Bol.com zegt geen tekenen van een hack te zien, terwijl op het darkweb een dataset wordt aangeboden die van het bedrijf zou zijn. De advertentie dook deze week op in een forum waar datadumps worden verhandeld. Het is nog onduidelijk of de gegevens echt zijn en hoe ze zijn verzameld. De kwestie raakt Nederlandse klanten en valt onder de Europese privacyregels (AVG).
Dataset op darkweb aangeboden
Op een handelsplaats op het darkweb wordt een dataset aangeboden die zou horen bij accounts van Bol.com. De aanbieder claimt toegang te hebben tot klantinformatie, maar levert publiek geen sluitend bewijs. Er is op het moment van schrijven geen onafhankelijke verificatie van de herkomst of juistheid.
Het darkweb is een afgeschermd deel van het internet, bereikbaar via speciale software zoals Tor. Het wordt gebruikt voor anonieme communicatie, maar ook voor illegale handel in data. Daardoor verschijnen er vaker dubieuze aanbiedingen met grote woorden en weinig controleerbare details.
Voor potentiële kopers is het vaak moeilijk te beoordelen of zo’n dataset echt is. Criminelen publiceren soms kleine voorproefjes, maar die kunnen ook uit oude lekken komen. Hierdoor blijft onduidelijk wat de werkelijke impact is.
Bol ziet geen hacksporen
Bol.com meldt op het moment van schrijven geen aanwijzingen te hebben voor een inbraak in de eigen systemen. Het bedrijf zegt de signalen te onderzoeken en extra te monitoren. Over de inhoud van het onderzoek zijn geen details gedeeld.
De e-commercepartij werkt doorgaans met beveiligingspartners voor detectie en respons. Zulke onderzoeken kijken naar verdachte inlogpatronen, dataverplaatsingen en misbruik van API’s, een koppelvlak tussen systemen. Zolang die controles niets opleveren, blijft de bron van de aangeboden dataset onzeker.
Mocht er alsnog sprake blijken van een datalek met risico voor personen, dan moet Bol betrokkenen en de toezichthouder informeren. Dat volgt uit de regels van de AVG. Het bedrijf zegt daaraan te zullen voldoen als dat nodig is.
Mogelijke herkomst gegevens
Een veelvoorkomende verklaring bij zulke aanbiedingen is credential stuffing. Dat is het misbruiken van wachtwoorden uit eerdere datalekken bij andere diensten, in de hoop dat gebruikers dezelfde inloggegevens hergebruiken. Zo ontstaan lijsten met geldige logins zonder dat één specifiek bedrijf direct is gehackt.
Een andere route is een lek bij een externe leverancier of integratiepartner. Webwinkels werken met logistieke, marketing- en betaalpartijen, wat extra risico geeft in de keten. Als daar iets misgaat, kunnen klantgegevens indirect op straat komen te liggen.
Er zijn ook verkopers die oude of samengevoegde databestanden als “nieuw” presenteren. Daarmee proberen zij de waarde kunstmatig op te voeren. Zonder technische verificatie is het verstandig claims met scepsis te bekijken.
Meldplicht onder de AVG
In de Europese Unie geldt de Algemene verordening gegevensbescherming (AVG). Bij een datalek met risico voor personen moet een organisatie dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Getroffen personen moeten een duidelijke waarschuwing krijgen met praktische adviezen.
De plicht geldt alleen als er echt sprake is van een inbreuk op persoonsgegevens, zoals namen, adressen of accountdata. Als een melding uitblijft, kan dat betekenen dat een onderzoek nog loopt of dat er geen risico is vastgesteld. De AP kan achteraf toezicht houden en ingrijpen bij overtredingen.
Boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van ernst en nalatigheid. Naast geldstraffen weegt reputatieschade zwaar. Daarom ligt transparantie richting gebruikers voor de hand zodra feiten vaststaan.
De AVG vereist dat ernstige datalekken binnen 72 uur na ontdekking worden gemeld bij de nationale toezichthouder.
Risico’s voor klanten en winkels
Voor klanten ligt vooral phishing en accountovername op de loer. Met combinatiegegevens zoals e-mail en wachtwoord kunnen aanvallers inloggen of gerichte nepmails sturen. Extra controle op bestellingen en leveradressen kan tijdelijk toenemen.
Voor webwinkels betekent dit hogere kosten voor monitoring en klantenservice. Fraudedetectie, vaak ondersteund door algoritmen, kan strenger worden ingesteld. Dat kan ook leiden tot meer handmatige controles en vertraging bij bestellingen.
De Autoriteit Persoonsgegevens is in Nederland het aanspreekpunt bij datalekken. Consumenten kunnen daar melding doen als zij vermoeden dat hun data onzorgvuldig is verwerkt. Bedrijven moeten kunnen aantonen welke beveiligingsmaatregelen zij hebben genomen, zoals versleuteling en toegangsbeheer.
Wat gebruikers nu kunnen doen
Wijzig uw wachtwoord bij Bol als u dat nog niet heeft gedaan, en gebruik een uniek en sterk wachtwoord. Een wachtwoordmanager kan helpen om unieke combinaties te bewaren. Hergebruik geen wachtwoorden tussen diensten.
Schakel tweestapsverificatie in als Bol die optie aanbiedt. Dat is een extra beveiligingslaag via een code of app. Controleer ook of uw e-mailaccount goed is beveiligd met herstelopties en sterke verificatie.
Wees alert op phishingmails die zich voordoen als berichten van Bol of bezorgdiensten. Klik niet zomaar op links en controleer het webadres. Controleer periodiek via betrouwbare diensten of uw e-mailadres voorkomt in bekende datalekken.
