Duizenden gestolen Nederlandse paspoorten gepubliceerd op dark web

Het gaat in totaal om ruim 5100 digitale kopieën van identiteitsbewijzen die op het dark web zijn gepubliceerd. RTL Nieuws monitorde een jaar lang alle ransomware-aanvallen en de data die daarbij zijn gestolen, en brengt voor het eerst de daadwerkelijke schade van deze vorm van cybercriminaliteit in kaart.

Ook andere zeer gevoelige documenten van vele duizenden Nederlanders, zoals rekeningafschriften, salarisstroken en echtscheidingspapieren, zijn op het dark web te vinden. Met deze documenten kunnen kwaadwillenden identiteitsfraude plegen en op jouw naam een bankrekening, lening of telefoonabonnement zetten. 

RTL Nieuws sprak met gedupeerden en het merendeel wist niet dat zijn of haar gevoelige gegevens en documenten op het dark web staan. Zij vrezen nu dat hun identiteit vroeg of laat wordt misbruikt door criminelen.

Documenten op het dark web

De gegevens zijn te vinden op het dark web, het ondergrondse deel van het internet waar veel criminaliteit plaatsvindt. De documenten zijn buitgemaakt bij ransomware-aanvallen. Als een bedrijf weigert losgeld te betalen, publiceren de criminelen de gestolen gegevens. Alleen al daarmee dreigen zorgt ervoor dat veel bedrijven toch betalen.

Niet alleen de digitaal gegijzelde bedrijven zijn slachtoffer van deze criminelen. Ook medewerkers en klanten zijn de dupe omdat veelal hun privégegevens worden gestolen en gepubliceerd. Zij krijgen te maken met identiteitsfraude, hacks en oplichting, omdat ze een gemakkelijker doelwit zijn - hun hele digitale leven ligt immers op straat. 

De hoeveelheid gestolen documenten baart ook de Autoriteit Persoonsgegevens 'grote zorgen' omdat de gevolgen voor slachtoffers 'bijzonder ingrijpend' kunnen zijn.

Gedupeerden weten van niets

Veel gedupeerden zijn niet op de hoogte dat hun privéinformatie en gevoelige documenten zijn gestolen. Zo ook bij Teun*: zijn paspoortkopie, bankrekeningafschrift en loonstrook - documenten die bij criminelen zeer gewild zijn - staan op het dark web. "Ik schrik hier enorm van", vertelt hij aan RTL Nieuws. "Dit had ik moeten weten, want dan had ik actie kunnen ondernemen."

Teun leverde deze documenten aan bij een hypotheekverstrekker die slachtoffer werd van ransomware. Daar dachten ze echter dat de cyberaanval wel meeviel: hun IT-leverancier, het bedrijf dat de computers regelt, zei dat er 'mogelijk gevoelige gegevens van klanten' waren gestolen bij 'een cyberincident'. 

De hypotheekverstrekker koppelde dat summiere bericht terug naar een deel van de klanten, een ander deel kreeg helemaal geen mail. "Super stom, gewoon vergeten", zegt een medewerker. "De mail stond nog in mijn concepten."

Onderzoek naar bedrijven

Omdat e-mails over datalekken vaak algemeen zijn geformuleerd (Uw privégegevens zijn mogelijk gestolen bij een cyberincident) weten gedupeerden vaak niet wat precies is gestolen en hoe gevaarlijk dat is. 

De Autoriteit Persoonsgegevens bevestigt aan RTL Nieuws dat het recentelijk een onderzoek is gestart naar bedrijven die gedupeerden van een datalek niet goed informeren. "Dit gebeurt mede naar aanleiding van concrete tips en klachten van mensen", laat een woordvoerder weten.

Echtscheidingspapieren

Een aantal mensen heeft wel een mail van de hypotheekverstrekker ontvangen dat hun gegevens mogelijk zijn gestolen. "Maar dan ga je uit van je emailadres of je geboortedatum", vertelt Anne*, een andere gedupeerde. "Niet een kopie van je paspoort of je salarisstrook."

Bij Anne werden ook haar echtscheidingspapieren gestolen, met daarin gevoelige details over de omgangsregeling voor haar kind, en een uitdraai van haar spaarrekening. Daar staat een ton op. "Dat heb ik nu voor de zekerheid op een andere rekening gezet."

Tientallen bedrijven slachtoffer

De afgelopen maanden zijn er vele tientallen Nederlandse bedrijven slachtoffer geworden van een ransomware-aanval. Een deel daarvan heeft het losgeld betaald, waarna de gegijzelde systemen weer toegankelijk werden gemaakt en de gestolen gegevens niet op het dark web zijn gepubliceerd.

Ruim dertig Nederlandse bedrijven hebben niet betaald. Bij hen zijn gemiddeld 160 kopieën van identiteitsbewijzen, meestal van werknemers of klanten, gestolen. Het gaat om bedrijven uit allerlei sectoren, van transport en financiële dienstverlening tot zorg. 

Een aantal gehackte bedrijven die RTL Nieuws sprak, wilde best betalen maar wist niet hoe: de afpersingsmail van de hackers was per ongeluk in de spamfolder beland.

Paspoorten doorverkocht

De gestolen documenten worden inmiddels gebundeld en doorverkocht aan andere cybercriminelen. Dit gebeurt op criminele fora op het normale internet en chatapps als Telegram en Snapchat. 

De bundels met documenten, ingericht om identiteitsfraude mee te plegen, kosten tussen de enkele tientallen tot honderden euro's. Een criminele verkoper stelt dat de bundels 'in trek' zijn en hij ze regelmatig verkoopt.

'Niemand kon me helpen'

Teun zocht contact met allerlei instanties voor hulp, maar werd naar eigen zeggen van het kastje naar de muur gestuurd: "De politie kon me niet helpen, want het waren Russische cybercriminelen die mijn data hadden gestolen. En ze konden de documenten niet van het dark web halen."

"Ik voelde me machteloos, en je merkt dat je echt op jezelf bent aangewezen", vertelt Teun. "Nog steeds voel ik diezelfde onrust in mijn lichaam, omdat je niet weet wanneer er misbruik wordt gemaakt van je gegevens."

Alleen al vorig jaar waren er meer dan 7000 meldingen van identiteitsfraude, zo blijkt uit cijfers van het Centraal Meldpunt Identiteitsfraude. In totaal werd er meer dan 12.000 keer aangifte gedaan van cybercrime - zo'n 1000 aangiften per maand.

Inbreuk op je privacy

Volgens Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit, kunnen de gegevens niet alleen worden misbruikt door criminelen - zo'n datalek is ook een inbreuk op je privacy. "Dit zijn echt gevoelige data, want veel mensen vertellen liever niet wat hun exacte salaris is. De gelekte gegevens over bijvoorbeeld een vechtscheiding zijn nog pijnlijker."

De Europese privacywet eist dat organisaties persoonsgegevens goed beveiligen en niet langer bewaren dan noodzakelijk. Borgesius: "Het is sowieso een goed idee om deze gegevens snel te verwijderen, bijvoorbeeld nadat de hypotheekaanvraag is afgerond. Als de organisatie de gegevens niet meer heeft, kunnen ze ook niet meer lekken of gestolen worden."

De Autoriteit Persoonsgegevens biedt op zijn website tips voor slachtoffers van een datalek. Teun heeft veel gehad aan het contact met het Centraal Meldpunt Identiteitsfraude: "Daar kreeg ik goede tips en adviezen, en kun je ook gelijk identiteitsfraude melden. Ik voelde me daar echt gehoord."

Wat kun je zelf doen?

Allereerst: voorkomen is beter dan genezen. Wees ervan bewust wanneer je gevoelige gegevens deelt, zoals een kopie van je identiteitsbewijs. Is het wel nodig dat je daar een foto van deelt met vrienden omdat ze een vlucht voor je boeken? (Antwoord: nee).

Als je toch dit soort gevoelige gegevens moet opsturen, zorg er dan voor dat je de kopie zo goed mogelijk beveiligt. Dat houdt in: gevoelige informatie wegstrepen en altijd een watermerk erop zetten met het doel van de kopie. Bijvoorbeeld: kopie ID voor contract, met de datum erbij. Zo'n veilige kopie kun je maken met de gratis app KopieID.

Ook kun je bij organisaties een verzoek tot verwijdering van jouw gegevens indienen. Hoe je zo'n verzoekt indient lees je op de website van de Autoriteit Persoonsgegevens.

Als jouw gegevens dan toch zijn gelekt, is het belangrijk om te welke gegevens het precies gaat. Dat kun je opvragen bij de organisatie waar de gegevens zijn gelekt. Dan is het belangrijk om alert te zijn op vreemde berichten en post, en verdachte inlogpogingen. Ook is het verstandig om bij BKR te bekijken of er er onbekende kredietregistraties op jouw naam zijn binnengekomen.

Indien je slachtoffer bent van identiteitsfraude kun je aangifte doen bij de politie en melding maken bij de Centraal Meldpunt Identiteitsfraude.

* De volledige namen van Teun en Anne zijn bekend bij de redactie