Het is nog altijd onduidelijk of data van marktonderzoeker Blauw, en daarmee die van klanten als NS en VodafoneZiggo, gestolen zijn bij het datalek van softwareleverancier Nebu. Dat bleek tijdens een kort geding vandaag in de Rotterdamse rechtbank. Die verwacht komende donderdag uitspraak te doen.
“Er is heel veel besproken, maar we weten nog steeds niet om welke data het gaat”, zei Blauw-directeur Jos Vink na afloop. “Dat is heel frustrerend. Nu is alsnog afgesproken dat ze meer informatie gaan geven, laten we hopen dat die ook komt.”
Vorige week werd duidelijk dat gegevens van ten minste twee miljoen klanten hier potentieel bij betrokken zijn. Inmiddels hebben meer dan twintig klanten van marktonderzoekers aangegeven geraakt te zijn. Vandaag meldde warmtebedrijf Ennatuurlijk dat het bij hen om bijna 20.000 klanten gaat, bij Pensioenfonds Zorg en Welzijn om 95.000 klanten. In tegenstelling tot bij pensioenfonds PME gaat het daar niet om inkomensgegevens.
Dat er data zijn gedownload staat vast. Maar 3,5 week na de aanval bleek het voor Nebu nog niet mogelijk om te zeggen of daar klantgegevens van Blauw bij zitten. Nog los van de vraag hoe dit zit bij andere Nederlandse marktonderzoekers.
31 uur toegang
De zaak was juist aangespannen door Blauw om antwoord te krijgen op die vraag. De advocaten van de marktonderzoeker zeiden in hun pleidooi dat er 31 uur lang toegang is geweest tot de systemen van Nebu. In die periode is er gedurende 45 minuten data gedownload.
Welke data, dat konden de advocaten van Nebu niet aangeven. “Nebu heeft alle informatie gegeven waarover het beschikt”, zeiden de advocaten. De softwareleverancier erkende wel dat de communicatie in het begin niet goed is geweest. Volgens het bedrijf is dat vervolgens wel verbeterd. Blauw ziet dat anders.
Medewerkers van het Canadese moederbedrijf van Nebu volgden de zitting via een videoverbinding, er was niemand van het bedrijf fysiek aanwezig. De medewerkers die meeluisterden, lieten het verder over aan de Nederlandse advocaten, die overigens pas gisteravond laat waren ingeschakeld, zo meldde de rechter.
Wachtwoordmanager en rapport
De advocaten van Nebu gaven verder aan dat er een account van een wachtwoordmanager, LastPass, was gehackt. Daardoor was het voor onbevoegden mogelijk geweest om in te loggen bij de softwareleverancier.
Verder bleek er een zes pagina’s tellend rapport te bestaan over de aanval. Die werd tijdens de zitting verstrekt aan Blauw en aan de rechter. De inhoud daarvan is onbekend. De rechter sprak van “bevindingen waar een stuk informatie achterligt”, het zou gaan om bijlagen met bijvoorbeeld forensische bewijzen. Volgens de directeur van Blauw bevat dit rapport voor hen weinig nieuws.
De advocaten van Nebu bevestigden vervolgens dat het rapport alle informatie bevat die bekend is bij Nebu, al kon niet worden uitgesloten dat er achterliggende stukken zijn. De suggestie van de rechter om gezamenlijk forensisch onderzoek te laten uitvoeren, wat meer duidelijkheid zou moeten geven aan Blauw, zagen de partijen niet meteen zitten.
De advocaten van Nebu wilden desgevraagd aan de NOS geen commentaar geven.
Andere marktonderzoekers
De zaak trok ook de aandacht van ten minste twee andere marktonderzoekers. Zij hadden vertegenwoordigers naar de zitting gestuurd, maar waren geen partij. Naast Blauw is in ieder geval ook USP getroffen. Om welke andere partijen het gaat, is nog altijd niet duidelijk.