Een vishing-aanval (voice phishing) op een externe leverancier die Ericsson ondersteunt bij zijn activiteiten in de VS heeft gegevens van 15.661 mensen blootgelegd. Aanvallers gebruikten een telefoontje om een medewerker te misleiden en hem in april 2025 toegang tot accounts te ontfutselen. Het datalek, dat aan de toezichthouders in de VS is gemeld, kan onder meer Social Security-nummers, financiële gegevens en medische informatie omvatten.
Het datalek werd bevestigd in documenten die bij de toezichthouders van de staat zijn ingediend, zoals The Register opmerkt. Het incident gaat terug tot april vorig jaar, toen aanvallers een telefoontje gebruikten om een enkele medewerker van een niet nader genoemde externe leverancier via social engineering te misleiden en hem te laten inloggen op een account.
Vishing, voice phishing via de telefoon door zich voor te doen als een legitieme beller, is een groeiende bedreiging. Meestal doen aanvallers zich voor als IT-servicemedewerkers of een andere interne afdeling. Dergelijke aanvallen zijn een paar jaar geleden enorm in populariteit gestegen en securityteams zijn nog steeds aan het leren hoe ze medewerkers kunnen voorbereiden op deze onverwachte vorm van social engineering.
In dit specifieke geval ontdekte de partner van Ericsson de inbreuk op 28 april 2025, enkele dagen nadat aanvallers mogelijk toegang hadden gekregen tot gegevens tussen 17 en 22 april. Vervolgens schakelde het bedrijf externe cyberbeveiligingsexperts in, dwong het wachtwoorden te resetten en bracht het de FBI op de hoogte.
Namen, burgerservicenummers en meer
Wat er precies is blootgesteld, hangt af van welke staatsdocumenten je bekijkt. De procureur-generaal van Maine ontving een openbaarmaking met namen en burgerservicenummers. De toezichthouders in Texas kregen echter een breder beeld: van de 4.377 getroffen personen in Texas zijn mogelijk namen, adressen, identiteitsnummers, rijbewijsnummers, identiteitsbewijzen, financiële informatie, medische informatie en geboortedata gecompromitteerd.
Ericsson zegt dat het nog geen bewijs heeft gezien dat de gestolen informatie is misbruikt. Zo’n conclusie is onmogelijk volledig te bevestigen of te ontkennen. Bij grootschalige lekken is het voor aanvallers aantrekkelijk om de gestolen gegevens aan een andere partij te verkopen of ze later te gebruiken voor een toekomstige aanval.
Maanden gingen voorbij voordat Ericsson op de hoogte werd gebracht
Een opvallend aspect is de tijdlijn. De leverancier bracht Ericsson Inc, de Amerikaanse tak van de Zweedse telecomgigant, pas op 10 november vorig jaar op de hoogte, ongeveer zeven maanden na het lek. Het duurde vervolgens tot 23 februari om alle getroffen personen te identificeren.
Ericsson zelf was vorig jaar ook het doelwit. Het bedrijf behoorde tot de tientallen organisaties die werden genoemd in het Salesloft-inbreukincident van 2025, waarbij aanvallers OAuth-tokens stalen om toegang te krijgen tot gegevens van honderden bedrijven, waarbij Salesforce uiteindelijk de afpersingspogingen van de ShinyHunters-groep weigerde. Dezelfde aanvaller heeft onlangs Odido getroffen met een gigantisch datalek, waarbij de persoonlijke gegevens van ruim 6 miljoen gebruikers werden gestolen.
Getroffen personen krijgen 12 maanden kredietbewaking aangeboden en wordt geadviseerd om hun bankrekeningen en kredietrapporten nauwlettend in de gaten te houden. Volgens de bekendmaking van Ericsson heeft de leverancier sindsdien nieuwe beveiligingsmaatregelen genomen en personeel getraind.