Datalek Vattenfall door medewerker die klantgegevens met oplichters deelde
Energiemaatschappij Vattenfall heeft honderden klanten gewaarschuwd voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters. Die gebruikten de gestolen informatie vervolgens voor het plegen van bankhelpdeskfraude. De medewerker, een externe inhuurkracht, werkte voor de klantenservice van Vattenfall. in die positie had hij toegang tot klantgegevens.
Voor zover nu bekend heeft de man gegevens van 776 klanten gefotografeerd. De gestolen informatie bestaat uit naam, (mail)adres, telefoonnummer, geboortedatum, klantnummer en bankrekeningnummer. Ook is op dit moment bekend dat de medewerker breder heeft gezocht op bepaalde leeftijden en zo toegang had tot gegevens van een grotere groep van nog eens 2100 klanten. Het is nog niet bekend hoeveel klanten werkelijk gedupeerd zijn door de oplichters. Die deden zich tegenover de Vattenfall-klanten voor als bankmedewerker en probeerden bankpas en pincode te ontfutselen.
Het politieonderzoek en het onderzoek bij Vattenfall lopen nog. Wel heeft de energiemaatschappij de procedures naar eigen zeggen aangescherpt. Zo is het niet langer mogelijk om op leeftijd te zoeken naar klantdata. Ook is het proces voor het aannemen van nieuwe medewerkers aangescherpt. De medewerker in kwestie werkt niet meer voor Vattenfall en is aangehouden, wat ook geldt voor de persoon met wie hij de klantgegevens deelde.
Screening heeft ook geen zin; je krijg als medewerker nou eenmaal toegang tot bepaalde data; met een screening kun je niet voorkomen dat er op deze manier misbruik van gemaakt wordt.
Iedereen is omkoopbaar; als de prijs maar hoog genoeg is.
Dat mag ik toch wel hopen....
In ISO27001 staan enkele handige richtlijnen van hoe je dit kan voorkomen, wellicht zou "Waterval" eens zijn licht moeten opsteken bij collegabedrijven voor wat best practices?
De VOG heeft dus in zover wel waarde dat je de mensen die al eerder zijn betrapt kan uitfilteren. Ik zou het dus niet nutteloos willen noemen.
Iedereen is omkoopbaar; als de prijs maar hoog genoeg is.
Inderdaad: "behaalde resultaten uit het verleden bieden geen garanties voor de toekomst". Maar het hoeft niet alleen een prijs te zijn; afpersing of bedreiging kunnen iemand ook motiveren tot dingen die zhij anders niet zou doen...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
No more ransomware! De nieuwe Ransomware Awareness Experience training biedt een realistische maar ook leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer wordt van ransomware en leren meteen hoe een besmetting kan worden voorkomen! Zoals altijd met realistische scenario's en actuele voorbeelden.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
Full Stack Developer (Python)
Lijkt het jou leuk om je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Certified Secure maakt gebruik van de latest tech-stacks, wij bouwen praktisch alles in Python, maar soms ook in Java, C, Assembly of PHP.