Een hacker verkoopt op een forum op het dark web een dataset met privacygevoelige gegevens van meer dan honderd miljoen mensen. Hij claimt dat de informatie afkomstig is van de servers van T-Mobile. De provider onderzoekt de uitspraak van de hacker. Dat schrijft de Amerikaanse techsite Motherboard, die contact heeft gehad met de verkoper.
De gestolen dataset bevat uiteenlopende persoonlijke gegevens, waaronder namen, adressen, IMEI-nummers, gegevens van rijbewijzen, en social security numbers (burgerservicenummers). De aanvaller heeft een sample van de dataset opgestuurd naar de redactie van Motherboard. Die bevestigt dat de gegevens echt zijn en accurate informatie bevatten van T-Mobile klanten.
In een chatgesprek met de techsite vertelt de hacker dat de gegevens afkomstig zijn van verschillende slecht beveiligde servers van T-Mobile. Op dit moment heeft de dader niet langer toegang tot de servers van het bedrijf. Hij vermoedt dat T-Mobile de backdoor heeft ontdekt die hij had aangebracht en gesloten heeft. Maar niet voordat hij klantgegevens van meer dan honderd miljoen klanten had buitgemaakt. Bovendien heeft hij meerdere back-ups van deze data gemaakt.
Op een hackersforum op het dark web vraagt de aanvaller een bedrag van zes bitcoin voor een subset van dertig miljoen social security numbers en rijbewijzen. Tegen de huidige koers komt dat neer op ruim 240.000 euro.
In een reactie tegenover Motherboard zegt T-Mobile dat ze op de hoogte is van de claim van een groot datalek. “Wij zijn op de hoogte van beweringen op een ondergronds forum en onderzoeken momenteel de validiteit ervan. We hebben op dit moment geen aanvullende informatie te delen”, zo vertelt een woordvoerder van het bedrijf. De provider weigerde in te gaan op vervolgvragen van de techsite.
Voor zover bekend zin er geen persoonsgegevens van Nederlandse T-Mobile klanten buitgemaakt en heeft het bovenstaande verhaal enkel betrekking op Amerikaanse klanten. De provider kwam begin dit jaar in opspraak vanwege een samenwerkingsverband met het Centraal Bureau voor de Statistiek (CBS).
T-Mobile deelde namelijk tussen januari 2018 en april 2020 niet-geanonimiseerde locatie- en belgegevens van klanten met onderzoekers van het CBS. Op het hoofdkantoor van de provider werkten in deze periode vijf medewerkers van het statistiekbureau om een algoritme te ontwikkelen dat met locatiedata het mobiliteits- en verblijfsgedrag van Nederlanders zou kunnen meten.
De CBS-medewerkers hadden ‘volledige toegang’ tot niet-geanonimiseerde locatiedata van klanten. Met deze gegevens is het mogelijk om te achterhalen waar gebruikers zich bevonden toen ze een telefoontje pleegden. Tevens konden de onderzoekers zien wanneer en met wie iemand contact had.
Klanten van T-Mobile werden niet ingelicht over de samenwerking met het CBS. Het Agentschap Telecom en Autoriteit Persoonsgegevens waren eveneens niet op de hoogte van het samenwerkingsverband tussen het telecombedrijf en het statistiekbureau. In een reactie lieten beide toezichthouders weten dat dit nooit ter sprake is gekomen tijdens reguliere overleggen. Ze willen dan ook dat de onderste steen boven komt. Verschillende fracties in de Tweede Kamer stelden schriftelijke vragen aan demissionair minister voor Rechtsbescherming Sander Dekker, minister van Economische Zaken en Klimaat Bas van ’t Wout en staatssecretaris aan hetzelfde ministerie Mona Keijzer.
