Cosmeticaketen Rituals is slachtoffer geworden van een datalek waarbij persoonsgegevens van leden van het loyaliteitsprogramma zijn buitgemaakt. Het bedrijf waarschuwde klanten woensdag per e-mail en heeft het incident gemeld bij de Autoriteit Persoonsgegevens.
Onder de gestolen gegevens bevinden zich volgens Rituals namen, adressen, e-mailadressen, telefoonnummers, geboortedata en geslacht. Wachtwoorden en betalingsgegevens zouden niet zijn geraakt. De exacte omvang van de diefstal maakt het bedrijf “uit veiligheidsoverwegingen” niet bekend.
Rituals heeft vestigingen in 33 landen. Volgens een woordvoerder gaat het om gegevens van klanten in Europa en het Verenigd Koninkrijk. Het bedrijf plaatste informatiepagina’s over het incident op onder meer zijn Nederlandse, Belgische, Britse, Franse en Duitse sites, wat erop wijst dat leden in meerdere markten zijn geraakt.
Toegang geblokkeerd, externe specialisten ingeschakeld
Rituals zegt de ongeautoriseerde toegang inmiddels te hebben geblokkeerd en aanvullende, niet nader gespecificeerde beveiligingsmaatregelen te hebben genomen. De gestolen dataset is “voor zover wij weten” nog niet openbaar gemaakt, schrijft het bedrijf op zijn eigen site. Samen met externe specialisten wordt gemonitord of de gegevens alsnog online verschijnen.
Klanten worden opgeroepen extra alert te zijn op phishingberichten. Bij een lek van dit type gegevens is gerichte oplichting, waarbij criminelen zich voordoen als het getroffen bedrijf, het belangrijkste vervolgrisico.
Vierde groot Nederlands incident in korte tijd
De inbraak bij Rituals komt in een reeks grote incidenten met Nederlandse consumentenbedrijven. Eerder dit jaar werden telecomprovider Odido, sportketen Basic-Fit en reisplatform Booking.com getroffen door vergelijkbare diefstallen van klantdata. Bij Odido ging het om ruim 6,2 miljoen accounts, inclusief gevoelige gegevens als bankrekening- en identiteitsnummers. De Autoriteit Persoonsgegevens onderzoekt het telecombedrijf vanwege vermoedens dat Odido klantgegevens langer bewaarde dan het eigen privacybeleid toestond.
ShinyHunters-patroon in Nederland
De aanval op Odido werd toegeschreven aan ShinyHunters, een extortie-groep die dit jaar ook bedrijven als Air France-KLM en Google op de korrel nam. Die groep maakt gebruik van een combinatie van voice phishing en de ruime toegangsrechten van medewerkers in cloud-CRM-systemen zoals Salesforce, aldus eerdere waarschuwingen van Salesforce zelf aan zijn klanten.
Wie achter de aanval op Rituals zit, heeft het cosmeticabedrijf niet bekendgemaakt. Er is op dit moment geen openbare bevestiging dat ShinyHunters of een andere specifieke groep verantwoordelijk is. Rituals heeft zich evenmin uitgesproken over een losgeldeis.
Openstaande vragen
Rituals heeft geen details gedeeld over het aantal getroffen members, de aanvalsvector of hoe lang aanvallers toegang hadden voordat het lek werd gedetecteerd. Ook is onbekend of het incident te maken heeft met een externe leverancier, zoals bij Odido het geval bleek te zijn. De Autoriteit Persoonsgegevens heeft nog niet gereageerd op de melding.
De aanhoudende reeks hacks bij grote Nederlandse merken voedt de vraag naar strengere aansprakelijkheid voor bedrijven die grote hoeveelheden consumentengegevens beheren. De Autoriteit Persoonsgegevens heeft eerder gewaarschuwd dat consumenten er inmiddels vanuit moeten gaan dat hun gegevens “al gestolen zijn of gaan worden”.
