Hack bij Basic-Fit: gegevens 200.000 leden buitgemaakt
Fitness-keten Basic-Fit heeft bevestigd dat gegevens van een groot aantal Nederlandse leden zijn gedownload na een hack. Het gaat hierbij om informatie uit de interne ledenadministratie, zoals naam- en adresgegevens, e-mailadressen, telefoonnummers, geboortedata, lidmaatschapsinformatie en bankrekeninggegevens. Het bedrijf zegt dat de ongeautoriseerde toegang binnen enkele minuten na ontdekking is gestopt – maar die paar minuten waren voldoende om de data van 200.000 sporters te downloaden.
In de communicatie naar leden legt Basic-Fit de nadruk op wat wel en niet is buitgemaakt. De keten zegt geen identiteitsdocumenten van leden op te slaan en meldt ook dat wachtwoorden geen onderdeel waren van de gedownloade data. Volgens het bedrijf is daarom geen directe actie nodig voor getroffen leden. Wel adviseert Basic-Fit om extra alert te zijn op phishing, bijvoorbeeld via e-mail of telefoon, omdat persoonsgegevens daarvoor kunnen worden misbruikt.
Basic-Fit stelt verder dat alleen een deel van de leden per e-mail is geïnformeerd. De gegevens van mensen die geen bericht hebben ontvangen, zouden niet gestolen zijn. Opvallend: in een FAQ over de dataroof staat dat openstaande contributies veilig betaald kunnen worden via het eigen Mijn Basic-Fit-account of bij de kiosk in de club. Het lijkt erop dat het bedrijf daarmee probeert te voorkomen dat leden ingaan op mogelijk vervalste betaalverzoeken.
Over de gevolgen houdt Basic-Fit voorlopig nog een slag om de arm. Het bedrijf zegt dat de data, voor zover nu bekend, nergens openbaar beschikbaar is. Tegelijk meldt de keten dat externe specialisten zijn ingeschakeld om te controleren of de gedownloade gegevens alsnog opduiken of worden misbruikt. Basic-Fit heeft het incident gemeld bij de Autoriteit Persoonsgegevens en zegt ook de politie te hebben ingelicht. Volgens de fitnessketen blijft het eigen beveiligingsteam de situatie volgen.
De hack bij Basic-Fit staat niet op zichzelf. Bastion Hotels meldde eerder dat boekingsgegevens van ongeveer 6.000 gasten van zeven hotels waren buitgemaakt nadat een medewerker op een phishinglink klikte. Ajax kwam in opspraak nadat kwetsbaarheden in de eigen app en website toegang bleken te geven tot accounts, tickets en gevoelige gegevens, waaronder informatie over stadionverboden. En dan hebben we natuurlijk ook nog de hack bij Odido, waarbij gegevens van 6,2 miljoen klantenaccounts werden gestolen.
Al met al lijkt Basic-Fit snel te hebben gereageerd nadat het incident was ontdekt, maar of het ook echt adequaat heeft gehandeld, is op basis van de nu bekende informatie nog niet hard vast te stellen.
