De door ransomware getroffen geldwisselaar Travelex is in september gewaarschuwd over een beveiligingslek in de vpn-servers die het gebruikt en waardoor de aanvallers mogelijk zijn binnengekomen. Dat meldt beveiligingsonderzoeker Troy Mursch. De kwetsbaarheid bevindt zich in de Pulse Secure vpn-software en geeft aanvallers volledige controle over de vpn-server.

Vorig jaar april verscheen er een beveiligingsupdate voor de kwetsbaarheid. Eind augustus maakte Mursch bekend dat er nog altijd 14.000 kwetsbare vpn-servers op internet te vinden waren. Het ging onder andere om de vpn-servers van Travelex. Op vrijdag 13 september waarschuwde de onderzoeker het bedrijf, maar kreeg naar eigen zeggen geen reactie. Mursch meldt dat de kwetsbare Travelex-servers in verschillende landen stonden, waaronder Nederland. Naast het bedrijf werden ook verschillende Computer Emergency Readiness Teams gewaarschuwd, waaronder het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie, aldus de onderzoeker. Ook beveiligingsonderzoeker Matthijs Koot informeerde het NCSC in september over het lek bij Travelex, zo laat hij via Twitter weten.

Volgens beveiligingsonderzoeker Kevin Beaumont maken aanvallers inmiddels gebruik van de kwetsbaarheid om organisaties met ransomware te infecteren. Systemen van Travelex raakten op 31 december met de Sodinokibi-ransomware besmet. Iets wat het bedrijf inmiddels via de eigen website heeft bevestigd. Hoe dit kon gebeuren is niet bekendgemaakt. Ook laat de geldwisselaar niet weten of er losgeld is betaald. Wel zouden inmiddels verschillende systemen zijn hersteld. Tevens stelt Travelex dat de aanval geen "materiële financiële impact" voor moederbedrijf Finablr Group zal hebben.