Datalek bij FOD Financiën

De FOD Financiën heeft een van haar databanken offline gehaald nadat bleek dat het mogelijk was het rijksregisternummer te achterhalen van iedereen die erin geregistreerd staat. Het gaat om het register van Ultimate Beneficial Owners, een databank met iedereen die bij vennootschappen of stichtingen is betrokken. Via een tool om dat UBO-register te raadplegen, kunnen gebruikers met de voor- en achternaam en geboortedatum iemand opzoeken in het register. Daarbij wordt echter het rijksregisternummer gebruikt als een unieke identifier., waardoor dat zomaar op te roepen was. De FOD Financiën heeft de tool inmiddels offline gehaald tot het probleem is opgelost.

Wellicht zit het lek reeds sedert de start in oktober 2018 in de databank. Het kwam nu pas aan het licht na een bericht van digitaal consulent Koen Van den Wijngaert op Twitter. “Ik heb dit al een jaar geleden vastgesteld, maar dacht dat ze het wel zouden fiksen. Niet dus. Vandaar dat ik het in de openbaarheid bracht.” Van den Wijngaert voegt er nog aan toe dat hij het reeds meerdere malen had gemeld en weet heeft van verschillende anderen die ook al de FOD Financiën op de hoogte brachten. “Maar blijkbaar vonden ze het toen niet belangrijk.” Hij meldde het ook aan de Gegevensbeschermingsautoriteit en aan de Cert, de federale dienst die IT-veiligheidsproblemen aanpakt.

Cryptograaf Bart Preneel (KU Leuven) relativeert het lek. “Een rijksregisternummer is niet zo moeilijk zelf te fabriceren, met de geboortedatum, de getallen die voor man of vrouw gebruikt worden en twee controlecijfers. Het nummer staat ook op de identiteitskaart. Dit is heus niet het grootste datalek aller tijden.”

Maar een klein lek is het nu ook weer niet. Matthias Dobbelaere-Welvaert: “Dit is ernstig. Met dat nummer kun je een abonnement nemen, een rekening afsluiten, een domiciliëring regelen. Niet zo onschuldig. Het kan ook een element zijn om identiteitsdiefstal te plegen. In de VS zit dat al in de top tien van de misdrijven.”

Bron: De Standaard en Tweakers