Cyberaanval bij energiereus Endesa: miljoenen klanten gewaarschuwd in Spanje

door Judith Goeree
geschreven door Judith Goeree
Wat te doen als je mogelijk slachtoffer bent van gegevenslek Endesa
AI-beeld ter illustratie

Endesa, de grootste energiemaatschappij van Spanje, heeft klanten gewaarschuwd voor een ernstig beveiligingsincident waarbij onbevoegden toegang hebben gekregen tot klantgegevens. Het gaat om persoonsgegevens zoals DNI- en NIE-nummers en mogelijk ook betaalgegevens. Volgens het bedrijf zijn er geen aanwijzingen dat de informatie al is misbruikt, maar voorzichtigheid is geboden.

Toegang tot commerciële systemen

In een e-mail aan klanten laat Endesa weten dat een “niet-geautoriseerde en onrechtmatige toegang” is vastgesteld tot het commerciële platform van Endesa Energía. Ondanks bestaande beveiligingsmaatregelen kon een kwaadwillende partij klantgegevens inzien en mogelijk ook kopiëren.

Het gaat om basisidentificatiegegevens, contactinformatie, DNI- en NIE-nummers en gegevens die samenhangen met energiecontracten. In sommige gevallen konden ook betaalgegevens, zoals IBAN-nummers, worden geraadpleegd. Endesa benadrukt dat wachtwoorden en inloggegevens niet zijn buitgemaakt.

Grote impact door marktpositie

Endesa is marktleider op de Spaanse elektriciteitsmarkt en bedient miljoenen huishoudens en bedrijven. Juist door die dominante positie kan een datalek grote maatschappelijke impact hebben. Criminelen maken vaak misbruik van bekende namen om geloofwaardige fraudeberichten te versturen, ook naar klanten die zelf geen directe schade ondervinden van de hack bij Endesa.

Directe maatregelen en melding bij toezichthouder

Na de ontdekking van het datalek heeft Endesa direct ingegrepen. Toegangen die mogelijk waren misbruikt zijn afgesloten, systemen worden extra in de gaten gehouden en alle betrokken klanten zijn persoonlijk geïnformeerd.

Conform de wettelijke verplichtingen is het datalek gemeld bij de het Spaanse Agentschap voor Gegegevensbescherming. Het interne onderzoek bij Endesa loopt nog, evenals het onderzoek samen met externe leveranciers, om de toedracht volledig in kaart te brengen en aanvullende maatregelen te nemen.

Toeristen bezorgd over privacy door nieuwe Spaanse registratiewet

Geen misbruik vastgesteld, wel risico’s

Op het moment van communiceren zegt Endesa geen enkel bewijs te hebben dat de gegevens daadwerkelijk zijn misbruikt. Het bedrijf acht het onwaarschijnlijk dat er sprake zal zijn van een hoog risico voor de rechten en vrijheden van klanten. Tegelijkertijd erkent Endesa dat de gelekte gegevens kunnen worden ingezet voor identiteitsfraude, phishing, spam of het risico dat persoonsgegevens verder worden verspreid zonder dat klanten daar zicht op hebben.

Klanten krijgen daarom het advies de komende tijd extra alert te zijn op verdachte e-mails, sms’jes of telefoontjes en geen persoonlijke of financiële gegevens te delen met onbekenden.

Oproep tot waakzaamheid door FACUA

Ook consumentenorganisatie FACUA heeft opgeroepen tot extra voorzichtigheid. Volgens FACUA worden datalekken vaak gevolgd door gerichte oplichtingspogingen, waarbij criminelen inspelen op actuele gebeurtenissen om vertrouwen te wekken. De organisatie raadt klanten aan om bij twijfel altijd zelf contact op te nemen met het energiebedrijf en nooit te reageren op onverwachte verzoeken om gegevens.

Advies van cybersecuritybedrijf ESET

Ook cybersecuritybedrijf ESET waarschuwt voor verdachte communicatie. Vooral berichten die zeggen van Endesa te komen en die links, bijlagen of dringende verzoeken bevatten, moeten met argwaan worden bekeken.

ESET raadt aan om bij twijfel rechtstreeks contact op te nemen met Endesa via het officiële telefoonnummer dat het bedrijf zelf heeft verstrekt (800.760.366). Daarnaast is het verstandig om bankrekeningen en gekoppelde accounts regelmatig te controleren op ongebruikelijke transacties of activiteiten.

Hoewel wachtwoorden volgens Endesa niet zijn buitgemaakt, adviseert ESET om deze toch te wijzigen. Gebruik sterke, unieke wachtwoorden en schakel waar mogelijk tweestapsverificatie in. Dat verkleint de kans op misbruik, zelfs als gegevens alsnog in verkeerde handen belanden.

Wat kunnen klanten doen?

Endesa zelf adviseert klanten om bankafschriften goed te controleren en verdachte communicatie serieus te nemen. Bij twijfel of vermoedens van misbruik kunnen klanten contact opnemen met de klantenservice of, indien nodig, met de politie. De dienstverlening van Endesa functioneert volgens het bedrijf verder normaal.

Het incident onderstreept opnieuw hoe kwetsbaar ook grote energiebedrijven zijn voor cyberaanvallen. Voor consumenten blijft alertheid essentieel, zeker wanneer het gaat om persoonsgegevens en financiële informatie.

Bronnen: El Diario, Málaga Hoy, Endesa

Spaanse universiteit ontwikkelt onhackbare chips