Geïdentificeerde datalek (in het Engels)

In september ontdekte DFDS A/S een inbreuk op de privacy van klantgegevens. We achten het risico op negatieve gevolgen voor onze klanten laag, maar aangezien er een algemene toename is van spear phishing-pogingen, informeren we onze klanten over dit incident, zodat u de juiste voorzorgsmaatregelen kunt nemen.

Alle klanten die mogelijk zijn getroffen door het datalek zullen in januari rechtstreeks worden gecontacteerd.

Over wat er is gebeurd

Op de 6e September 2023 werd een configuratiebestand geïdentificeerd dat beschikbaar was via het internet. Het configuratiebestand zelf bevatte geen persoonsgegevens. Het bestand maakte het echter mogelijk om onze geïmplementeerde beveiligingsmaatregelen te omzeilen en toegang te krijgen tot een database in een webapplicatie, waar klantgegevens zichtbaar waren. De gegevens konden niet worden gewijzigd of gemanipuleerd in de webapplicatie. Het configuratiebestand kwam beschikbaar omdat de ontwikkeling van de applicatie buiten de gevestigde IT-systemen en -procedures van DFDS om had plaatsgevonden. De fout werd onmiddellijk gecorrigeerd en de externe toegang werd gesloten.

Om welke gegevens ging het?

De getroffen database bevatte adreslijsten met de naam van de klant, het telefoonnummer van het bedrijf en het e-mailadres van het bedrijf. Bovendien bevatte het een lijst met factuurgegevens, waaronder factuurnummer, vervaldatum, bedrag en toegang tot de e-mail die naar de klant was gestuurd in HTML-indeling.

Wat hebben we tot nu toe gedaan

Toen het lek werd ontdekt, werd de externe toegang tot de applicatie onmiddellijk afgesloten. Bovendien werd het Deense bureau voor gegevensbescherming1 geïnformeerd over het incident.

Welke gevolgen kan dit hebben voor getroffen klanten

We achten het risico van blootstelling voor onze klanten laag, maar omdat de gegevens kunnen worden gebruikt voor spear phishing, wat momenteel een stijgende trend is in hackpogingen, willen we u informeren over de mogelijke risico's, zodat u de juiste voorzorgsmaatregelen kunt nemen.

Als u vragen of zorgen heeft over wat er is gebeurd of meer informatie wilt, kunt u altijd contact opnemen met ons GDPR-team op gpdr@dfds.com

De privacy van onze klanten is voor ons van het grootste belang. We doen er alles aan om ervoor te zorgen dat alle gegevens veilig zijn. In dit geval was er sprake van een database die buiten onze IT-setup viel, waardoor we tekort zijn geschoten in de bescherming van de privacy van onze klanten, en dat is onaanvaardbaar. We verontschuldigen ons hiervoor en nemen alle passende maatregelen om ervoor te zorgen dat dit soort incidenten met de gegevensbeveiliging niet meer voorkomt.

Bescherm uzelf tegen spear phishing

Een typische spear phishing aanval wordt vaak via e-mail naar een select aantal mensen binnen een bedrijf gestuurd. De e-mail ziet eruit als een formele e-mail en probeert een betaling los te krijgen voor een eerdere of vervalste factuur. Het kan ook als doel hebben om de persoon in kwestie zover te krijgen dat hij of zij meer informatie opgeeft, zoals een gebruikersnaam of wachtwoord via links in de e-mail.

Om uzelf te beschermen tegen spear phishing:
  • Wees extra alert op e-mails over betalingen of facturen.

  • Gebruik geen e-mailadres of telefoonnummer dat in de e-mail wordt vermeld, aangezien dit een spear phishing-poging kan zijn. Gebruik de contactgegevens die u reeds heeft.

  • Wees u bewust van e-mails en telefonische oproepen van mensen die om uw gegevens vragen (met name gegevens zoals uw geboortedatum, woonadres, e-mailadres, gebruikersnaam of wachtwoorden die vaak worden gebruikt om uw identiteit te verifiëren).

Neem bij twijfel altijd direct telefonisch of via e-mail contact op met uw DFDS-contactpersoon om de zaak te bevestigen.