Cybercriminelen zijn er in geslaagd om de accounts van ongeveer 1.700 Mijn Eneco klanten binnen te dringen. Daarbij zijn mogelijk persoonsgegevens ingezien en gewijzigd. Het energiebedrijf heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Ook wordt er aangifte gedaan van het incident bij de politie.
Brute force aanval
Om toegang te krijgen tot de accounts van particuliere en klein zakelijke Mijn Eneco klanten, gebruikten de daders e-mailadressen en wachtwoorden die zij bij diefstallen bij andere bedrijven hadden buitgemaakt. Daarbij proberen de aanvallers, veelal met een brute force attack, net zolang combinaties van gebruikersnamen en wachtwoorden totdat ze een treffer hebben. In ongeveer 1.700 gevallen lukte dat bij Mijn Eneco.
Volgens het energiebedrijf hebben de cybercriminelen persoonsgegevens van klanten ingezien, en mogelijk zelfs wijzigingen aangebracht. Toen dit aan het licht kwam heeft Eneco tijdelijk de toegang tot Mijn Eneco afgesloten. Het bedrijf kon zodoende onderzoek uitvoeren naar de toedracht en de omvang van het datalek. Hiermee is voorkomen dat de daders met gestolen e-mailadressen en wachtwoorden opnieuw ongeautoriseerd konden inloggen bij Mijn Eneco accounts.
Klanten reeds geïnformeerd
De getroffen klanten zijn afgelopen vrijdag per e-mail op de hoogte gebracht van het lek. Eneco adviseerde hen om een nieuw Mijn Eneco account met een nieuw wachtwoord aan te maken. Ook verschafte het energiebedrijf via diverse kanalen tips over het belang van een sterk wachtwoord. Gebruik je het wachtwoord voor je Mijn Eneco account ook voor andere online diensten? Dan raden wij aan om ook daar je wachtwoord te wijzigen.
Naast de 1.700 getroffen Mijn Eneco accounts heeft Eneco gisteren een groep van 47.000 klanten op de hoogte gebracht van het incident. “Bij deze groep klanten is geen reden om aan te nemen dat hun Mijn Eneco accounts zijn ingezien”, schrijft Eneco. “Maar omdat zij in dezelfde periode hebben ingelogd worden zij geadviseerd om uit voorzorg hun wachtwoord te wijzigen. “
Het datalek is gemeld bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) eist dat bedrijven binnen 72 uur een datalek melden bij de nationale toezichthouder. Daar heeft Eneco gehoor aan gegeven. Verder zegt het bedrijf aangifte te doen bij de politie. Eneco heeft onafhankelijke experts ingeschakeld om te adviseren over de verdere afhandeling van de zaak.
Spearphishing
Persoonsgegevens zijn goud waard voor hackers en cybercriminelen. Als zij bijvoorbeeld over het e-mailadres, telefoonnummer en sociale media accounts van een slachtoffer beschikken, kunnen zij hem nauwlettend in de gaten houden. Als daaruit blijkt dat deze persoon een abonnement bij een leverancier heeft afgesloten of een bepaalde hobby erop nahoudt, is het voor de daders een stuk eenvoudiger om een gerichte en effectieve spearphishing aanval uit te voeren.
RTL Nieuws schreef vorig jaar juni dat callcentermedewerkers regelmatig persoonsgegevens verkopen aan cybercriminelen. Het gaat dan om zaken als naam, adres, telefoonnummer en bankgegevens. Criminelen vullen deze data aan met informatie uit openbare bronnen, zoals sociale media. Deze gegevens gebruiken ze zelf om nietsvermoedende slachtoffers te benaderen, of verkopen ze door een andere criminelen. Daarvoor krijgen ze een bedrag dat varieert van 25 cent tot 2 euro per ‘lead’. Als een database persoonsgegevens bevat van (tien)duizenden Nederlanders, levert dat een aardig zakcentje op.
Bron: eneco.nl, vpngids.nl
Meer nieuwsberichten of info over ‘hacking’?
Van A tot Z (vormen van cybercrime en vaak gebruikte begrippen) in begrijpelijke taal.
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.