De data die de criminele groepering ShinyHunters bij het Nederlandse zakenreisbureau BCD Travel zegt te hebben gestolen bevat gegevens van 396.000 accounts. Dat meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. De 396.000 e-mailadressen van de accounts zijn aan de website toegevoegd. Op de website van BCD Travel is niets over het mogelijke datalek te vinden.

Het zakenreisbureau liet eerder tegenover het FD weten dat het recent verdachte activiteit zag via een intern gebruikt account. Vervolgens is er onderzoek ingesteld naar de aard en omvang van de activiteiten. Dat onderzoek is nog gaande. ShinyHunters meldde eind vorige maand dat het de systemen van BCD Travel had gehackt. Het bedrijf kreeg tot 1 juni de tijd om losgeld te betalen. Eerder deze week publiceerden de criminelen een dataset van dertig gigabyte met data die van BCD Travel afkomstig zou zijn.

De dataset bevat 396.000 e-mailadressen die nu zijn toegevoegd aan Have I Been Pwned. Via de website kunnen mensen kijken of hun e-mailadres voorkomt in andere bekende datalekken. Wat opvalt aan de nu toevoegde e-mailadressen die bij BCD Travel zouden zijn gestolen, is dat slechts 28 procent al via een ander datalek bij Have I Been Pwned bekend was. Bij veel andere datalekken liggen deze percentages veel hoger.