AddComm lekte data 1,5 miljoen mensen: "Hack beste wat ons is overkomen"
Bij de ransomware-aanval op klantcommunicatiebedrijf AddComm die vorig jaar plaatsvond werden de gegevens van 1,5 miljoen mensen buitgemaakt. "De hack is het beste wat ons is overkomen. Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd", zegt ceo Leonie van der Veen in het Datalekkenrapport van de Autoriteit Persoonsgegevens (AP). Het bedrijf maakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens. Wat die afspraken precies inhouden is nooit bekendgemaakt.
AddComm verzorgt voor duizenden bedrijven de communicatie met klanten. ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD, de Regionale Belasting Groep (RBG), Essent en Vattenfall, drinkwaterbedrijf Dunea, Eneco, Gemeentelijk Belastingkantoor Twente, Hoogheemraadschap Hollands Noorderkwartier (HHNK) waren enkele van de klanten van AddComm die hun klanten over het datalek waarschuwden.
Volgens de AP raakte de aanval op AddComm ruim vijfduizend klanten van het bedrijf. In totaal zorgde de ransomware-aanval voor meer dan 5400 datalekmeldingen. De toezichthouder analyseerde deze gemelde datalekken en ontdekte dat zestien organisaties hun slachtoffers niet hadden geïnformeerd over de aanval. Deze organisaties vonden bijvoorbeeld dat er geen sprake was van een hoog risico voor betrokkenen, omdat het ging om “normale” persoonsgegevens, zoals een telefoonnummer en een e-mailadres, zo laat de AP weten.
De toezichthouder vond dat er wel sprake was van hoge risico’s bij het datalek, omdat het lek bij één organisatie al zorgde voor 24.000 slachtoffers. "Door het lekken van onder meer een e-mailadres konden deze duizenden slachtoffers bijvoorbeeld per e-mail op grote schaal worden gephisht." Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen.
In totaal werden ruim 1,5 miljoen mensen slachtoffer van de aanval. De toezichthouder stelt dat het vanwege de grote aantallen (gevoelige) persoonsgegevens grote risico’s voor slachtoffers zag. "De hack is het beste wat ons is overkomen", aldus AddComm-ceo Leonie van der Veen. "Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd. Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie. Door minder data te verwerken en deze korter te bewaren, is de impact van een hack kleiner."
"Het is verleidelijk om data security vooral te zien als iets waar ‘de mensen van de techniek’ over gaan. Maar ik ben er op pijnlijke wijze achter gekomen dat dat niet klopt. Security moet een integraal onderdeel zijn van je bedrijfsvoering", laat Van der Veen in een blogposting weten." Ze voegt toe dat een procedure op papier geen garantie is voor dataveiligheid in de praktijk. Hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
DAT MAG NIET!!! ò_ó
Ik ben blij dat iemand nu de waarde van dataminimalisatie inziet.
En ik hoop dat ze deze praktijk goed en succesvol kunnen toepassen.
Nou het was niet het beste wat die 1,5 miljoen mensen kon overkomen, die zijn nl slachtoffer hiervan, beetje domme uitspraak dus.
"Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie."
Volgens mij staat hieromtrent gewoon iets in de GDPR/AVG, dus ik mag aannemen dat deze partijen niet zomaar random data zouden delen en nu pas zijn gaan nadenken welke data ze vanaf nu zullen gaan delen.
"Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen."
Ook dit staat gewoon in de AVG, bij hoog risico dien je je klanten te informeren, kennelijk was een gesprek met de AP nodig om dit ALSNOG te doen, er was anders kennelijk niets gebeurd....
Er gaan hier echt zoveel dingen mis
Ik het kort: weet welke data je deelt. En ze brengt het geleerde gelijk in praktijk:
-Inhoud van de gemaakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens zijn nooit bekendgemaakt
-hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
(er ging dus bij jou iets mis :) )
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?