Cybercriminelen zijn er in geslaagd om de accounts van ongeveer 1.700 Mijn Eneco klanten binnen te dringen. Daarbij zijn mogelijk persoonsgegevens ingezien en gewijzigd. Het energiebedrijf heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Ook wordt er aangifte gedaan van het incident bij de politie.Dat meldt Eneco in een persbericht.
Om toegang te krijgen tot de accounts van particuliere en klein zakelijke Mijn Eneco klanten, gebruikten de daders e-mailadressen en wachtwoorden die zij bij diefstallen bij andere bedrijven hadden buitgemaakt. Daarbij proberen de aanvallers, veelal met een brute force attack, net zolang combinaties van gebruikersnamen en wachtwoorden totdat ze een treffer hebben. In ongeveer 1.700 gevallen lukte dat bij Mijn Eneco.
Volgens het energiebedrijf hebben de cybercriminelen persoonsgegevens van klanten ingezien, en mogelijk zelfs wijzigingen aangebracht. Toen dit aan het licht kwam heeft Eneco tijdelijk de toegang tot Mijn Eneco afgesloten. Het bedrijf kon zodoende onderzoek uitvoeren naar de toedracht en de omvang van het datalek. Hiermee is voorkomen dat de daders met gestolen e-mailadressen en wachtwoorden opnieuw ongeautoriseerd konden inloggen bij Mijn Eneco accounts.
De getroffen klanten zijn afgelopen vrijdag per e-mail op de hoogte gebracht van het lek. Eneco adviseerde hen om een nieuw Mijn Eneco account met een nieuw wachtwoord aan te maken. Ook verschafte het energiebedrijf via diverse kanalen tips over het belang van een sterk wachtwoord. Gebruik je het wachtwoord voor je Mijn Eneco account ook voor andere online diensten? Dan raden wij aan om ook daar je wachtwoord te wijzigen.
Naast de 1.700 getroffen Mijn Eneco accounts heeft Eneco gisteren een groep van 47.000 klanten op de hoogte gebracht van het incident. “Bij deze groep klanten is geen reden om aan te nemen dat hun Mijn Eneco accounts zijn ingezien”, schrijft Eneco. “Maar omdat zij in dezelfde periode hebben ingelogd worden zij geadviseerd om uit voorzorg hun wachtwoord te wijzigen. “
Het datalek is gemeld bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) eist dat bedrijven binnen 72 uur een datalek melden bij de nationale toezichthouder. Daar heeft Eneco gehoor aan gegeven. Verder zegt het bedrijf aangifte te doen bij de politie. Eneco heeft onafhankelijke experts ingeschakeld om te adviseren over de verdere afhandeling van de zaak.
Persoonsgegevens zijn goud waard voor hackers en cybercriminelen. Als zij bijvoorbeeld over het e-mailadres, telefoonnummer en sociale media accounts van een slachtoffer beschikken, kunnen zij hem nauwlettend in de gaten houden. Als daaruit blijkt dat deze persoon een abonnement bij een leverancier heeft afgesloten of een bepaalde hobby erop nahoudt, is het voor de daders een stuk eenvoudiger om een gerichte en effectieve phishingaanval uit te voeren.
RTL Nieuws schreef vorig jaar juni dat callcentermedewerkers regelmatig persoonsgegevens verkopen aan cybercriminelen. Het gaat dan om zaken als naam, adres, telefoonnummer en bankgegevens. Criminelen vullen deze data aan met informatie uit openbare bronnen, zoals sociale media. Deze gegevens gebruiken ze zelf om nietsvermoedende slachtoffers te benaderen, of verkopen ze door een andere criminelen. Daarvoor krijgen ze een bedrag dat varieert van 25 cent tot 2 euro per ‘lead’. Als een database persoonsgegevens bevat van (tien)duizenden Nederlanders, levert dat een aardig zakcentje op.
Dat wij Nederlanders gevoelig zijn voor WhatsApp-fraude en phishingaanvallen, blijkt wel uit de laatste criminaliteitscijfers. Onderzoek van VPNGids.nl toont aan dat ook in de tweede helft van 2020 cybercrime flink is toegenomen in ons land. Een belangrijke oorzaak hiervoor is de coronapandemie. Die dwingt ons ertoe dat we van thuis uit moeten werken, en zodoende vaker een beroep doen op digitale hulpmiddelen. En doordat de winkels noodgedwongen hun deuren moesten sluiten, bestellen we steeds meer online. Een gegeven waar cybercriminelen op gewiekste wijze op inspelen.
