Identificeret databrud

I september opdagede DFDS A/S et brud på datasikkerheden, der involverede kundedata. Vi vurderer, at risikoen for negative konsekvenser for vores kunder er lav, men da der er en generel stigning i spear phishing-forsøg, informerer vi vores kunder om denne hændelse, så du kan tage de rette forholdsregler.

Alle kunder, der kan blive berørt af databruddet, vil blive kontaktet direkte i januar.

I forhold til det, der skete

Den 6. september 2023 blev en konfigurationsfil tilgængelig via internettet identificeret. Selve konfigurationsfilen indeholdt ikke personlige data. Filen gjorde det dog muligt at omgå vores implementerede sikkerhedsforanstaltninger og få adgang til en database i en webapplikation, hvor kundedata var synlige. Dataene kunne ikke ændres eller manipuleres i webapplikationen. Konfigurationsfilen blev tilgængelig, da udviklingen af appen var sket uden for DFDS's etablerede it-systemer og -procedurer. Fejlen blev rettet med det samme, og ekstern adgang blev derfor lukket.

Hvilke data var involveret

Den berørte database indeholdt adresselister med kundenavn, firmatelefonnummer og virksomheds-e-mailadresse. Desuden indeholdt den en liste over fakturadetaljer, herunder fakturanummer, forfaldsdato, beløb og adgang til den e-mail, der blev sendt til kunden i HTML-format.

Det har vi gjort indtil videre

Da databruddet blev opdaget, blev den eksterne adgang til appen lukket med det samme. Desuden blev Datatilsynet1 informeret om hændelsen.

Sådan kan dette påvirke kunderne

Vi vurderer, at risikoen for eksponering for vores kunder er lav, men da data kan bruges til spear phishing, som i øjeblikket er en stigende tendens i hackingforsøg, vil vi gerne informere dig om de potentielle risici, så du kan tage ordentlige forholdsregler.

Hvis du har spørgsmål eller bekymringer om, hvad der er sket, eller ønsker du yderligere information, er du altid velkommen til at kontakte vores GDPR-team på gpdr@dfds.com

Vores kunders privatliv er en af de største bekymringer for os. Vi gør alt, hvad vi kan for at sikre, at alle data er sikre. Ved denne lejlighed blev en database oprettet uden for vores etablerede it-setup, og vi har derfor kommet til kort med at beskytte vores kunders privatliv tilfredsstillende, og det er ikke acceptabelt. Vi beklager dette og tager alle passende forholdsregler for at sikre, at datasikkerhedshændelser som denne ikke sker igen.

Beskyt dig selv mod spear phishing

Et typisk spear phishing-angreb sendes ofte til nogle få udvalgte personer i en virksomhed, normalt via e-mail. E-mailen ville ligne en formel e-mail og ville forsøge at udtrække en betaling for en tidligere eller forfalsket faktura. Den kunne også sigte mod at få den målrettede person til at opgive yderligere information, f.eks. brugernavn eller adgangskode via links i e-mailen.

Sådan kan du beskytte dig selv mod spyd-phishing:
  • Vær ekstra opmærksom på e-mails vedrørende betalinger eller fakturaer.

  • Brug ikke nogen e-mail-adresse eller telefonnummer, der er angivet i e-mailen, da de kan være et spear phishing-forsøg. Brug de kontaktoplysninger, du allerede har.

  • Vær opmærksom på e-mails og telefonopkald fra personer, der anmoder om dine oplysninger (især data såsom din fødselsdato, bopælsadresse, e-mailadresse, dit brugernavn eller adgangskoder, som ofte bruges til at bekræfte din identitet).

Hvis du er i tvivl, er du altid velkommen til at kontakte din DFDS-kontaktperson direkte enten på e-mail eller telefon, for at bekræfte sagen.