De Coen Hagedoorn Bouwgroep, die voor woningcorporaties onderhoudswerkzaamheden aan huurwoningen verricht, heeft huurders gewaarschuwd dat hun gegevens bij een ransomware-aanval mogelijk gestolen zijn. De aannemer werd afgelopen juni het slachtoffer van ransomware, waarbij aanvallers toegang tot systemen kregen. Voor het uitvoerden van onderhoudswerkzaamheden beschikt de bouwgroep over de contactgegevens van huurders.

"Deze aanval leidde tot ongeautoriseerde toegang tot hun systemen en heeft mogelijk gevolgen voor de vertrouwelijkheid van de gegevens die zij beheren, waaronder hun klantenbestand. Het is nog niet duidelijk of ook gegevens van onze huurders gelekt zijn", liet woningcorporatie Vestia destijds weten. Vervolgens stelt de corporatie dat aanvallers gebruikmaken van de gestolen gegevens om e-mails te verzenden.

Woonpartners Midden-Holland liet eind juni weten dat na onderzoek bleek dat er geen datalek is geweest en geen verdachte activiteiten. "Alle systemen werken weer en zijn gecontroleerd", aldus Coen Hagedoorn tegenover de woningcorporatie. In een bericht dat Coen Hagedoorn recentelijk naar huurders stuurde blijkt dat het niet kan uitsluiten dat er toch bij de ransomware-aanval gegevens zijn buitgemaakt.

"Op 15 juni 2023 was er een cyberaanval op ons computersysteem. Wij hebben meteen het datalek gestopt om toegang tot uw gegevens tegen te houden. De kans is zeer klein dat uw gegevens zijn gelekt", aldus de brief die de bouwgroep naar huurders stuurde en waar Security.NL over beschikt. Daarin staat dat voor zover bekend er geen gegevens zijn gelekt. "Toch kunnen we dit niet voor 100% garanderen. We melden de cyberaanval bij de Autoriteit Persoonsgegevens." De mogelijk gelekte gegevens bestaan uit naam, telefoonnummer en e-mailadres van huurders. Hoe de aanvallers toegang tot de systemen konden krijgen is niet bekendgemaakt.

Ransomware is datalek

Wanneer ransomware bestanden heeft versleuteld die persoonsgegevens bevatten is dit een datalek. "Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Eerst moeten de bestanden worden geopend, pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan", zo stelt de Autoriteit Persoonsgegevens (AP).

Wanneer een aanvaller bestanden heeft versleuteld is het volgens de privacytoezichthouder zeker dat een aanvaller toegang heeft gehad tot de bestanden en deze heeft geopend. "En dat betekent ook dat deze crimineel de gegevens in die bestanden heeft kunnen inzien, kopiëren, stelen of manipuleren." Daarnaast moeten organisaties die niet met zekerheid kunnen vaststellen dat er geen gegevens zijn gestolen er niet van uitgaan dat dit niet is gebeurd. "Heeft u geen bewijs dat persoonsgegevens bijvoorbeeld zijn gekopieerd? Dan is dat niet hetzelfde als bewijs dat de persoonsgegevens niet zijn gekopieerd", legt de AP uit.