Britse toezichthouder legt Yahoo! boete van 250.000 pond op

De Britse tak van Yahoo! krijgt een boete van 250.000 Britse pond opgelegd wegens een datadiefstal uit 2014. Hierbij werden gegevens van 500 miljoen Yahoo! gebruikers buitgemaakt, waaronder een half miljoen Britse gebruikers.

Dit maakt de Information Commissioner's Office (ICO) bekend. In totaal zijn 515.121 Britse accounts getroffen bij het datalek. Onder andere namen, e-mailadressen, telefoonnummer, geboortedata, gehashte wachtwoorden en zowel versleutelde als onversleutelde beveiligingsvragen en -antwoorden vielen in handen van de aanvallers. Yahoo! bracht het datalek in september 2016 naar buiten. Er is echter bewijs dat het bedrijf eind 2014 al op de hoogte was van het incident en het lek dus lange tijd heeft stilgehouden.

'Systematische fouten'

De Britse ICO spreekt over 'systematische fouten' en stelt dat de Britse tak van Yahoo! data van gebruikers in gevaar heeft gebracht door niet de juiste technische en organisationele maatregelen te nemen om een datalek van deze omvang te voorkomen. Ook had het bedrijf goede monitoringssystemen moeten implementeren om misbruik te voorkomen van inloggegevens van Yahoo! medewerkers die toegang hebben tot klantgegevens. Dergelijke systemen hadden ook alarm kunnen slaan indien iemand grote hoeveelheden data in één keer verplaatst vanaf servers van Yahoo!.

De boete die Yahoo! krijgt opgelegd is relatief laag. Zo legde de Britse ICO eerder zowel TalkTalk als Carphone Warehouse een boete van 400.000 Britse pond op voor datalekken waarbij gegevens van respectievelijk 156.959 en drie miljoen gebruikers uitlekten. De ICO wijst op enkele factoren die tot deze lagere boete hebben geleid. Zo zijn er geen bank- of betaalgegevens buitgemaakt bij de aanval en gaat het om een 'geavanceerde en langdurige criminele aanval, ondersteund door de Russische Federale Veiligheidsdienst (FSB)'.