Een onbekend aantal gedupeerden van het datalek bij afvalverwerkingsbedrijf Limburg.net heeft aangifte gedaan bij het parket van Limburg. Zij vinden dat de afvalverwerker hun persoonlijke gegevens onzorgvuldig heeft beheerd en bewaard. Ondertussen doet het parket onderzoek naar de zaak en wijst erop dat het bedrijf mogelijk een hoge geldboete kan verwachten. Dat melden diverse Belgische media, waaronder VRT NWS en Het Laatste Nieuws.
Het datalek bij Limburg.net wordt nu al ‘het grootste datalek in de Belgische geschiedenis’ genoemd. De afvalintercommunale was eind vorig jaar het doelwit van een cyberaanval van de Russische hackersgroep Medusa. Leden van de groep stalen persoonsgegevens van 311.000 huishoudens, waaronder namen, woonadressen en rijksregisternummers, evenals documenten over de fusie van het bedrijf met drie intercommunales in 2005.
Uit onderzoek van data-expert Tim Verheyden bleek dat de hackers ook de hand hebben weten te leggen op documenten van notarissen en rechtbanken. Het gaat om uiterst privacygevoelige informatie. Wat het datalek ‘extra gevaarlijk’ maakt, is dat oplichters deze gegevens kunnen combineren om geloofwaardige phishingcampagnes op te zetten.
De aanvallers eisten 100.000 dollar aan losgeld. In een update bevestigt Limburg.net dat ze geen contact heeft gehad met de hackers en dat ze niet ingaat op het aanbod.
Verder laat de afvalverwerker weten dat er bij de hack 383.000 bestanden zijn buitgemaakt. “Het is een huzarenwerk om al deze files te bekijken. Onze experten zijn ondertussen alle gestolen mappen aan het bestuderen en krijgen steeds meer zicht op de omvang van de data die door de criminelen werden ontvreemd”, zo zegt Limburg.net in een persverklaring.
De afvalintercommunale belooft dat alle inwoners van Belgisch Limburg en de stad Diest antwoord krijgen op hun vragen. “Gezien de omvang van deze cyberaanval kunnen we dit niet onmiddellijk doen. Wij overleggen met onze specialisten over wat een haalbare termijn is om iedereen correct te kunnen antwoorden”, zo zegt het bedrijf.
Bruno Coppin van het parket van Limburg zegt dat de Computer Crime Unit van de Federale Gerechtelijke Politie gerechtelijk onderzoek doet naar de aanval. “Zij gaan onderzoeken wie er achter de hacking zit en het spreekt voor zich dat een grootschalige diefstal van gegevens strafbaar is. Ook mensen die deze gegevens kopen, downloaden, verspreiden of gebruiken zijn strafbaar”, vertelt hij aan VRT NWS.
Daarmee is de kous niet af voor sommigen. Een onbekend aantal slachtoffers heeft aangifte gedaan bij de het parket van Limburg. De data was afkomstig van een oude server die slecht was beveiligd en niet langer op het internet mocht zijn aangesloten.
“Er zijn aangiftes binnengekomen van burgers die erg bezorgd zijn over dit datalek. Zij hebben klacht ingediend tegen Limburg.net voor het onzorgvuldig bewaren en beheren van persoonlijke gegevens. Ook dat zou een inbreuk kunnen zijn op de wet, en ook dat wordt serieus genomen en onderzocht”, aldus Coppin. Tegenover Het Laatste Nieuws zegt hij dat Limburg.net bij vervolging een gevangenisstraf van drie jaar of een geldboete tot 800.000 euro kan worden opgelegd.
Aurélie Waeterinckx, woordvoerster bij de Gegevensbeschermingsautoriteit (GBA), zegt dat de toezichthouder mogelijk gaat onderzoeken of Limburg.net er alles aan heeft gedaan om de persoonsgegevens goed te beschermen. “Bij een hacking of een datalek moeten bedrijven of organisaties ons op de hoogte brengen. Dat heeft Limburg.net ook gedaan. Wij zijn nu alle informatie aan het analyseren en als daaruit blijkt dat er mogelijk overtredingen zijn gebeurd door de afvalintercommunale dan kan de Gegevensbeschermingsautoriteit ook een officieel onderzoek starten”, legt de woordvoerster uit.
