Het jaar begint niet goed voor gebruikers van de muziekdienst Deezer, want sinds nieuwjaar is er meer bekend over het datalek. Dat is wezenlijk ernstiger dan aanvankelijk is gecommuniceerd.
“non-sensitive information”
Op 8 november 2022 verschijnt op het blog van Deezer een artikel over een datalek. Het artikel begint met de tekst “We have been made aware that one of our partners experienced a data breach in 2019, and a snapshot of our users’ non-sensitive information was exposed.“ verderop staat “The exposed data includes basic information such as first and last names, date of birth, and your email address. To be clear, no information regarding passwords or payment details has been discovered.”
Het bedrijf suggereert hiermee dat de gestolen data niet gevoelig is. Dat staat haaks op de opsomming die kort daarop volgt. Deze gegevens zijn in principe voldoende om bijvoorbeeld voor SIM swapping.
De gestolen data (beter is het trouwens te spreken over gekopieerde data) bleef lange tijd onzichtbaar. En dat gold ook voor het constateren van het lek. Het incident vond immers in 2019 plaats en kwam schijnbaar pas 2022 op de radar van Deezer. Toen was ook in een keer bekend dat het ging om een zeer groot lek, want 240 miljoen records is toch wel uitzonderlijk.
Per 2023 is de database die in 2019 is gekraakt toegevoegd aan het overzicht van Have I Been Pwnd. Daar wordt een iets kleiner aantal records genoemd. Men telt hier 229 miljoen unieke e-mailadressen. Dat blijft natuurlijk een enorm groot aantal.
Nederlandse markt
De relevantie van deze hack voor de Nederlandse markt is helder. Deze dienst wordt door bepaalde service providers gebundeld met het aanbod. Daardoor is de kans groot dat de gebruiker van deze muziekdienst het zelfde e-mail adres heeft opgegeven als waarmee hij de facturen van zijn internet of telefoon abonnement ontvangt. De adresgegevens zullen ook correct zijn, want dat is de plek van de fysieke aansluiting. Kijkend naar wat er nog meer is gelekt moeten alle seinen op rood springen. Niet alleen SIM swapping maar nog veel meer, zoals het e-commerce fraude, is met deze dataset mogelijk.