Iberdrola heeft haar klanten onlangs geïnformeerd over onbevoegde toegang tot persoonlijke gegevens van meer dan 850.000 gebruikers, hoewel het geschat wordt dat het werkelijke cijfer meer dan een miljoen zou kunnen overstijgen. In een email verzonden naar de getroffenen heeft het energiebedrijf in detail beschreven dat tussen 5 en 7 mei een van hun leveranciers het doelwit is geweest van een cyberaanval die gedeeltelijke toegang tot gevoelige informatie mogelijk maakte.
In de verklaring verzekert Iberdrola dat het incident snel opgelost is en dat de blootgestelde gegevens namen, familienamen, DNI-nummers (identificatienummers) en contactgegevens omvatten. Echter, bronnen van binnen suggereren dat er meer klanten en data betrokken zouden kunnen zijn, inclusief financiële informatie zoals rekeningnummers.
Iberdrola heeft onmiddellijke maatregelen genomen na het detecteren van de aanval door de bedreiging te neutraliseren en hun beveiligingssystemen te versterken om toekomstige incidenten te voorkomen. Daarnaast heeft de onderneming de relevante autoriteiten ingelicht, inclusief de Spaanse Autoriteit Gegevensbescherming (AEPD), over het incident.
Ondanks deze inspanningen beweren veel klanten geen enkele notificatie te hebben ontvangen en weten niet of zij beïnvloed zijn door deze veiligheidsbreuk. Ondertussen circuleren gegevens van meer dan 1 miljoen registraties ter verkoop op het net, wat suggereert dat de omvang van de aanval groter kan zijn dan officieel is erkend.
Dit is niet de eerste cyberaanval die Iberdrola heeft moeten doorstaan. In maart 2022 werd het bedrijf al getroffen door een massale datalek die 1,3 miljoen klanten raakte. In dat geval verkregen de aanvallers toegang tot namen, familienamen, DNI-nummers, telefoonnummers en e-mails. Later begonnen de betrokkenen ongevraagde commerciële oproepen en e-mails te ontvangen, wat aantoonde dat de gestolen informatie verkocht en uitgebuit was.
Voor de aanval in 2022 heeft de AEPD aan Iberdrola een boete van 6,5 miljoen euro opgelegd, een van de hoogste straffen in de geschiedenis van het agentschap. Het onderzoek concludeerde dat Iberdrola haar systemen niet adequaat had beheerd sinds 2019, de kwetsbaarheid werd beschouwd als “identificeerbaar en vermijdbaar”.
De herhaling van deze incidenten benadrukt de noodzaak voor Iberdrola en andere bedrijven om hun cyberbeveiligingsmaatregelen te versterken. De data die in deze aanvallen publiek is gemaakt, kan worden gebruikt voor het lanceren van andere aanvallen, waardoor de veiligheid en privacy van klanten in gevaar is. In de tussentijd moeten de getroffen gebruikers waakzaam blijven en aanvullende maatregelen treffen om hun persoonlijke en financiële informatie te beschermen.