Een ransomware-aanval die begin 2021 plaatsvond kost Phone House Spanje 6,5 miljoen euro. Bij de aanval werden gegevens van dertien miljoen mensen gestolen. Het ging om namen, geboortedata, e-mailadressen, geslacht, nationaliteit, telefoonnummers en adresgegevens. De Spaanse privacytoezichthouder AEPD heeft het bedrijf wegens het overtreden van de AVG de miljoenenboete opgelegd (pdf).

Criminelen achter de Babuk-ransomware wisten toegang tot het netwerk van Phone House Spanje te krijgen. Voordat ze de ransomware uitrolden werden eerst allerlei gegevens buitgemaakt. Het zou gaan om een dump van tien Oracle-databases met daarin de gegevens van dertien miljoen klanten. De aanvallers dreigden de gegevens openbaar te maken tenzij Phone House Spanje het losgeld van zo'n zes miljoen dollar zou betalen. De telecomketen ging niet op het dreigement in, waarop de aanvallers gestolen gegevens publiceerden.

De AEPD deed onderzoek naar het datalek en stelde vast dat het bedrijf geen adequate en passende maatregelen had genomen om de persoonsgegevens van klanten te beschermen. Zo schoot het bedrijf tekort met het wachtwoordbeleid en andere beperkingen om toegang tot de eigen systemen te beveiligen. Was de netwerkbeveiliging- en monitoring onvoldoende, het controleren op kwetsbaarheden en werd er niet genoeg gedaan aan training en awareness van medewerkers.

Verder had Phone House Spanje nagelaten om beveiligingsmaatregelen te treffen die het in het eigen Data Protection Impact Assessment (DPIA) had aangegeven, zoals het versleutelen, pseudonimiseren en anonimiseren van data. Hoe de aanval mogelijk was staat niet in het onderzoek van de AEPD vermeld. Voor het overtreden van Artikel 5(1)(f) van de AVG kreeg het bedrijf een boete van 4 miljoen euro. Met een boete van 2,5 miljoen euro voor het overtreden van Artikel 32 komt de totale boete uit op 6,5 miljoen euro.