Naast de financiële gegevens werden ook zo’n 10 miljoen records met gegevens van klanten gestolen, waaronder namen, adresgegevens, telefoonnummers, e-mailadressen, geboortedata en kredietcontroles. De gestolen records zouden op 14 miljoen personen betrekking hebben. Volgens de Britse privacytoezichthouder had DSG onvoldoende maatregelen getroffen om klantgegevens te beschermen.

Zo had het bedrijf onvoldoende netwerksegmentatie toegepast, draaide er geen lokale firewall op de kassasystemen en waren beveiligingsupdates niet overal geïnstalleerd. De ICO vermoedt dat de aanvallers gebruikmaakten van een kwetsbaarheid in Microsoft Group Policy waardoor gebruikersnamen en wachtwoorden van domeinbeheerders konden worden achterhaald. Een update voor deze kwetsbaarheid was sinds 2014 beschikbaar. Naast het installeren van de update moesten ook bestaande Group Policies voor het uitrollen van de patch worden verwijderd. DSG had dit niet gedaan.

Daarnaast waren sommige kassasystemen niet gepatcht. Verder scande DSG niet geregeld op kwetsbaarheden, paste het niet op juiste wijze applicatie-whitelisting toe en ontbrak een effectief systeem van logging en monitoring. Verder ondersteunde het verouderde kassasysteem van DSG geen encryptie, waardoor betaalkaartgegevens in plain-text konden worden benaderd.

Door de gebrekkige beveiliging heeft DSG de databeschermingswetgeving van 1998 overtreden, zo stelt de ICO. Deze wetgeving kent een maximale geldboete van 500.000 pond, wat omgerekend 590.000 euro is. Het vergrijp vond voor de invoering van de AVG plaats, waardoor de oude wet nog van toepassing was. Wanneer het bedrijf onder de AVG zou zijn veroordeeld had de boete vele malen hoger kunnen uitvallen.

lees meer op security.nl