Werknemer securitytrainer trapt zelf in phishingval

Uitgerekend het opleidingsinstituut dat honderden trainingen heeft gegeven om werknemers bewust te maken van cybersecurity, is zelf het slachtoffer geworden van phishing. Een werknemer trapte in een phishingmail.

Waarna zich het scenario ontrolde waarvoor het instituut in zijn cursussen waarschuwt: liefst 28.000 records met persoonlijke identificeerbare informatie raakten in verkeerde handen. De aanvaller bleek toegang te hebben gekregen tot 513 e-mails, veelal vol privégegevens.

De medewerker had een malafide Microsoft 365-app toegang tot zijn account gegeven. Vervolgens stelde de aanvaller een regel in waardoor inkomende e-mails naar een e-mailadres van hem werden doorgestuurd.

Het pijnlijke datalek werd ontdekt in dezelfde week waarin het bedrijf de media had uitgenodigd om eens een kijkje bij de cursus Security Awareness in Amsterdam te nemen. ‘Dit trainingsprogramma is samengesteld door een wereldwijd netwerk van ‘s werelds meest deskundige cybersecurity-experts,’ zo prees het zichzelf aan. 

SANS, naar eigen zeggen ‘wereldwijd de meest gewaardeerde en veruit grootste bron voor cybersecuritytrainingen en -certificeringen’, claimt met meer dan 1.300 organisaties te hebben samengewerkt en heeft daarbij meer dan 6,5 miljoen medewerkers opgeleid. Het bedrijf gaat de slachtoffers van het datalek informeren.

Alles bij de bron; Computable