De Spaanse privacytoezichthouder AEPD heeft supermarktketen Carrefour wegens verschillende datalekken veroorzaakt door credential stuffing een boete van 3,2 miljoen euro opgelegd. Volgens de databeschermingsautoriteit heeft Carrefour geen passende maatregelen getroffen om persoonsgegevens van klanten te beschermen en werden klanten niet adequaat over de datalekken ingelicht (pdf).

Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Volgens de Spaanse privacytoezichthouder wisten de aanvallers bij vijf verschillende aanvallen die in 2023 plaatsvonden toegang te krijgen tot bijna 119.000 accounts van Carrefour-klanten. Daarbij konden de aanvallers persoonlijke informatie van de klanten inzien, zoals naam, e-mailadres, gedeeltelijke telefoonnummers en identiteitsnummers, adresgegevens en geboortedatum.

De supermarktketen stelde dat de aanvallen in een korte periode plaatsvonden en vanaf verschillende ip-adressen afkomstig waren, wat het lastig maakte om de aanvallen in real-time te detecteren en stoppen. Carrefour liet wel beveiligingstests van de website en applicatie uitvoeren, waaruit verschillende beveiligingsrisico's naar voren kwamen en bepaalde aanbevelingen werden gedaan. Het bedrijf besloot deze maatregelen niet door te voeren, aldus de AEPD. Pas na de vijfde credential stuffing-aanval werd besloten om tweefactorauthenticatie (2FA) te implementeren. Deze maatregel kwam echter veel te laat, aldus de privacytoezichthouder.

De AEPD hekelde ook de informatievoorziening aan getroffen klanten. Zo werd er in e-mails naar klanten niet gesteld dat er een datalek had plaatsgevonden, de impact daarvan of welke maatregelen waren genomen. Carrefour liet alleen weten dat het de wachtwoorden van gebruikers had gereset om de dienstverlening te verbeteren en legde uit hoe klanten een nieuw wachtwoord konden instellen. Volgens de AEPD heeft de supermarktketen met dit handelen meerdere bepalingen van de AVG overtreden en is een boete van in totaal 3,2 miljoen euro op zijn plaats. Daarnaast moeten getroffen klanten alsnog worden ingelicht.