Identifisert datainnbrudd

DFDS A/S oppdaget i september et brudd på personvernet som omfattet kundedata. Vi vurderer at det er lav risiko for at kundene våre opplever negative konsekvenser, men det er en generell økning i spear phishing-forsøk, og derfor informerer vi kundene våre om denne hendelsen, slik at de kan ta de nødvendige forholdsreglene.

Alle kunder som er potensielt utsatt for datainnbrudd vil bli direkte kontaktet i januar.

Om hendelsen

Den 6. september 2023, ble det identifisert en konfigurasjonsfil som var tilgjengelig via internett. Selve konfigurasjonsfilen inneholdt ingen personopplysninger. Filen gjorde det imidlertid mulig å omgå de implementerte sikkerhetstiltakene våre, samt få tilgang til en database i en webapplikasjon, der man kunne se kundedata. Det var ikke mulig å endre eller manipulere kundedataene i webapplikasjonen. Konfigurasjonsfilen ble tilgjengelig fordi utviklingen av applikasjonen ble utført utenfor DFDS' etablerte IT-systemer og -prosedyrer. Feilen ble umiddelbart rettet opp, og ekstern tilgang ble derfor sperret.

Hvilke data omfatter dette?

Den berørte databasen inneholdt adresselister med kundenavn, bedriftstelefonnummer og bedrifts-e-postadresser. I tillegg inneholdt den en liste over fakturainformasjon, inkludert fakturanummer, forfallsdatoer, beløp og tilgang til en e-post som har blitt sendt til kundene i HTML-format.

Dette har vi gjort så langt

Da vi oppdaget innbruddet sperret vi umiddelbart den eksterne tilgangen til applikasjonen. Videre har det danske datatilsynet1 blitt informert om hendelsen.

Hva medfører dette for kundene våre

Vi vurderer at det er lav risiko for at kundene våre blir eksponert, men fordi dataene kan brukes i spear phishing, som er en hackingmetode som forekommer mer og mer, ønsker vi å informere kundene våre om potensielle farer, slik at de kan ta de nødvendige forholdsreglene.

Hvis du har spørsmål eller bekymringer knyttet til det som har skjedd, eller ønsker mer informasjon, er du alltid velkommen til å kontakte GDPR-teamet vårt her gpdr@dfds.com

Kundenes personvern er høyt prioritert. Vi gjør alt vi kan for å sørge for at all data er sikret. I forbindelse med dette oppsto det en database utenfor vårt etablerte IT-oppsett, og vi har derfor ikke vært i stand til å beskytte kundenes personvern på en tilfredsstillende måte, det er uakseptabelt. Vi beklager det inntrufne og vil ta alle de nødvendige forholdsreglene for å sikre at hendelser som dette, vedrørende datasikkerhet, ikke gjentar seg.

Beskytt deg mot spear phishing

Et typisk spear phishing-forsøk sendes ofte til noen få utvalgte personer i en virksomhet, vanligvis via e-post. E-posten ser ut som en formell e-post, og vil forsøke å få en utbetaling for en tidligere eller forfalsket faktura. Den kan også ha som formål å få den målrettede personen til å oppgi ytterligere opplysninger, som brukernavn eller passord, via lenker i e-posten.

Beskytt deg mot spear phishing
  • Vær ekstra oppmerksom på e-poster i forbindelse med utbetalinger eller fakturaer.

  • Ikke bruk oppgitte e-postadresser eller telefonnummer i e-posten, ettersom det kan være et spear phishing-forsøk. Bruk kontaktinformasjonen du allerede har.

  • Vær oppmerksom på e-poster og telefonsamtaler fra personer som ber om personopplysninger (spesielt med tanke på fødselsdato, bostedsadresse, e-postadresse, brukernavn eller passord, som ofte brukes til å bekrefte identitet).

Hvis du er i tvil, kan du alltid kontakte kontaktpersonen din hos DFDS direkte, enten via e-post eller ved å ringe, slik at du kan stadfeste hva det gjelder.