De Spaanse telecomgigant Telefonica heeft eind 2022 de wifi-wachtwoorden en andere persoonlijke gegevens van 1,4 miljoen klanten gelekt. Omdat het bedrijf geen passende maatregelen had genomen om het datalek te voorkomen en persoonsgegevens te beschermen heeft de Spaanse privacytoezichthouder AEPD het bedrijf nu een boete van 1,3 miljoen euro opgelegd.

Telefonica gebruikte een online portaal waarmee het de wifi-routers van klanten kan beheren. Medewerkers konden vanaf internet met alleen een gebruikersnaam en wachtwoord op het portaal inloggen. In september 2022 werden er vanaf het account van één medewerker vier miljoen requests per dag naar het systeem verstuurd, waar 55.000 requests normaal zijn. Dit werd op 16 september 2022 gedetecteerd.

De inloggegevens van deze medewerker werden echter pas vier dagen later geblokkeerd. De medewerker was op vakantie en kon pas bij terugkeer bevestigen dat hij niet voor het grote aantal requests naar het systeem verantwoordelijk was. Verder onderzoek wees uit dat de aanvallers telefoonnummers en wifi-gegevens van 1,4 miljoen klanten hadden gestolen, waaronder MAC-adres en wifi-wachtwoorden. Na ontdekking van het datalek werd klanten aangeraden hun wachtwoord te wijzigen.

De AEPD startte een onderzoek naar het datalek en stelde vast dat Telefonica nalatig had gehandeld door een grote hoeveelheid persoonlijke informatie van klanten niet goed te beschermen. Als de telecomprovider tweefactorauthenticatie voor het wifi-portaal had geïmplementeerd had dit de aanval kunnen voorkomen. Wegens het niet nemen van passende technische of organisatorische beveiligingsmaatregelen om de persoonsgegevens te beschermen vond de Spaanse privacytoezichthouder een boete van 1,3 miljoen euro passend (pdf).