Foto:  Peter Hilz
Cybercriminaliteit

Gegevenslek Belfius-klanten: ‘Geen veiligheidsprobleem bij bank zelf’

Op een forum voor datalekken werden 300.000 gegevens van Belfius-klanten aangeboden, meldde technologiesite DataNews. Van een handvol klanten stonden het adres en telefoonnummer al online. De data zouden zijn gelekt via een medewerker van een callcenter, en de verkoper heeft intussen het aanbod verwijderd.

Technologiesite DataNews bracht vanmorgen uit dat een hacker de gegevens aanbod van 800.000 klanten van een Spaanse bank en 300.000 klanten van een Belgische bank. Op basis van de testdata die de dader vrijgaf, kon het magazine afleiden dat het om klanten van Belfius ging.

De aangeboden dataset bevatte onder meer de voor- en achternaam van een klant, het volledige adres, telefoonnummer(s), geboortedatum, rekeningnummer en IBAN. Wel bevatte de voorbeelddata verschillende dubbele records, waardoor het werkelijk aantal getroffen klanten mogelijk iets lager ligt. De lijst bevat geen financiële details zoals rekeningstanden of transacties.

De dader beweerde dat de gegevens afkomstig waren uit callcenters en dat het om gegevens ging die dit jaar nog niet eerder zijn verspreid.

   • ‘Niet onderhandeld en niets betaald’: mysterie rond Antwerpse hacking blijft

Nadat het lek bekendraakte, onderzocht Belfius de zaak. De bank komt tot de conclusie dat er geen link is tussen de systemen van de bank en de gelekte gegevens. Dat zegt de chief technology officer van de bank, Bram Somers, maandagavond. ‘Dit bevestigt dat er geen veiligheidsproblemen zijn bij Belfius. Het gaat om een breder probleem, geen lek van ons.’

Turks of Kosovaars callcenter

Volgens ethische hacker Inti De Ceukelaire, die zelf onderzoek deed naar de zaak, zou de informatie gelekt zijn door een interne medewerker van een Turks of Kosovaars callcenter, schrijft hij op Twitter. Naast gegevens van Belfius-klanten, zou het ook onder meer om gegevens van ING-klanten gaan.

‘Dit wil niet zeggen dat die callcenters in opdracht van de banken werken’, aldus De Ceukelaire. ‘Verkoper heeft het over Belfius en ING op basis van de SWIFT/BIC code - zulke financiële gegevens slaan heel wat bedrijven op zonder dat die daarom rechtstreeks van de bank afkomstig zijn.’

‘Het gaat niet om een callcenter dat werkt in opdracht van Belfius’, zegt Somers ook. Mogelijk zijn de gegevens verzameld via online aankopen en is het toeval dat in de testdata enkel Belfius-klanten staan.

De bank blijft de situatie op de voet opvolgen en blijft haar klanten waarschuwen voor phishing, klinkt het nog.

Ook ING laat weten dat er geen beveiligingsproblemen zijn bij de bank. ‘We hebben de situatie onderzocht en gesproken met onze IT-mensen en we hebben geen beveiligingsproblemen vastgesteld’, zegt woordvoerder Gianni De Muynck. ‘We onderzoeken de zaak verder en vragen de klanten om waakzaam te blijven voor mogelijke phishing.’

Wist je dat je ook zonder abonnement elke maand 3 betalende  plus-artikels kunt lezen?

Meld je aan en lees gratis ›

Vul je e-mailadres en wachtwoord in

Aangeboden door onze partners
Aangeraden