Bol bevestigt dat klantdata mogelijk gestolen is bij AddComm-aanval

Bol heeft in een mail aan klanten bevestigd dat mogelijk klantdata is buitgemaakt bij de ransomwareaanval op AddComm. De webshop levert geen data meer aan AddComm totdat zeker is dat gegevens veilig zijn.

Bol zegt niet zeker te weten of de aanvallers klantengegevens hebben gestolen, maar kan het ook niet uitsluiten. Het gaat volgens het bedrijf mogelijk om 'naam, adresgegevens, klantnummer, bestelnummer en bijbehorend artikel, en het openstaande bedrag van de bestelling bij klanten'. Bankgegevens zouden niet in het systeem van AddComm hebben gestaan.

Bol heeft het gebruik van AddComm-services stopgezet, zo zegt het bedrijf. "Er worden strenge beveiligingseisen gesteld aan het opnieuw opstarten van de IT-omgeving en het voortzetten van de samenwerking met AddComm. Bol werkt nauw samen met AddComm om ervoor te zorgen dat de gegevens bij het hervatten van de operatie veilig zijn."

AddComm is een klantencommunicatiebedrijf en bevestigde het incident vorige week. Het gaat om een ransomwareaanval. Het lijkt erop dat AddComm heeft betaald, want bol meldt dat 'AddComm ervoor heeft gekozen om onder begeleiding van externe cybersecurityexperts afspraken te maken met de criminelen over het niet publiceren en verwijderen van buitgemaakte gegevens'.

Reacties (88)

Zeror

4 juni 2024 17:36

Dit is de betreffende mail die Bol gestuurd heeft aan klanten:

Hallo [naam],

Graag vragen wij jouw aandacht voor het volgende.

In de periode tussen 5 mei en 17 mei 2024 heeft er een cyberaanval plaatsgevonden bij onze verwerker AddComm. Wij schakelen deze verwerker in voor het printen en versturen van incassobrieven. Je ontvangt deze mail omdat onbevoegden mogelijk kennis hebben genomen van jouw gegevens bij het datalek bij AddComm.
Wij hechten er waarde aan dat je erop kunt vertrouwen dat je persoonsgegevens bij bol in goede handen zijn. Wij vinden het daarom belangrijk om je over dit incident te informeren. Ook bieden wij onze excuses hiervoor aan, dit had niet mogen gebeuren.
Hierna beschrijven we wat er is gebeurd, welke maatregelen er zijn genomen en waar je terecht kunt met vragen.

Wat is er gebeurd?

In de periode tussen 5 mei en 17 mei 2024 hebben cybercriminelen zichzelf toegang verschaft tot de systemen en data van AddComm.
Op 17 mei werd het beveiligingsincident kenbaar voor AddComm doordat de systemen door de cybercriminelen werden versleuteld. Inmiddels is bekend dat er tijdens de cyberaanval ook data van bol klanten is ontvreemd. Er is op dit moment geen aanwijzing dat misbruik is of wordt gemaakt van de gegevens.
Wij en onze incassopartners gebruiken AddComm om brieven te printen en te versturen wanneer een openstaande betaling in het incassotraject zit. Dit gaat om bestellingen die na 2 betalingsherinneringen nog niet betaald zijn. Om welke bestellingen het gaat, kun je in je eigen klantaccount terugzien onder het kopje 'facturen betalen'.
De gegevens die het betreft is: jouw naam, adresgegevens, klantnummer, bestelnummer en bijbehorend artikel, en het openstaande bedrag van jouw bestelling. Als gevolg hiervan hebben onbevoegden mogelijk kennis genomen van deze gegevens. Het beveiligingsincident heeft geen invloed gehad op de eigen systemen van bol.

Welke acties zijn ondernomen?

Direct na de ontdekking van de gijzelsoftware zijn externe cyber security-experts ingeschakeld door AddComm. Zij hebben forensisch onderzoek gedaan en werkten samen met de IT-experts van AddComm. Het onderzoek naar het beveiligingsincident is inmiddels afgerond.
Daarnaast is ervoor gezorgd dat de cybercriminelen geen toegang meer hebben tot de systemen van AddComm. AddComm zet alle redelijke middelen in om verspreiding van de buitgemaakte gegevens te voorkomen. Zo heeft AddComm onder begeleiding van externe cyber security-experts afspraken gemaakt met de cybercriminelen over het niet-publiceren en het verwijderen van deze gegevens. Bol heeft direct na de berichtgeving van AddComm op 17 mei gezorgd dat alle data overdracht aan AddComm is gestopt.
Zowel AddComm als bol hebben het incident bij de Autoriteit Persoonsgegevens gemeld. Dit is de toezichthouder op het gebied van gegevensbescherming.

Wat kan ik zelf doen?

Het is belangrijk om alert te zijn op fraude en phishing. Controleer daarom altijd goed de afzender van e-mails , het rekeningnummer waar je geld naar overmaakt en klik niet op links of bijlagen in e-mails van afzenders die je niet kent. Betaal je factuur met iDEAL via de betaalknop in je account of maak het handmatig over naar NL27 INGB 0000 0265 00 (BIC: INGBNL2A).
Voor meer informatie over hoe je phishing kan herkennen, verwijzen wij jou graag naar deze pagina: bol.com | Klantenservice | Nepmails. Voor informatie over wat je kan doen als je slachtoffer bent van een datalek kan je deze pagina Slachtoffer van een datalek? Dit kunt u doen | Autoriteit Persoonsgegevens van de Autoriteit Persoonsgegevens raadplegen.

Tot slot

Wij hebben een klantenservicepagina ingericht met de laatste informatie van AddComm en een overzicht met veel voorkomende vragen. Deze pagina zullen wij bijwerken met de meest actuele informatie over het incident. De pagina kan je hier vinden. Momenteel hebben wij niet meer informatie dan wij in deze e-mail en op de informatiepagina hebben gedeeld. Wil je op de hoogte blijven van de laatste ontwikkelingen rondom dit incident, houd dan deze pagina in de gaten.
Als je nog algemene vragen hebt over hoe bol met persoonsgegevens omgaat, lees dan onze privacyverklaring. Je kunt ook contact opnemen met onze Functionaris voor de Gegevensbescherming via het e-mailadres: privacyoffice@bol.com.

Met vriendelijke groet,
bol.

Auredium 4 juni 2024 16:45

Het gaat volgens het bedrijf mogelijk om 'naam, adresgegevens, klantnummer, bestelnummer en bijbehorend artikel, en het openstaande bedrag van de bestelling bij klanten'.

Openstaande bedrag doet mij vermoeden dat het zich hier handelt over mensen die gebruik maken van een achteraf betalen optie bij Bol. Vermoedelijk handelt AddComm dergelijke transacties en het verzenden van rekeningen af. Ik mag hopen dat snel duidelijk is wie allemaal getroffen is en er netjes een mail wordt gestuurd naar de mensen in kwestie.

Aangezien dit een achterdeur aanval is waarbij zo te lezen geen wachtwoorden zijn buit gemaakt (want wat zou AddComm met Bol klanten wachtwoorden moeten?) zou je wachtwoord nog steeds veilig moeten zijn maar veranderen kan geen kwaad. En ja; ik deel de mening van anderen. Alhoewel MFA hier niet geholpen zou hebben is bij alles waar ook maar enige financiële transactie mogelijk is MFA een verplicht iets moeten zijn.

wildhagen

Nederland
Beveiliging en antivirus
Ransomware

@Auredium • 4 juni 2024 17:09

[...]

Openstaande bedrag doet mij vermoeden dat het zich hier handelt over mensen die gebruik maken van een achteraf betalen optie bij Bol.

Van hun FAQ-pagina (https://cs.bol.com/optiex...B4aIuHruv4D6yOKSfTZGSTujO)

Wij schakelen deze verwerker in voor het printen en versturen van incassobrieven en validatiebrieven bij het aanmaken van zakelijke koopaccounts.

Lijkt dus niet om 'achteraf betalen' te gaan, maar om wanbetalers die dan via Addcomm dus een incassobrief krijgen. Plus voor de zakelijke account-validatie.

Aangezien dit een achterdeur aanval is waarbij zo te lezen geen wachtwoorden zijn buit gemaakt (want wat zou AddComm met Bol klanten wachtwoorden moeten?)

Wachtwoorden zijn niet gelekt nee zoals op hun FAQ-pagina staat:

2. Ik heb deze mail ontvangen. Moet ik mijn account aanpassen of wachtwoord resetten?

Dat is niet nodig omdat er geen gebruikersnamen en wachtwoorden zijn gelekt. Het is wel belangrijk om altijd alert te zijn op fraude en phishing. Controleer daarom altijd goed de afzender van e-mails en het rekeningnummer waar je geld naar overmaakt. Klik niet op links of bijlagen in e-mails van afzenders die je niet kent.

Wat er wél (mogelijk) gelekt is staat op diezelfde pagina:

Voor consumenten gaat het om naam, adresgegevens, klantnummer, bestelnummer en bijbehorend artikel, en het openstaande bedrag van de bestelling. Voor zakelijk kopers gaat het om bedrijfsnaam, naam, het vestigingsadres en het KVK en/of BTW-nummer.

Gurd @wildhagen • 4 juni 2024 18:24

Wat er blijkbaar niet in hun FAQ staat is dat AddComm ook de (pre-incasso) schriftelijke herinneringsbrieven afhandelt.

Ik heb namelijk nog nooit een incassotraject of kosten voor te laat betalen gehad bij Bol.com, enkel een herinneringsbrief omdat ik tijdens m'n vakantie 't over het hoofd had gezien. Maar ik kreeg ook die e-mail, dus blijkbaar zijn mijn gegevens gelekt.

wmkuipers @nestview • 4 juni 2024 17:53

> Boontje komt om zijn loontje zou je bijna kunnen zeggen ;-)

Dat vind ik echt een vervelend subjectieve beschrijving die echt te kort door de bocht is. Niet elke wanbetaler is kwaadwillend, en om iemand dat het lekken van z'n gegevens te gunnen slaat echt helemaal nergens op.

Yongshi @wmkuipers • 4 juni 2024 18:57

En hij gebruikt een smiley om aan te geven dat het een grapje is en niet serieus op te vatten moet zijn.

Snap de ironie van de originele opmerking en dat mag best benoemd worden zolang het overduidelijk een grap is

JurGor @Yongshi • 5 juni 2024 09:49

Grappen vallen niet altijd goed. Humor is een lastig ding, vraag maar aan cabaretiers. Die doen niet voor niets try-outs. En dan vallen vaak grappen af waarvan zij dachten "die was echt leuk!".

Essentieel voor een echt goede grap zijn timing en context.

In dit geval maakt de context de grap minder goed verteerbaar voor mensen die zich bewust zijn van een van de schaduwzijden van onze florerende economie. We leven in een samenleving met een toenemende kloof tussen arm en rijk, met een consumentisme dat schulden tot een verdienmodel heeft verheven. Dit betekent dat voor een behoorlijke groep wanbetalers boontje allang om zijn loontje is gekomen: ze hebben weinig centen te makken. Ze zijn kwetsbaar in economische zin, en als hun data bij verkeerden terecht komt zijn ze extra kwetsbaar.

De grap is harder dan de grappenmaker wellicht denkt. Ironie? Eerder richting cynisch.

Maar dat het een grap is, blijkt uit de smiley. Ik zou er geen -1 aan geven. Ook geen +1.

nestview @Yongshi • 5 juni 2024 06:10

En hij gebruikt een smiley om aan te geven dat het een grapje is en niet serieus op te vatten moet zijn.

Snap de ironie van de originele opmerking en dat mag best benoemd worden zolang het overduidelijk een grap is

Ja dit dus. Je zal maar eens een grapje maken op tweakers. De -1 vliegt je om de oren.

stftweaker @nestview • 4 juni 2024 20:17

Een scenario waar iemand betaald heeft maar geen juist betalingskenmerk heeft ingevuld?
Boontje om zijn loontje inderdaad

En dit is maar 1 van de vele scenario die kunnen optreden zonder dat je ook maar niet betaald is. Beetje flauw en kort door de bocht.

kaas-schaaf @nestview • 4 juni 2024 23:34

Met de recente dark flow praktijken van bol om de knoppen van directe betaling/achteraf om te draaien heeft mij zo'n aanmaning opgeleverd doordat ik de verkeerde optie aangeklikt had, en omdat de mails in de spamfolder terecht komen mis je makkelijk de eerste twee herinneringen en krijg je voor een aankoop van een tientje 25 euro boete. Als bonus liggen mijn gegevens dus nog meer op straat.

Zo simpel is het niet, dat iedereen meteen willens en wetens wanbetaler is.

SkyStreaker @Auredium • 4 juni 2024 18:03

Eigenlijk ben ik bijna sinds dag 1 lid van bol.com en gebruikte zodra het beschikbaar was van achteraf betalen (voornamelijk door gezeik van niet geleverd spul en toch moeten betalen, uiteindelijk wel mijn gelijk gekregen) en heb deze mail niet gekregen.

Interessant eigenlijk.

Even tussendoor/off-topic: voor bestellingen online e.d. heb ik een apart prepaid-nummer die ik enkel en alleen daarvoor gebruik. Sociaal/werkgerelateerd gebruik ik een ander nummer. Denk ergens dat dat ook wel eens een goede taktiek is. Bij verkopen tweedehands krijgt bijna niemand mijn nummers.

[Reactie gewijzigd door SkyStreaker op 22 juli 2024 14:12]

Timmiejj 4 juni 2024 16:50

Ik vind dat er wettelijke aansprakelijkheid moet komen voor de eigenaar van de data, leuk dat jij je 'communicatie' uit besteed aan een 3e partij maar als die 3e partij dan dus die data kwijtraakt moet Bol.com daar aansprakelijk voor zijn imo, ik heb als klant tenslotte een relatie met Bol.com niet met Addcomm en het feit dat Bol.com omwille van kostenbesparing zoiets uitbesteed aan een 3e partij veranderd daar toch niks aan.

Laten we er dan ook een arbritrair boete bedrag aan verbinden. 1 euro per klant waarvan gegevens gelekt zijn en als ze niet kunnen aantonen van welke klanten wel of geen gegevens buit zijn gemaakt dan maar gewoon iedereen die in het systeem zit.

Met al die verzamelde data weten ze ook alles van je, dus logistiek kan het ook niet heel moeilijk zijn om die 1 euro direct bij de getroffen klanten op de rekening te storten

J_van_Ekris @Timmiejj • 4 juni 2024 16:57

Ik vind dat er wettelijke aansprakelijkheid moet komen voor de eigenaar van de data, leuk dat jij je 'communicatie' uit besteed aan een 3e partij maar als die 3e partij dan dus die data kwijtraakt moet Bol.com daar aansprakelijk voor zijn imo, ik heb als klant tenslotte een relatie met Bol.com niet met Addcomm en het feit dat Bol.com omwille van kostenbesparing zoiets uitbesteed aan een 3e partij veranderd daar toch niks aan.

Dat zijn ze ook. Als jij een geloofwaardige claim via de rechter neerlegt voor geleden schade zal deze bij Bol en uiteindelijk AddComm eindigen. Dat is gewoon basaal civiel rechtelijke aansprakelijkheid.

Het probleem zit hem er in dat jij de schade niet kan aantonen aan de rechter. Je moet in Nederland immers ook de schade daadwerkelijk aantoonbaar geleden hebben om hem te kunnen verhalen.

webhalla @J_van_Ekris • 4 juni 2024 17:21

Let op dat ook de AvG van toepassing is. Hierbij is het mogelijk materiële én immateriële schade te claimen volgens artikel 82

https://www.privacy-regul...sprakelijkheid-EU-AVG.htm

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Er is een uitspraak van CJEU dat advocaten op no-cure-no-pay wijze mogen optreden namens slachtoffergroepen. Dus een kwestie van tijd en een datalek bij een kapitaalkrachtige onderneming dat hier op wordt gesprongen.

Chatslet @webhalla • 5 juni 2024 08:28

Het probleem is dus dat die schade niet te kwalificeren is. Je kunt hooguit aanvoeren dat je een bepaald risico loopt maar zolang dat risico zich niet voordoet heb je ook niets te claimen.
Als het risico zich dan eenmaal voordoet dan moet jij als slachtoffer bewijzen dat het door dat specifieke datalek komt en dat is waar het lastig gaat worden. Sowieso is de kans tegenwoordig vrij groot dat je gegevens in meerdere datalekken naar voren komen en ook als dat niet zo is gaat de advocaat van de tegenpartij aanvoeren dat het niet is te bewijzen dat jouw gegevens uit dat lek komen. Uiteindelijk heb je als consument dus het nakijken.

Quinto_nl @Chatslet • 5 juni 2024 08:59

Volgens mij klopt het precies wat je zegt rondom schade. Daarbij nog even aanvullend op het stukje "boete". De AP onderzoekt in zo'n geval of je verwijtbaar hebt gehandeld. Dus als je zelf de data verwerkt of dat (deels uitbesteed) heb je de verantwoordelijkheid dit in de keten goed te regelen. Als het toch misgaat (wat serieus vaak gebeurt) en je hebt het niet goed voor elkaar, pas dan overweegt de AP een boete. Of je meldt een lek bijvoorbeeld niet of veel te laat.
Dus de 1 euro per persoon is leuk bedacht maar zal niet werken. Daarnaast zijn er cybersecurity verzekeringen die dit soort trajecten bij een datalek overnemen en zij zullen vooral het doel "schadelast beperking" nastreven. En dat is veelal niet in het belang voor de consument (Betrokkene).

closefuture @webhalla • 4 juni 2024 23:07

Er is een uitspraak van CJEU dat advocaten op no-cure-no-pay wijze mogen optreden namens slachtoffergroepen.

Heb je een link waar dat uit blijkt? Ik vraag me namelijk af of dat wel een juiste stelling is.

webhalla @closefuture • 5 juni 2024 21:15

Beste closefuture,
Bedankt voor de constructieve formulering van Uw reactie.
Ik moest het ff terugzoeken, maar deze link beschrijft de situatie van de Duitse consumentenbond die namens Betrokkenen een schadeclaim wilde indienen tegen Facebook waarbij CJEU, uitsprak dat deze representatie mag.
https://curia.europa.eu/j...q&pageIndex=1&cid=3672762

IAPP heeft het volgende erover geschreven:
https://iapp.org/news/a/c...dence-on-data-protection/

Wellicht bent U hiermee overtuigd van mijn eerdere bewering zonder bronnen.
Grtx,
Johan

m4ikel @J_van_Ekris • 4 juni 2024 17:19

En daarom is de hele AVG een wassen neus voor de consument, en vooral een verdienmodel voor de overheid en (groot)bedrijven. Bedrijven calculeren de boete gewoon in bij de marge van een dienst en als consument worden je gegevens in feiten gewoon 'gekocht' door de overheid (lees worden publiek beschikbaar) zonder dat daar een schadevergoeding tegenover staat. Ik vind dat de AVG boete moet worden uitgekeerd aan de betrokken (en dus niet naar de staatskas).

[Reactie gewijzigd door m4ikel op 22 juli 2024 14:12]

kodak

Beveiliging en antivirus
Ransomware
Nederland

@Timmiejj • 4 juni 2024 17:14

Waarom ga je er vanuit dat men niet wettelijk aansprakelijk is? We hebben namelijk de AVG als wetgeving, die bedrijven zoals deze verplicht om aan eisen te voldoen en dat men anders, met of zonder datalek, aansprakelijk gehouden kan worden. Daar is ook nog een toezichthouder bij ontstaan en je recht om de bedrijven ter verantwoording te roepen zorgvuldig met je gegevens om te gaan.

Deem 4 juni 2024 16:35

Ik begrijp niet waarom ik bij Bol geen MFA kan gebruiken...

jongetje

@Deem • 4 juni 2024 16:40

Als ze je gegevens verkopen/geven/delen en die partij raakt het kwijt kun je je account beveiligen wat je wilt maar helpt niets...

Ik begrijp niet zo goed wat AddComm met de klantgegevens van Bol.com moet...

djwice

@jongetje • 4 juni 2024 17:42

Alle papieren communicatie printen (en versturen) schat ik in.

jongetje

@djwice • 4 juni 2024 20:12

Welke papieren communicatie, ik heb nog nooit een brief gehad met een rekening van bol.com.

djwice

@jongetje • 4 juni 2024 20:33

Dan betaal je optijd 😉

Luchtbakker @Deem • 4 juni 2024 16:39

Wat los je hiermee op? Dit is gewoon ruwe data dat geleverd wordt aan addcom.

Als je doelt op transacties om spook bestellingen te voorkomen, is hier al diverse maatregelen in doorgevoerd.

Als je het adres wijzigt kan je geen achteraf betalen kiezen. Ook is er een max van 150 euro, en afhankelijk van het soort artikel.

dehardstyler @Luchtbakker • 4 juni 2024 16:46

Nou er staan adresgegevens in, opgeslagen cadeaubonnen, je kan nog steeds naar een postkantoor verzenden met achteraf betalen. Waarom niet gewoon 2FA toevoegen, het is 2024 he?
Op mijn Tweakers account heb ik ook 2FA, en die is voor hackers veeeeeel minder interessant dan het bol.com account.

rko4u @dehardstyler • 4 juni 2024 17:31

2FA maakt dat een ander moeilijker onder uw account kan inloggen. Dit gaat om een lek van gedownload data bij een technische partner. Daar gaat 2FA toch echt niet tegen aanrichten. Zeker niet als het ransomware betreft.

don spike @rko4u • 4 juni 2024 17:43

bij een datalek kan phishing of andere pogingen gedaan worden, met 2FA ben je dan wel beschermt. Ja niet tegen het datalek. Wel mogelijk tegen enkele gevolgen.

Ze hebben genoeg (aankoop) gegevens buit gemaakt om een geloofwaardige e-mail te sturen.

djwice

@dehardstyler • 4 juni 2024 17:36

Je bedoelt dat AddComm de data alleen zou moeten kunnen ontsleutelen/ gebruiken op het moment dat zijn via bol.com van jou je 2FA bevestigd krijgen?

Bijvoorbeeld als jij een e-mailtje moet krijgen, moet jij eerst 2FA invoeren voordat ze het adres eenmalig kunnen lezen om de e-mail of brief te kunnen sturen? En dat voor elk bericht.

Of bedoel je het op een andere manier dat 2FA de gegevens die bij AddComm staan moet beschermen.

[Reactie gewijzigd door djwice op 22 juli 2024 14:12]

dehardstyler @djwice • 5 juni 2024 07:49

Ik heb het over redenen om 2FA toe te voegen. Dat heeft verder niks met het lek te maken, maar @Luchtbakker vroeg wat je met 2FA oplost bij bol.com. Ik noemde vervolgens wat voorbeelden.

2FA had helemaal niks geholpen bij deze Addcom aanval, zoals ik ook stelde in een eerdere reactie: dehardstyler in 'Bol.com bevestigt dat klantdata mogelijk gestolen is bij AddComm-aanval'

Jan70661 @Luchtbakker • 5 juni 2024 09:32

Max van 150e, hoe komt U daarbij, ik kan een bedrag van 3000e besteden bij Bol met achteraf betalen, de hoogte van dat bedrag ligt meer aan bestelgeschiedenis en kredietwaardigheid.

dehardstyler @Deem • 4 juni 2024 16:37

Ik erger mij er dood aan inderdaad, maar nog niet genoeg om het ook eens te vragen aan de klantenservice. Toch maar eens doen nu, al had het voor deze aanval via de achterkant natuurlijk geen moer uitgemaakt.

edit: Reactie bol.com:

Wij werken helaas nu nog niet met deze methodes, hoewel ik wel weet dat wij er inderdaad na het recente datalek mee bezig zijn. Omdat dit een wijziging is die natuurlijk voor meerdere miljoenen mensen in Nederland invloed zou hebben, kan dit proces nog wel even duren. Ik noteer dat jij hier ook contact over opneemt, ook dit wordt bijgehouden

[Reactie gewijzigd door dehardstyler op 22 juli 2024 14:12]

dev10 @Deem • 4 juni 2024 16:39

Even los van het feit dat het heel fijn zou zijn als Bol MFA zou ondersteunen, maakt in dit geval toch geen bal uit of je wel of geen MFA op je account hebt zitten? De gegevens die bol aan AddComm doorgegeven heeft, kunnen ze zonder problemen doorgeven ongeacht of er MFA op een account zit:

Het gaat volgens het bedrijf mogelijk om 'naam, adresgegevens, klantnummer, bestelnummer en bijbehorend artikel, en het openstaande bedrag van de bestelling bij klanten'.

NiGeLaToR

@Deem • 4 juni 2024 16:41

Goede vraag, doch niet bepalend voor het wel of niet uitlekken van deze data. Zoals je hier leest is de data gestolen van een leverancier oftewel AddCom die oa voor het Hoogheemraadschap en Infomedics (van je tandartsfacturen) de 'communicatie' aka verzenden van de brieven voor hun rekening neemt.

Vandaar dat ik van de week pas de aanslag van het hoogheemraadschap kreeg met de opmerking dat het zo laat is door een hack bij een toeleverancier, had dat even gemist.

Met 2FA voorkom je helaas niet een hack zoals dit, al ben ik met je eens dat het helpt je account bij Bol veiliger te houden.

RXShorty @Deem • 4 juni 2024 16:47

Klopt dat voor mij reden genoeg om helaas over te stappen naar Amazon.
Niet relevant voor de gestolen data, maar wel vreemd inderdaad.
Ook het feit dat er door de derde partij is besloten te betalen is niet handig.

SanderTje! @Deem • 4 juni 2024 16:57

Ook al snap ik je vraag, dat is irrelevant bij deze hack. Bol zal een interne API-verbinding hebben gehad met die derde partij. Ze zijn niet bij Bol binnen geweest, maar bij die derde partij.

PolarBear @Deem • 4 juni 2024 17:04

Ik begrijp niet waarom ik bij Bol geen MFA kan gebruiken...

Terwijl het (tegenwoordige) zusterbedrijf Albert Heijn dat wel heeft. En zelfs met een passkey!

Farabi @Deem • 4 juni 2024 16:39

Dat komt nu. De maaltijd moet eerst geweest zijn...

SMD007 4 juni 2024 16:41

Ik heb (nog) geen mail gehad... Maar jammer dat er dan weer betaald is. Het zou bijna wettelijk verboden moeten worden dat je kan/mag betalen bij dit soort ransomware attacks.

avlt @SMD007 • 4 juni 2024 17:08

'AddComm ervoor heeft gekozen om onder begeleiding van externe cybersecurityexperts afspraken te maken met de criminelen over het niet publiceren en verwijderen van buitgemaakte gegevens'.

Krankjorum. Hoe kan je nu afspraken maken met criminelen? Die staan volgende week wel weer op de stoep voor een betaling.

Robbierut4 @avlt • 4 juni 2024 17:29

Ze zijn crimineel, niet achterlijk. Ze weten heel goed dat als ze meerdere betalingen eisen en/of de data alsnog openbaar maken ze hun business model om zeep helpen.

Er zijn vast een paar uitzonderingen die dat wel doen, maar het gros houd zich aan de afspraken, om zo bij het volgende slachtoffer ook kans te maken op een betaling.

Darses

@Robbierut4 • 4 juni 2024 22:22

Het is naïef om te denken dat je betrouwbare afspraken kunt maken met cybercriminelen. Naast het gegeven dat betalen geen garantie geeft op herstel van de versleutelde gegevens, is het ook bekend dat deze cybercriminelen groepen samenwerken met overheden in 'onvriendelijke landen'. Zelfs als er na betalen geen gegevens gepubliceerd worden, wil dat niet zeggen dat ze ook verwijderd worden. In tegenstelling, het is juist aannemelijk dat de gegevens toch ergens bewaard worden voor later gebruik. Of zoals het National Crime Agency het omschreef na de takedown van de groep Lockbit: "Some of the data on LockBit’s systems belonged to victims who had paid a ransom to the threat actors, evidencing that even when a ransom is paid, it does not guarantee that data will be deleted, despite what the criminals have promised."

Herko_ter_Horst

@SMD007 • 4 juni 2024 16:57

Begrijp ik ook niet. Hoe kan je ooit afspraken maken met een partij of individu die al heeft aangetoond zich niet aan afspraken (lees: wetten) te houden? En welk dwangmiddel heb je om nakoming van die afspraken af te dwingen?

Orangelights23 @Herko_ter_Horst • 4 juni 2024 17:20

Contract opzeggen. Verder is niets mogelijk, helaas. Veel contracten hebben geen clausules over een bonus/malus staan in geval van wel of geen cyberincident, of over een verantwoordelijkheid.

Bij elke contract waarbij ik betrokken ben en waarbij het gaat over persoonsgegevens, leg ik vast dat de verwerker een boete tot max X mag betalen in geval van een datalek. Dit nog naast dwingende maatregelen zoals audits, SOC 2, verplichte beheersmaatregelen, enzovoorts.

Herko_ter_Horst

@Orangelights23 • 4 juni 2024 17:23

Welk contract? Ik heb het over de criminelen die de boel gehackt hebben c.q. verantwoordelijk zijn voor de ransomware. Blijkbaar zijn er afspraken gemaakt met die lui (of persoon), maar hoe kan je er in hemelsnaam op vertrouwen dat ze zich daar aan houden?

kodak

Beveiliging en antivirus
Ransomware
Nederland

@Herko_ter_Horst • 4 juni 2024 21:08

Omdat het betalen niet gaat om werkelijk voorkomen dat de personen van wie de gegevens zijn gelekt zijn er geen last van hebben. Het betalen is het proberen af te kopen van een eigen verantwoordelijkheid. Het is het inspelen op de suggestie dat een betaling een puur zakelijke transactie is, waarbij de crimineel dezelfde status heeft als een andere zakelijke partij die zich aan een overeenkomst hoort te houden. Wat wettelijke voor persoonsgegevens al niet eens acceptabel genoeg is bevonden bij gewone zakelijke verwerking. Dat is juist waarom er strenge wetgeving is gekomen. Maar dat lijkt de betalers niet duidelijk te interesseren zolang niemand ze verantwoordelijk komt houden of zolang niemand kan aantonen dat de criminelen zich niet aan de 'afapraken' houden.

telenut @SMD007 • 4 juni 2024 22:25

De mensen van wie de gegevens gestolen zijn denken daar anders over :-)

H.Klinkhamer 4 juni 2024 16:52

Waar ik me over verbaas dat er zoveel verschillende klantomgevingen getroffen zijn. Lijkt me dat dat met een goede scheiding van de omgevingen voorkomen had kunnen worden.

Auredium @H.Klinkhamer • 4 juni 2024 16:57

Ik begrijp wel wat je bedoeld. Dit valt onder een supply chain attack. Veel bedrijven die wat in een dergelijke administratief logistieke positie zijn hebben geen om slechts deels opgedeeld in compartimenten. Het ziet er naar uit dat bij AddComm er ook een soort van compartimenten was aangezien Infomedics niet geraakt was terwijl ze gebruik maakt van AddComm.

Het is voor ons wat koffiedik kijken maar het ziet er naar uit dat er tijdens de hack in ieder geval meerdere containers zijn geraakt maar niet alle containers. Wellicht hadden de hackers geen tijd of werd er intern een account gedeeld over sommige containers waar dit eigenlijk niet hoorde te gebeuren.

ouweklimgeit @H.Klinkhamer • 4 juni 2024 16:57

Nee, want klanten van Addcom sturen juist de klantgegevens naar hun op voor verdere verwerking. Addcom is dus een enorme database met klantgegevens van wie weet hoeveel bedrijven en instellingen, een goudmijn voor hackers

Linksquest Moderator Spielerij 4 juni 2024 17:59

Apart, ik heb geen mail ontvangen. Ben wel benieuwd of er iets van buit gemaakt is en of alleen mensen wie rond die periode wat besteld hebben een mail krijgen.

Rickyoung @Linksquest • 4 juni 2024 18:51

Gaat om een lek in de partner hoek, dus verkopers op Bol. Volgens mij niet zozeer om Bol haar eigen klanten.

oef! @Linksquest • 4 juni 2024 18:51

Ik ook niet en ik verwacht hem ook niet, uit de bol faq:

Wij hebben alle klanten die mogelijk door deze aanval geraakt zijn, omdat hun data zich op dat moment bij AddComm bevond, per e-mail geïnformeerd.

vinkjb 4 juni 2024 16:54

Van de week werd wel ineens mijn ip adres geblokkeerd zomaar uit het niets. Mailtje ghestuurd en nog voor dat ik antwoord had kon ik er weer op...
Was wel beetje gek.

ironx 4 juni 2024 17:28

Bol.com niet de enige?

Dutch bank ABN Amro says client data may have been compromised in a ransomware attack at third-party services provider AddComm.

The third-party provider announced that the incident has been contained and that the attackers no longer have access to its systems, which have since been restored, but could not confirm what type of data may have been stolen during the attack.

According to ABN Amro, AddComm distributes physical and digital documents and tokens to its clients and employees. For the time being, ABN Amro has stopped using AddComm’s services.

Bron: SecurityWeek (28 mei)

satya @ironx • 4 juni 2024 19:50

Prima aanvulling, dankjewel.

tricobalt 4 juni 2024 19:41

Er is op 10 mei al een bericht binnen gekomen vanaf een fake Bol email adres wat bijna niet van echt te onderscheiden is. (bol.com via bol.feedback)
Met het eerste deel van mijn email adres (deel voor de apenstaart) als aanhef.
Normaal gesproken is dat mijn voornaam. Deze info kan alleen uit datalek komen.

Het geluk is dat deze mail door Outlook.com in de spam gezet is maar boven de email staat wel in het groen: "vertrouwd email adres"
Ik denk dat hier heel veel mensen in gaan trappen die minder goede spam filtering hebben.

[Reactie gewijzigd door tricobalt op 22 juli 2024 14:12]

Op dit item kan niet meer gereageerd worden.

Bol bevestigt dat klantdata mogelijk gestolen is bij AddComm-aanval

Lees meer

Reacties (88)

Sorteer op:

Weergave: