Een Brits advocatenkantoor heeft wegens een datalek dat door een bruteforce-aanval ontstond een boete van omgerekend 70.000 euro gekregen.

Bij de aanval wisten aanvallers gevoelige en vertrouwelijke persoonlijke informatie te stelen, die vervolgens op internet werd gepubliceerd. Het advocatenkantoor ontdekte het datalek pas nadat de Britse autoriteiten hadden gewaarschuwd dat criminelen de gegevens van cliënten hadden gepubliceerd.

De Britse privacytoezichthouder ICO deed onderzoek naar het datalek en stelde dat de beveiliging van het advocatenkantoor ernstig te wensen overliet. Zo wisten de aanvallers via een bruteforce-aanval toegang tot een legacy admin-account te krijgen. Voor dit 'sqluser' account stond geen multifactorauthenticatie (MFA) ingeschakeld. Vervolgens werd er meer dan 32 gigabyte aan vertrouwelijke data buitgemaakt.

In het vonnis van de ICO wordt ook over een gecompromitteerde laptop van een eindgebruiker gesproken waarvandaan de aanvallers inlogden op het netwerk. "Databescherming is niet optioneel. Het is een juridische verplichting, en deze boete zou als een duidelijke boodschap moeten dienen", zegt de privacytoezichthouder.

Alles bij de bron; Security