image

Datalek door bruteforce-aanval kost Spaanse kredietverstrekker 360.000 euro

dinsdag 14 mei 2024, 13:14 door Redactie, 1 reacties

Een datalek door een bruteforce-aanval kost een Spaanse kredietverstrekker 360.000 euro. Aanvallers wisten in 2022 via de aanval op de webportal van het bedrijf toegang tot de gegevens van meer dan 9600 klanten te krijgen. Het ging onder andere om naam, geboortedatum, adresgegevens, e-mailadressen, telefoonnummers, belastingnummers, de Spaanse tegenhanger van het burgerservicenummer alsmede informatie over verstrekte leningen.

Voor de aanval gebruikten de aanvallers combinaties van identiteitsnummers en wachtwoorden en e-mailadressen en wachtwoorden. In het rapport van de toezichthouder wordt gesproken over zowel een bruteforce-aanval als een credential stuffing-aanval. Nadat de aanvallers toegang tot een account hadden gekregen vroegen ze voor bepaalde klanten een lening aan.

Daarna werden de betreffende klanten via WhatsApp door de aanvallers benaderd, die zich daarbij voordeden als de kredietverstrekker. De criminelen vroegen de klanten vervolgens om het geleende geld naar een opgegeven rekeningnummer terug te storten. 139 klanten van de kredietverstrekker werden op deze manier opgelicht.

De kredietverstrekker waarschuwde de Spaanse privacytoezichthouder AEPD begin 2023 over het datalek. Daarbij stelde de kredietverstrekker dat het vond dat het datalek geen groot risico voor betrokkenen opleverde en het daarom niet nodig was om getroffen klanten te informeren. Vorig jaar april startte de AEPD een onderzoek naar de kredietverstrekker en gaf het bevel om getroffen klanten wel te infomeren, wat dezelfde dag nog werd gedaan.

De AEPD stelde vast dat de kredietverstrekker de AVG op verschillende punten had overtreden. Zo had het bedrijf onvoldoende beveiligingsmaatregelen genomen om de financiële en persoonsgegevens van klanten te beschermen. De toezichthouder hekelt vooral het ontbreken van tweefactorauthenticatie (2FA) voor het aanvragen van een lening en stelt dat dit heeft bijgedragen aan het datalek.

Na het datalek heeft de kredietverstrekker wel 2FA geïmplementeerd, wat volgens de toezichthouder de eerdere tekortkoming aantoont. Ook het niet direct melden van het datalek aan gedupeerden is een tekortkoming, aldus de AEPD. De toezichthouder legde een boete van 600.000 euro op. De kredietverstrekker kreeg een korting van veertig procent omdat het stelde verantwoordelijk te zijn voor het datalek en het voorgestelde bedrag wilde betalen, waardoor het eindbedrag op 360.000 euro uitkomt (pdf).

Reacties (1)
14-05-2024, 19:48 door Anoniem
Spaanse banken zijn een ramp. Dat komt omdat per traditie afgedankte politici er allemaal automatisch een baantje konden krijgen. Net als in Nederland trouwens. Dus dan krijg je automatiscg allemaal mensen die niks kunnen. Net als in Nederland trouwens. Alleen in Spanje heb je veel meer banken en allemaal verbonden met politieke nesten. Wat het niet overzichtelijker maakt. In Nederland heb je drie groten en dan heb je nog de triodos. Ook niks waard. Humor van de AVROTROS, meer punten kan ik er niet voor geven.

Boete helemaal terecht, vooral, en dat is ook heel Spaans, wegens eigen klanten weglachen. Dat gebeurt nog veel te vaak.

Maar die boete moet van tafel. Want je moet ergens heen kunnen voor een nieuwe keuken en je hep het effies niet. Dat is ook Spaans.

Tijd om over de AVROTROS humor te stappen.

Die zijn nog nooit grappig geweest. Echt nog nooit.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.