Revolut – geen grote hack, maar wel een zeer gerichte

De omvang en gevolgen van de zoveelste hack van Uber zijn nog niet duidelijk of Revolut moet melden dan de gegevens van ruim 50.000 klanten zijn gelekt na een hack. Bijzonder is in ieder geval dat het voorval een week geleden plaatsvond.

Bank

Revolut is een internet-only bank met het HQ in Litouwen. De AVG toezichthouder van dat land heeft dan ook de meeste informatie beschikbaar gesteld. Zo valt op de website te lezen dat de cybercriminelen de NAW, aanhef,nummers van de bankrekeningen en delen van de krediet kaart nummers hebben gestolen. Genoemd wordt ook dat 20.000 slachtoffers woonachtig zijn in de EU, dat is dus minder dan de helft van de buit van de deze dataroof. Of daaruit geconcludeerd kan worden dat de hack dus ook heeft plaatsgevonden buiten de EU valt uit het persbericht niet op te maken. Voor de verdere afwikkeling van de zaak en de AVG boete is dat ook verder weinig belangrijk.

AVG Boete

Dat die boete gaat komen zegt de toezichtouder uiteraard niet. Maar er is een goede reden waarom dat wel mogelijk is. De diefstal is namelijk mogelijk geworden door het ontbreken van afdoende maatregelen om de data te beschermen. Net als bij Uber is via een simpele social-engineering truc een voet tussen de deur gezet en daarna was het schijnbaar snel mogelijk bij waardevolle data te komen.

Venijn

Revolut heeft het incident snel bemerkt en zo te zien ook vlot gereageerd. Maar in tegenstelling tot de Uber hack is hier klantdata gestolen. Bij het taxibedrijf was de buit bedrijfsinterne data. Waarom de criminelen uit waren op klantdata van Revolut is bekend. De bank waarschuwt de klanten voor een phishing actie die nu al loopt. Klanten worden daarbij verleid op een nagemaakte versie van de bankwebsite username en wachtwoord in te vullen. Een “klassieke” poging tot diefstal van banksaldi dus. Het venijn zit er in dat de aanvallers door de hack 50.000 klanten kunnen benaderen met de juiste persoonlijke aanhef.