Hackers hebben ingebroken bij een externe IT-dienstverlener van supermarktketen Lidl. Daarbij zijn persoonsgegevens van webshop-klanten gestolen. De supermarktketen benadrukt dat gevoelige informatie, zoals wachtwoorden en bankgegevens, veilig is gebleven. Getroffen klanten worden per e-mail gewaarschuwd. Het datalek kwam aan het licht na een IT-beveiligingsincident bij een van de externe partners van Lidl. Hoewel de systemen inmiddels weer volledig zijn beveiligd, wisten de aanvallers kortstondig toegang te krijgen tot een apart opgeslagen bestand.
Welke gegevens zijn gestolen?
Volgens Lidl-woordvoerder Kim Geirnaert gaat het specifiek om klanten met een account op de Belgische en Nederlandse webshop van Lidl. De buitgemaakte data bevat:
- Voor- en achternaam (en aanspreektitel)
- E-mailadres
- Telefoonnummer
- Geboortedatum
- Klantnummer
Wat is er níét gestolen?
Lidl stelt klanten nadrukkelijk gerust over de meest gevoelige gegevens. Omdat het webshop-systeem zelf buiten schot is gebleven, zijn de volgende zaken uitdrukkelijk niet getroffen:
- Wachtwoorden
- Factuur- en verzendadressen
- Bankgegevens en andere betaalinformatie
Het is nog onduidelijk om hoeveel klanten het precies gaat. De IT-dienstverlener heeft inmiddels forensische experts ingeschakeld en een officiële klacht neergelegd. Ook de privacytoezichthouders (zoals de Gegevensbeschermingsautoriteit in België en de Autoriteit Persoonsgegevens in Nederland) zijn op de hoogte gesteld.
Wat kunnen de gevolgen zijn voor jou?
Hoewel er momenteel nog geen concreet bewijs is dat de gestolen gegevens worden misbruikt, kunnen fraudeurs deze set aan informatie (naam + e-mail + telefoonnummer + geboortedatum) op verschillende manieren inzetten:
- Gerichte phishing (via e-mail of sms/WhatsApp): Omdat oplichters nu je naam, klantnummer en geboortedatum weten, kunnen ze heel geloofwaardige nepberichten sturen. Denk aan een sms die gepersonaliseerd is: "Beste [Naam], voor je verjaardag op [Datum] staat er een Lidl-waardebon klaar. Klik hier..."
- Identiteitsfraude / Social Engineering: Criminelen kunnen proberen om met deze gegevens helpdesks van andere bedrijven te bellen en zich voor jou uit te geven. Een geboortedatum en klantnummer worden immers vaak gebruikt als 'veiligheidscontrole'.
Wat moet je nu doen? (Stappenplan)
Omdat je wachtwoord en bankgegevens niet zijn gestolen, hoef je niet direct je bankrekening te blokkeren. Wel is het belangrijk om de komende tijd extra alert te zijn.
1.Check je mailbox:Onmiddellijk.
Kijk of je een e-mail van Lidl hebt ontvangen waarin staat dat jouw gegevens zijn gelekt. Heb je geen mail gehad? Dan behoor je (voor zover nu bekend) niet tot de getroffen groep.
2.Wees extreem alert op onverwachte berichten:Komende weken.
Wees wantrouwig bij e-mails, sms'jes of WhatsApp-berichten die van Lidl (of een pakketbezorger) lijken te komen. Klik nooit zomaar op links en download geen vreemde bijlagen.
3.Controleer de afzender grondig:Bij elk bericht.
Oplichters kunnen de afzender假 (spoofen). Een officiële mail van Lidl België eindigt altijd op @lidl.be of @newsletter.lidl.be. Vertrouw je het niet? Log dan handmatig in via de officiële website of app; gebruik nooit de link uit het bericht.
4.Deel geen extra gegevens:Preventief.
Krijg je telefoon of een bericht waarin wordt gevraagd naar je adres, wachtwoord of bankgegevens om "het probleem bij Lidl op te lossen"? Hang op of verwijder het bericht. Lidl zal hier nooit via sms of telefoon naar vragen.