De Spaanse verkeersdienst trok hoge ogen deze week. Via een online formulier slaagde een hacker er in miljoenen gegevens te stelen. De man wilde die gegevens online commercialiseren en zo veel geld verdienen.
Vier jaar lang en met behulp van de identiteitskaart van zijn moeder slaagde een 27-jarige man uit Murcia er in de DGT (Dirección General de Tráfico, de Spaanse verkeersdienst) te slim af te zijn. In totaal bemachtigde de man meer dan 40 miljoen gegevens van nummerplaten en hun eigenaren. Hij bouwde zo een indrukwekkende database op die hij tegen betaling op de markt wilde brengen.
Indrukwekkend, dat zeker, en een van de grootste cyberaanvallen die de DGT de laatste jaren te verduren kreeg. Nog maar eens toont dit feit de kwetsbaarheid van informatica, zeker wat betreft de publieke diensten.
Maar hoe slaagde deze man in zijn opzet? De sleutel ligt in een formulier voor betaling van belastingen op de overdracht van patrimonium. Dat formulier is online te vinden op een website van de overheid. Wanneer men het invult, vraagt het formulier automatisch data aan bij andere instellingen, waaronder de DGT. In 2020 ontdekte de jonge hacker de zwakke plek. Hij schreef een code die via deze weg massaal data aanvroeg en ook downloadde in een grote database.
De man in kwestie woont nog bij zijn ouders in Murcia waar hij via de computer voor een groot bedrijf werkt. De gegevens die hij stal bevatten de technische details van 40 miljoen wagens gelinkt aan de persoonlijke gegevens van de eigenaars (naam, adres, telefoonnummer). Mensen die een tweedehands wagen kopen, willen graag alle details van die auto nemen om risico’s te verkleinen. De DGT verkoopt die info voor 9 euro. De man wilde waarschijnlijk zijn eigen database commercialiseren en zo veel geld verdienen.