Nieuws

Datalek door bruteforce-aanval kost Spaanse kredietverstrekker 360.000 euro

dinsdag 14 mei 2024, 13:14 door Redactie, 1 reacties

Een datalek door een bruteforce-aanval kost een Spaanse kredietverstrekker 360.000 euro. Aanvallers wisten in 2022 via de aanval op de webportal van het bedrijf toegang tot de gegevens van meer dan 9600 klanten te krijgen. Het ging onder andere om naam, geboortedatum, adresgegevens, e-mailadressen, telefoonnummers, belastingnummers, de Spaanse tegenhanger van het burgerservicenummer alsmede informatie over verstrekte leningen.

Voor de aanval gebruikten de aanvallers combinaties van identiteitsnummers en wachtwoorden en e-mailadressen en wachtwoorden. In het rapport van de toezichthouder wordt gesproken over zowel een bruteforce-aanval als een credential stuffing-aanval. Nadat de aanvallers toegang tot een account hadden gekregen vroegen ze voor bepaalde klanten een lening aan.

Daarna werden de betreffende klanten via WhatsApp door de aanvallers benaderd, die zich daarbij voordeden als de kredietverstrekker. De criminelen vroegen de klanten vervolgens om het geleende geld naar een opgegeven rekeningnummer terug te storten. 139 klanten van de kredietverstrekker werden op deze manier opgelicht.

De kredietverstrekker waarschuwde de Spaanse privacytoezichthouder AEPD begin 2023 over het datalek. Daarbij stelde de kredietverstrekker dat het vond dat het datalek geen groot risico voor betrokkenen opleverde en het daarom niet nodig was om getroffen klanten te informeren. Vorig jaar april startte de AEPD een onderzoek naar de kredietverstrekker en gaf het bevel om getroffen klanten wel te infomeren, wat dezelfde dag nog werd gedaan.

De AEPD stelde vast dat de kredietverstrekker de AVG op verschillende punten had overtreden. Zo had het bedrijf onvoldoende beveiligingsmaatregelen genomen om de financiële en persoonsgegevens van klanten te beschermen. De toezichthouder hekelt vooral het ontbreken van tweefactorauthenticatie (2FA) voor het aanvragen van een lening en stelt dat dit heeft bijgedragen aan het datalek.

Na het datalek heeft de kredietverstrekker wel 2FA geïmplementeerd, wat volgens de toezichthouder de eerdere tekortkoming aantoont. Ook het niet direct melden van het datalek aan gedupeerden is een tekortkoming, aldus de AEPD. De toezichthouder legde een boete van 600.000 euro op. De kredietverstrekker kreeg een korting van veertig procent omdat het stelde verantwoordelijk te zijn voor het datalek en het voorgestelde bedrag wilde betalen, waardoor het eindbedrag op 360.000 euro uitkomt (pdf).

UWV doet onderzoek naar voorkomen van ongewenst downloaden cv's

Malafide advertenties voor WinSCP en PuTTY leiden tot ransomware

Reacties (1)

Reageer met quote

14-05-2024, 19:48 door Anoniem

Spaanse banken zijn een ramp. Dat komt omdat per traditie afgedankte politici er allemaal automatisch een baantje konden krijgen. Net als in Nederland trouwens. Dus dan krijg je automatiscg allemaal mensen die niks kunnen. Net als in Nederland trouwens. Alleen in Spanje heb je veel meer banken en allemaal verbonden met politieke nesten. Wat het niet overzichtelijker maakt. In Nederland heb je drie groten en dan heb je nog de triodos. Ook niks waard. Humor van de AVROTROS, meer punten kan ik er niet voor geven.

Boete helemaal terecht, vooral, en dat is ook heel Spaans, wegens eigen klanten weglachen. Dat gebeurt nog veel te vaak.

Maar die boete moet van tafel. Want je moet ergens heen kunnen voor een nieuwe keuken en je hep het effies niet. Dat is ook Spaans.

Tijd om over de AVROTROS humor te stappen.

Die zijn nog nooit grappig geweest. Echt nog nooit.

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Pick one:

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Datalek door bruteforce-aanval kost Spaanse kredietverstrekker 360.000 euro

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren