Welke persoonlijke gegevens zijn blootgesteld bij het datalek bij London Hydro?

Het datalek heeft mogelijk klantnamen, thuisadressen en accountgegevens blootgelegd.

Heeft London Hydro uitgelegd hoe het datalek heeft kunnen gebeuren?

Nee, het nutsbedrijf heeft de aanvalsvector niet bevestigd, waardoor de manier van inbraak onbekend blijft.

Hoeveel klanten zijn getroffen door het datalek bij London Hydro?

London Hydro heeft niet bekendgemaakt hoeveel personen van wie de gegevens mogelijk zijn blootgesteld, getroffen zijn.

Waarom zijn nutsbedrijven aantrekkelijke doelwitten voor cybercriminelen?

Nutsbedrijven beschikken over gevoelige persoonlijke en financiële gegevens van klanten die niet gemakkelijk kunnen vertrekken, en ze vertrouwen vaak op verouderde infrastructuur met zwakkere beveiliging.

Hebben andere Canadese nutsbedrijven soortgelijke datalekken meegemaakt?

Ja, Nova Scotia Power maakte een datalek mee dat de gegevens van ongeveer 915.000 huidige en voormalige klanten blootlegde nadat een medewerker op een kwaadaardige pop-up klikte.

Datalek bij London Hydro legt klantgegevens bloot

Een Canadees elektriciteitsbedrijf heeft een datalek bij een nutsbedrijf bevestigd waarbij klantnamen, adressen en accountinformatie mogelijk zijn buitgemaakt, maar het bedrijf heeft weinig duidelijkheid verschaft over hoe de inbraak heeft plaatsgevonden, hoeveel mensen hierdoor getroffen zijn of hoe lang aanvallers toegang hebben gehad. London Hydro, dat de stad London in Ontario bedient, bevestigde het incident maar liet een aantal cruciale vragen onbeantwoord, wat zorgen oproept over de transparantie bij essentiële dienstverleners die gevoelige persoonsgegevens beheren.

Waarom nutsbedrijven een makkelijk doelwit zijn voor cybercriminelen

Nutsbedrijven nemen een ongemakkelijke positie in binnen de wereld van cybersecurity. Ze beschikken over grote hoeveelheden persoonlijke en financiële gegevens van klanten die in de praktijk geen andere keus hebben dan zaken met hen te doen. In tegenstelling tot een retail-app of een streamingdienst, kunnen klanten niet zomaar hun account verwijderen en weglopen bij de lokale elektriciteitsleverancier.

Die gebonden relatie creëert een data-rijke omgeving die aantrekkelijk is voor aanvallers. Nutsbedrijven verzamelen thuisadressen, factuurgeschiedenissen, betalingsgegevens en in sommige gevallen gebruikspatronen die kunnen onthullen wanneer een pand bewoond is. Deze combinatie van persoonsgegevens en gedragsdata is waardevol voor fraude, social engineering en identiteitsdiefstal.

Operationele eisen werken ook een sterke beveiligingshouding tegen. Veel nutsnetwerken draaien op verouderde infrastructuur die nooit is ontworpen met moderne cybersecurity in het achterhoofd. Systemen patchen of infrastructuur offline halen voor beveiligingsupdates kan rechtstreeks in strijd zijn met de verplichting om de lichten aan te houden. Het resultaat is een sector die een hoogwaardige datalading vervoert, maar soms achterblijft op de beveiligingsmaatregelen die in andere sectoren genormaliseerd zijn.

Het probleem is niet uniek voor London Hydro. Een opmerkelijk Canadees voorbeeld is Nova Scotia Power, dat een datalek heeft gehad waardoor de persoonsgegevens van ongeveer 915.000 huidige en voormalige klanten werden blootgelegd nadat een enkele medewerker interactie had met een kwaadaardige pop-up. Dat incident laat zien hoe één enkel faalpunt binnen een grote nutsorganisatie kan uitgroeien tot een aanzienlijke privacyschending die bijna een miljoen mensen treft.

Wat London Hydro wel en niet heeft onthuld over het datalek

In de openbare verklaring van London Hydro werd bevestigd dat namen, thuisadressen en accountgegevens mogelijk zijn blootgesteld tijdens de inbraak. Verder is de informatie summier. Het bedrijf heeft de aanvalsvector niet bevestigd, wat betekent dat niet is gemeld of het gaat om phishing, een kwetsbaarheid in externe systemen, ransomware of een geheel andere methode.

Ook het tijdsbestek van de inbraak blijft onduidelijk. Klanten is niet verteld wanneer de inbraak begon, wanneer deze werd ontdekt of hoe groot de tussenliggende periode was. Die periode is van belang omdat die bepaalt hoe lang aanvallers de tijd hadden om de gegevens die ze konden inzien te verzamelen, kopiëren of als wapen in te zetten.

Het ontbreken van deze details is frustrerend voor klanten die hun persoonlijke risico willen inschatten, en weerspiegelt een breder patroon bij de openbaarmaking van datalekken door nutsbedrijven. Regelgevers in Canada eisen weliswaar melding van datalekken die een reëel risico op aanzienlijke schade inhouden op grond van de Personal Information Protection and Electronic Documents Act (PIPEDA), maar de wet stelt een minimum voor openbaarmaking, geen maximum. Bedrijven kunnen technisch gezien voldoen aan de wet en tegelijkertijd details achterhouden die getroffen personen zouden helpen om weloverwogen beslissingen te nemen.

Wie er getroffen is en welke gegevens risico lopen

London Hydro levert diensten aan particuliere en zakelijke klanten in heel London, Ontario. Hoewel het bedrijf geen specifiek aantal getroffen accounts heeft vrijgegeven, leidt elk datalek met namen, adressen en accountgegevens tot een wezenlijk risico voor de mensen in die database.

De combinatie van een thuisadres en een rekeningnummer is gevaarlijker dan elk van die gegevens afzonderlijk. Fraudeurs kunnen accountgegevens gebruiken om zich voor te doen als klanten bij contact met het nutsbedrijf, waarbij ze factuurcommunicatie kunnen omleiden of frauduleuze serviceverzoeken kunnen indienen. Thuisadressen in combinatie met namen kunnen worden gekoppeld aan andere uitgelekte datasets om volledigere profielen op te bouwen die geschikt zijn voor gerichte phishing of fysieke fraude.

Als betalingsgegevens onderdeel waren van de blootgestelde data, wordt het risico nog groter. Op het moment van schrijven had London Hydro niet bevestigd of financiële gegevens zoals bankinformatie of creditcardnummers onderdeel waren van de blootgestelde gegevens – dat is op zichzelf een betekenisvolle lacune in de openbaarmaking.

Hoe u uzelf kunt beschermen als uw nutsbedrijf getroffen is door een datalek

Wanneer er een datalek bij een nutsbedrijf plaatsvindt, hebben klanten beperkte invloed maar wel verschillende praktische opties om latere schade te beperken.

Controleer uw accounts op ongebruikelijke activiteit. Log in op uw London Hydro-account en bekijk recente facturen en contactgegevens. Als uw adres of contactgegevens zonder uw medeweten zijn gewijzigd, meld dit dan onmiddellijk bij het nutsbedrijf.

Zet een fraudewaarschuwing of kredietbevriezing in. In Canada kunt u contact opnemen met Equifax Canada of TransUnion Canada om een fraudewaarschuwing op uw kredietdossier te plaatsen. Een kredietbevriezing gaat verder en beperkt nieuwe kredietaanvragen totdat u dit opheft. Beide opties zijn gratis en kunnen voorkomen dat identiteitsdieven nieuwe rekeningen op uw naam openen.

Wees bedacht op phishing-vervolgacties. Gelekte data belanden vaak in handen van phishing-operators die overtuigende berichten opstellen die zich voordoen als afkomstig van het nutsbedrijf zelf. Wees sceptisch over e-mails, sms'jes of telefoontjes die beweren van London Hydro te zijn en vragen om accountgegevens te bevestigen of op een link te klikken.

Gebruik een uniek e-mailadres voor uw nutsaccounts. Als u hetzelfde e-mailadres voor meerdere diensten gebruikt, kan een datalek bij de ene leverancier u elders kwetsbaarder maken. Gebruik, indien mogelijk, een speciaal e-mailadres voor nutsaccounts, zodat credential stuffing-aanvallen minder aanknopingspunten hebben.

Houd uw kredietrapport regelmatig in de gaten. Beide grote Canadese kredietinformatiebureaus bieden gratis toegang tot uw kredietrapport. Regelmatige controle helpt om signalen van identiteitsfraude in een vroeg stadium te ontdekken, wanneer het gemakkelijker op te lossen is.

Het datalek bij London Hydro herinnert ons eraan dat de organisaties die onze meest essentiële persoonlijke gegevens beheren, niet altijd het meest open zijn als er iets misgaat. Klanten verdienen duidelijkere openbaarmaking, snellere tijdslijnen en meer praktische informatie wanneer hun gegevens risico lopen. Zolang de regelgeving nog niet aan die verwachting voldoet, rust de beschermingslast onevenredig op de getroffen individuen. Zelfs een paar van de bovenstaande stappen kunnen de gelegenheid voor iedereen die toegang tot uw informatie heeft gekregen aanzienlijk verkleinen.