Een bericht van Dark Web Informer heeft vragen opgeroepen over een mogelijk datalek bij Bol.com. Op het platform X meldt de organisatie dat een dataset met ongeveer 400.000 klantrecords te koop zou zijn aangeboden via een cybercrimeforum.
De aanbieder, die gebruikmaakt van de naam Jeffrey Epstein, stelt dat het gaat om gegevens van klanten uit België. Daarbij beweert de verkoper dat Bol.com circa 14 miljoen klanten bedient en dat de aangeboden dataset persoonsgegevens bevat, waaronder gebruikersnamen, e-mailadressen en telefoonnummers.
Volgens de claim bevat de dataset een combinatie van persoonlijke en accountgerelateerde informatie. Daarbij wordt gesproken over namen, adressen, geboortedata en contactgegevens, aangevuld met gegevens zoals de datum van de laatste login. Ook zouden er identificatienummers in de dataset zitten, al is het onduidelijk wat voor type gegevens dit precies betreft. Op basis van berichtgeving van Tweakers lijkt het in elk geval onwaarschijnlijk dat het om officiële identiteitsdocumenten gaat, aangezien dergelijke gegevens doorgaans niet door de webwinkel worden verwerkt.
Reactie van Bol.com
Bol.com zelf geeft tegenover Tweakers aan geen aanwijzingen te hebben dat er sprake is van een beveiligingsincident. Het bedrijf laat weten de melding te onderzoeken, maar benadrukt dat de systemen normaal functioneren en dat er geen signalen zijn die wijzen op een hack, datalek of ransomware-aanval. Daarmee lijkt er op dit moment geen bevestiging te zijn dat de aangeboden dataset daadwerkelijk afkomstig is van de systemen van de webwinkel.
Het voorval laat zien dat claims over datadumps op ondergrondse fora niet automatisch betekenen dat er een recente inbraak heeft plaatsgevonden. Dergelijke datasets kunnen ook bestaan uit oudere of samengevoegde gegevens uit eerdere incidenten, of zelfs onjuiste informatie bevatten. Tegelijkertijd kan de aard van de vermeende gegevens, als deze authentiek blijken, risico’s met zich meebrengen voor betrokken klanten, bijvoorbeeld in de vorm van gerichte phishingpogingen of identiteitsmisbruik.