image

Vattenfall lekt persoonlijke gegevens van dertigduizend klanten

woensdag 12 april 2023, 16:55 door Redactie, 10 reacties

Energieleverancier Vattenfall heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een inhuurkracht toegang tot de persoonlijke gegevens van dertigduizend klanten kreeg en deze mogelijk aan fraudeurs doorspeelde. Ook getroffen klanten zijn inmiddels ingelicht. Eind vorig jaar waarschuwde Vattenfall klanten al voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters.

Nu blijkt er opnieuw een dergelijke situatie zich te hebben voorgedaan. Een inhuurkracht van een externe partij kon via het digitale archief dat wordt gebruikt om brieven op te slaan toegang tot de persoonsgegevens van zo'n dertigduizend klanten krijgen. "Hierdoor kunnen klantgegevens bij derden zijn beland, om misbruik van te maken", aldus de energieleverancier in een bericht met de titel "Fraude met klantdata".

De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, telefoonnummer, en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatum. Volgens Vattenfall kunnen deze gegevens worden misbruikt voor bankhelpdeskfraude en phishing. Bij meerdere gevallen van bankhelpdeskfraude, waarbij slachtoffers voor tienduizenden euro's werden bestolen, bleek dat oplichters over lijsten met persoonsgegevens van slachtoffers beschikten.

Vattenfall zegt dat het met de niet nader genoemde betrokken externe partijen maatregelen heeft getroffen. Zo is onder andere inzage in het online archief aan banden gelegd en het proces van het aannemen van nieuwe medewerkers onder de loep genomen.

Reacties (10)
12-04-2023, 17:13 door majortom - Bijgewerkt: 12-04-2023, 17:19
Need 2 know? Least privilege? DLP? IAM? Een externe inhuurkracht bij de klantenservice die bij gegevens van 30.000(!) klanten kon en die kon extraheren uit het netwerk? Vanuit het privacy statement https://www.vattenfall.nl/privacy/
Alleen medewerkers die dat voor de uitvoering van hun functie nodig hebben, kunnen je gegevens inzien voor specifieke doeleinden.
Zucht. Waarom maakt men nog van deze statements als men er toch niet naar handelt? Je maakt mij niet wijs dat een medewerker uit hoofde van zijn functie bij de gegevens van zoveel mensen moet kunnen. Als je een klant helpt dan hoor je alleen bij de gegevens van die klant te kunnen komen en niet ook bij gegevens van 29.999 andere klanten.
12-04-2023, 17:29 door Anoniem
Door majortom: Need 2 know? Least privilege? DLP? IAM? Een externe inhuurkracht bij de klantenservice die bij gegevens van 30.000(!) klanten kon en die kon extraheren uit het netwerk? Vanuit het privacy statement https://www.vattenfall.nl/privacy/
Alleen medewerkers die dat voor de uitvoering van hun functie nodig hebben, kunnen je gegevens inzien voor specifieke doeleinden.
Zucht. Waarom maakt men nog van deze statements als men er toch niet naar handelt? Je maakt mij niet wijs dat een medewerker uit hoofde van zijn functie bij de gegevens van zoveel mensen moet kunnen. Als je een klant helpt dan hoor je alleen bij de gegevens van die klant te kunnen komen en niet ook bij gegevens van 29.999 andere klanten.
Maar kun je dan niet een rechtzaak beginnen? Je gegevens liggen op straat, en Vattenfall heeft niet gehandeld volgens eigen richtlijn. Dan is het toch duidelijk dat Vattenfall 100% fout zit?

Het is toch jammer dat we al 4 jaar de AVG hebben, en nog steeds geen effect heeft. Je moet als consument zelf overal achter aan gaan. Dit zou toch zulke boetes voor Vattenfall moeten opleveren, dat ze echt hun beleid gaan aanpassen...
Want nu is het melding doen, en weer door met de waan van de dag. Dus er zal niets veranderen, en over 6 - 12 maanden is de volgende lek...

TheYOSH
12-04-2023, 17:32 door Anoniem
Zucht. Waarom maakt men nog van deze statements als men er toch niet naar handelt? Je maakt mij niet wijs dat een medewerker uit hoofde van zijn functie bij de gegevens van zoveel mensen moet kunnen. Als je een klant helpt dan hoor je alleen bij de gegevens van die klant te kunnen komen en niet ook bij gegevens van 29.999 andere klanten.
Ga alsjeblieft eens bij een supportdesk of call center werken. Hoe denk je dat ze bij klant gegevens kunnen komen als die bellen? Het issue is hier dat een medewerker dit masaal heeft kunnen doen. Alleen beheerders icm DBA's zouden kunnen dit mogen doen. Insider threat is altijd lastig, maar als je met (zelf) niet geverifieerde medewerkers werkt, wordt het natuurlijk wel erg link.
Wat mij het meeste verbaasd is geboorte datum, dat heeft Vattenfall toch helemaal niet nodig?
12-04-2023, 20:35 door Anoniem
Volgens Vattenfall kunnen deze gegevens worden misbruikt voor bankhelpdeskfraude en phishing.
Ja en overkomt het jou is het je eigenschuld had je maar op moeten passen, Vattenfall en banken zijn hier niet
verantwoordelijk voor. En wat leren we, zoals gewoonlijk helemaal niets.
12-04-2023, 21:23 door Anoniem
Door majortom: Need 2 know? Least privilege? DLP? IAM? Een externe inhuurkracht bij de klantenservice die bij gegevens van 30.000(!) klanten kon en die kon extraheren uit het netwerk? Vanuit het privacy statement https://www.vattenfall.nl/privacy/
Alleen medewerkers die dat voor de uitvoering van hun functie nodig hebben, kunnen je gegevens inzien voor specifieke doeleinden.
Zucht. Waarom maakt men nog van deze statements als men er toch niet naar handelt? Je maakt mij niet wijs dat een medewerker uit hoofde van zijn functie bij de gegevens van zoveel mensen moet kunnen. Als je een klant helpt dan hoor je alleen bij de gegevens van die klant te kunnen komen en niet ook bij gegevens van 29.999 andere klanten.

Deze externe medewerker is/was werkzaam op de klantenservice dus had de toegang nodig voor zijn/haar werkzaamheden (bijvoorbeeld oude contract problemen oplossen). De persoon is gesnapt door een aangesterkte controle dus kwam waarschijnlijk naar boven in de access list na fors meer documenten te hebben bekeken vergeleken met andere collega's.

Staat niet hier in het artikel inderdaad, maar het artikel op Tweakers is wat uitgebreider.
13-04-2023, 00:04 door Anoniem
Door Anoniem:
Wat mij het meeste verbaasd is geboorte datum, dat heeft Vattenfall toch helemaal niet nodig?
Ze gebruiken de geboortedatum als identificatie code. Ziggo en anderen doen dat ook. Eigenlijk wordt het gebruikt als een soort wachtwoord.
13-04-2023, 08:24 door Anoniem
Door Anoniem: Deze externe medewerker is/was werkzaam op de klantenservice dus had de toegang nodig voor zijn/haar werkzaamheden (bijvoorbeeld oude contract problemen oplossen). De persoon is gesnapt door een aangesterkte controle dus kwam waarschijnlijk naar boven in de access list na fors meer documenten te hebben bekeken vergeleken met andere collega's.
Het klopt alleen niet dat deze medewerker gegevens over 30.000 mensen kon exporteren. De toegang had beperkt moeten zijn tot wat het werk vereiste. Het maakt een hoop uit of iemand alleen handmatig gegevens (inclusief brieven uit een archief) stuk voor stuk kan openen of dat die in één of weinig acties het hele archief kan afwerken. Het maakt een hoop uit of de inzage geïntegreerd is met de mogelijkheid om bestanden te mailen of op USB-sticks te zetten of dat dat strikt van elkaar gescheiden is.
13-04-2023, 09:05 door Anoniem
Door Anoniem:
Deze externe medewerker is/was werkzaam op de klantenservice dus had de toegang nodig voor zijn/haar werkzaamheden (bijvoorbeeld oude contract problemen oplossen). De persoon is gesnapt door een aangesterkte controle dus kwam waarschijnlijk naar boven in de access list na fors meer documenten te hebben bekeken vergeleken met andere collega's.

Staat niet hier in het artikel inderdaad, maar het artikel op Tweakers is wat uitgebreider.

Zelfs dat is absurd.. hoe kan een klantenservice medewerker een dump maken van x duizend klanten.
Een goed ontworpen systeem laat je van 1 tot maximaal X klanten tegelijk data opvragen en kan zelfs dan nog grote geanonimizeerd laten.
Heeft een helpdesk medewerker een dump nodig van klanten ? nee, dus die mogelijkheid zou niet moeten bestaan.

Tevens zal een goed ontworpen systeem loggen welke medewerker welke data opvraagt.
Met een aantal simpele tools zou dan een spike of andere afwijkingen hekend zijn.

Maatregelen zoals genoemd is 1, maar voorkomen door een degelijk ontworpen systeem is beter.
13-04-2023, 09:24 door _R0N_ - Bijgewerkt: 13-04-2023, 09:25
Door majortom: Need 2 know? Least privilege? DLP? IAM? Een externe inhuurkracht bij de klantenservice die bij gegevens van 30.000(!) klanten kon en die kon extraheren uit het netwerk? Vanuit het privacy statement https://www.vattenfall.nl/privacy/
Alleen medewerkers die dat voor de uitvoering van hun functie nodig hebben, kunnen je gegevens inzien voor specifieke doeleinden.
Zucht. Waarom maakt men nog van deze statements als men er toch niet naar handelt? Je maakt mij niet wijs dat een medewerker uit hoofde van zijn functie bij de gegevens van zoveel mensen moet kunnen. Als je een klant helpt dan hoor je alleen bij de gegevens van die klant te kunnen komen en niet ook bij gegevens van 29.999 andere klanten.

Wat nou als de inhuurkracht omwille van de functie bij de gegevens moest kunnen?
13-04-2023, 13:57 door majortom
Door _R0N_:
Door majortom: Need 2 know? Least privilege? DLP? IAM? Een externe inhuurkracht bij de klantenservice die bij gegevens van 30.000(!) klanten kon en die kon extraheren uit het netwerk? Vanuit het privacy statement https://www.vattenfall.nl/privacy/
Alleen medewerkers die dat voor de uitvoering van hun functie nodig hebben, kunnen je gegevens inzien voor specifieke doeleinden.
Zucht. Waarom maakt men nog van deze statements als men er toch niet naar handelt? Je maakt mij niet wijs dat een medewerker uit hoofde van zijn functie bij de gegevens van zoveel mensen moet kunnen. Als je een klant helpt dan hoor je alleen bij de gegevens van die klant te kunnen komen en niet ook bij gegevens van 29.999 andere klanten.

Wat nou als de inhuurkracht omwille van de functie bij de gegevens moest kunnen?
Op de klantenservice? No way.
Net zoals hierboven al geschetst door anderen: dat hij bij een klantgegevens kan is op zich ok. Echter het extraheren van gegevens van een grote hoeveelheid klanten zou niet moeten kunnen. Iets 1 voor 1 extraheren is een heel ander verhaal dan 30.000 in 1 keer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.