De cyberaanval op softwarebedrijf Nebu, waardoor een groot datalek is ontstaan, gebeurde op 10 maart. Hackers drongen toen binnen in de computersystemen van het bedrijf en wisten onder meer toegang tot een wachtwoordkluis te krijgen. Pas 31 uur later werd de aanval ontdekt. Het duurde vervolgens tot 27 maart voordat klanten werden geïnformeerd, zegt marktonderzoeker Blauw, een van de gedupeerde partijen.
Het Rotterdamse bureau heeft een kort geding tegen Nebu aangespannen. Dat dient dinsdag. Volgens Blauw geeft Nebu veel te weinig openheid. “De informatie was ongestructureerd, weinig gedetailleerd en onvolledig”, aldus de advocaat van Blauw. Die betwijfelt daardoor of de informatie die wel is gegeven, wel klopt. Zo zet de advocaat vraagtekens bij de mededeling van Nebu aan Blauw dat de aanvallers 45 minuten lang bezig zijn geweest met het stelen van interne gegevens.
“De groffe contouren zijn na aandringen door Blauw duidelijk geworden, maar het ontbreekt aan achtergrond, zoals details over hoe de daders zijn binnengekomen, hoe ze zich hebben gedragen, wat er met persoonsgegevens van klanten is gebeurd en wat Nebu heeft gedaan om de systemen weer schoon te krijgen. Door die opstelling tast Blauw in het duister.”
Het datalek kwam vorige week naar buiten. Meerdere bedrijven meldden toen dat gegevens van hun klanten mogelijk op straat waren beland. De NS, VodafoneZiggo en de Rijksdienst voor Ondernemend Nederland, die onder de gedupeerde organisaties zijn, wonen de behandeling van het kort geding tegen Nebu bij.
De advocaat van Nebu erkent in het verweer dat de communicatie “in het begin niet goed is verlopen”. Daarna zou echter “intensieve communicatie” hebben plaatsgevonden. “Het cyberincident is momenteel Nebu’s grootste prioriteit. Maar als zaken nog niet duidelijk voor Nebu zijn, kan van Nebu niet worden verwacht informatie te verstrekken.” Nebu zelf is niet aanwezig, een vertegenwoordiger van het Canadese moederbedrijf volgt het kort geding via een liveverbinding.