Spaanse boete voor Carrefour wegens credential stuffing-aanvallen
Supermarktketen Carrefour krijgt van de Spaanse privacytoezichthouder AEPD een boete van 3,2 miljoen euro opgelegd. Aanleiding zijn een reeks datalekken die ontstonden via credential stuffing. De toezichthouder stelt dat Carrefour geen passende maatregelen heeft getroffen voor het beschermen van persoonsgegevens van klanten. Ook heeft Carrefour klanten niet adequaat ingelicht over de datalekken.
Bij credential stuffing proberen aanvallers elders uitgelekte wachtwoorden te hergebruiken in de hoop dat slachtoffers bij meerdere websites en/of diensten dezelfde inloggegevens hebben gebruikt. Alleen indien gebruikers wachtwoorden hergebruiken krijgen de aanvallers via deze methode toegang tot accounts van slachtoffers.
119.000 klanten getroffen
In 2023 vonden vijf aanvallen plaats waarbij aanvallers toegang wisten te krijgen tot bijna 119.000 accounts van Carrefour-klanten. Zo wisten de aanvallers toegang te krijgen tot persoonlijke informatie van klanten. Denk daarbij aan adresgegevens, e-mailadressen, namen, gedeeltelijke telefoonnummers, gedeeltelijke identiteitsnummers en geboortedatum.
De AEPD is kritisch op de werkwijze van Carrefour. Het stelt onder meer dat de supermarktketen te weinig heeft gedaan om persoonlijke informatie van klanten veilig te houden. Zo implementeerde het bedrijf pas na de vijfde aanval met credential stuffing meerfactorauthenticatie (MFA), wat volgens de toezichthouder te laat was. Ook de communicatie met klanten over de datalekken liet volgens de AEPD te wensen over. Het bedrijf meldde wel het wachtwoord van klanten te hebben gereset, maar deelde niet dat een datalek had plaatsgevonden en wat de impact hiervan was.
Meer over privacy
Over Wouter Hoeffnagel
