Door een datalek bij pensioenbeheerder 'Blue Sky Group' zijn persoonsgegevens van tienduizenden KLM-medewerkers op straat beland. Het gaat om onder meer namen, polis- en bankrekeningnummers en geldbedragen dat werknemers aan pensioen hadden opgebouwd. De aanvallers wisten via een link in een phishingmail binnen te dringen.
Blue Sky Group is de pensioenbeheerder van ruim 53.000 KLM-medewerkers. Daarnaast beheert het de pensioenfondsen van werknemers die bij Philips en SNS Reaal werken. Al met al is Blue Sky Group verantwoordelijk voor de oudedagsvoorziening van tienduizenden Nederlanders. Uitgerekend dit bedrijf is nu getroffen door een datalek.
Hack door phishing
Het datalek is ontstaan door een menselijke fout. Een medewerker opende een phishingmail en drukte op de kwaadaardige link in het bericht. Op deze manier wisten hackers controle te krijgen tot de mailbox van de betreffende medewerker en toegang te verschaffen tot persoonlijke gegevens van deelnemers aan de pensioenfondsen. Daarbij zijn volgens Blue Sky Group vrijwel zeker persoonsgegevens van oud-werknemers die pensioen ontvangen buitgemaakt. Uit een voorlopige analyse blijkt dat de kans klein is dat persoonsgegevens van andere deelnemers uit het pensioenfonds gelekt zijn.
Blue Sky Group zegt dat het lek direct is gedicht. Daarnaast heeft de pensioenbeheerder maatregelen getroffen om herhaling in de toekomst te voorkomen. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Aangifte bij de politie wordt op dit moment voorbereid.
Namen, polis- en bankrekeningnummers en pensioenbedragen
De pensioenfondsen waar Blue Sky Group de pensioenuitvoering voor verzorgt en hun deelnemers zijn op de hoogte gebracht van het datalek. Dat geldt ook voor het Blue Sky Eagle Fund, het beleggingsfonds voor de aanvullende oudedagsvoorzieningen dat Blue Sky Group beheert. Welke gegevens zijn gestolen wil het bedrijf niet vertellen. Volgens Tweakers.net gaat het om onder meer namen, polis- en bankrekeningnummers en pensioenbedragen.
De pensioenbeheerder betreurt de situatie en biedt haar verontschuldigingen aan voor de eventuele overlast die het lek met zich mee zou kunnen brengen voor de slachtoffers. Het bedrijf vraagt iedereen om extra alert te zijn voor e-mails, telefoontjes, sms-berichten en andere verdachte activiteiten. Mensen die benaderd worden om bijvoorbeeld inlogcodes of persoonsgegevens te verstrekken of geld over te boeken naar een rekening, moeten hier zeer voorzichtig mee omspringen. Het gevaar van identiteitsfraude loert om de hoek.
Slachtoffers data lek opgelet
Blue Sky Group eindigt haar persbericht met een aantal tips om fraude te voorkomen. Allereerst adviseert de pensioenbeheerder om goed te kijken naar spel- of schrijffouten in e-mailadressen. Ontvang je bijvoorbeeld een e-mail van een afzender die @bleuskygroup.nl gebruikt, dan moet er direct een alarmbel afgaan (de -e en -u in ‘blue’ zijn omgedraaid).
Verder zegt Blue Sky Group dat een pensioenfonds nooit per e-mail of telefoon om wachtwoorden vraagt. Deelnemers worden evenmin via deze kanalen benaderd om wijzigingen door te geven of geld over te boeken. Twijfel je of een e-mail echt is? Neem dan contact op met het bedrijf: zij kunnen controleren of de e-mail van hun afkomstig is of niet. Wat je zeker niet moet doen, is op een URL klikken die er verdacht uit ziet, bijvoorbeeld omdat hij is samengesteld via diensten als bit.ly.
Bron: blueskygroup.nl, tweakers.net, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Datalek gerelateerde berichten
WhatsApp telefoonnummers met profielfoto lekken uit op Google
WhatsApp wie gebruikt het niet? Maar het gebruik is niet geheel zonder risico. De dienst eigendom van Facebook komt wel eens vaker negatief in het nieuws, hoewel de dienst de laatste tijd regelmatig problemen oplost, is dit toch wel een ernstig lek.
2020 Data Breach Investigations Report
Ieder jaar kijk ik uit naar het databreach rapport van Verizon, wat mij betreft een van de betere cyber security rapporten in de industrie. Sinds dit jaar heeft het team de CIS and MITRE ATT&CK controls gebruikt voor de mapping en ook dit jaar is het weer een waar feest om te lezen. Is het een book full of FUD? Wél als je maling hebt aan fatsoenlijke omgang met persoonsgegevens of als je niet van plan bent een euro uit te geven aan het voorkomen van cyber attacks. Níet als je al jarenlang met je poten in de klei loopt en op dagdagelijkse basis ziet wat er mis blijft gaan. Daar gaan we..
Een datalek kost een bedrijf gemiddeld 3,5 miljoen euro
Een datalek kost een bedrijf gemiddeld 3,5 miljoen euro, of 135,- euro per verloren document. Dat blijkt uit een studie van 'IBM security'
Spreken of zwijgen na een cyberaanval?
British Airways riskeert een boete van zo'n 200 miljoen euro voor het verlies van klantengegevens na een cyberaanval en dat ondanks de snelle reactie en communicatie van het bedrijf hierover. Is dit de juiste aanpak?
Datalekken verdubbeld in 2018
In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors.
Twee op de drie hotels lekken reserveringsgegevens klanten
Tal van hotels lekken de reserverings gegevens van klanten via scripts van derde partijen die op hun websites draaien. Dat blijkt uit onderzoek van antivirusbedrijf Symantec. Voor het onderzoek werden de websites van meer dan 1500 hotels in 54 landen getest.