Het is niet het grootste gegevenslek in de geschiedenis, die twijfelachtige eer gaat naar Yahoo met in totaal 1,5 miljard gelekte accounts tussen 2013 en 2014. Toch is de Equifax-hack hard op weg uit te groeien tot een van de meest verwoestende tot nu toe. Door deze hack lopen de burgerservicenummers, creditcardgegevens, geboortedatums, rijbewijzen en adressen van meer dan 143 miljoen Amerikaanse burgers gevaar.

Als u Amerikaan bent – of in de Verenigde Staten hebt gewerkt – en u nergens zorgen over maakt, hebt u niet goed opgelet. In deze blogpost wordt uit de doeken gedaan wat u over deze hack moet weten, wat voor gevolgen deze voor u kan hebben en wat u kunt doen om u ertegen te beschermen.

Wat is Equifax?

Nooit van Equifax gehoord? Waarschijnlijk heeft het bedrijf wel van u gehoord.

Equifax is een van de grote vier kredietinformatiebureaus in de Verenigde Staten. Deze bureaus verzamelen informatie over al uw leningen en betalingsgedrag om kredietwaardigheidsrapporten op te stellen. Elke instelling die u een lening verstrekt, uw geld beheert of geld aan u overmaakt, heeft vervolgens toegang tot uw kredietwaardigheidsinformatie. Aan de hand daarvan kunnen ze bepalen of de transactie kan doorgaan.

Wat voor gegevens verzamelen kredietinformatiebureaus als Equifax?

  • Burgerservicenummers
  • Geboortedatums
  • Rijbewijzen en anderen identiteitsgegevens
  • Adressen
  • Creditcardnummers en aankoopoverzichten
  • Gegevens over leningen en schulden
  • Bankrekeningnummers

Wat is er gebeurd tijdens de Equifax-hack?

Equifax-logo waaruit creditcards, burgerservicenummers en rijbewijzen lekken.

Medio maart vorig jaar vonden beveiligingsonderzoekers een kwetsbaarheid in de opensourcesoftware Apache Struts die wordt gebruikt voor het maken van websites, waaronder de website van Equifax.

Er werd een patch uitgebracht voor de kwetsbaarheid, maar Equifax slaagde er blijkbaar niet in de oplossing te implementeren. Daardoor hadden hackers van half mei tot eind juli toegang tot hun systeem, waarna Equifax het lek uiteindelijk opmerkte en dichtte. Vervolgens liet het bedrijf in het geheim een intern onderzoek uitvoeren dat begin september werd afgesloten. Pas daarna werd het lek formeel bekendgemaakt. 

Dit betekent niet alleen dat de persoonsgegevens van die 143 miljoen mensen bijna twee maanden lang virtueel op straat lagen, maar ook dat de dieven bijna vier maanden de tijd hadden om misbruik te maken van de gestolen identiteitsgegevens.

Nog niet van uw stoel gevallen van verbazing? Dat komt nog wel. Niet alleen was de beveiliging waardeloos. Later werd bekend dat diverse leidinggevenden bij Equifax grote sommen geld hadden verdiend aan de verkoop van aandelenopties nadat het lek was ontdekt, maar voordat het openbaar was gemaakt. Overigens beweert het bedrijf dat die verkoop niets met het lek te maken had, maar het heeft de schijn alleszins tegen.

Voor wie vormt de Equifax-hack een risico?

Het lek bij Equifax is anders dan alle andere lekken waar u mogelijk over hebt gehoord. Bij eerdere lekken liepen altijd specifieke onderdelen van iemands identiteit gevaar: een Instagram-account hier, een Apple-account daar en misschien eens een creditcardnummer... Maar deze keer vond de hack plaats op een locatie waar vrijwel alle fundamentele onderdelen van door de Amerikaanse overheid erkende identiteitsbewijzen werden verzameld.

Als gevolg van dit lek kunnen dieven alle gegevens verzamelen die ze nodig hebben om de identiteit van mensen te stelen

Met andere woorden: door dit ene lek bij Equifax kregen hackers alle informatie in handen om de identiteit van miljoenen mensen te stelen.

Financiële identiteitsfraude

Dieven hebben diverse mogelijkheden om met de gelekte informatie iemands financiële identiteit te stelen. Hier volgen er enkele:

  • Krediet aanvragen bij verschillende instellingen en gigantische schulden opbouwen
  • Belastingteruggaven stelen en problemen bij de belastingdienst veroorzaken
  • Aankopen doen met andermans creditcards
  • Voorzieningen en diensten afnemen op andermans naam
  • Studieleningen aanvragen
  • Uw kredietscore verpesten

Elk van deze opties kan de financiële zekerheid van mensen op lange termijn schaden en het kan jaren duren om alles weer recht te zetten. Zelfs als het probleem is opgelost, kan een en ander tot gevolg hebben dat mensen moeilijker aan een lening of hypotheek kunnen komen en het kan zelfs invloed hebben op iemands kansen op werk wanneer werkgevers zijn of haar staat van dienst bekijken. 

Criminele identiteitsfraude

Niet alles draait om geld Identiteitsdieven kunnen op naam van anderen ook misdrijven plegen, zoals winkeldiefstal, in hotels of ziekenhuizen verblijven zonder de rekening te betalen of te snel rijden... Criminelen zijn vaak veel creatiever dan we denken.

Het punt is dat anderen opdraaien voor die misdrijven of overtredingen en dat de politie, advocaten en incassobureaus later bij hen aankloppen. En in veel gevallen moeten mensen ergens "in persoon verschijnen" om hun onschuld te bewijzen.

Voor wie het Equifax-lek gevolgen?

Dat is moeilijk te zeggen.

Equifax heeft een website opgezet waarop mensen een deel van hun burgerservicenummer kunnen invoeren om te controleren of hun gegevens zijn uitgelekt. U leest het goed: het bedrijf dat er niet in is geslaagd cruciale gegevens te beschermen vraagt mensen om nog meer gegevens te verstrekken om te zien of ze het slachtoffer zijn geworden. Weet u wat het ergste is? Verscheidene onderzoekers hebben aangetoond dat het systeem niet alleen onveilig is (verrassing!), het kan ook een vertragingstactiek van het bedrijf zijn: het invoeren van onzin levert namelijk dezelfde resultaten op als het invoeren van legitieme gegevens.

Het is veelzeggend dat Canadese of Britse staatsburgers die mogelijk door het lek zijn getroffen de informatie in het systeem niet kunnen controleren.

Conclusie: de website van Equifax is niet te vertrouwen.

Iedereen kan dus het slachtoffer zijn

De meeste gegevens die zijn gestolen hebben betrekking op documenten en identiteitsbewijzen die niet zomaar kunnen worden gewijzigd. Tot in lengte van jaren kunnen mensen zich toegang tot die gegevens verschaffen en er misbruik van maken, met alle gevolgen van dien.

Hoe kunnen mensen zich na de Equifax-hack beschermen?

Het zal in dit geval niet meevallen om de geest weer in de fles te krijgen. Als er gegevens zijn uitgelekt, is het vrijwel onmogelijk. Toch kunnen mensen wel een aantal maatregelen nemen:

  1. Het verstrekken van kredietinformatie door kredietinformatiebureaus voor consumenten laten bevriezen
  2. Fraudemeldingen instellen, zo mogelijk voor langere tijd
  3. Regelmatig de kredietwaardigheidsinformatie controleren
  4. Belastingaangiften in de gaten houden
  5. Extreme maatregel: het burgerservicenummer laten wijzigen (in Nederland is dit vooralsnog niet mogelijk)

1. Kredietwaardigheidsinformatie bevriezen

Bevroren kredietwaardigheidsrapporten met het logo van Equifax, Experian, Transunion en Innovis.

In het geval van financiële fraude is dit het eerste wat u moet doen om uzelf en uw kredietscore te beschermen. Wie in de Verenigde Staten het verstrekken van kredietwaardigheidsrapporten wil laten bevriezen, kan contact opnemen met een van de grote vier consumentenorganisaties:

Normaal gezien kan kredietwaardigheidsinformatie online worden bevroren, maar in sommige gevallen moet dat telefonisch of schriftelijk worden geregeld. In dat geval wordt er een pincode verstrekt waarmee mensen de bevriezing van kredietwaardigheidsinformatie kunnen opheffen wanneer ze een nieuw krediet willen aanvragen.

Het is mogelijk dat er een klein bedrag in rekening wordt gebracht, maar op vertoon van een kopie van de aangifte en het proces-verbaal over de vermoedelijke identiteitsdiefstal (wat niet moeilijk aan te tonen is gezien dit lek) kunnen mensen hun kredietwaardigheidsinformatie kosteloos laten bevriezen.

Het is misschien wat omslachtig allemaal, maar een betere vorm van bescherming is er niet

Zelfs als het wat kost: geloof ons, het is de moeite waard. Het voorkomt niet alleen dat iemand in uw naam een nieuwe lening aanvraagt, maar ook dat kredietverstrekkers überhaupt uw kredietdossier kunnen inzien, wat uw kredietscore helpt beschermen.

Het bevriezen van uw kredietwaardigheidsinformatie is duidelijk niet ideaal, maar wel zo verstandig.

Wat er ook gebeurt: laat u niet van de wijs brengen door aanbiedingen voor andere diensten: het "vergrendelen van kredietwaardigheidsinformatie" (credit lock) is niet hetzelfde als het bevriezen van kredietwaardigheidsinformatie (credit freeze) en voorkomt niet dat kredietinformatiebureaus gegevens doorverkopen aan wie er ook maar om vraagt.

Aangezien kredietinformatiebureaus het meest verdienen aan het doorverkopen van gegevens, zijn ze er niet bij gebaat om een en ander makkelijk te maken. Laat u niet vermurwen.

2. Fraudemeldingen instellen

Door middel van fraudemeldingen kunnen kredietdossiers extra worden beveiligd. Als er eenmaal een fraudemelding is ingesteld, kan een kredietverschaffer of serviceprovider geen krediet verstrekken zonder de voorafgaande toestemming van de houder. Daarbij hoeft de fraudemelding maar bij één van bovenstaande bureaus te worden aangevraagd. Ze zijn wettelijk verplicht om de melding door te geven aan de andere bureaus.

Fraudemeldingen zijn maar 90 dagen geldig, maar die periode kan worden verlengd tot 7 jaar op vertoon van de aangifte die of het proces-verbaal dat is gebruikt om de kredietwaardigheidsinformatie kosteloos te laten bevriezen.

Bedenk daarbij wel dat de bureaus wettelijk niet verplicht zijn om contact met de betrokkenen op te nemen, maar het is natuurlijk wel zo netjes. Overigens is een fraudemelding geen vervanging voor het bevriezen van de kredietwaardigheidsinformatie.

3. Regelmatig de kredietwaardigheidsinformatie controleren

Het is zaak kredietwaardigheidsinformatie regelmatig te controleren en eventuele verdachte activiteiten te melden, voor de zekerheid elk kwartaal. Betrokkenen kunnen desgewenst een gratis exemplaar van hun kredietwaardigheidsrapport aanvragen via deze door de Amerikaanse overheid goedgekeurde website: annualcreditreport.com.

Hoe zit het met kredietbewaking?

Diensten voor kredietbewaking voorkomen niet dat er nieuwe kredieten worden aangevraagd en dat oplichters misdrijven plegen. Maar ze kunnen achteraf wel handig zijn om slachtoffers van identiteitsdiefstal of financiële fraude er weer bovenop te helpen. Deze diensten zijn ook duurder dan het bevriezen van de kredietwaardigheidsinformatie.

Diensten voor kredietbewaking kunnen fraude of identiteitsdiefstal niet voorkomen

Als reactie op het lek biedt Equifax momenteel één jaar gratis kredietbewaking. In de kleine lettertjes staat dat mensen door gebruik te maken van de dienst afzien van eventuele rechten op deelname aan toekomstige groepsrechtszaken, maar het bedrijf heeft schriftelijk meegedeeld dat dit niet geldt voor het huidige kosteloze aanbod.

Er is dus geen reden om er geen gebruik van te maken. Daarbij zouden we er niet van opkijken als ze mensen na afloop van het gratis jaar de dienst ook voor de komende jaren willen aansmeren.

4. Belastingaangiften in de gaten houden

Stel, u komt erachter dat iemand uw belastingaangifte al voor u heeft gedaan. Meld dat dan onmiddellijk aan de belastingdienst. Belastingfraude neemt hand over hand toe en door het lek bij Equifax zijn de mogelijkheden om fraude te plegen groter dan ooit.

Vervroeg eventueel uw aangifte om eventuele fraudeurs voor te zijn. 

5. Extreme maatregel: het burgerservicenummer laten wijzigen

Als uw burgerservicenummer eenmaal is uitgelekt, kan geen van bovenstaande maatregelen ervoor zorgen dat u het nummer ooit weer veilig kunt gebruiken. Uw burgerservicenummer kan op vele manieren worden gebruikt, waaronder voor belastingfraude. En krijgt u al buikpijn van het omgaan met financiële instellingen, maak dan uw borst maar nat wat de belastingdienst betreft.

Helaas is het in Nederland nog niet mogelijk een nieuw burgerservicenummer aan te vragen. In de Verenigde Staten kan dat wel, maar de procedure is ingewikkeld en vergt een enorme papierwinkel. Gelukkig stelt de Amerikaanse overheid een pagina beschikbaar met daarop alle informatie over het wijzigen van het burgerservicenummer.

Hoed u voor oplichters

Identiteitsdieven vormen zeker een dreiging, maar de hoeveelheid informatie die is uitgelekt bij Equifax is voor oplichters echt een goudmijn. Aan de hand daarvan kunnen zij mensen gericht benaderen en oplichten.

Telefoontjes

"Goedemiddag, ik bel namens Equifax om uw accountgegevens te bevestigen."

Trap er niet in. Feit: Equifax neem niet telefonisch contact op. Wordt u gebeld door iemand die beweert bij Equifax te werken, verstrek dan geen persoonsgegevens. Hang op en neem zelf contact op met Equifax via het telefoonnummer op de website van het bureau.

Feit: Equifax neem niet telefonisch contact op. Wordt u gebeld door iemand die beweert bij Equifax te werken, hang dan op

Vertrouw ook niet op nummerherkenning. Oplichters weten hoe ze telefoonnummers kunnen vervalsen. En druk in het geval van een automatische oproep ("robocall") niet op nummers om een medewerker te spreken te krijgen of om uw nummer van de bellijst te halen.

Verstrek nooit gegevens over de telefoon, tenzij u zelf hebt gebeld.

Hebt u een telefoontje gehad dat u niet vertrouwt? In de Verenigde Staten moet dit worden gemeld aan de FTC. In Nederland wendt u zich tot de Autoriteit Persoonsgegevens (AP), de toezichthouder die onder meer belast is met privacy.

Phishing-berichten

E-mails aan vishaken.

Het herkennen van nep-e-mail is al eerder aan bod gekomen. Het is weer tijd om paranoïde te worden. Let in dit geval op het verzendadres van e-mail: Equifax verstuurt alleen e-mail via @equifax.com, @trustedid.com en @e.equifax.com.&nbsp

Oplichters kunnen adressen gebruiken die vrijwel identiek zijn, dus let goed op de details. Extra voorzorgsmaatregel: klik niet zomaar op koppelingen in e-mail en download geen bijlagen.

Als u denkt dat een e-mailbericht te vertrouwen is, opent u de browser en gaat u rechtstreeks naar de website van Equifax, zodat u zeker weet dat u op de goede website terechtkomt.

Phishing-websites

Eerder hadden we het over de website van Equifax waarop mensen kunnen controleren of hun gegevens zijn uitgelekt, weet u nog? De website die naar onze bescheiden mening niet te vertrouwen is? Nou, die is al nagemaakt door iemand. En de klantenservice van Equifax heeft het adres van de nepwebsite aan zijn klanten getweet...

Ja, dat is echt gebeurd. Deze nepwebsite bleek geen phishing-site te zijn, maar was bewust gemaakt om dit punt duidelijk te maken.

Neem het dus maar van ons aan: klik niet op koppelingen die van Equifax lijken te komen en wees altijd op uw hoede.

Dit is natuurlijk totaal niet het moment om reclame te maken voor producten, maar AVG Internet Security helpt echt om phishing-mail te blokkeren en te voorkomen dat u naar phishing-websites wordt omgeleid. Als u het nog niet gebruikt, kunt u het gratis uitproberen.

AVG Internet Security GRATIS uitproberen

 

AVG Internet Security GRATIS uitproberen