Persoonlijke data van 20.000 autokopers gelekt

Vanwege een kwetsbaarheid in de website van AutoCash waren de privégegevens van zo’n 20.000 autokopers voor iedereen te zien. Daarbij ging het onder meer om het salaris en de woonlasten. AutoCash is een kredietverstrekker die aan ongeveer tachtig autodealers in Nederland financiële diensten verleent.

Het betrof zowel kredieten voor kopers als leasers. Het datalek had bovendien niet alleen betrekking op mensen die daadwerkelijk een krediet via AutoCash hebben afgesloten. Ook van mensen die louter en alleen een kredietaanvraag hadden ingediend zonder er uiteindelijk een af te sluiten, zijn privégegevens op straat beland.

Online portaal
De oorzaak van het datalek is het online portaal voor autodealers van de kredietverstrekker. Eenmaal ingelogd, is het mogelijk de data van anderen te bekijken door in de URL een cijfer te wijzigen. Autocash zou geïnformeerd zijn over het lek, maar er in eerste instantie niets aan hebben gedaan. Pas nadat RTL Z recentelijk aandacht aan de zaak besteedde, is de kwetsbaarheid gerepareerd.

Ernstig
Beveiligingsonderzoeker Sijmen Ruwhof omschreef het datalek bij Autocash tegenover RTL als “ernstig”. “Door dit soort gegevens aan een phishingmail toe te voegen, zijn mensen sneller geneigd om bijlages te openen of op linkjes te drukken, waarna de computer met bijvoorbeeld ransomware wordt besmet,” aldus de Beveiligingsonderzoeker. Het is niet de eerste keer dat in deze branche een datalek plaatsvindt. In augustus van dit jaar waren de persoonlijke gegevens van maar liefst 100.000 leasereaders in te zien. Het betrof een lek bij softwarebedrijf CarWise ICT, een ICT-dienstverlener voor autolease en -verhuur.

Aanmelden voor onze nieuwsbrief