Nieuws

Headhunter Michael Page in verlegenheid door datalek

17.11.2016

Personeelsbemiddelaar Michael Page is in verlegenheid gebracht door een inbraak in de computers van het bedrijf. Daardoor zijn persoonsgegevens van 711.000 sollicitanten, ook in Nederland, op straat komen te liggen. In een eind vorige week verstuurde e-mail aan gedupeerde sollicitanten, in bezit van het FD, zegt Michael Page het voorval 'erg serieus' te nemen en grondig onderzoek te doen naar de oorzaak om herhaling te komen.

Gehackt

Volgens het relaas van de Britse headhunter heeft een onbevoegde partij zich op 1 november illegaal toegang verschaft tot een server van het bedrijf, die door IT-leverancier Capgemini wordt gebruikt om websites van PageGroup te testen. De hackers hebben hierdoor toegang gekregen tot gegevens van sollicitanten die bij het werving- en selectiebureau geregistreerd staan. Het gekraakte bestand heeft betrekking op 711.000 personen in China, Nederland en het Verenigd Koninkrijk.

De ontfutselde informatie behelst naam en voornaam van sollicitanten, alsook hun e-mailadres en wachtwoord. Dit wachtwoord is gecodeerd en kan niet zomaar door een derde worden gelezen, zegt Michael Page in de excuusmail.

Aansprakelijk

De in Londen genoteerde headhunter, die in Nederland onder meer bemiddelt voor financiële en juridische functies, legt de schuld voor de gebrekkige beveiliging bij Capgemini, verantwoordelijk voor het beheer van de websites. 'Het ligt voor de hand om Capgemini aansprakelijk te stellen, indien er sprake is van schade', zegt desgevraagd Olivier Macpherson, regionaal financieel directeur van Michael Page voor Noord-Europa.

De personeelsbemiddelaar vertrouwde op Capgemini vanwege de omvang van deze organisatie en de veiligheids- en ISO-certificaten waarover de IT-dienstverlener beschikt. 'We gingen er dan ook vanuit dat dit de garantie bood dat onze websiteomgevingen veilig en beveiligd zouden zijn in hun handen,' zo stelt Michael Page in een schriftelijke toelichting. Onduidelijk is nog hoe het mogelijk is dat de ontwikkelingsserver, waar het lek zich voordeed, actuele gegevens bevatte die vrijelijk konden worden ingezien. Het is gebruikelijk om de data op zulke servers te anonimiseren en af te schermen van internet. 

Ethische hackers

Na de ontdekking van het lek zegt de personeelsbemiddelaar samen met Capgemini non-stop te hebben gewerkt aan een oplossing. 'Wij hebben onmiddellijk de servers volledig vergrendeld en alle mogelijke toegangspunten tot die servers veiliggesteld', aldus Eamon Collins, group marketing director van PageGroup in de e-mail, die is verstuurd aan mensen van wie de gegevens zijn buitgemaakt.

Uit het onderzoek is intussen gebleken dat de aanval op de server het werk is van twee mensen van wie Michael Page heeft begrepen dat ze geen kwaadwillende of frauduleuze bedoelingen hadden. Het zou gaan om ethische hackers, zo bericht de in IT gespecialiseerde website Tweakers. Deze hebben alleen het oogmerk om bedrijven en instellingen te wijzen om manco's in de digitale beveiliging. Michael Page heeft hen gevraagd de buitgemaakte data te vernietigen. Daar zou ook gevolg aan gegeven zijn.

Niet kwaadaardig

In een reactie op het incident gaat Capgemini niet in op de schuldvraag. De automatiseerder zegt alleen dat er geen sprake was van een kwaadaardige aanval. Bovendien zijn de data niet verder verspreid of voor frauduleuze doeleinden gebruikt, aldus de IT-dienstverlener. Het bedrijf laat weten alle vertrouwen te hebben in zijn veiligheidsprocedures en dataprotectiemaatregelen die naar eigen zeggen continu worden verbeterd.

Het risico dat de informatie nog misbruikt zal worden, acht Michael Page heel klein. Het gaat om gegevens die gewoonlijk vrij beschikbaar zijn in andere online bronnen, meent de gehackte organisatie. Maar de gedupeerde sollicitanten wordt wel verzocht op hun hoede te blijven voor zogenoemde scam-mails, zoals phishing-mails. Met phishing wordt gedoeld op praktijken van oplichters die met vervalste berichten 'hengelen' naar gevoelige informatie.

Datalek gemeld

De personeelsbemiddelaar heeft de Nederlandse Autoriteit Persoonsgegevens eind vorige week op de hoogte gebracht van het datalek, zoals wettelijk verplicht is sinds begin dit jaar. De melding is gedaan via het Britse advocatenkantoor Bird & Bird, de vaste juridische adviseur van de onderneming.

De ironie wil dat Michael Page zich expliciet opwerpt als partij die kan bemiddelen in nieuwe banen die te maken hebben met de aanpak van datalekken. De meldplicht van zulke lekken, onderdeel van de nieuwe privacywetgeving, zal leiden tot een groeiende vraag naar nieuwe specialistische functies op het gebied van gegevensbescherming, zo stelde de organisatie in juli vorig jaar in een persbericht. 

Michael Page is in Nederland actief met kantoren in Amsterdam, Rotterdam, Tilburg en Utrecht. Daar werken in totaal 200 man. De in Nederland behaalde omzet bedroeg vorig jaar €47 mln.

Bron: FD.nl

Meer nieuws