Persoonsgegevens van tienduizenden KLM-medewerkers door hack op straat beland

Gepubliceerd op 11 augustus 2021 om 15:00

Door een datalek bij pensioenbeheerder 'Blue Sky Group' zijn persoonsgegevens van tienduizenden KLM-medewerkers op straat beland. Het gaat om onder meer namen, polis- en bankrekeningnummers en geldbedragen dat werknemers aan pensioen hadden opgebouwd. De aanvallers wisten via een link in een phishingmail binnen te dringen.

Blue Sky Group is de pensioenbeheerder van ruim 53.000 KLM-medewerkers. Daarnaast beheert het de pensioenfondsen van werknemers die bij Philips en SNS Reaal werken. Al met al is Blue Sky Group verantwoordelijk voor de oudedagsvoorziening van tienduizenden Nederlanders. Uitgerekend dit bedrijf is nu getroffen door een datalek.

Hack door phishing

Het datalek is ontstaan door een menselijke fout. Een medewerker opende een phishingmail en drukte op de kwaadaardige link in het bericht. Op deze manier wisten hackers controle te krijgen tot de mailbox van de betreffende medewerker en toegang te verschaffen tot persoonlijke gegevens van deelnemers aan de pensioenfondsen. Daarbij zijn volgens Blue Sky Group vrijwel zeker persoonsgegevens van oud-werknemers die pensioen ontvangen buitgemaakt. Uit een voorlopige analyse blijkt dat de kans klein is dat persoonsgegevens van andere deelnemers uit het pensioenfonds gelekt zijn.

Blue Sky Group zegt dat het lek direct is gedicht. Daarnaast heeft de pensioenbeheerder maatregelen getroffen om herhaling in de toekomst te voorkomen. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Aangifte bij de politie wordt op dit moment voorbereid.

Namen, polis- en bankrekeningnummers en pensioenbedragen

De pensioenfondsen waar Blue Sky Group de pensioenuitvoering voor verzorgt en hun deelnemers zijn op de hoogte gebracht van het datalek. Dat geldt ook voor het Blue Sky Eagle Fund, het beleggingsfonds voor de aanvullende oudedagsvoorzieningen dat Blue Sky Group beheert. Welke gegevens zijn gestolen wil het bedrijf niet vertellen. Volgens Tweakers.net gaat het om onder meer namen, polis- en bankrekeningnummers en pensioenbedragen.

De pensioenbeheerder betreurt de situatie en biedt haar verontschuldigingen aan voor de eventuele overlast die het lek met zich mee zou kunnen brengen voor de slachtoffers. Het bedrijf vraagt iedereen om extra alert te zijn voor e-mails, telefoontjes, sms-berichten en andere verdachte activiteiten. Mensen die benaderd worden om bijvoorbeeld inlogcodes of persoonsgegevens te verstrekken of geld over te boeken naar een rekening, moeten hier zeer voorzichtig mee omspringen. Het gevaar van identiteitsfraude loert om de hoek.

Slachtoffers data lek opgelet

Blue Sky Group eindigt haar persbericht met een aantal tips om fraude te voorkomen. Allereerst adviseert de pensioenbeheerder om goed te kijken naar spel- of schrijffouten in e-mailadressen. Ontvang je bijvoorbeeld een e-mail van een afzender die @bleuskygroup.nl gebruikt, dan moet er direct een alarmbel afgaan (de -e en -u in ‘blue’ zijn omgedraaid).

Verder zegt Blue Sky Group dat een pensioenfonds nooit per e-mail of telefoon om wachtwoorden vraagt. Deelnemers worden evenmin via deze kanalen benaderd om wijzigingen door te geven of geld over te boeken. Twijfel je of een e-mail echt is? Neem dan contact op met het bedrijf: zij kunnen controleren of de e-mail van hun afkomstig is of niet. Wat je zeker niet moet doen, is op een URL klikken die er verdacht uit ziet, bijvoorbeeld omdat hij is samengesteld via diensten als bit.ly.

Bron: blueskygroup.nl, tweakers.net, vpngids.nl

Meer info over datalekken 》

Weekoverzichten datalekken 》

 

Tips of verdachte activiteiten gezien? Meld het hier.

Datalek gerelateerde berichten

2020 Data Breach Investigations Report

Ieder jaar kijk ik uit naar het databreach rapport van Verizon, wat mij betreft een van de betere cyber security rapporten in de industrie. Sinds dit jaar heeft het team de CIS and MITRE ATT&CK controls gebruikt voor de mapping en ook dit jaar is het weer een waar feest om te lezen. Is het een book full of FUD? Wél als je maling hebt aan fatsoenlijke omgang met persoonsgegevens of als je niet van plan bent een euro uit te geven aan het voorkomen van cyber attacks. Níet als je al jarenlang met je poten in de klei loopt en op dagdagelijkse basis ziet wat er mis blijft gaan. Daar gaan we..

Lees meer »

Datalekken verdubbeld in 2018

In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors.

Lees meer »