Zwitserse banken UBS en Pictet hebben woensdag gemeld dat zij slachtoffer zijn geworden van een datalek als gevolg van een cyberaanval op een Zwitserse dienstverlener. Volgens de banken zijn klantgegevens niet gecompromitteerd, al meldde een rapport dat gegevens van duizenden UBS-medewerkers wel zijn getroffen.
De Zwitserse krant Le Temps berichtte dat bestanden met gegevens van tienduizenden UBS-werknemers zijn gestolen bij het in Baar gevestigde zakelijke dienstverleningsbedrijf Chain IQ, dat onder meer KPMG en Mizuho als klanten op zijn website vermeldt.
"Een cyberaanval bij een externe leverancier heeft ertoe geleid dat informatie over UBS en verschillende andere bedrijven is gestolen. Geen enkele klantgegevens zijn getroffen," aldus UBS.
"Zodra UBS op de hoogte was van het incident, zijn er snel en doortastend maatregelen genomen om impact op de bedrijfsvoering te voorkomen."
Volgens Le Temps bevatte het gelekte materiaal ook het nummer van een directe interne lijn naar UBS-CEO Sergio Ermotti.
Chain IQ gaf aan dat het samen met 19 andere bedrijven doelwit was van de aanval, waarbij gelekte gegevens op het darknet - een deel van het internet dat niet via reguliere zoekmachines bereikbaar is - zijn gepubliceerd.
Volgens een verklaring van Chain IQ zijn er direct stappen en tegenmaatregelen genomen en is de situatie inmiddels onder controle.
De Zwitserse financiële toezichthouder Finma liet weten op de hoogte te zijn van het incident en deze volgens de gebruikelijke procedures af te handelen.
KPMG verklaarde dat zijn infrastructuur niet is getroffen door de cyberaanval, maar dat er na het nieuws over het lek extra beveiligingsmaatregelen zijn genomen.
Chain IQ, dat aangaf dat de gegevens op de middag van 12 juni zijn gepubliceerd, kon geen informatie geven over mogelijke losgeldeisen of contact met de aanvallers, uit veiligheidsoverwegingen en vanwege het lopende onderzoek.
De private bank Pictet meldde dat de gestolen informatie geen klantgegevens bevatte en beperkt bleef tot factuurinformatie van enkele leveranciers, zoals technologiebedrijven en externe consultants.
Pictet benadrukte dat het datalekken serieus neemt en protocollen en overeenkomsten heeft om ongeautoriseerde toegang te voorkomen.
Volgens Ilia Kolochenko, CEO van het Zwitserse beveiligingsbedrijf ImmuniWeb, laat deze aanval zien dat zelfs de grootste instellingen kwetsbaar kunnen zijn via derden, wat mogelijk een langdurige impact kan hebben op de Zwitserse bankensector.
