Het lek werd ontdekt door een beveiligingsonderzoeker, die vervolgens contact opnam met NU.nl. De onderzoeker had via Google ontdekt dat er een lek in online huishoudboekje Bankingtools zat.
Door het lek was in ieder geval de database met gebruikers van Bankingtools beschikbaar. Daarin staan namen, adressen, e-mailadressen, abonnementen voor de dienstverlening, contacten met de helpdesk en de IBAN-bankrekeningnummers.
Gevoelige gegevens
De combinatie van juist die gegevens is gevoelig, omdat daarmee identiteitsdiefstal te plegen valt. Een kwaadwillende die de juiste wegen bewandelt, kan bij niet-oplettende gebruikers onterechte incasso’s uitvoeren.
Invers benadrukt dat het alleen om abonnementsgegevens van Bankingtools gaat. De online clouddienst Kasboek, ook van Invers, is op geen enkele manier verbonden met Bankingtools. “Er is heel bewust geen koppeling gemaakt tussen beide systemen”, aldus Invers-oprichter Bart den Hollander tegenover NU.nl.
Digitale recherche
Het bedrijf bevestigt in de week voor kerst te zijn gehacked. Daarbij zijn ook gegevens verdwenen. “Een bewuste server is helemaal weggegooid, leeg gemaakt”, stelt Den Hollander. “Daarom hebben we het bij de digitale recherche neergelegd en laten we ons daardoor bijstaan. Wat moeten we nu doen? Wij hebben die ervaring niet.”
Nader onderzoek van Invers leerde echter dat niet de server was leeggemaakt, maar dat logboeken verdwenen zijn. Daarmee is duidelijk dat er breed toegang tot de systemen is geweest. De ontdekker van het lek ontkent iets te hebben weggegooid en suggereert dat er kennelijk meer partijen toegang hebben gehad en de logboeken hebben weggegooid.
Waarschuwen
De beveiligingsonderzoeker die het lek ontdekte, waarschuwt dat er meer manieren zijn om in te breken bij de systemen van Invers. Het bedrijf zelf ontkent dat en zegt dat er geen sporen zijn die aantonen dat dat waar is.
Invers is bij monde van oprichter Den Hollander wel “met de neus op de feiten gedrukt”. Het bedrijf heeft een beveiligingsfirma in de arm genomen, de systemen opnieuw opgezet en fouten daaruit verwijderd. Ook zijn de klanten door het bedrijf geïnformeerd.
Het lek is op de valreep van 2015 naar buiten gekomen. Een bedrijf dat vanaf 1 januari 2016 een lek ontdekt, is bij wet verplicht de Autoriteit Persoonsgegevens (het voormalige College Bescherming Persoonsgegevens) in te lichten. Als gebruikers risico lopen dan moeten ook zij worden geïnformeerd. Ook kan de toezichthouder onder de nieuwe wet forse boetes opleggen.