Een non-profitorganisatie in Brazilië die jongeren helpt bij het vinden van een stageplaats heeft te maken gehad met een groot datalek, waarbij aanvallers beweren toegang te hebben gehad tot ongeveer 546 gigabyte aan privégegevens. De organisatie, Gerar genaamd, brengt starters in contact met bedrijven en onderwijsinstellingen. De inbreuk werd onthuld toen er een bericht verscheen op een forum voor datalekken met voorbeeldbestanden van jonge sollicitanten die enkele jaren oud waren.
Het blootgestelde materiaal is zeer gevoelig. Volgens onderzoekers die de voorbeelddataset hebben geanalyseerd, omvat het lek gescande kopieën van medische controlerapporten, identiteitskaarten, contracten tussen Gerar en stagiaires, contracten tussen scholen en trainingsprogramma’s, en zelfs gescande documenten met betrekking tot militaire dienst voor sommige jonge sollicitanten.
In de voorbeeldbestandsset vonden de onderzoekers namen, e-mailadressen, telefoonnummers, geboortedata, identificatienummers van belastingbetalers, adressen, gegevens over gezinsinkomen, educatieve achtergrondgegevens en andere persoonlijke informatie. Die gegevens alleen al vormen een aanzienlijk risico op identiteitsdiefstal en fraude.
Omdat veel van de getroffenen jonge volwassenen zijn die net de arbeidsmarkt betreden, is het risico op de lange termijn bijzonder hoog. Met zoveel persoonlijke details aan het licht, kunnen kwaadwillenden de komende jaren rekeningen openen, leningen aanvragen of zich voordoen als slachtoffers. Onderzoekers waarschuwen dat wanneer iemands identiteit vroeg in zijn carrière wordt gecompromitteerd, dit een blijvende impact kan hebben op zijn kredietgeschiedenis en werkgelegenheid.
Gerar biedt trainingen, stages en matchingdiensten voor jonge Brazilianen die de arbeidsmarkt betreden. Daarbij verzamelt het grote hoeveelheden persoonsgegevens van zowel de sollicitanten als de onderwijs- of werkgeverspartners. Die hoeveelheid gevoelige gegevens, gecombineerd met minder bescherming die typisch is voor op jongeren gerichte of non-profitprogramma’s, maakt zo’n organisatie tot een aantrekkelijk doelwit.
Door de database van een non-profitorganisatie als Gerar te compromitteren, krijgen aanvallers niet alleen toegang tot onbewerkte persoonlijke gegevens, maar ook tot contractdocumenten, identiteitsverificatiemateriaal en educatieve gegevens. Dit alles kan worden gebruikt voor secundaire aanvallen zoals phishing, het maken van valse inloggegevens of imitatie van bedrijven.
Hoe non-profitorganisaties de gegevensbescherming kunnen versterken
Het gerar-lek toont aan dat zelfs organisaties met goede bedoelingen faalpunten kunnen worden in het grotere ecosysteem voor gegevensbescherming. Elke non-profitorganisatie die persoonsgegevens verzamelt, moet cyberbeveiliging net zo serieus nemen als grotere particuliere bedrijven.
Dit betekent dat de hoeveelheid verzamelde gegevens moet worden beperkt, dat deze in de opslag moeten worden versleuteld en dat moet worden nagegaan wie er toegang toe heeft. Regelmatige software-updates, penetratietests en training van het personeel kunnen ook veel inbreuken voorkomen voordat ze zich voordoen. Transparante communicatie na een incident is minstens zo belangrijk. Getroffen personen moeten snel worden geïnformeerd en praktisch advies krijgen om zichzelf te beschermen.