Ericsson-datalek: voice phishing lekte ruim 15.000 records

dinsdag, 10 maart 2026 (14:26) - Techzine

In dit artikel:

Een vishing-aanval op een externe leverancier die diensten levert aan Ericsson in de VS heeft data van 15.661 personen blootgelegd. Aanvallers overtuigden in april 2025 via een telefonisch gesprek een medewerker van die leverancier om in te loggen op een account; de ongeautoriseerde toegang vond waarschijnlijk plaats tussen 17 en 22 april en werd door de partner op 28 april 2025 ontdekt. De inbreuk is gemeld bij Amerikaanse toezichthouders.

De omvang en inhoud van de gelekte gegevens verschillen per staat. Volgens documenten die aan toezichthouders zijn gestuurd ontvingen de procureur-generaal van Maine meldingen met namen en burgerservicenummers; in Texas gaat het om 4.377 getroffenen van wie mogelijk namen, adressen, identiteits- en rijbewijsnummers, financiële en medische gegevens en geboortedata zijn blootgesteld. Ericsson meldt geen bewijs van misbruik, maar erkent dat dat voor lekken van deze schaal nooit volledig te garanderen is.

Opvallend is de trage interne communicatie: de leverancier deelde het incident pas op 10 november 2025 met Ericsson Inc, ruim zeven maanden na de ontdekte inbreuk, en het duurde tot 23 februari (2026) om alle betrokkenen te identificeren. Ericsson schakelde externe cyberbeveiligingsexperts in, liet wachtwoorden resetten en bracht de FBI op de hoogte. Getroffenen wordt twaalf maanden kredietbewaking aangeboden en geadviseerd bankrekeningen en kredietrapporten in de gaten te houden; de leverancier zegt sindsdien extra beveiligingsmaatregelen en training te hebben ingevoerd.

De zaak illustreert de groeiende dreiging van vishing — telefonische social engineering waarbij aanvallers zich vaak voordoen als interne IT-medewerkers — en past in een bredere reeks aanvallen waarbij ook Ericsson eerder door datadiefstal werd geraakt (onder andere in de Salesloft-golf van 2025). Organisaties en medewerkers worden daardoor opnieuw aangespoord vaker te werken met sterke authenticatie, training tegen social engineering en striktere procedures voor derdenbeheer.