De privacytoezichthouder van Hong Kong PCPD heeft Oxfam Hong Kong op de vingers getikt voor een datalek dat vorig jaar juli door een ransomware-aanval werd veroorzaakt. De aanvallers wist 330 gigabyte aan data te stelen, met de persoonlijke gegevens van mogelijk meer dan een half miljoen mensen, waaronder donateurs, medewerkers en vrijwilligers. Het ging mogelijk om namen, kopieën van identiteitsdocumenten, geboortedata, telefoonnummers, e-mailadressen, creditcardnummers en bankrekeningnummers.
Volgens de PCPD liet de beveiliging van Oxfam ernstig te wensen over. De organisatie maakte gebruik van verouderde firewalls met kritieke kwetsbaarheden, paste geen multifactorauthenticatie (MFA) toe, had nagelaten om belangrijke beveiligingsupdates voor de servers te installeren, had geen effectieve monitoring en bewaarde persoonlijke gegeven veel te lang. Volgens de privacytoezichthouder voerde de aanvaller een bruteforce-aanval uit en misbruikte kritieke kwetsbaarheden in de firewalls van Oxfam. De organisatie had sinds juni 2023 geen updates voor de firewalls geïnstalleerd. In juni 2023 en februari 2024 verschenen echter patches voor twee kritieke kwetsbaarheden.
Nadat de aanvaller via de firewalls toegang tot het achterliggende netwerk had gekregen wist die kwetsbare servers in het netwerk te vinden. Vervolgens lukte het de aanvaller om adminrechten in Oxfams Active Directory te krijgen. Daarvandaan werden servers, werkstations en laptops aangevallen. Uiteindelijk werden 37 servers en 24 werkstations en laptops met ransomware geïnfecteerd. Het ging onder andere om de fileserver, donateursdatabase, de stagingserver voor datamigraties, het HR-systeem en de Active Directory-server.
Na ontdekking van de aanval waarschuwde Oxfam alle gedupeerden en besloot het zowel organisatorische als technische maatregelen door te voeren om de beveiliging aan te scherpen. De PCPD stelde uiteindelijk zeven tekortkomingen vast en stelt dat Oxfam onvoldoende maatregelen had genomen om de systemen voor de ransomware-aanval voldoende te beveiligen. Verder bleek dat Oxfam geen beleid had om sommige persoonlijke data tijdig te verwijderen, waardoor deze gegevens langer dan noodzakelijk werden bewaard. De toezichthouder heeft de organisatie opgedragen dit aan te passen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.