HELMOND – Persoonsgegevens van honderdduizenden klanten van diverse bedrijven, waaronder bierbrouwer Bavaria zijn op straat gekomen door een openstaande database. Een hacker had beveiliging uitgeschakeld.

Dat blijkt uit informatie waarover NU.nl beschikt.

Een tipgever leverde gegevens af, nadat deze ontdekt had dat op een computer een database van internetdienstverlener Creation Point volledig toegankelijk was. Wie zich aanmeldde als beheerder hoefde geen wachtwoord op te geven om in de database te komen. Daarmee was er effectief geen sprake van beveiliging.

In de database worden veel persoonsgegevens beheerd. Die komen daar via de websites van klanten van reclamebureau Creation Point dat ook voor enkele klanten internetdiensten aanbiedt.

Dat zijn tientallen bedrijven en organisaties, waaronder Bavaria, Last Minute Dining, Raadhuisforum, diverse Golfclubs in vooral Brabant en kleinere ondernemingen. De website van Creation Point was maandagmiddag offline gehaald vanwege de hack.

Bavaria

Alleen in het geval van Bavaria gaat het al om de informatie van 133.000 personen, waarbij naam, e-mail, adres, woonplaats en telefoonnummer zijn gelekt. Bij het spel dopscorer van dezelfde bierbrouwer gaat het om 41.000 klanten. Ook bij de andere spelers kwamen persoonsgegevens voor, maar is het onduidelijk om hoeveel mensen dit gaat.

Na het ontdekken van de problematiek heeft NU.nl de relevante spelers op de hoogte gebracht. Meteen daarop is het lek gedicht, zijn de getroffen organisaties geïnformeerd en is een onderzoek gestart.

Daaruit bleek al snel dat de servers in augustus 2011 verhuisd zijn en er toen zowel een firewall actief was die de databases afschermde als een wachtwoord voor het beheer noodzakelijk was.

Wel beveiligd

“Wat nu duidelijk is, is dat de toegang is geforceerd. Daarna is de beveiliging doorbroken en de firewall neergehaald”, zegt Bas Mulder, eigenaar van Creation Point in een interview met NU.nl. Zijn vermoeden is dat de hacker ook het wachtwoord van de beheerder in de database heeft gewist. “Er stond absoluut geen onbeveiligde machine op internet toen we hem plaatsten.”

Om verdere schade te voorkomen is de machine helemaal van internet gehaald. In totaal zijn er 47 actieve klanten getroffen en nemen een aantal klanten elders dienstverlening af.

De actieve websites worden momenteel verplaatst naar een nieuwe server. Ook zijn databases die niet meer operationeel zijn verwijderd. “We vinden het verschrikkelijk dat de informatie van burgers nu is gelekt en doen er ook alles aan om de gevolgen te beperken.”

Aangifte

Bavaria werkt nauw samen met het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie. Het bedrijf heeft net als Creation Point besloten aangifte te doen van inbraak.

"Bavaria is naast enkele tientallen andere bedrijven gedupeerde van een inbraak die op de server van een leverancier, Creation Point, heeft plaatsgevonden. Op de betreffende server draaiden enkele tientallen websites van vele bedrijven en stonden verschillende bestanden, waaronder die van Bavaria”, zegt Inge van der Heijden, Corporate Communication Manager van Bavaria tegen NU.nl.

Het bedrijf stelt in een reactie dat er een contractuele afspraak was de gegevens te vernietigen. Die afspraak zou niet zijn nagekomen. Bavaria benadrukt dat het alleen om NAW-gegevens gaat.