Het Amerikaanse pensioen-, beleggings- en verzekeringsbedrijf Voya, dat eerst nog eigendom van de Amerikaanse tak van ING was, heeft een datalek voor 1 miljoen dollar met de Amerikaanse beurswaakhond SEC geschikt. Gedurende zes dagen in 2016 werd de helpdesk van Voya gebeld door oplichters die zich voordeden als financieel adviseurs die voor het bedrijf werkten en vroegen om het wachtwoord van de adviseur te resetten.

De oplichters gebruikten de nieuwe wachtwoorden om toegang tot de persoonlijke gegevens van 5600 Voya-klanten te krijgen. Vervolgens werden de klantgegevens gebruikt om nieuwe online klantprofielen aan te maken en ongeautoriseerde toegang tot rekeningdocumenten van drie klanten te verkrijgen.

Uit onderzoek van de Securities and Exchange Commission (SEC) bleek dat de cybersecurityprocedures van de verzekeraar tekortschoten. Sommige van de problemen waren al eerder tijdens frauduleuze activiteiten aan het licht gekomen. Zo gebruikten de oplichters in twee gevallen telefoonnummers die al eerder bij frauduleuze activiteiten waren gebruikt en waar ze zich ook als financieel adviseur hadden voorgedaan. Verder bleek dat Voya de eigen procedures niet toepaste op de systemen waar onafhankelijke, ingehuurde adviseurs mee werken.

Het onderzoek liet verder zien dat drie uur na de eerste frauduleuze wachtwoordreset de getroffen financieel adviseur een helpdeskmedewerker waarschuwde dat hij een e-mailbevestiging van de wachtwoordreset had ontvangen, maar dat hij dit verzoek niet had gedaan. Voya nam daarop maatregelen, maar die voorkwamen niet dat de aanvallers zich in de volgende dagen opnieuw als financieel adviseurs voordeden, wachtwoorden bemachtigden en op de klantenportaal konden inloggen.