De Nederlandse Loterij heeft vorige week 1,5 miljoen wachtwoorden gereset van accounts waarop het afgelopen half jaar is ingelogd. Dat is gedaan omdat sinds halverwege maart 12.000 accounts daadwerkelijk zijn gehackt. verduidelijkt een woordvoerder donderdag in gesprek met NU.nl. Daarbij zijn mogelijk privégegevens buitgemaakt.

Onder de Nederlandse Loterij vallen onder meer de Staatsloterij, de Lotto en TOTO. De organisatie is niet zelf gehackt, maar vermoedt dat hackers gebruik hebben gemaakt van hergebruikte wachtwoorden.

Als mensen voor verschillende accounts hetzelfde wachtwoord gebruiken, kan een crimineel toegang krijgen tot meerdere accounts als er bij één dienst een lek plaatsvindt. De Nederlandse Loterij roept mensen met een account nu op om een sterk, uniek wachtwoord te gebruiken.

In de 12.000 gevallen dat iemand onbevoegd toegang heeft gekregen tot een Nederlandse Loterij-account, is geen toegang verkregen tot de digitale portemonnee. In die portemonnee worden gewonnen geldbedragen uitgekeerd. Ook kunnen mensen daar hun tegoed opwaarderen om aan de verschillende loterijen mee te doen.

Wel hebben de hackers mogelijk inzage gekregen in persoonlijke gegevens van het account. Het gaat om namen, e-mailadressen, geboortedata, adresgegevens en het bankrekeningnummer. "Alle gegevens die je normaal ook niet zomaar zou delen", zegt de woordvoerder.

Die gegevens kunnen door criminelen misbruikt worden voor nieuwe aanvallen, zoals phishing. Daarbij benadert een crimineel een potentieel slachtoffer uit naam van een andere organisatie, zoals een bank. Hoe meer gegevens een oplichter in handen heeft, hoe overtuigender het bericht kan overkomen.

Storing bij accounts die wachtwoord wilden resetten

Donderdag had de Nederlandse Loterij ook te maken met een storing in het e-mailsysteem. Gebruikers die hun wachtwoord wilden resetten, kregen daar vervolgens geen bericht van. Dit probleem zou nu opgelost moeten zijn, aldus de woordvoerder.

De Nederlandse Loterij heeft het incident rond de gehackte accounts gemeld bij de Autoriteit Persoonsgegevens en de Kansspelautoriteit, laat de organisatie weten.