T-Mobile meldt datalek van gegevens Vodafone Thuis-klanten van voor 2016

T-Mobile maakt melding van een datalek. Het gaat om persoonsgegevens van Vodafone Thuis-klanten van voor 2016, die door een extern bedrijf werden beheerd. Het betreffende bedrijf, Conduent, werd eerder dit jaar getroffen door ransomware.

In een e-mail brengt T-Mobile klanten die zijn getroffen op de hoogte. Ook heeft de provider melding gedaan bij de Autoriteit Persoonsgegevens. De provider meldt aan betreffende klanten dat hun naam, adres, woonplaats, telefoonnummer, rekeningnummer, e-mailadres en geboortedatum is gelekt.

Het datalek heeft plaatsgevonden bij Conduent, een dienstverlener waarmee Vodafone Thuis in het verleden heeft samengewerkt. T-Mobile nam Vodafone Thuis in 2016 over en sindsdien wordt er niet meer samengewerkt met het externe bedrijf.

In de e-mail schrijft T-Mobile dat 'onbevoegden toegang hebben gekregen tot persoonsgegevens bij Conduent'. Zowel huidige klanten als oud-klanten van Vodafone Thuis worden geïnformeerd. T-Mobile waarschuwt voor mogelijk misbruik van de persoonsgegevens en zegt dat de klantenservice een verzwaarde beveiligingscheck uitvoert op klantgegevens van de betrokken klanten. De klantenservice zal extra vragen stellen om de identiteit van de klant te achterhalen.

De Amerikaanse it-dienstverlener Conduent heeft eerder bevestigd dat zijn Europese operaties op 29 mei zijn getroffen door een ransomwareaanval. Het bedrijf gaf daarover geen verdere details, maar beveiligingsonderzoekers merkten op dat de criminelen achter de Maze-ransomware bewijs toonden dat ze gegevens van Conduent hebben bemachtigd. De aanvallers zouden het bedrijf besmet hebben middels een bekende Citrix-kwetsbaarheid op een server die op zijn minst acht weken niet was gepatcht.

Of het datalek gerelateerd is aan de ransomware-aanval is niet bekend. Ook is op het moment van schrijven onduidelijk hoeveel klanten er getroffen zijn. Tweakers heeft daarover vragen uitstaan bij T-Mobile.

Update, vrijdag: T-Mobile laat weten dat het gaat om data van 'enkele duizenden' klanten. Het betreft data van Vodafone Thuis uit de periode 2012 tot en met 2014. Het gaat om naw-gegevens en e-mailadressen en 'in enkele gevallen' ook rekeningnummers en/of de geboortedatum.

Reacties (33)

bartje 25 augustus 2020 18:54

Alavert sinds 2016 al niet meer wordt samen gewerkt met deze partij. Waarom heeft deze partij de gegevens dan nog? Of zijn er ook backups bemachtigd?

Sefa @bartje • 25 augustus 2020 19:19

Dat snap ik ook niet en vind ik kwalijk.

twkr18526 @Sefa • 25 augustus 2020 22:16

Vodafone en veel andere bedrijven huren vaak kleine callcenter bedrijfjes. Die krijgen oa gegevens van het bedrijf zelf en soms ‘verrijken’ ze die met eigen gegevens.

Aan de telefoon vraag ik wel eens hoe ze aan mn gegevens zijn gekomen en of ik daar een kopie van mag hebben. Dikwijls wordt er dan opgehangen, zonder dat ik weet welk bedrijf het is.

Nalatigheid in dat soort dingen. En misschien ook nalatig in beveiligen van gegevens of verwijderen van gegevens die ze niet meer nodig hebben? Nu hadden ze door deze ransomware ook recente data kwijt kunnen zijn, niet alleen de pre 2016 vodafone.

vlijmen @twkr18526 • 26 augustus 2020 06:34

Ik zou Conduent, voorheen Xerox Business Services toch geen klein callcenter noemen.

killzonex @twkr18526 • 25 augustus 2020 23:37

diezelfde kleine bedrijven die gegevens doorverkopen , zodat er whatsapp berichten kunnen worden verstuurt dat je zoon of dochter ze telefoon kapot is....

verbazend dat er zoveel ransomware hacks diefstallen en mensen opeens massaal geappt worden....

tormentor1985 @bartje • 25 augustus 2020 19:20

Gebrekkige decommission procedure of simpelweg onwetendheid. Personeel komt en gaat en daardoor kunnen servers of data die erop staat uit het zicht verdwijnen. Ik ga bijvoorbeeld niet voor de lol even op duizenden servers of een netwerk schijf die voor iedereen toegankelijk is kijken wat er op staat opgeslagen. Ik heb wel wat beters te doen.

Echter is de ervaring wel dat het aantal gigabytes op bijvoorbeeld netwerk schijven nooit zal afnemen enkel toenemen. Dat zegt al genoeg

opruimen kost tijd en die tijd hebben veel bedrijven niet. Het is dan vaak goedkoper de data te laten staan.

Orangelights23 @bartje • 25 augustus 2020 19:50

Heel veel organisaties hebben geen destruction of data policy. Schrijf er eentje, maak er iemand verantwoordelijk voor en dit soort dingen hebben al een veel kleinere kans dat her gebeurt.

GB2 @bartje • 26 augustus 2020 10:55

In de basis ben ik van mening dat er geen reden is om bijna 4 jaar lang deze persoonsgegevens te bewaren, deze hadden wat mij betreft vernietigd moeten worden en ik hoop ook dat hier onderzoek naar gedaan gaat worden.

Ozzy @GB2 • 26 augustus 2020 16:11

Voor de nederlandse belastingdienst moet je 7 jaar onder andere de crediteuren- en debiteurenadministratie bewaren. Het ligt er dus aan op basis van welke grondslag deze gegevens verwerkt zijn, maar het kan dus zijn dat er simpelweg een wettelijke verplichting is tot het bewaren van deze gegevens.
Dit soort gegevens mogen daarom ook niet verwijderd worden als iemand zich bijvoorbeeld beroept op het recht op vergetelheid.

jorikc

25 augustus 2020 19:51

Ik was klant van Vodafone Thuis (in mei 2016 aangesloten). Dus ik was geen klant voor 2016. T-Mobile heeft het pas overgenomen eind 2016 (November 2016 werd het bekend gemaakt geloof ik). Dus ik ben zeker niet de enige. Zoals het artikel nu geschreven is (en ook het bericht van T-Mobile) lijkt het alsof Conduent niet meer gebruikt werd na de overname, maar dat moet al voor de overname zijn geweest, anders moeten (nieuw) klanten van 2016 ook potentieel getroffen kunnen zijn.

edit: ik heb overigens (nog) niets gehoord van T-Mobile en zie ook niets op hun website staan.

edit2: ik heb net de klantenservice gebeld (vanwege een ander probleem), maar vroeg hier ook even naar en ik ben gelukkig niet getroffen door dit datalek. Ook hoorde ik dat het om "slechts" 4000 klanten gaat, dus zeker niet alle oude Vodafone Thuis klanten (en dus ook niet alle Vodafone Thuis klanten van voor 2016).

[Reactie gewijzigd door jorikc op 22 juli 2024 13:48]

rens-br Forum Admin IN & Moderator Mobile

T-Mobile Thuis
T-Mobile

@jorikc • 25 augustus 2020 20:34

Dat verklaard een hoop. Ik ben op twee adressen klant van Vodafone Thuis en beide al ruim voor 2016. Op beide adressen geen e-mail gehad.

abra69 25 augustus 2020 18:54

Hoe brengt T-mobile oud-klanten op de hoogte? Ook per e-mail? In de tijd dat ik Vodafone Thuis had, kreeg ik (alleen) mails van de provider op een provider-specifiek email adres. Dat bestaat natuurlijk niet meer.

Op de T-mobile pagina kon ik niets vinden over dit probleem.

Somoghi @abra69 • 25 augustus 2020 20:08

Je hebt neem ik aan ook ooit besteld en een bevestiging gekregen per email? Of gebeurde dit per post? Die wijze zal neem ik aan gehanteerd gaan worden.

abra69 @Somoghi • 26 augustus 2020 17:06

Ik heb mijn eigen domein, waar alles binnenkomt behalve email van mijn hosting provider en over mijn domein.

Een ouderwetse brief werkt hier het beste. En openheid over hoe je zelf kunt controleren of je slachtoffer bent. Een klant weet immers niet of hij/zij geoutsourced is of was.

dyrc

25 augustus 2020 19:25

"De klantenservice zal extra vragen stellen om de identiteit van de klant te achterhalen."
foolproof als iemand net een bak persoonsgegevens buit heeft gemaakt.. .

ik opteer voor een nieuw boetesysteem: boete minimaal gelijk aan de (zwarte) straatwaarde van de gelekte gegevens * aantal keer dat dit verkocht zou zijn, uit te keren aan de personen waarvan de gegevens gelekt zijn.
(noem het de BREIN vs Piratebay benadering..)
Ondanks de AVG komt men nog steeds gemakkelijk weg met sorry en foei...

DaMonkey @dyrc • 25 augustus 2020 20:39

En boete voor wie?

T-Mobile, dat niets fout gedaan heeft? Ze hebben (volgens wat ik begrijp) vodafone thuis gekocht, en de samenwerking met Conduent (om wat voor reden) gestopt. Niet makkelijk oordelen dat een externe partner, die net specifiek dit doet, van een bedrijf dat je wilt overnemen binnen 4 jaar in de fout gaat door servers 2 maanden niet te patchen (even heel extreem gesproken).

Vodafone thuis, dat niet meer bestaat (of wel? Ben niet op de hoogte, maar ik lees het als onderdeel van T-Mobile) en dus niets te halen is?

Bij Conduent, dat meermaals in de fout is gegaan? Namelijk door zijn systemen niet te patchen, en de data niet te verwijderen bij het stoppen van de samenwerking (ga ik vanuit, ken de contracten niet, maar heel je klantenbestand achterlaten bij het stoppen van een dienst lijkt mij niet gewenst).

Hoe dan ook, met jou voorgestelde zware boete, komt er wel een constructie waarbij een (dochter/service/noem het wat)bedrijf failliet gaat zonder een cent te betalen om vervangen te worden door een andere non Profit op dezelfde locatie, met dezelfde inboedel en hetzelfde personeel...

Unstable Element @DaMonkey • 25 augustus 2020 23:34

Je zou kunnen beginnen met die organisatie of rechtsopvolger daarvan die de data heeft verzameld verantwoordelijk te maken. (dat is in dit geval T-mobile aangezien die Vodafone thuis heeft overgenomen)

Die vechten het dan maar weer uit met Conduent.

Het verhaal waarbij ze failliet gaan blijft dan over.

Het overnemen van de inboedel zal dan niet gaan, want daar hoort de besmette data bij. Ze zullen dan geen doorstart kunnen maken met die waardevolle data.
Mocht de data toch mee verkocht worden hoort daar ook de claim bij.

Althans zo zou ik het inrichten.

Orthodroom 25 augustus 2020 18:51

Ik was voor 2016 klant, maar ook nog daarna. Ik heb geen e-mail gehad dus ik neem aan dat ik niet ben getroffen?

Sefa 25 augustus 2020 19:23

Ik ben klant geweest van Vodafone Thuis, maar ik ben niet op de hoogte gebracht. Wel vervelend dat je na lange tijd hier mee geconfronteerd wordt. Sowieso dat de gegeven uit handen zijn gegeven, maar als een dergelijke samenwerking wordt stopgezet zou je verwachten dat alle benodigde gegevens worden overgedragen en verwijderd van de Conduent.

GranCanaria 25 augustus 2020 19:54

Ik was ook klant van ze een tijdje terug echter ben ik benieuwd hoe ze mij gaan contacteren. Hun e-mail adres werkt niet meer, mijn e-mail adres is gewijzigd in de tussentijd.

Ik weet ook niet hoe ik hier nu mee om moet gaan en wat ik nu moet doen. Vind dit erg kwalijk en jammer. Hiernaast vraag ik me af waarom ze mijn gegevens nog hebben.

HoppyF

T-Mobile Thuis

25 augustus 2020 20:11

Ik was vóór 2016 ook Vodafone Thuis klant.
Niets gehoord van T-Mobile.
Wellicht is niet de hele klanten database uitgelekt.
Laten we het hopen want dit soort datalekken zijn erg kwalijk.

bamboe @HoppyF • 26 augustus 2020 07:25

Hier boven heeft iemand geschreven die contact had dat er maar 4000 personen getroffen zijn door het lek, grote kans dat je daar dan niet tussen zit.

K-aroq 25 augustus 2020 20:22

Oud-klanten informeren lijkt me een uitdaging. Nieuwe emailadressen, andere echte adressen. Die zal je nooit allemaal kunnen bereiken.

harrr @K-aroq • 27 augustus 2020 07:33

Per post of telefoon dan maar of met een kleine transactie op het gelekte IBAN.. Als die gegevens allemaal niet meer bestaan, is het risico op fraude ook direct een stuk kleiner.

WhatsappHack

Privacy
T-Mobile
Networking en security
Datalek

25 augustus 2020 21:09

Niet de eerste keer dat zoiets gebeurd bij een (ex-)Vodafone tak, ergens vorig jaar is er ook data van mensen gelekt die gratis prepaid simkaarten hadden aangevraagd en dan wel tenminste over de periode 2014. Maar daar hebben ze nooit op gereageerd of klanten over geïnformeerd. Het lijkt er op dat dat soort partnerbedrijven dus inderdaad jarenlang de data vasthouden. Pre-AVG mocht dat vast, maar het lijkt me dat dat intussen niet meer mag als er geen goede grondslag is om deze data nog te bewaren?

Op dit item kan niet meer gereageerd worden.

T-Mobile meldt datalek van gegevens Vodafone Thuis-klanten van voor 2016

Lees meer

Reacties (33)

Sorteer op:

Weergave: