De criminelen achter de Clop-ransomware hebben op hun eigen website de gegevens van duizenden gasten van Landal Greenparks gepubliceerd, zo meldt RTL Nieuws. Begin deze maand waarschuwde het vakantiepark twaalfduizend gasten voor een mogelijk datalek nadat criminelen toegang wisten te krijgen tot het MOVEit Transfer-systeem dat wordt gebruikt voor het uitwisselen van gegevens, zo liet een woordvoerder aan Security.NL weten.

Bij de aanval zijn mogelijk naam, geboortedatum, geslacht, adresgegevens en e-mailadres buitgemaakt, stelde Landal Greenparks in een e-mail aan gasten destijds. Nu blijkt dat er daadwerkelijk data van gasten is gestolen. Het gaat onder andere om namen, adresgegevens, geboortedata, e-mailadressen en reserveringsinformatie van voornamelijk Belgische, Duitse en Nederlandse klanten, aldus RTL.

MOVEit Transfer is een applicatie oor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Door middel van SQL Injection is het mogelijk voor een aanvaller om ongeautoriseerde toegang tot de database van een MOVEit-server te krijgen, om zo vertrouwelijke data te stelen. Daarnaast blijkt dat de aanvallers een webshell op het systeem installeren om zo toegang te behouden. Misbruik van de kwetsbaarheid vindt al plaats voordat een patch beschikbaar was.

De aanvallen zijn het werk van de Clop-ransomwaregroep. De criminelen beheren een eigen website waarop ze de namen van slachtoffers plaatsen en dreigen gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. Inmiddels zouden meer dan honderdvijftig organisaties slachtoffer van de groep zijn geworden en gegevens van 16,3 miljoen personen zijn gestolen, aldus beveiligingsonderzoeker Brett Callow.