Datalek door bruteforce-aanval kost Spaanse kredietverstrekker 360.000 euro
Een datalek door een bruteforce-aanval kost een Spaanse kredietverstrekker 360.000 euro. Aanvallers wisten in 2022 via de aanval op de webportal van het bedrijf toegang tot de gegevens van meer dan 9600 klanten te krijgen. Het ging onder andere om naam, geboortedatum, adresgegevens, e-mailadressen, telefoonnummers, belastingnummers, de Spaanse tegenhanger van het burgerservicenummer alsmede informatie over verstrekte leningen.
Voor de aanval gebruikten de aanvallers combinaties van identiteitsnummers en wachtwoorden en e-mailadressen en wachtwoorden. In het rapport van de toezichthouder wordt gesproken over zowel een bruteforce-aanval als een credential stuffing-aanval. Nadat de aanvallers toegang tot een account hadden gekregen vroegen ze voor bepaalde klanten een lening aan.
Daarna werden de betreffende klanten via WhatsApp door de aanvallers benaderd, die zich daarbij voordeden als de kredietverstrekker. De criminelen vroegen de klanten vervolgens om het geleende geld naar een opgegeven rekeningnummer terug te storten. 139 klanten van de kredietverstrekker werden op deze manier opgelicht.
De kredietverstrekker waarschuwde de Spaanse privacytoezichthouder AEPD begin 2023 over het datalek. Daarbij stelde de kredietverstrekker dat het vond dat het datalek geen groot risico voor betrokkenen opleverde en het daarom niet nodig was om getroffen klanten te informeren. Vorig jaar april startte de AEPD een onderzoek naar de kredietverstrekker en gaf het bevel om getroffen klanten wel te infomeren, wat dezelfde dag nog werd gedaan.
De AEPD stelde vast dat de kredietverstrekker de AVG op verschillende punten had overtreden. Zo had het bedrijf onvoldoende beveiligingsmaatregelen genomen om de financiële en persoonsgegevens van klanten te beschermen. De toezichthouder hekelt vooral het ontbreken van tweefactorauthenticatie (2FA) voor het aanvragen van een lening en stelt dat dit heeft bijgedragen aan het datalek.
Na het datalek heeft de kredietverstrekker wel 2FA geïmplementeerd, wat volgens de toezichthouder de eerdere tekortkoming aantoont. Ook het niet direct melden van het datalek aan gedupeerden is een tekortkoming, aldus de AEPD. De toezichthouder legde een boete van 600.000 euro op. De kredietverstrekker kreeg een korting van veertig procent omdat het stelde verantwoordelijk te zijn voor het datalek en het voorgestelde bedrag wilde betalen, waardoor het eindbedrag op 360.000 euro uitkomt (pdf).
Boete helemaal terecht, vooral, en dat is ook heel Spaans, wegens eigen klanten weglachen. Dat gebeurt nog veel te vaak.
Maar die boete moet van tafel. Want je moet ergens heen kunnen voor een nieuwe keuken en je hep het effies niet. Dat is ook Spaans.
Tijd om over de AVROTROS humor te stappen.
Die zijn nog nooit grappig geweest. Echt nog nooit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
