Analyse | Datalek RDC: Diefstal waarschijnlijker dan een hack (Update)
Een groot datalek bij RDC deed gisteren enorm veel stof opwaaien. Een NOS-journalist onthulde dat op een hackersforum een dataset met 7,3 miljoen records wordt aangeboden. Van miljoenen autobezitters ligt daardoor veel informatie op straat: van woonadres en telefoonnummer tot en met het kenteken en vin-nummer van de auto.
RDC en moederbedrijf Bovemij concludeerden op basis van eigen onderzoek dat er geen sprake geweest kan zijn van een hack. Het bedrijf heeft inmiddels aangifte gedaan van diefstal van data en schakelde het cybersecuritybedrijf Fox-IT in voor onderzoek naar het datalek. Automotive sprak, op basis van anonimiteit, met mensen met kennis van de materie.
Een van de meest realistische opties die geschetst wordt is dat een (ex-)medewerker van RDC de data heeft gestolen. Tegelijkertijd gaan ze bij de NOS, waar ze vaker achter dataleks zijn gekomen, uit van een ’traditionele’ hack.
Care-Mail
Hoewel RDC meer mogelijke bronsystemen heeft, lijkt zeer aannemelijk dat Care-Mail de bron is van de gegevens die op een hackersforum worden aangeboden. Care-Mail werd in 2010 gekocht van Jan Reneman en wordt onder andere gebruikt voor mailings waarin consumenten wordt gewezen op een onderhoudsbeurt of apk.
De integratie van Care-Mail in RDC verliep stroef. Ongeveer gelijktijdig met de integratie van het mailprogramma nam Bovag een meerderheidsbelang in het toen zwaar verlieslatende RDC. Dat was in 2014; in 2016 werd de datadochter onder Bovemij gehangen. Naast een reorganisatie werd RDC ook verantwoordelijk voor de uitrol van de netwerkstrategie van Bovag en Bovemij; zo bouwde het occasionportal Viabovag. Dat de integratie niet zonder slag of stoot ging, blijkt wel uit het feit dat in de afgelopen jaren naast vier directeuren (Gerrit Schipper, René Louter, Oscar Beumer en Hanneke Hoogweg) ook andere medewerkers vertrokken, waaronder managementleden en veel technisch- en IT-talent, waaronder enkele personen die betrokken waren bij de bouw van Care-Mail.
Technische kennis
De dataset bestaat volgens de NOS-journalist uit gegevens tot en met januari 2019. In die periode vertrokken er dus meerdere mensen – waarvan sommigen wegens grote ‘verschillen van inzicht’ – bij RDC. Dat de data openbaar op internet zou staan, zoals NOS meldde, wordt door diverse ingewijden voor onmogelijk geacht. De dataset lijkt een extract te zijn: in Care-Mail staat veel meer informatie dan in de sample die is aangeboden. Dat suggereert dat er bewust een selectie is gemaakt.
Autobedrijven kunnen kiezen welke klantdata ze willen bewaren. De AP zal ook dat onderzoeken.
Direct betrokkenen stellen dat er veel technische kennis vereist is om data uit Care-Mail te ontvreemden. Het programma is geschreven in de programmeertaal Perl, die op Booking.com na door praktisch geen enkel bedrijf meer wordt gebruikt. Veel kennis van Perl en van Care-Mail lijkt absoluut noodzakelijk om van binnenuit de data te stelen. De RDC doet geen mededelingen over het lopende onderzoek, maar zonder meer zullen ex-medewerkers – zeker die wrok zouden kunnen koesteren – met veel kennis van programmeren bovenaan de lijst van te onderzoeken personen staan. Of dat onderzoek tot het aanwijzen van een verdachte zal leiden, wordt betwijfeld.
RDC merkt in een reactie op dat in de afgelopen 7 jaar er “slechts 2 Perl-developers bij RDC zijn vertrokken. In beide gevallen was absoluut geen sprake van een ‘arbeidsconflict/verschil van inzicht”, aldus de RDC.
Menselijke fout
Ondanks dat er in de logbestanden geen aanwijzingen zijn voor een hack en de RDC volgens de bronnen van Automotive over een goede beveiliging beschikt, kan er door menselijke fouten toch (tijdelijk) toegang tot de data te zijn geweest. Bijvoorbeeld tijdens migraties, zoals in 2019 toen de hardware werd vervangen. Als de data na de migratie onzorgvuldig is gewist op de oude hardware, dan kunnen derden die deze hardware in handen wisten te krijgen ook toegang hebben tot (delen van) de data. Het zou verklaren waarom er maar een deel van de data naar buiten is gekomen. Bij de NOS, en de deskundigen met wie de NOS samenwerkt, noemen ze dit een reëel scenario. Dat baseren ze onder meer op gesprekken met degene die de data heeft aangeboden.
Afhandeling
De RDC heeft aangifte gedaan, Fox-IT ingeschakeld en een Q&A opgesteld die autobedrijven kunnen gebruiken als klanten contact zoeken. Ook zijn er voorbeeldmails opgesteld die naar klanten kunnen worden gestuurd. Het probleem is dat niet bekend is van welke personen welke gegevens op straat liggen. De dataset is voor criminelen een snoeppot. Ook RDC waarschuwt op zijn site uit te kijken voor phishing mails: met de data is het voor criminelen eenvoudig om zich voor te doen als autobedrijf en mensen uit te nodigen om een apk- of onderhoudsafspraak te maken. Tegelijkertijd geeft de dataset een overzicht van de vindplaats van dure voertuigen.
Boete
Ongeacht de uitkomst van het onderzoek – was het een lek of diefstal? – hangt het RDC een hoge boete boven het hoofd. De Autoriteit Persoonsgegevens kan in theorie een boete opleggen van 2 procent van de jaaromzet met een maximum van tien miljoen euro. In het recente verleden werden er boetes opgelegd van honderdduizenden euro’s aan bedrijven en instellingen die onvoldoende hadden gedaan om toegang tot de data door onbevoegden te verhinderen.In de Automotive Livestream van 25 maart gingen we in op het datalek bij RDC.
Tegen een rancuneuze en technisch goed onderlegde (oud-)IT-medewerker is haast geen kruit gewassen. Hoewel het nooit zo zou mogen zijn dat één persoon ongecontroleerd toegang zou kunnen hebben tot alle data van een bedrijf. Wellicht zit daar de crux: RDC biedt met een relatief klein team (ongeveer 130 medewerkers) 35 verschillende producten aan. Hoewel het bedrijf stelt datasecurity hoog in het vaandel te hebben, is het de vraag of al deze verschillende diensten de juiste aandacht hebben gekregen.
Ondanks herhaalde verzoeken maakt RDC tot nu toe geen gebruik van de mogelijkheid om via business-to-businessmedia, zoals Automotive-online, openheid van zaken te geven
Een ander punt van aandacht is dat volgens het onderzoek van de NOS een deel van de data sterk verouderd is en in sommige gevallen teruggaat naar de jaren ’90. Zonder heel goede reden mag een bedrijf data van gebruikers niet zo lang bewaren. In dat geval zal de boete van het AP nog hoger kunnen uitpakken. Betrokkenen stellen dat RDC voor Care-Mail echter werkt als verwerker van de data en zou derhalve niet de verantwoordelijke zijn in het kader van de privacy wetgeving. Hoe lang data bewaard wordt is derhalve een keuze die het autobedrijf maakt en niet het RDC. Zo kan deze zaak ook nog een staartje krijgen voor de autobedrijven. De AP neemt dit mee in zijn eigen onderzoek.
Openheid
Tot slot eist de Autoriteit dat in het pakket van maatregelen er veel aandacht is voor communicatie. Er moet in dit soort gevallen duidelijk worden gecommuniceerd over de aard en vermoedelijke omvang van het datalek. Dat is lastig in deze; zo is nog niet duidelijk van welke en hoeveel consumenten er gegevens op straat liggen. Daar komt nog bij dat RDC meldt AVG-technisch niet de eindgebruikers zelf op de hoogte te mogen stellen. Het bedrijf heeft inmiddels zijn klanten op de hoogte gebracht, inclusief suggesties om de eindklanten op de hoogte te brengen. Helaas heeft het bedrijf tot nu toe geen gebruik gemaakt van de mogelijkheid om via business-to-businessmedia, zoals Automotive-online, openheid van zaken te geven over de ontstane problemen.
Update 29-3
Ex-medewerkers van RDC, die zich in de zaak zijn gaan verdiepen, melden aan Automotive dat het wel degelijk mogelijk was om exports te maken vanuit Care-Mail. Ook commerciële mensen hadden deze mogelijkheid. Zij zeggen dat de dataset die wordt aangeboden een samengestelde dataset lijkt, wat volgens hun zou kunnen betekenen dat iemand gedurende lange tijd losse exports heeft gemaakt en deze uiteindelijk heeft samengevoegd.
