000 euro op voor het te laat melden van een datalek.

Source