Een datalek door een bruteforce-aanval kost een Spaanse kredietverstrekker 360.000 euro. Aanvallers wisten in 2022 via de aanval op de webportal van het bedrijf toegang tot de gegevens van meer dan 9600 klanten te krijgen. Het ging onder andere om naam, geboortedatum, adresgegevens, e-mailadressen, telefoonnummers, belastingnummers, de Spaanse tegenhanger van het burgerservicenummer alsmede informatie over verstrekte leningen.

Voor de aanval gebruikten de aanvallers combinaties van identiteitsnummers en wachtwoorden en e-mailadressen en wachtwoorden. In het rapport van de toezichthouder wordt gesproken over zowel een bruteforce-aanval als een credential stuffing-aanval. Nadat de aanvallers toegang tot een account hadden gekregen vroegen ze voor bepaalde klanten een lening aan.

Daarna werden de betreffende klanten via WhatsApp door de aanvallers benaderd, die zich daarbij voordeden als de kredietverstrekker. De criminelen vroegen de klanten vervolgens om het geleende geld naar een opgegeven rekeningnummer terug te storten. 139 klanten van de kredietverstrekker werden op deze manier opgelicht.

De kredietverstrekker waarschuwde de Spaanse privacytoezichthouder AEPD begin 2023 over het datalek. Daarbij stelde de kredietverstrekker dat het vond dat het datalek geen groot risico voor betrokkenen opleverde en het daarom niet nodig was om getroffen klanten te informeren. Vorig jaar april startte de AEPD een onderzoek naar de kredietverstrekker en gaf het bevel om getroffen klanten wel te infomeren, wat dezelfde dag nog werd gedaan.

De AEPD stelde vast dat de kredietverstrekker de AVG op verschillende punten had overtreden. Zo had het bedrijf onvoldoende beveiligingsmaatregelen genomen om de financiële en persoonsgegevens van klanten te beschermen. De toezichthouder hekelt vooral het ontbreken van tweefactorauthenticatie (2FA) voor het aanvragen van een lening en stelt dat dit heeft bijgedragen aan het datalek.

Na het datalek heeft de kredietverstrekker wel 2FA geïmplementeerd, wat volgens de toezichthouder de eerdere tekortkoming aantoont. Ook het niet direct melden van het datalek aan gedupeerden is een tekortkoming, aldus de AEPD. De toezichthouder legde een boete van 600.000 euro op. De kredietverstrekker kreeg een korting van veertig procent omdat het stelde verantwoordelijk te zijn voor het datalek en het voorgestelde bedrag wilde betalen, waardoor het eindbedrag op 360.000 euro uitkomt (pdf).