De Finse kredietvergelijker Sambla Group heeft via verkorte URL's allerlei gevoelige gegevens van gebruikers gelekt, waaronder de Finse tegenhanger van het Burgerservicenummer, e-mailadres, adresgegevens, telefoonnummer, salarisgegevens, inkomen van partner, beroep, maandelijkse uitgaven en nog veel meer. De gegevens waren voor iedereen op internet zonder enige authenticatie toegankelijk. De Finse privacytoezichthouder heeft het bedrijf een boete van 950.000 euro opgelegd.

De Sambla Group biedt mensen via twee websites de mogelijkheid om allerlei leningen van verschillende kredietverstrekkers met elkaar te vergelijken en vervolgens ook aan te vragen. Gebruikers moeten hiervoor allerlei persoonlijke informatie over zichzelf en hun financiële situatie verstrekken. Voor elke aanvraag en vergelijking werd voor elke gebruiker een unieke URL gegenereerd. Gebruikers ontvingen echter een verkorte URL bestaande uit acht karakters die automatisch naar de langere URL verwees.

Deze acht karakters bleken eenvoudig te proberen en dit vereiste ook geen enkele authenticatie. De achterliggende kredietaanvragen konden zo tiendduizenden keren door derden worden bekeken en werden ook door de crawler van Google geïndexeerd. Zo bleek uit de logbestanden dat de Google-bot meer dan 3,3 miljoen keer de verkorte URL's had opgevraagd. Na ontdekking van het datalek moest Sambla Group het verwerken van de persoonlijke data van kredietaanvragers stoppen en klanten over het lek informeren.

De beveiligingsproblemen waren al sinds de lancering van het systeem begin 2017 aanwezig. Volgens de Finse privacytoezichthouder heeft het bedrijf geen passende technische en organisatorische maatregelen genomen om de persoonlijke gegevens van gebruikers te beschermen. Daarnaast heeft het bedrijf ook verschillende andere bepalingen van de AVG overtreden, waarop de toezichthouder een boete van 950.000 euro passend vond.