Privégegevens van tienduizenden spelers van de Nationale Loterij circuleren op darkweb. De kansspelorganisator ontkent het bestaan van een datalek, maar wijzigde eerder wel al de policy voor het wijzigen van een bankrekening gekoppeld aan een spelersrekening.
De dataset met persoonlijke gegevens van spelers van de Nationale Loterij staat al enkele weken te koop. Het gaat om namen, e-mailadressen en bankrekeningnummers van spelers die een account hebben op de site van de Nationale Loterij of E-Lotto.be.
De Nationale Loterij bevestigt het bestaan van de dataset, waarover eerder ook al Het Nieuwsblad kort berichtte, maar heeft voorlopig geen aanwijzingen dat er op hun systemen werd ingebroken. ‘Er is geen enkele indicatie van een gegevensuitfiltratie van de systemen van de Nationale Loterij. In die zin kan dus ook niet gesproken worden van een ‘datalek’’, antwoordt Joke Vermoere, woordvoerster bij Nationale Loterij op vragen van Computable.
De data beschikbaar op het darknet zijn, bevestigt Vermoere, van het type ‘assembled file’. ‘Op de 243.764 records in de ‘assembled file’ zijn er 22.704 records, met persoonlijke gegevens die herkend worden door de systemen van de Nationale Loterij, maar daarom niet afkomstig zijn van de Nationale Loterij. Het bestand bevat ook geen paswoordgegevens’, stelt ze.
Wat deed de Loterij?
Zodra de Nationale Loterij geïnformeerd werd over het bestaan van de dataset, is een grondig onderzoek gestart met de hulp van externe specialisten. ‘De Gegevensbeschermingsautoriteit (GBA) werd proactief ingelicht en we hebben ook het Centrum voor Cybersecurity België ingelicht en om bijstand gevraagd.’
Vermoere benadrukt dat de Nationale Loterij de beveiliging van de it-systemen en applicaties op een continue basis evalueert. ‘En we voeren reeds jaren verschillende beveiligingstesten uit zoals pentesten, kwetsbaarheidstesten, security0assessments en bug bounty-programma’s. Dit gebeurt door gerenommeerde bedrijven in deze materie als IBM, Niviso, Davinsi Labs en Intigrity.’
De Nationale Loterij haalt, zo voegt ze er nog aan toe, ook jaar na jaar het ISO-27001-certificaat, alsook het specifieke WLA-certificaat inzake security.
Policy aangepast
De Nationale Loterij paste naar eigen zeggen eerder al zijn policy aan. ‘We hebben er reeds voor geopteerd dat het wijzigen van de bankrekening die gekoppeld is aan een spelersrekening, enkel nog mogelijk is met de actieve tussenkomst van de klantservicedesk.’ Al benadrukt de woordvoerster dat ‘deze optimalisering van onze klantendienst reeds vorig jaar was doorgevoerd ter bescherming van onze online spelers.’
Intussen blijft de organisatie naar eigen zeggen de situatie wel opvolgen. ‘Het onderzoek is nog lopende en uiteraard zal geëvalueerd worden in functie van de resultaten ervan of er bijkomende maatregelen moeten genomen worden.’
Wachtwoorden
Tegelijk benadrukt de organisatie dat informatieveiligheid een opdracht is voor iedereen, en dus ook voor de gebruikers van het platform; de spelers dus. ‘Het gebruiken van voldoende complexe wachtwoorden wordt steevast aangeraden. Ook het regelmatig wijzigen van een paswoord en niet steeds hetzelfde wachtwoord gebruiken is een good practice om zo goed mogelijk de veiligheid van iemands gegevens te garanderen.’.
Al gaat het verder dan dat. ‘Naast het bewustmaken van haar spelers omtrent de mogelijke gevaren, raden we als Nationale Loterij onze spelers ook aan om een degelijk werkende antivirussoftware op hun toestellen te installeren.’
