Vattenfall en Dunea melden dat het nog niet helemaal zeker is dat er inderdaad gegevens van hun klanten zijn gestolen, en als dat zo is, welke informatie. Onderzoek moet dat duidelijk maken. De beide bedrijven hebben wel alvast melding gemaakt bij de Autoriteit Persoonsgegevens. Dat is verplicht bij een datalek. Dunea en Vattenfall adviseren hun klanten om voorzichtig te zijn met mogelijke phishingberichten en vreemde telefoontjes.

Eerder meldden ABN Amro, energieleverancier Essent, woningcorporaties Staedion, Eigen Haard, Portaal en Ons Huis, belastinginners RBG en GBTwente, pensioenfonds PNO Media, drinkwaterbedrijven WMD en Waterbedrijf Groningen en het Hoogheemraadschap Hollands Noorderkwartier dat gegevens van hun klanten mogelijk ook zijn gestolen bij de aanval op AddComm.

Cybercriminelen wisten mogelijk al begin mei binnen te dringen in de computersystemen van AddComm. Ze verzamelden persoonlijke gegevens van klanten van opdrachtgevers. Op 17 mei gingen ze een stap verder en versleutelden ze de computersystemen om losgeld te eisen. AddComm uit Amersfoort zegt dat het „beveiligingsincident” op dat moment duidelijk werd.

Door een dienstverlener als AddComm aan te vallen, kunnen cybercriminelen met één aanval veel meer gegevens binnenhalen dan wanneer ze elk getroffen bedrijf afzonderlijk zouden aanvallen. Ze kunnen gestolen informatie gebruiken om mensen te misleiden, zodat ze bijvoorbeeld gebruikersnamen of wachtwoorden ergens invullen. Maar ze kunnen zulke gegevens ook combineren met data die op andere plekken zijn gestolen, en die pakketten doorverkopen op ondergrondse marktplaatsen op het darkweb.

Vorig jaar was er een vergelijkbare aanval bij Nebu, dat software levert aan marktonderzoekers. Cybercriminelen stalen toen met één aanval de gegevens van klanten van ongeveer 190 bedrijven.