Crimineel kon bij honderdduizenden cv's na hack Nederlands sollicitatieplatform
Het populaire Nederlandse sollicitatieplatform Homerun is gehackt. Een criminele hacker kreeg toegang tot de honderdduizenden sollicitatiebrieven, cv's en andere privé-informatie van mensen die via het platform hebben gesolliciteerd bij een bedrijf.
Homerun maakt het voor bedrijven mogelijk om op een eigen website vacatures te plaatsen en sollicitaties te ontvangen. Zo'n 1500 organisaties maken inmiddels gebruik van het platform, waarop ze jaarlijks honderden sollicitaties verwerken.
Bekende klanten van Homerun zijn Dopper, Decathlon, Tony's Chocolonely, de Correspondent, VPRO en Mollie. Ook RTL maakt gebruik van het platform.
Database gehackt
Twee weken geleden heeft een criminele hacker toegang gekregen tot de database van Homerun, met daarin honderdduizenden cv's en brieven van sollicitanten. Naast deze documenten waren ook andere privégegevens zoals namen, e-mailadressen, woonadressen, telefoonnummers en vacatureopdrachten voor de hacker toegankelijk.
Deze gegevens kunnen niet alleen worden misbruikt voor oplichting en identiteitsfraude, ze zijn ook nog zeer gevoelig. "Er is een duidelijke reden dat er op sollicitaties een zekere geheimhouding rust", vertelt Dave Maasland, ceo van cybersecuritybedrijf ESET Nederland. "Het uitlekken van waar je hebt gesolliciteerd en hoe kan zeker een negatieve impact hebben, bijvoorbeeld bij je huidige collega's, werkgever of op je carrière."
Afpersing
De hacker heeft Homerun vervolgens afgeperst: betaal en ik zal de buitgemaakte data verwijderen en niet publiceren. Het bedrijf is op dat verzoek ingegaan, om zo verdere schade te voorkomen, stelt Homerun-ceo Willem van Roosmalen tegen RTL Nieuws: "Dit zijn lastige keuzes, maar we wilden geen enkel risico lopen dat de data ergens zouden worden gepubliceerd. Het belang van onze klanten en hun kandidaten staat voorop."
Het komt vrijwel nooit voor dat een crimineel de gegevens alsnog publiceert nadat een bedrijf heeft betaald, stelt Pim Takkenberg, algemeen directeur van beveiligingsbedrijf Northwave: "Dat is de kern van hun businessmodel. Wij hebben in vergelijkbare casussen nog nooit gezien dat een cybercrimineel na betaling nog steeds de gestolen data lekte."
Northwave stond Homerun bij in het onderzoek en tijdens de communicatie met de crimineel. De communicatie verliep via e-mail en er is betaald in bitcoins. Het bedrag wordt niet door Homerun bekendgemaakt, maar is volgens Van Roosmalen aanzienlijk: de financiële buffer die het bedrijf heeft, is daardoor nu een stuk kleiner.
Hoe ging de hack precies?
De criminele hacker kreeg toegang tot de server van Homerun via een kwetsbaarheid in webserver Apache. Door deze kwetsbaarheid kon de crimineel digitale sleutels (accesstokens) stelen en zo toegang krijgen tot de server.
De update om deze kwetsbaarheid te verhelpen was op 15 oktober uitgekomen. Vijf dagen later, op 20 oktober, is Homerun getroffen. Het bedrijf had de update nog niet geïnstalleerd.
Datalek
Homerun heeft melding gedaan bij de Autoriteit Persoonsgegevens van de hack en het datalek. Ook organisaties die gebruikmaken van Homerun zijn verplicht om (oud)sollicitanten te informeren over de hack.
Het valt op dat veel gedupeerden vele jaren geleden een sollicitatie via Homerun hebben ingediend, maar toch nog steeds in de database stonden. Een aantal bedrijven die gebruikmaken van Homerun bevestigen tegen RTL Nieuws dat de maximale bewaartermijn niet goed is gehandhaafd.
"Het spreekt voor zich dat dit niet ok is en dat we hiervoor verantwoordelijkheid nemen", zegt een woordvoerder van NPO-reclamedienst Ster, dat ook gebruikmaakt van Homerun. "Daarom hebben we meteen maatregelen genomen en worden alle gegevens van sollicitanten in het vervolg na afronding van de sollicitatieprocedure verwijderd."
Extra pijnlijk
"De hele situatie is echt vreselijk", vertelt Van Roosmalen. "We zijn dit bedrijf gestart om de ervaringen van sollicitanten beter te maken, en het is dan extra pijnlijk dat ons dit is overkomen. Het doet me ook wel veel, dat criminelen zomaar bij ons hebben ingebroken, maar het belangrijkste voor nu is: de schade zo veel mogelijk beperken."
Naar aanleiding van de hack gaat Homerun ook kijken naar strengere privacyfuncties voor organisaties die gebruikmaken van het platform. Zo zouden gegevens die ouder zijn dan drie maanden of een jaar automatisch verwijderd moeten worden. Bedrijven kunnen dit nu al wel inschakelen, maar dat doen ze lang niet allemaal, met als gevolg dat ze bergen gevoelige data hebben opgeslagen die ze helemaal niet meer zouden mogen hebben.