Criminelen die wisten in te breken op de systemen van de Australische kredietverstrekker Latitude en daar de gegevens van veertien miljoen klanten wisten te stelen, hebben losgeld geëist. Dat heeft Latitude in een update over de datadiefstal bekendgemaakt. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland. Volgens de Nieuw-Zeelandse privacytoezichthouder laat het incident het probleem zien als bedrijven te lang gegevens van mensen bewaren.

Latitude is een grote kredietverstrekker in Australië en Nieuw-Zeeland. Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. In een update meldde Latitude dat de gegevens van veel meer klanten zijn gestolen.

Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt.

Vandaag laat Latitude weten dat de aanvallers losgeld eisen. Om wat voor bedrag het gaat is niet bekendgemaakt. Het bedrijf zegt geen losgeld te zullen betalen, waarbij het wijst naar de opvatting van de Australische overheid die het betalen van losgeld afkeurt. Daarnaast is er geen garantie dat de criminelen de gestolen data ook daadwerkelijk zullen vernietigen, aldus ceo Bob Belan. Verder stelt de kredietverstrekker dat het bezig is om alle gedupeerde klanten te informeren.

De Nieuw-Zeelands privacytoezichthouder is niet te spreken over het datalek en de werkwijze van Latitude. "Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is." Volgens de databeschermingsautoriteit laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren.

Daarbij ziet de toezichthouder ook een rol voor individuen weggelegd. Die zouden, wanneer hun id als verificatie wordt gebruikt, ook moeten vragen hoelang het wordt opgeslagen en waarom. "Hoe meer mensen vragen stellen des te groter is de kans dat organisaties hun gedrag veranderen. Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is."