Ga naar de inhoud
10 januari 2020 • Nieuws

Brits DSG krijgt boete voor datalek dat 14 miljoen mensen raakte

De Britse detailhandelaar DSG, moederbedrijf van Dixons, heeft in het Verenigd Koninkrijk een boete van omgerekend 590.000 euro gekregen voor een datalek dat tenminste 14 miljoen mensen raakte. Tussen 24 juli 2017 en 25 april 2019 waren bijna 5400 kassa’s van Dixons Travel en Currys PC World besmet met malware die gegevens van meer dan 5,6 miljoen betaalkaarten buitmaakte.

import688-shutterstock_135169085

Naast de financiële gegevens werden ook zo’n 10 miljoen records met gegevens van klanten gestolen, waaronder namen, adresgegevens, telefoonnummers, e-mailadressen, geboortedata en kredietcontroles. De gestolen records zouden op 14 miljoen personen betrekking hebben. Volgens de Britse privacytoezichthouder had DSG onvoldoende maatregelen getroffen om klantgegevens te beschermen.

Zo had het bedrijf onvoldoende netwerksegmentatie toegepast, draaide er geen lokale firewall op de kassasystemen en waren beveiligingsupdates niet overal geïnstalleerd. De ICO vermoedt dat de aanvallers gebruikmaakten van een kwetsbaarheid in Microsoft Group Policy waardoor gebruikersnamen en wachtwoorden van domeinbeheerders konden worden achterhaald. Een update voor deze kwetsbaarheid was sinds 2014 beschikbaar. Naast het installeren van de update moesten ook bestaande Group Policies voor het uitrollen van de patch worden verwijderd. DSG had dit niet gedaan.

Daarnaast waren sommige kassasystemen niet gepatcht. Verder scande DSG niet geregeld op kwetsbaarheden, paste het niet op juiste wijze applicatie-whitelisting toe en ontbrak een effectief systeem van logging en monitoring. Verder ondersteunde het verouderde kassasysteem van DSG geen encryptie, waardoor betaalkaartgegevens in plain-text konden worden benaderd.

Door de gebrekkige beveiliging heeft DSG de databeschermingswetgeving van 1998 overtreden, zo stelt de ICO. Deze wetgeving kent een maximale geldboete van 500.000 pond, wat omgerekend 590.000 euro is. Het vergrijp vond voor de invoering van de AVG plaats, waardoor de oude wet nog van toepassing was. Wanneer het bedrijf onder de AVG zou zijn veroordeeld had de boete vele malen hoger kunnen uitvallen.

lees meer op security.nl