Het kan je bijna niet ontgaan zijn: grote bedrijven zoals Basic-Fit, Booking, Odido en ook de overheid zijn dit jaar gehackt. Als gevolg van deze hacks, liggen er veel persoonlijke gegevens van burgers en bedrijven op straat. Volgens techjournalist Daniël Verlaan zouden datalekken van vijf/zes jaar geleden tot op de dag van vandaag nog worden misbruikt door criminelen om mensen op te lichten, identiteitsfraude te plegen en hen te hacken.  

Let op: Deze factcheck is uitgevoerd op basis van de beschikbare informatie op de datum van publicatie. 

Bewering:  

‘Datalekken van vijf/zes jaar geleden worden tot op de dag van vandaag misbruikt door criminelen om mensen op te lichten, identiteitsfraude te plegen en hen te hacken’.  

Tijdscode: 

Vanaf minuut 24:25 tot en met minuut 34:15 in aflevering 111.  

Oordeel:  

Deels waar, deels ongefundeerd 

Bron van bewering:  

De claim is afkomstig van techjournalist Daniël Verlaan. Op donderdag 16 april was hij te gast bij talkshow Eva wegens de recente hacks (Booking, Basic-Fit, Odido etc.). In de uitzending vertelt hij over zijn zorgen over de hoeveelheid hacks die regelmatig in het nieuws voorbijkomen en hoe men hier over het algemeen (laks) op reageert. Ook stelt Verlaan dat veel meer data vrijgegeven wordt bij een datalek dan er vaak gedacht wordt.   

Volgens de data van Nationaal Media Onderzoek, kijken gemiddeld 962 duizend mensen naar een uitzending van de talkshow. Van maandag tot en met donderdag komt Eva om 19:05 op televisiezender NPO 1. De korte snippet op het TikTok-account van Eva, waarin Verlaan de claim vertelt, is ruim 72 duizend keer bekeken en hierop reageerden ruim dertig mensen met een berichtje.   

Het verschil tussen een hack en een lek: 

Robin Meyer, technologieadvocate uit Oklahoma, schrijft op LinkedIn dat het belangrijkste verschil tussen een datalek en een hack is, dat een hack met een actieve, kwaadwillige inbraak is. Een datalekis juist een situatie waarin persoonsgegevens onbedoeld op een plek terechtkomen waar ze niet zouden mogen verschijnen.  

Wat zegt onderzoek over de claim? 

Volgens het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) vallen oplichting, identiteitsfraude en hacken onder cybercrime. Dit woord wordt ook wel gedefinieerd als alle misdrijven waarbij informatietechnologie een essentiële rol speelt. Onderzoek van IRJET naar cybercriminaliteit stelt dat deze strafbare feiten niet alleen gaan om nieuwe digitale delicten, maar ook om al langer bestaande criminaliteit die door ICT een nieuwe impuls heeft gekregen, zoals oplichting en phishing. Dit laat zien dat oude datalekken niet alleen technische gevolgen hebben, maar ook opnieuw worden ingezet.  

Ook het wetenschappelijk reviewartikel van Amit Singh bevestigd dat oude datalekken nog steeds doorwerken in de huidige praktijk van cybercrime. Het artikel laat zien dat cybercrime tussen 2005 en 2025 is veranderd. Menselijke zwaktes zouden al jaren een rol spelen hierin; van simpele ‘trucjes’ naar ingewikkelde phishing-hacks waarbij valse e-mails en telefoongesprekken werkelijk lijken. Toch wordt er in deze artikelen geen specifieke getallen genoemd van het aantal jaren dat datalekken gebruikt worden door criminelen.  

Wel stelt het Wetenschappelijk Onderzoek- en Datacentrum (WODC) in hun nieuwste onderzoek naar computercriminaliteit dat misdaad met digitale gegevens steeds serieuzer wordt aangepakt. Er zouden nieuwe strafbaarstellingen zijn ingevoerd voor het stelen en helen van persoonsgegevens. Ook zou de overheid criminaliteit niet alleen als los datalek zien, maar ook iets waar de politie actief tegen mag optreden: onder voorwaarden mogen apparaten en illegale websites gehackt en verwijderd worden door hen.     

Wat zeggen experts over de claim? 

Verlaan laat weten dat hij als techjournalist van dichtbij ziet hoe en waar criminelen data uitwisselen en opslaan. Op basis van verschillende datalekken zou hij zien dat gelekte data opnieuw worden gebruikt. Over de precieze jaartallen die hij in zijn claim noemt zegt hij: ‘Facebook en de RDC (mobiliteitsbranche) zijn vijf jaar geleden gehackt. Het jaartal diende meer als voorbeeld van deze hacks, waar vandaag de dag nog steeds de gelekte data van wordt gebruikt’.  

Cybersecurity expert Erik Jan Koedijk zegt het eens te zijn met de woorden van Verlaan, als het aankomt op het hergebruiken van oude datalekken. ‘In de kern is het absoluut waar dat criminelen voornamelijk e-mailadressen bewaren en jaren later nog gebruiken voor bijvoorbeeld oplichting, maar specifieke aantallen en jaren noemen is in de cybersecurity niet mogelijk. Die vijf of zes jaar waar over gesproken wordt, kan ook twaalf jaar zijn bijvoorbeeld’, zegt Koedijk.   

Conclusie:  

Volgens de wetenschappelijke artikelen en cybersecurity expert Erik Jan Koedijk is het niet mogelijk specifieke jaartallen met data te verifiëren. Wel is het duidelijk dat datalekken uit het verleden worden hergebruikt en vandaag de dag nog steeds worden gebruikt door criminelen om cybercriminaliteit te plegen, waar oplichting, fraude en hacken dus onder vallen. De woorden van Verlaan zijn hierin te mager om te kunnen zeggen dat de hacks van ‘vijf en zes jaar’ geleden nog steeds worden gebruikt. De claim is dus deels waar en deels ongefundeerd.