Diefstal van klantdata bij Three UK een regulier datalek?

Met de meldplicht datalekken in het achterhoofd zal menigeen vorige week met extra aandacht de artikelen over de roof van klantgegevens bij de Britse mobiele operator Three hebben gelezen. De case is simpel: het gaat om de diefstal van klantgegevens, om op naam van klanten, maar met een gewijzigd afleveradres smartphones te kunnen bestellen. Uit het feit dat er nu reeds twee verdachten zijn aangehouden vanwege vermeende directe betrokkenheid en een derde voor een niet nader omschreven vergrijp kan worden opgemaakt dat bij Three de nodige maatregelen werkend zijn om incidenten snel te kunnen signaleren en bestrijden.

De pers maakt melding van samenwerking met het National Crime Agency (NCA), wat ontbreekt is de melding dat hier ook sprake is van een omstandigheid waar de toezichthouder moet worden geïnformeerd. Zonder twijfel is dat ook gebeurd. Een van de vragen die ICO (en ook NCA) beantwoord zullen willen zien is hoe het mogelijk is dat medewerkers (eigen of extern personeel is nog niet bekend) toegang kunnen krijgen tot een complete database, daar queries op loslaten zodat alleen een voor de fraude geschikte subset beschikbaar komt en deze weten te exporteren (het draaide om data van klanten die in aanmerking kwamen voor een toestel upgrade).

Zonder verdere context zal elke IT beheerder al een aantal mogelijke zwakheden kunnen opnoemen: van USB poorten die openstaan tot het maken van screenshots met smartphones. Wat de methode ook geweest zal zijn – toezicht op de werkplekken in kwestie is tekortgeschoten. Elk van de handelingen wijkt namelijk af van wat reguliere werk is en had moeten zijn opgevallen.

Dat de schade lijkt mee te vallen, omdat er slechts 8 cases van klanten bekend zijn waarbij de uit hun naam bestelde telefoon op een vervalst adres werd afgeleverd, is overigens alles behalve een pluspunt. Veel schimmiger aan het verhaal is dat er ook sprake is van toename van het aantal diefstallen uit winkels. Zouden dezelfde criminelen – of anderen – door hebben dat zonder kans op ontdekking daarheen grote aantallen “upgrade toestellen” verstuurd kunnen worden.

Hoe dank ook, diefstal van de klantdata (het datalek) lijkt hier middel te zijn geweest en niet doel. Dat is: totdat het tegendeel is aangetoond via pastebin of andere kanalen.

Share: