Na het staatsbon-datalek: moet ik mij zorgen maken?
VRT NWS kon vrijdagavond als eerste aan de alarmbel trekken: op de website van het Agentschap voor de Schuld, waar mensen kunnen inteken op de staatsbon zonder tussenkomst van de bank, is een ernstig datalek te vinden. De nieuwsdienst van de openbare omroep kon het lek opsporen na een melding van een anonieme ethische hacker.
Het probleem bevond zich in de inschrijvingstool voor de staatsbon. Die tool werd in 2011 ontwikkeld, na het succes van de toenmalige Leterme-bon. Sindsdien werd er echter niet veel aan de website of aan de tool gewerkt en dat valt er duidelijk aan te zien. Directeur van het Agentschap voor de Schuld, Jean Deboutte, vertelt aan VRT NWS dat de tool “eigenlijk nauwelijks gebruikt” werd. Pas met het succes van de 1-jarige staatsbon en de daarbij horende volkstoeloop werden de problemen op de website duidelijk.
Het datalek
Het lek bevond zich in de inschrijvingstool voor de staatsbons, in de velden waar je persoonlijke informatie moest invullen. Daar kon iedereen het adres van eender welke Belg opvragen, zolang je de naam, geboortedatum en het adres van de persoon in kwestie kent. Door die gegevens correct in te vullen, toonde de tool namelijk automatisch adresgegevens die aan die naam gekoppeld waren. In enkele gevallen kreeg je zelfs de naam van de wettelijke partner te zien. VRT NWS slaagde erin om adresgegevens van Marc van Ranst en Vincent Van Quickenborne op te zoeken via de tool.
Kort na de ontdekking en voor het datalek bekendgemaakt werd, werd het al gedicht. Bovendien wordt onderzocht of er mensen zijn die de tool misbruikt hebben. Dat onderzoek kan wel even duren: elke keer als deze tool beschikbaar kwam om staatsbons aan te schaffen, konden mensen adresopzoekingen doen.
Moet ik mij zorgen maken?
Of je nu intekende op een staatsbon of niet: door persoonlijke gegevens in te vullen kon eenieder je adres opzoeken via de inschrijvingstool op de website van het Agentschap voor de Schuld. Dat klinkt eng, maar is in feite niet zo indrukwekkend. De kans dat iemand jouw naam, adres en geboortedatum in de tool invulde is het over het algemeen zeer klein. Op het moment dat het grote publiek ruchtbaarheid kreeg van het datalek, was het trouwens al gedicht. De media-aandacht voor het lek speelt dus niet in je nadeel.
Datalekken zoals dit zijn bovendien niet erg bruikbaar voor internetcriminelen. In plaats van één voor één namen en adressen op te zoeken, maken zij liever gebruik van grotere datalekken, waar gegevens van meerdere gebruikers in verzameld zijn. De kans dat een hacker of scammer specifieke adressen is gaan opzoeken is dus eerder klein.
Schrik om je geld te verliezen als je intekende op de staatsbon, moet je niet hebben: de betaling loopt namelijk via een beveiligde omgeving. Hiermee werden geen problemen gesignaleerd.
Jezelf wapenen tegen phishing en scammers
Toch kan je nooit zeker genoeg zijn: het is belangrijk om je goed te wapenen tegen scammers en andere mensen met slechte bedoelingen. Krijg je binnenkort een brief in de bus of een e-mail in je inbox die er niet helemaal koosjer uitziet? Controleer dan zeker of je het verzendadres kent en kan vertrouwen. Ook wanneer berichten persoonlijke informatie, zoals je adres, bevatten, is het een goed idee om steeds het verzendadres te controleren. Phishing-aanvallen zien er steeds legitiem uit, maar wie goed oplet vindt steeds iets waaraan die slechte bedoelingen kan herkennen. Een e-mailadres is steeds een goede eerste stap.
Krijg je fysieke post in de brievenbus? Volg dan nooit de links die hierop staan en scan ook nooit QR-codes: je weet namelijk nooit waar je uitkomt. Kreeg je een brief van de bank? Dan heb je diezelfde briefwisseling vast ook digitaal ontvangen. Van die digitale briefwisseling kan je 100% zeker zijn dat ze van je bank komt.