© BELGAIMAGE

'Betalen of we publiceren namen van werknemers die zich onterecht ziek meldden'

Een externe database van Mensura Absenteïsme is afgelopen week gehackt. Dat meldde IT-veiligheidsblog Belsec zaterdag en is maandag bevestigd door Pieter Van Aerschot, algemeen directeur van de controledienst. Medische informatie is niet bekendgemaakt. Maar wél is al een aantal andere gegevens van enkele duizenden betrokken werknemers op het internet uitgelekt, zoals hun naam, hun adres en hun plaats van tewerkstelling.

aro

'Vorige week is een extern webformulier gehackt dat door bedrijven wordt gebruikt om controleaanvragen door te geven', legt Van Aerschot uit. 'De hackers konden zo enkele duizenden records bemachtigen van aanvragen om medewerkers die zich hadden ziek gemeld te controleren.'

Van Aerschot benadrukt dat er dan wel geen medische informatie werd gelekt, maar intussen is wel al een aantal andere gegevens van enkele duizenden betrokken werknemers op het internet gezet. Pijnlijk vooral is dat daarbij wordt vermeld dat het om mensen gaat die door hun werkgevers van onwettige afwezigheid op het werk worden verdacht. Het gaat onder meer om hun naam, hun adres en hun plaats van tewerkstelling. De lijst betrokken bedrijven bevat overigens heel wat bekende namen, zoals Telenet, De Lijn, Ikea, Bart Smit, Quick en Van Gansewinkel, zo staat te lezen op de blog van Belsec.

Volgens Mensura werd het formulier onmiddellijk offline gehaald, en werd met de externe leverancier samengewerkt om het opnieuw online te plaatsen.Ook werd een klacht ingediend bij de FCCU (de Federal Computer Crime Unit van de federale politie). De hacking zou ook enkel hebben plaatsgevonden bij de afdeling Absenteïsme. Afdelingen zoals Preventie en Bescherming of Kinderbijslag en de interne systemen werden niet getroffen.

'Niet ingegaan op afpersing'

Volgens Belsec was de hacking het werk van Rex Mundi, een persoon of groep die al regelmatig lijsten met persoonsgegevens kon buitmaken. Telkens werd vervolgens geprobeerd om de gehackte bedrijven daarmee af te persen, met het dreigement om de gegevens publiek te maken als er niet wordt betaald. Rex Mundi zou Mensura ook nu geld hebben gevraagd, zoniet zouden de gegevens online geplaatst worden. Van Aerschot is er naar eigen zeggen niet op ingegaan. 'Dat werd ons ten zeerste afgeraden door de FCCU, onze advocaten en de raad van bestuur.'

Mensura informeerde na de hacking ook al zijn klanten: eerst zij die getroffen werden, en later ook het overgrote deel van de andere. Die kunnen op hun beurt nu hun medewerkers inlichten.