De Spaanse tak van autofabrikant Hydundai heeft van de Spaanse privacytoezichthouder AEPD een boete van 2 miljoen euro gekregen wegens een datalek dat het gevolg was van een niet geïnstalleerde beveiligingsupdate. Begin 2023 maakt een aanvaller misbruik van een niet nader genoemde kwetsbaarheid in een server van Hydundai en maakte vervolgens de onversleutelde gegevens van meer dan een miljoen klanten en potentiële klanten in Spanje buit. De gegevens stonden in een database gebruikt voor marketing en statistische doeleinden.
De bij de aanval buitgemaakte gegevens bestonden uit namen, geboortedata, telefoonnummers, e-mailadressen, adresgegevens, klantnummers en voertuig-identificatienummers. De aanval en het datalek kwamen pas eind februari 2023 aan het licht, toen de aanvallers met Hyundai contact opnamen. Daarop waarschuwde de autofabrikant de Spaanse privacytoezichthouder. In april 2023 werden slachtoffers van het datalek door Hyundai ingelicht.
De AEPD deed onderzoek naar het datalek en ontdekte dat de aanvallers misbruik hadden gemaakt van een bekende kwetsbaarheid waar op het moment van de aanval ook beveiligingsupdates voor beschikbaar waren. Hyundai had echter nagelaten de patch te installeren. Om welke serversoftware het precies gaat is niet bekendgemaakt.
Tevens hekelde de AEPD ook het niet versleutelen van persoonlijke gegevens en het niet uitvoeren van een risicoanalyse. Pas na het datalek kwam Hyundai met een risicoanalyse, terwijl het dat volgens de toezichthouder had moeten doen voordat het de persoonlijke gegevens van klanten verwerkte. De autofabrikant was dan ook in overtreding van de AVG, oordeelt de AEPD.
De toezichthouder besloot de overtreding te bestraffen met een boete van 2 miljoen euro. Spaanse wetgeving biedt bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. Hyundai besloot de boete vrijwillig te betalen, waardoor het uiteindelijke boetebedrag op 1,6 miljoen euro uitkwam (pdf).
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
De Spaanse tak van autofabrikant Hydundai heeft van de Spaanse privacytoezichthouder AEPD een boete van 2 miljoen euro gekregen wegens een datalek dat het gevolg was van een niet geïnstalleerde beveiligingsupdate. Begin 2023 maakt een aanvaller misbruik van een niet nader genoemde kwetsbaarheid in een server van Hydundai en maakte vervolgens de onversleutelde gegevens van meer dan een miljoen klanten en potentiële klanten in Spanje buit. De gegevens stonden in een database gebruikt voor marketing en statistische doeleinden.
De bij de aanval buitgemaakte gegevens bestonden uit namen, geboortedata, telefoonnummers, e-mailadressen, adresgegevens, klantnummers en voertuig-identificatienummers. De aanval en het datalek kwamen pas eind februari 2023 aan het licht, toen de aanvallers met Hyundai contact opnamen. Daarop waarschuwde de autofabrikant de Spaanse privacytoezichthouder. In april 2023 werden slachtoffers van het datalek door Hyundai ingelicht.
De AEPD deed onderzoek naar het datalek en ontdekte dat de aanvallers misbruik hadden gemaakt van een bekende kwetsbaarheid waar op het moment van de aanval ook beveiligingsupdates voor beschikbaar waren. Hyundai had echter nagelaten de patch te installeren. Om welke serversoftware het precies gaat is niet bekendgemaakt.
Tevens hekelde de AEPD ook het niet versleutelen van persoonlijke gegevens en het niet uitvoeren van een risicoanalyse. Pas na het datalek kwam Hyundai met een risicoanalyse, terwijl het dat volgens de toezichthouder had moeten doen voordat het de persoonlijke gegevens van klanten verwerkte. De autofabrikant was dan ook in overtreding van de AVG, oordeelt de AEPD.
De toezichthouder besloot de overtreding te bestraffen met een boete van 2 miljoen euro. Spaanse wetgeving biedt bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. Hyundai besloot de boete vrijwillig te betalen, waardoor het uiteindelijke boetebedrag op 1,6 miljoen euro uitkwam (pdf).
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Deel dit bericht: