Sportwinkelketen Sprinter Sports is getroffen door een ‘cyberbeveiligingsincident’. Daarbij zijn mogelijk klantorder- en accountgegevens van klanten ingezien of gekopieerd door de aanvallers. Het bedrijf adviseert gedupeerden om hun bankrekening goed te controleren op ‘verdachte activiteiten’. Dat schrijft Sprinter Sport in een e-mail aan klanten, die is ingezien door de redactie van VPNGids.nl.
Iberian Sports Retail Group (ISRG), het Spaanse moederbedrijf van Sprinter Sports, zegt in de e-mail dat er ‘grondig en systematisch’ onderzoek is uitgevoerd met externe cybersecurityspecialisten om de feiten boven tafel te krijgen, de impact van het incident in te dammen en de beveiliging van de IT-systemen te verbeteren. “Het doorlopende onderzoek heeft aangetoond dat een van de getroffen systemen enkele klantorder- en accountgegevens bevatte, die mogelijk zijn benaderd of bekeken door een ongeautoriseerde derde partij”, aldus de eigenaar van de sportwinkelketen.
Bij de cyberaanval zijn mogelijk namen, e-mailadressen, telefoonnummers, geboortedata, bezorg- en factuuradressen, klantreferentienummers en belastingidentificatienummers buitgemaakt. Algemeen directeur van ISRG Francesc Casabella benadrukt dat er geen volledige bankrekeningnummers en wachtwoorden zijn gestolen. Desondanks raadt ze klanten aan om alert te zijn voor verdachte e-mails, telefoontjes, sms’jes en andere frauduleuze pogingen. “Vermijd het klikken op links in onverwachte e-mails of berichten”, zo schrijft ze.
Verder adviseert de CEO klanten om hun wachtwoord voor hun Sprinter Sports online account te wijzigen. “Hoewel we geen volledige betaalkaartinformatie bewaren, zouden we als voorzorgsmaatregel u ook aanmoedigen om verdachte activiteiten op uw bankrekeningen in de gaten te houden en onmiddellijk contact op te nemen met uw bank als u verdachte activiteiten opmerkt.”
“We nemen de bescherming van klantgegevens uiterst serieus en houden de situatie nauwlettend in de gaten. We betreuren dat dit is gebeurd”, schrijft het bedrijf aan klanten.
Wie er verantwoordelijk is voor de cyberaanval op de sportwinkelketen, zegt Casabella niet. Op X circuleert de naam MetaEncryptor. De hackersgroep, die sinds augustus 2022 actief is, claimt op hun portaal op het dark web één terabyte aan bedrijfsdata te hebben gestolen. Volgens cybersecuritybedrijf WatchGuard heeft de hackersgroep in totaal veertien slachtoffers gemaakt.
MetaEncryptor breekt in op bedrijfsnetwerken en besmet deze vervolgens met ransomware. Alle besmette bestanden worden dan als het ware in een digitale kluis geplaatst. De enige manier om weer toegang tot deze gegevens te krijgen, is met een decryptie- of decoderingssleutel. Slachtoffers krijgen deze als ze losgeld betalen. Om ervoor te zorgen dat de bedrijfsvoering niet in gevaar komt of de organisatie reputatieschade oploopt, betalen slachtoffers vaak het gevraagde losgeld.
Sprinter Sports is van oorsprong een Spaans bedrijf dat valt onder de Iberian Sports Retail Group (ISRG). Het sportconglomeraat is sinds 2021 eigenaar van alle Nederlandse winkels van Aktiesport en Perry Sport. Dit jaar werden deze winkels samengevoegd onder de naam Sprinter. Wereldwijd telt ISRG meer dan vierhonderd sportwinkels.
