Het Ierse gokbedrijf Paddy Power heeft 649.000 klanten na 4 jaar gewaarschuwd dat hun gegevens in 2010 bij een inbraak op het netwerk van het bedrijf zijn buitgemaakt. Het gaat om naam, gebruikersnaam, e-mailadres, telefoonnummer, geboortedata en beveiligingsvraag en antwoord.

Er zouden destijds geen financiële data zoals credit- of debitcardgegevens zijn buitgemaakt, alsmede wachtwoorden. In 2010 had Paddy Power de aanval op de systemen al opgemerkt. Er werd volgens het gokbedrijf een uitgebreid onderzoek gestart, waaruit naar voren kwam dat er geen financiële informatie en klantwachtwoorden waren gestolen. Het vermoeden bestond echter wel dat er andere klantgegevens waren gestolen.

Hierop volgde een "volledige review" van de beveiligingssystemen, maar werden klanten niet ingelicht. De volledige omvang van de inbraak kwam de afgelopen maanden aan het licht, toen het gokbedrijf juridische stappen ondernam om de gestolen gegevens van een individu in Canada terug te krijgen. In mei kwam het bedrijf er naar eigen zeggen achter dat iemand de gestolen gegevens in bezit had.

Rechter

Paddy Power waarschuwde hierop de Ierse autoriteiten en stapte naar een Canadese rechter om maatregelen tegen dit individu te kunnen nemen, zo blijkt uit deze verklaring. Het gokbedrijf ontving uiteindelijk twee gerechtelijke bevelen om de IT-apparatuur van de persoon in kwestie in beslag te nemen, de gestolen database terug te krijgen en te verwijderen van het systeem, de bankrekeningen en financiële transacties van deze persoon te bekijken en hem te ondervragen.

De operatie werd in de week van 7 juli in samenwerking met de Canadese politie uitgevoerd. De gestolen data werden geanalyseerd, waarna kon worden bevestigd dat het om de persoonsgegevens van 649.000 klanten ging. Hoe de aanvaller destijds wist binnen te komen laat Paddy Power niet weten. Het bedrijf zou de afgelopen jaren meer dan 4 miljoen pond in de beveiliging van de IT-systemen hebben geïnvesteerd.