Door een slecht beveiligde cloudomgeving had iedereen toegang tot de persoonlijke gegevens van 60.000 klanten van juweliersketen Brandfield. Experts vinden dat de sieradenverkoper nalatig is geweest. Brandfield gaat gedupeerden vandaag informeren over het datalek. Dat meldt BNR na eigen onderzoek (1). De redactie gebruikte de scantool Gray Hat Warfare en identificeerde hiermee vijftig Nederlandse servers die voor iedereen in te zien waren.
Volgens Brandfield ging het om een back-up van klantgegevens op een Google Cloudserver. Deze was niet goed afgeschermd, waardoor iedereen zonder wachtwoord bij de data kon. De betreffende cloudserver is afgelopen vrijdag afgesloten van het internet. Het incident is tevens gemeld bij de Autoriteit Persoonsgegevens.
Operationeel directeur Bas Beukers zegt enorm geschrokken te zijn van het voorval. “We hebben ook interne audits gedaan om te kijken of er nog meer van dit soort lekken zijn, maar dat was gelukkig niet zo”, zegt hij in een reactie tegen BNR. Hoelang de gegevens vrij toegankelijk waren en waarom ze niet beveiligd waren, is onbekend. Beukers zegt dat daar momenteel onderzoek naar wordt gedaan.
“We zijn er niet blij mee. Maar laat dit een waarschuwing zijn voor anderen”, aldus Beukers. Iedereen die betrokken was bij het datalek wordt vandaag geïnformeerd door Brandfield. Het gaat om zo’n 60.000 klanten die van 2018 tot en met 2020 een bestelling hebben geplaatst bij de juwelier.
Beveiligingsexperts vertellen tegenover BNR dat Brandfield ernstig tekort is geschoten. Volgens Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit Nijmegen, had de juweliersketen de data beveiligd moeten opslaan. “Als je persoonsgegevens opslaat, moet je deze goed beschermen”, zo zegt hij. Cybersecurityspecialist Joost Gijzel van DataExpert zegt dat er sprake is van ‘grove nalatigheid’.
“Opslagplekken in de cloud zijn juist beter beveiligd dan traditionele opslag. Maar je moet dan wel zelf ervoor zorgen dat niet zomaar iedereen toegang heeft”, meent Simon Besteman, directeur van de Dutch Cloud Community.
Dave Maasland, CEO van cybersecuritybureau ESET Nederland, benadrukt dat de gegevens die zijn buitgemaakt ‘een goudmijn’ zijn voor cybercriminelen. Volgens hem kunnen de buitgemaakte gegevens goed gebruikt worden voor phishingaanvallen om klanten op te lichten. “Als je een mail krijgt over een gouden ketting die je in 2020 hebt besteld, ben je toch geneigd daarop te klikken”, aldus Maasland.
Hij is te spreken over de openheid van Brandfield. “We moeten er met z’n allen voor zorgen dat er meer bewustwording wordt gecreëerd, zodat datalekken die voorkomen hadden kunnen worden in de toekomst ook echt voorkomen worden”, zo vertelt Maasland tegenover BNR.
Brandfield is een Nederlandse juweliersketen die voornamelijk online actief is. Het bedrijf verkoopt meer dan 12.000 soorten sieraden, horloges, tassen, portemonnees, zonnebrillen en andere accessoires van 150 merken. Naast een webshop heeft Brandfield ook twee fysieke locaties, namelijk in Breda en Eindhoven.
(1) https://www.bnr.nl/nieuws/binnenland/10540897/groot-datalek-bij-juweliersketen-brandfield-een-goudmijn-voor-criminelen
