De Amerikaanse divisie van de internationale retailgigant Ahold Delhaize heeft bevestigd dat bij een grootschalige ransomware-aanval vorig jaar de persoonsgegevens van meer dan 2,2 miljoen mensen zijn gelekt. Volgens een officiële datalekmelding, ingediend bij het kantoor van de procureur-generaal van de Amerikaanse staat Maine, gaat het om gevoelige informatie zoals namen, adresgegevens, e-mailadressen, telefoonnummers, geboortedatums, identiteitsbewijsnummers, bankrekeninggegevens, gezondheidsinformatie en werkgerelateerde gegevens. Het bedrijf benadrukt dat niet alle slachtoffers dezelfde informatie hebben verloren; de omvang van het lek verschilt per persoon.

Ransomware-aanval verstoorde operaties
De aanval vond plaats in november 2022, toen cybercriminelen toegang wisten te krijgen tot interne bestandssystemen van Ahold Delhaize USA. Hierbij werden zogenaamde "U.S. file repositories" gecompromitteerd, hoewel het bedrijf geen verdere details heeft vrijgegeven over hoe de inbreuk precies plaatsvond. Als gevolg van de aanval werden verschillende systemen tijdelijk offline gehaald, wat leidde tot verstoringen bij online bestelprocessen van enkele dochtermerken.

De verantwoordelijkheid voor de aanval werd opgeëist door INC Ransom, een bekende cybercriminelen groep. Zij beweerden maar liefst zes terabyte aan gevoelige data te hebben gestolen, waaronder personeelsinformatie van onder andere Albert Heijn, Etos en Gall & Gall – Europese merken van Ahold Delhaize. Dit werd eerder dit jaar, in april 2023, door het moederbedrijf bevestigd.

Welke bedrijven en medewerkers zijn getroffen?
Uit de melding blijkt dat de gelekte gegevens vooral betrekking hebben op medewerkers van verschillende Amerikaanse supermarktketens en distributiecentra van Ahold Delhaize USA, waaronder:

Food Lion
Giant Food
The GIANT Company
Hannaford
Stop & Shop
ADUSA Distribution
ADUSA Transportation

Compensatie voor getroffen personen
Ahold Delhaize USA biedt Amerikaanse slachtoffers twee jaar gratis kredietmonitoring en identity protection services aan om mogelijke identiteitsfraude of financieel misbruik te helpen voorkomen. Het bedrijf heeft echter nog niet gereageerd op vragen over eventuele compensatie voor Europese werknemers van Albert Heijn, Etos en Gall & Gall wiens gegevens eveneens zijn gelekt.

Expert waarschuwt voor langetermijnrisico’s
Cybersecurity-experts benadrukken dat dergelijke datalekken ernstige gevolgen kunnen hebben, vooral omdat identiteitsbewijsnummers en financiële gegevens vaak jarenlang door criminelen worden misbruikt. "Slachtoffers moeten hun bankrekeningen en creditrapporten nauwlettend in de gaten houden," aldus een woordvoerder van het Identity Theft Resource Center (ITRC).

Ahold Delhaize heeft aangekondigd de beveiligingsmaatregelen verder aan te scherpen, maar het incident onderstreept opnieuw de groeiende dreiging van ransomware-aanvallen op grote bedrijven.

Bronnen:
Officiële datalekmelding aan de procureur-generaal van Maine
Ahold Delhaize persverklaringen (april & juni 2023)
Identity Theft Resource Center (ITRC)
Onderzoeksplatformen over INC Ransom-groep