Kortingsapp Scoupy – dat naar eigen zeggen 2,2 miljoen gebruikers heeft in Nederland – is getroffen door een datalek. Aanvallers hebben persoonlijke gegevens buitgemaakt, waaronder adressen en telefoonnummers. Ook zijn er versleutelde wachtwoorden en bankrekeningnummers gelekt. Scoupy heeft de wachtwoorden zelf nog niet gereset.
Scoupy heeft de gebruikers van de app per mail geïnformeerd over het datalek. Ook staat er een faq op de website van Scoupy. Als jij de app gebruikt, is de kans best groot dat je al op de hoogte bent, al zou het natuurlijk altijd kunnen dat je de mail over het hoofd hebt gezien.
Cyberaanval
Wat is er gebeurd? Woensdagavond is Scoupy doelwit geworden van een cyberaanval waarbij de aanvallers zich toegang tot de systemen wisten te verschaffen. Daardoor kregen ze ook toegang tot de persoonsgegevens van de gebruikers van de app.
Om welke gegevens gaat het?
Het gaat om de volgende gegevens
- Je naam
- Je adres (straatnaam + huisnummer + postcode)
- Je woonplaats
- Je telefoonnummer
- Je e-mailadres
- Je geboortedatum
- Je kassabonnen
- Je bankrekeningnummer (versleuteld)
- Je wachtwoord (versleuteld)
Scoupy deelt overigens geen informatie over de wijze waarop wachtwoorden en bankrekeningnummers precies zijn versleuteld, maar zegt wel het volgende: 'Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen – niet te ontcijferen.'
Wijzig je wachtwoord
Toch biedt dat geen garantie dat dat ook echt zo blijft: het is dan ook raadzaam om je wachtwoord van Scoupy te wijzigen.
Dat geldt overigens óók voor alle andere platformen waarvoor geldt dat je er hetzelfde wachtwoord gebruikt: aanvallers maken regelmatig gebruik van een techniek die bekend staat als credential stuffing. Daarmee proberen ze combinaties van e-mailadressen en bekende wachtwoorden uit op willekeurige andere platformen in de hoop dat het daar wellicht ook een keertje raak is.
Scoupy heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Ook is het lek gevonden en verholpen. Daarnaast roept het bedrijf gebruikers op om voorlopig alert te zijn op pogingen tot oplichting.
Tekst uit de e-mail van Scoupy
Hieronder de volledige tekst uit de e-mail van Scoupy:
E-mail van Scoupy aan gebruikers met betrekking tot het datalek
Beste Gebruiker,
Scoupy heeft de veiligheid van klantgegevens hoog in het vaandel staan. We doen er alles aan om onze databases en technologie maximaal te beveiligen. Toch hebben we gisteravond helaas geconstateerd dat we het slachtoffer zijn geworden van een cyberaanval met een datalek. Het lek is gevonden en meteen gedicht en we willen je met deze email informeren over het voorval en de mogelijke gevolgen voor jou.
Wat is er gebeurd?
Cybercriminelen hebben zich toegang verschaft tot persoonsgegevens op onze systemen. Er is een kans dat dit ook jouw gegevens betreft. Het betreft de volgende gegevens: naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum, kassabonnen en versleuteld wachtwoord en versleuteld bankrekeningnummer (IBAN). Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen.
Wat doen wij hieraan?
We hebben onmiddellijk een gespecialiseerd cybersecurity bedrijf ingehuurd om ons te helpen het lek te vinden en te dichten. Er is uitgebreid advies ingewonnen om correct en adequaat op deze situatie te reageren en de juiste stappen te zetten. Dit incident is gemeld bij de Autoriteit Persoonsgegevens en ook hebben we aangifte gedaan bij de politie. Het lek is gevonden en gedicht.
Wat voor gevolgen heeft dit voor jou?
Het kan zijn dat er contact met je wordt opgenomen via buitgemaakte contactgegevens om te proberen je op te lichten. Iemand kan zich bijvoorbeeld voordoen als een bankmedewerker en proberen om pincodes en/of wachtwoorden te verzamelen of je te verleiden om op een link te klikken. Ook bestaat de kans dat je ongewenste berichten via e-mail, sms of WhatsApp ontvangt.
Wat kun je doen?
Wij adviseren je om de komende tijd extra alert te zijn voor pogingen tot oplichting. Zoals aangegeven is je Scoupy-wachtwoord door ons versleuteld opgeslagen. Dat betekent dat eventueel buitgemaakte wachtwoorden zeer waarschijnlijk niet te gebruiken zijn. Desondanks is het belangrijk je wachtwoord regelmatig te wijzigen.
En nu?
Helaas is gebleken dat dit soort incidenten ook met de grootste zorg voor een goede beveiliging niet altijd te voorkomen zijn. Daar balen we enorm van. Op basis van gedane bevindingen zijn we keihard bezig onze systeembeveiliging nog verder aan te scherpen. Dat zullen we de komende tijd blijven doen. Daardoor kan het voorkomen dat de beschikbaarheid van de app en de website minder is dan je gewend bent. Onze oprechte excuses voor eventueel ongemak dat je als gevolg hiervan ondervindt.
Meer informatie?
We hebben een speciale pagina op onze website gezet met vragen en antwoorden over dit incident. Mochten er nieuwe feiten aan het licht komen, dan zetten we die in ieder geval op deze FAQ. De FAQ kan je vinden op deze pagina.
Met vriendelijke groet,
Team Scoupy