Energiedirect waarschuwt klanten voor mogelijk onnodig bekeken gegevens
Energieleverancier Energiedirect heeft klanten gewaarschuwd dat hun gegevens mogelijk onnodig bekeken zijn, waardoor er een risico op phishing en identiteitsfraude is. "We vinden de veiligheid van je gegevens erg belangrijk. Daarom voeren we regelmatig controles uit. Tijdens de laatste controle zagen we een mogelijk risico voor jouw gegevens", aldus het bedrijf in een e-mail aan klanten.
Volgens Energiedirect blijkt uit de controle dat er in korte tijd meer klantgegevens zijn opgevraagd dan normaal. "Dat is vreemd en hebben we verder onderzocht. Hieruit blijkt dat je klantgegevens mogelijk zijn bekeken zonder dat dit nodig was. Voor zover we nu weten is er verder niets met je gegevens gebeurd en hebben je gegevens ons klantsysteem niet verlaten. We onderzoeken de situatie verder", zo laat de e-mail verder weten.
De energieleverancier zegt ook te begrijpen als mensen ongerust zijn. "Er is op dit moment geen reden om te denken dat er iets mis is met je gegevens. We willen natuurlijk wel voorzichtig zijn. Daarom vragen we je om extra goed op te letten bij e-mails, berichten via WhatsApp en sms’jes." Mocht het onderzoek nieuwe informatie opleveren zegt Energiedirect dit met klanten te zullen delen.
Ach, bij een zorgaanbieder kan ik me iets bij voorstellen, of een bank. Maar bij een energieaanbieder? Moeten we dan dezelfde paniekaankondiging doen ?
Ach, bij een zorgaanbieder kan ik me iets bij voorstellen, of een bank. Maar bij een energieaanbieder? Moeten we dan dezelfde paniekaankondiging doen ?
Paniekaankondiging, wat zeg jij nou?
Ze geven aan dat er risico is op phishing en identiteitsfraude is. Het is goed dat ze het melden.
Ach, bij een zorgaanbieder kan ik me iets bij voorstellen, of een bank. Maar bij een energieaanbieder? Moeten we dan dezelfde paniekaankondiging doen ?
Ach, bij een zorgaanbieder kan ik me iets bij voorstellen, of een bank. Maar bij een energieaanbieder? Moeten we dan dezelfde paniekaankondiging doen ?
Het lijkt niet op een paniekaankondiging maar gewoon op informeren van de klant. Dus ja. Ten eerste is er, zoals het nu lijkt, sprake van een datalek en is er dus wetgeving die voorschrijft dat klanten moeten worden geinformeerd, en we willen graag dat bedrijven zich aan de wet houden en niet zelf de afweging gaan maken of zij in hun specifieke geval misschien wel of niet zich aan de wet moeten houden. Datalek, dus informeren, klaar. Ten tweede is het gewoon goed fatsoen om dat te doen.
Ten derde heeft die energieaanbieder informatie die waarde heeft voor verschillende criminelen. Het gaat dan niet alleen om phising en zo, maar ook om identiteitsdiefstal. Die energieaanbieder heeft immers naam, adres, bankrekening, email, en mogelijk andere gegevens zoals email en geboortedatum. Die data heeft waarde voor criminelen.
Daarnaast kan een energieleverancier bij mensen met apps en slimme meters zien wat het verbruik is en kan dus inschatten of iemand op vakantie is of niet, en dat is voor ouderwetse inbrekers dan weer interessant.
De enige juiste reactie: 10k boete voor elke klant waarbij de toko niet kan aantonen dat deze niet onterecht bekeken is. En ja, daar gaan ze waarschijnlijk op failliet. Precies de bedoeling: ze doen het niet nog een keer.
Ach, bij een zorgaanbieder kan ik me iets bij voorstellen, of een bank. Maar bij een energieaanbieder? Moeten we dan dezelfde paniekaankondiging doen ?
Die zicht heeft op je NAW-gegevens, IBAN, betaalhistorie, verbruiksgegevens.
Het is niet zo erg als een medisch lek maar als ook je kwartierdata qua verbruik lekt is dat wel 'dichter' op je leven dan puur je contact- en betaalinformatie.
Ach, bij een zorgaanbieder kan ik me iets bij voorstellen, of een bank. Maar bij een energieaanbieder? Moeten we dan dezelfde paniekaankondiging doen ?
Paniekaankondiging, wat zeg jij nou?
Ze geven aan dat er risico is op phishing en identiteitsfraude is. Het is goed dat ze het melden.
Helemaal gelijk. Ik dacht te hebben gelezen dat het alleen intern in te zien was.
My bad.
Als dit klopt, kunnen de gegevens niet opgevraagd zijn en is de melding onzinnig. Wanner ze opgevraagd zijn, hebben ze per definitie het klantsysteem verlaten.
Als dit klopt, kunnen de gegevens niet opgevraagd zijn en is de melding onzinnig. Wanner ze opgevraagd zijn, hebben ze per definitie het klantsysteem verlaten.
De enige juiste reactie: 10k boete voor elke klant waarbij de toko niet kan aantonen dat deze niet onterecht bekeken is. En ja, daar gaan ze waarschijnlijk op failliet. Precies de bedoeling: ze doen het niet nog een keer.
Als je iedereen die een fout maakt maximaal aan gort trapt dan geef je ze geen gelegenheid om van die fouten te leren en het de volgende keer beter te doen. Anderen leren er niet in de eerste plaats van om geen fouten te maken maar om fouten angstvallig stil te houden, want als ze er open over zijn worden ze aan gort getrapt en als ze hun bek houden met een beetje geluk niet. En als iedereen zijn fouten zo veel mogelijk stil houdt wordt het een stuk moeilijker om wél van elkaars fouten te leren.
Mocht je een zwartwitdenker zijn: ik zeg nadrukkelijk niet dat er niet gestraft moet worden, maar wel dat straffen niet alleen maar effectiever worden naarmate ze zwaarder worden. De kunst is om het juiste effect te scoren.
Als dit klopt, kunnen de gegevens niet opgevraagd zijn en is de melding onzinnig. Wanner ze opgevraagd zijn, hebben ze per definitie het klantsysteem verlaten.
Het is niet heel duidelijk. Mogelijk dat ze bedoelen dat ze in de toegangslogs van het klantsysteem ongebruikelijk veel "opvragingen" hebben gedetecteerd. Dat zou dan aan een gebruiker van dat klantsysteem gekoppeld moeten zijn, maar die zegt misschien van niets te weten (kunnen meerdere gebruikers zijn). Natuurlijk speculatie.
Dat ze vragen aan klanten om op te letten met emails, sms, enz. is standaard, dat is de meest voor de hand liggende manier waarop klantgegevens door een threat actor misbruikt kunnen worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!