Misschien is de beste manier om klantdata te beveiligen om ze niet allemaal meer te verzamelen. Het is verleidelijk om alle gegevens bij elkaar te brengen in databases, maar de meeste bedrijven hebben om data effectief voor marketingdoeleinden in te zetten er niet eens zoveel nodig. In het onvermijdelijke geval dat er een datadiefstal is, is de impact een stuk lager als er minder klantdata worden gekopieerd.

Opnieuw enorme dataset gelekt

"We horen van consumentenmerken dat ze om die reden minder verzamelen", zegt technologiedeskundige Gerry Murray van onderzoeksbureau IDC. "Ze zijn voorzichtiger met de vraag: 'wat weten we van je?' Voor commerciële doeleinden hoef je niet zoveel te weten over een persoon en soms ben je beter af als je iets niet weet", zegt hij.

We hebben het hierover naar aanleiding van het opduiken van een marketinglijst met 200 miljoen records van Amerikanen die afkomstig lijkt te zijn van een opt-in lijst uit 2015. De lijst bevat 42 velden per record, met adressen, telefoonnummer, burgerlijke staat, inkomen, nettovermogen, ras, geslacht en geloof. De lijst lijkt afkomstig te zijn van Experian, hoewel Experian dit ontkent, en hij is gelicentieerd aan duizenden direct marketeers. Dat betekent dat de datadiefstal bij een ieder daarvan kan zijn gebeurd, niet noodzakelijkerwijs bij Experian - die ook handelt met onder meer Nederlandse telecombedrijven.

Wat we weten over de data

De bestanden bevatten geen overheidsidentiteitsgegevens als paspoortnummers, rijbewijsgegevens of BSN's en zijn daarom minder gevoelig dan bijvoorbeeld de hack bij Amerikaanse overheidsdienst OPM enkele jaren geleden, waar zulke gegevens wel bij werden bemachtigd. Maar samen geven deze uitgebreide gegevens een goed beeld van burgerprofielen en ze kunnen gekoppeld worden aan andere databases door criminelen of staatshackers.

Dit soort marketingdata veroudert snel en in 2015 was het waarschijnlijk honderdduizenden euro's waard in licentiekosten, maar vandaag is het vrijwel niets waard, horen we van enkele deskundigen die bekend zijn met deze handel.

De bestanden hebben allemaal 'Experian' in de naam en de velden komen overeen met een lijst voor direct marketing van een third party, Data Monster. Deze verwijzing is inmiddels verwijderd van de website van Data Monster. Webwereld-zustersite CSO sprak met Experian en die vertelde dat de data niet afkomstig was van de dataverzamelaar. (Update: zie verklaring onderaan dit artikel.) Data Monster ontkende ook de bron te zijn van de diefstal en wijst erop dat de lijst is gelicentieerd door duizenden callcenters en kan afkomstig zijn van een ieder van deze centers.

Overeenkomsten met andere dataset

Vorige week verscheen er een bestand met gegevens van 27,8 miljoen Amerikanen op mega.nz. Blijkbaar was dat een grote gratis sample voor potentiële kopers. Zustersite CSO wist te bevestigen dat verschillende gegevens gaan over werknemers van onze gezamenlijke uitgever IDG Communications. De links naar de bestanden op mega.nz die op Ghostbin werden geplaatst zijn inmiddels verdwenen.

Dit is niet de eerste keer dat informatie bekend is geworden over dit datalek, maar dit is de eerste keer dat we de daadwerkelijke gegevens hebben gezien. In 2016 werd een database in de verkoop gezet door hacker DoubleFlag die klonk als dezelfde, maar we hebben toen geen gegevens kunnen inzien. We hebben op twee verschillende e-mailadressen contact gezocht met DoubleFlag, maar nooit een reactie ontvangen.

Zoals je wellicht nog kunt herinneren, was Experian in 2015 slachtoffer van een diefstal van de records van 15 miljoen mensen, maar dat lijkt een los geval te zijn. Toentertijd ging het namelijk ook om gegevens die nu geen deel uitmaken van de database, zoals paspoortgegevens. De metadata van heeft enkele interessante hints over de oorsprong, inclusief een aanmaakdatum uit 2009, een auteursnaam 'Albert Kohl' en een laatste bewerking door 'Joe'. Maar metadata kunnen eenvoudig worden vervalst.

Dus wéér een datadiefstal

Volgens beveiliger Jasun Tate, die voorheen werkzaam was bij Experian, is DoubleFlag waarschijnlijk een dekmantel die documenten uitgeeft voor criminelen om het spoor van staatshackers te verhullen, zo vertelt hij aan CSO. "Deze lekken maken deel uit van een grotere campagne van een goed georganiseerd instituut die al langer informatie verzamelt over Amerikaanse staatsburgers", aldus Tate. "Ze leren hoe we consumeren, denken en worden beïnvloed om chirurgische aanvallen uit te voeren op onze instituties, dankzij de data die we zo schaamteloos rondstrooien."

We weten niet of een third party-gebruiker van Experian niet goed heeft opgelet of Experian zelf, maar dat doet er eigenlijk niet toe. De markt heeft niet zelf gezorgd voor stevige controlemechanismen en datadiefstal zal aan de orde van de dag zijn tot wetgeving en daarmee de beveiliging van kredietverstrekkers wordt verbeterd.

Tot die tijd is het zaak om de dataverzameling te minimaliseren. In de wereld na de AVG en schandalen als Cambridge Analytica is de makkelijkste manier om je werkgever te beschermen tegen ongewenste data-exfiltratie het simpelweg vermijden van opslaan van deze gegevens. Slimme bedrijven gaan in plaats van het waden door het moeras van verschillende Europese en Amerikaanse privacywetten op zoek naar een manier om consumenten en overheden gerust te stellen over dataverzameling.

"Bedrijven zoeken nu naar manieren om zich te onderscheiden door middel van de datarelatie die ze hebben met hun klanten", zegt IDC's Murray. "Hoe ze hun klantendata behandelen is hoe ze hun klanten behandelen."

Update 20 mei: Experian meldt naar aanleiding van dit artikel het volgende:

De implicatie in het artikel dat de data wel afkomstig is van Experian klopt niet en is misleidend. Het global security team van Experian heeft de data in kwestie onderzocht en kwam tot de conclusie dat de data niet van Experian was. Daarnaast hebben ze geen tekenen gevonden dat ze gecompromitteerd zouden zijn. Op basis van Experian's onderzoek en het gebrek aan geloofwaardig bewijsmateriaal, is dit een ongefundeerde claim die bedoeld is om de waarde van de gegevens die hackers/cybercriminelen proberen te verkopen te verhogen - dit is een veel voorkomende praktijk van hackers die gegevens proberen te verkopen.