Payment Service Provider Mollie heeft enige tijd te maken gehad met een datalek in haar informatiebeveiliging. Van dinsdagmiddag 5 december tot en met woensdagochtend 6 december is er sprake geweest van een beveiligingsfout bij de export van transacties, waardoor 40 klanten verkeerde data ontvingen.
Een technische software-aanpassing door Mollie vormde de aanleiding tot de fout. Die aanpassing heeft de payment provider inmiddels gecorrigeerd waarmee het datalek gedicht is.
Emerce berichtte gistermiddag over een datalek bij betaaldienst Mollie. Door een beveiligingsfout bij de export van transacties werden niet alleen de transacties van betreffende webwinkels getoond, maar hadden deze merchants ook transacties van andere Mollie-klanten inzichtelijk. Daarbij zou het gaan om informatie over bestellingen, overboekingen, naw-gegevens en rekeningnummers.
Fout bij export van transactieoverzichten
Remco Boer, directeur van Mollie, bevestigd tegenover Internetkassa.nu het datalek. “Ja, we hebben gedurende de periode van dinsdagmiddag 5 december tot en met woensdagochtend 6 december te maken gehad met een issue in de export van transactieoverzichten. Ons systeem is niet toegankelijk geweest voor derden, maar klanten die transactiegegevens uit onze backoffice exporteerden ontvingen verkeerde data, waaronder gegevens van elkaar.”
Het probleem kwam aan het licht toen klanten bij Mollie aan de bel trokken. “Gisterochtend meldden klanten ons dat zij problemen hadden met de export, omdat zij een hoop transacties niet konden ‘afletteren’ in de eigen boekhouding. Hierop hebben wij adequaat gehandeld door een eerdere technische aanpassing te herstellen en daarmee het datalek te dichten.” Boer vult aan dat Mollie inmiddels maatregelen heeft getroffen om dergelijke incidenten in de toekomst te voorkomen.
“40 klanten hebben een foutieve export ontvangen”
In het bericht op Emerce wordt gesproken over een ‘enorm datalek’, maar volgens Boer is de schade beperkt gebleven. “Als tech-driven psp betreuren we de fout in ons systeem en ieder beveiligings-issue is er natuurlijk een teveel, maar de schade is gelukkig beperkt. We hebben geconstateerd dat er in de periode van dinsdagmiddag tot woensdagochtend 40 klanten een foutieve export hebben ontvangen, waardoor zij mogelijk verkeerde informatie inzichtelijk hadden.” Mollie heeft alle betrokken webwinkeliers inmiddels geïnformeerd. Volgens Boer heeft het datalek de payment provider nog geen klanten gekost.
Iedere vergunninghoudend betaalinstelling is verplicht ‘incidenten’ te melden. Mollie bevestigd dat het datalek, conform protocol, inmiddels kenbaar is gemaakt bij de verantwoordelijke autoriteiten als De Nederlandse Bank (DNB) en de Autoriteit Persoonsgegevens.
