Van 450.000 mensen zijn de gegevens gelekt via een hack in het klantenbestand bij een leverancier van de Nationale Goede Doelen Loterijen. Eerder gingen de loterijen nog uit van 600.000 slachtoffers.
In een advertentie in de maandagkrant van verschillende dagbladen bieden de Nationale Goede Doelen Loterijen hun excuses aan voor een hack in het klantenbestand. Door het lek kon een hacker die de naam ‘Ndevnull’ gebruikt persoonsgegevens inzien.
Het gaat om naam, adres en mogelijk telefoonnummer, mailadres en geboortedatum van ongeveer 600.000 deelnemers, zo zeggen de loterijen in de advertentie.
Uit een latere telling in het weekend bleek het echter om 400.000 mensen te gaan, aldus de loterijen later in een mondelinge toelichting. In maximaal 900 gevallen is ook het rekeningnummer bemachtigd.
Ethische hacker
De gegevens zijn waarschijnlijk niet op straat beland. De inbreker is een zogenoemde ethische hacker, een computerspecialist die veiligheidslekken opspoort en meldt aan bedrijven of instanties.
"Hij heeft ons verzekerd dat die data nergens anders terecht zijn gekomen", benadrukt Marieke van Schaik, managing director bij de Nationale Postcode Loterij tegenover BNR. "De gegevens zijn niet openbaar gemaakt. Er is geen enkele indicatie dat deelnemers extra risico lopen."
Lek bij leverancier
Het gaat niet om het klantenbestand van de loterijen zelf, maar om een datalek bij een van hun leveranciers, Open Offerte. Dat bedrijf bezorgt namens de loterijen brieven en prijzen. Normaal gesproken moeten de data van prijswinnaars binnen acht dagen worden gewist, maar dat is niet gebeurd. Van Schaik geeft toe dat de loterijen beter toezicht moeten houden op hun leveranciers.
De hacker heeft de betreffende aangesloten loterijen gewaarschuwd. Het gaat om de BankGiro Loterij, de Nationale Postcode Loterij en de Vriendenloterij. Daarna is het computersysteem buiten werking gesteld, staat in de advertentie.
Maandagochtend hebben de loterijen een mail aan de betreffende deelnemers gestuurd waarin ze hen op de hoogte stellen. Mensen die niet met e-mailadres geregistreerd staan, krijgen een brief in de bus.