Hyundai krijgt 2 miljoen euro boete voor datalek als gevolg van missende update

In dit artikel:

Hyundai Spanje is door de Spaanse privacytoezichthouder AEPD beboet omdat een datalek begin 2023 het gevolg bleek van een niet-geïnstalleerde beveiligingsupdate. Eind februari 2023 kregen aanvallers via een onbekende kwetsbaarheid toegang tot een server en haalden uit een marketing- en statistiekdatabase onversleutelde gegevens van meer dan een miljoen klanten en potentiële klanten: namen, geboortedata, telefoonnummers, e-mail- en adresgegevens, klantnummers en voertuigidentificatienummers. Toen de aanvallers contact opnamen, meldde Hyundai het incident aan de AEPD; slachtoffers werden in april geïnformeerd.

Het onderzoek van de toezichthouder wees uit dat voor de gebruikte kwetsbaarheid al patches beschikbaar waren die Hyundai niet had toegepast. Daarnaast ontbraken versleuteling van persoonsgegevens en een vooraf uitgevoerde risicoanalyse, wat volgens de AEPD in strijd is met de AVG. De boete van 2 miljoen euro werd, na toepassing van een korting voor vrijwillige betaling, definitief vastgesteld op 1,6 miljoen euro.