Gekraakte database Mensura treft al duizend Belgen

De persoonsgegevens van ruim duizend Belgen liggen op straat na de kraak van een database van Mensura Absenteïsme. Dat meldt de securityblogger Belsec. De kraak is bevestigd door Pieter Van Aerschot, de directeur van de controledienst.

De bijhorende onlineformulieren werden door werkgevers gebruikt om werknemers aan te geven waar een controlearts op moest afgestuurd worden. De diefstal van de database (blijkbaar door een eenvoudige SQL-injectie) werd uitgevoerd door Rex Mundi, een individu of groep die al vaker private gegevens van websites trachtte buit te maken.

[related_article id=”161920″]

Afpersen
Rex Mundi heeft ook geprobeerd om Mensura geld af te persen. In eerste instantie wou het bedrijf daar ook op ingaan, maar zijn advocaten en de Federal Computer Crime Unit adviseerden om dat uiteindelijk toch niet te doen. Daarop belandde een deel van de database op het internet. Hoe groot de volledige set gegevens is die Rex Mundi kon buitmaken, is niet duidelijk, maar de gelekte data zouden nog maar het topje van de ijsberg zijn.

Er zijn geen medische gegevens bekendgemaakt, maar wel bijvoorbeeld de naam, de plaats van tewerkstelling en het rijksregisternummer van de betrokken werknemers. Die waren in dienst van bedrijven als onder andere Ikea, Quick, Van Gansewinkel en De Lijn.

Voorzichtig met rijksregisternummer
In de gegevens staan ook commentaren te lezen van werkgevers als “Betrokkene wil niet meer komen werken en heeft aangekondigd zich op ziekenkas te zetten" of "Heel veel ziek thuis. Werkt deeltijds met toestemming adviseur."

Volgens Belsec is het vooral een kwalijke zaak dat dit soort toelichtingen nu gelinkt zijn aan een uniek nummer dat voor altijd naar deze persoon verwijst: het rijksregisternummer. Belsec raadt aan om nooit een rijksregisternummer online in te vullen.

Mensura heeft zijn klanten verwittigd, zij moeten op hun beurt de slachtoffers van de kraak, hun werknemers, inlichten.