Hackers hebben de hand weten te leggen op gehashte wachtwoorden van EasyPark-klanten. Zij hoeven zich echter geen zorgen te maken: het bedrijf heeft de wachtwoorden voor alle getroffen klanten gereset toen ze erachter kwam dat er een datalek had plaatsgevonden. De ontwikkelaar van de parkeer-app vraagt gedupeerden om hu wachtwoord te wijzigen als ze deze ook voor andere online platformen gebruiken. Dat schrijft EasyPark in een e-mail aan getroffen klanten, die is ingezien door VPNGids.nl.
Op zondag 10 december 2023 ontdekten IT-medewerkers van EasyPark dat het bedrijf getroffen was door een cyberaanval. De aanvallers wisten uiteenlopende persoonlijke gegevens van een onbekend aantal klanten te bemachtigen, waaronder namen, telefoonnummers, woonadressen en e-mailadressen. Tevens stalen ze enkele cijfers van IBAN- en creditcardnummers. “Geen enkele combinatie van deze gestolen gegevens kan worden gebruikt om betalingen uit te voeren”, zo stelde EasyPark.
Vandaag zegt EasyPark dat uit een interne analyse blijkt dat er ook gehashte versies van wachtwoorden zijn ontvreemd. “Het hashen van wachtwoorden betekent dat een wachtwoord door een algoritme wordt omgezet in een onbegrijpelijke reeks tekens om de vertrouwelijkheid van het wachtwoord te beschermen en het te beschermen tegen ongeoorloofd gebruik”, legt het bedrijf uit. Met andere woorden, voordat hackers wachtwoorden daadwerkelijk kunnen inzien, moeten ze eerst de aangebrachte beveiligingslaag zien te kraken.
Uit veiligheidsoverwegingen heeft EasyPark in december, toen het datalek aan het licht kwam, de wachtwoorden van alle getroffen klanten gereset. Dat was onderdeel van de standaardprocedure die het bedrijf hanteert bij dit soort incidenten.
Hoewel de buitgemaakte wachtwoorden door middel van hashing zijn beveiligd en gereset, adviseert EasyPark haar klanten om hun wachtwoord voor andere online platformen te veranderen als ze daar hetzelfde wachtwoord gebruiken. “Een andere manier om je wachtwoord veilig en uniek te houden is door middel van een wachtwoordmanager”, geeft het bedrijf mee als tip.
“We doen er alles aan om je vertrouwen terug te winnen door je gegevens te beschermen en we betreuren het ongemak dat mogelijk is veroorzaakt”, zo eindigt EasyPark haar e-mail aan getroffen klanten.
Van meet af aan benadrukt EasyPark dat er geen gevoelige gegevens zijn gestolen. “De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd en we willen benadrukken dat er geen parkeergegevens met betrekking tot locatie, voertuigregistratie of parkeersessies zijn blootgesteld”, zei het bedrijf afgelopen weekend in het consumentenprogramma Kassa.
EasyPark kreeg met dit standpunt flink wat kritiek te verduren. Experts vonden dat het bedrijf het incident bagatelliseerde.
