Nadat eerder Belfius, DVV en CDA-verzekeringen slachtoffer werden van een hack, blijken nog andere verzekeraars problemen te hebben. P&V Verzekeringen en Schyns Assurances & Finances vervolledigen de rij nu.
Eind vorige week meldde HLN dat hackerscollectief Killsec gegevens hebben gepubliceerd op een leaksite met data rond Belgische inwoners. Slachtoffers van dienst: DVV, Belfius en CDA-verzekeringen.
Killsec laat weten dat het niet de verzekeraars afperst, maar een derde partij. “We hebben een softwareleverancier gecompromitteerd en daar data gehaald. We zullen alle gegevens publiceren als we niet tot een oplossing met hen komen.” Het hackerscollectief deelt niet mee wie deze derde partij is.
Penbox de schuldige?
Volgens HLN zou het gaan om Penbox, een partner die met 400 grote en kleine spelers samenwerkt binnen de verzekeringssector. Daar wilden ze initieel maar beperkt reageren: “Onze systemen zijn niet gecompromitteerd, de ware toedracht wordt nog onderzocht.”
Nu blijkt gisteren dat gegevens van P&V Verzekeringen en van Schyns Assurances & Finances werden gecompromitteerd. Van die eerste zouden 28.000 documenten gestolen zijn. P&V laat aan HLN weten dat het om een beperkte dataset gaat uit 2023.
“Kritische gegevens zoals login- of contractgegevens zaten niet in die dataset, wel persoonlijke gegevens zoals namen en adressen van een beperkt aantal klanten. We nemen dit uiteraard zeer ernstig. Op dit moment analyseren we de implicaties om de nodige verdere stappen te nemen.”
Vreemd detail: Penbox de bestanden per ongeluk publiek online heeft geplaatst. Een menselijke fout zou aan de basis zitten, en dus niet na een ‘hack’ waarbij systemen zijn gekraakt. Killsec heeft die mogelijk onderschept en wil nu geld.
Hackers ruiken geld
“We bewaren deze gegevens veilig en zullen ze verwijderen als we met de maatschappijen een overeenkomst bereiken. Anders zullen we ze publiceren en volgen er GDPR-boetes en rechtszaken”, meldt Killsec.
Er ligt naar verluidt geen concreet bedrag op tafel dat het hackerscollectief wil. Wel benadrukken ze dat het wel degelijk om gevoelige informatie gaat. “De Belgische bedrijven gebruiken PenBox.io voor de verwerking van gevoelige data zoals contactinformatie, logins en andere gegevens die voorzichtig behandeld moeten worden. We hebben ook nog grote volumes aan documenten gedownload van andere bedrijven.”