Ernst & Young (EY) heeft klanten geïnformeerd over een datalek dat is ontstaan door een inbreuk op een supportticket-systeem van een derde partij, dat door het IT-personeel van het bedrijf wordt gebruikt. Via dit platform ingediende supporttickets konden documenten bevatten met belastinginformatie van cliënten.

EY behoort tot de vier grootste aanbieders van audit- en professionele diensten wereldwijd en levert onder meer audit-, belasting-, advies- en transactiediensten aan grote organisaties in meer dan 150 landen. Het bedrijf heeft 406.000 medewerkers en rapporteerde vorig jaar een wereldwijde omzet van 53,2 miljard dollar.

Volgens de melding aan getroffen klanten ontdekte EY op 23 april afwijkende activiteiten op haar netwerken en startte daarop een onderzoek. Met hulp van externe cybersecurity-experts werd vastgesteld dat een onbevoegde derde partij tussen 28 maart en 12 april toegang had gekregen tot het supportticket-platform en meerdere documenten had gedownload. De getroffen gegevens omvatten bepaalde persoonlijke en financiële informatie die werd gebruikt bij het opstellen van belastingaangiften. Omdat de voorbeeldmelding een placeholder bevat voor specifieke datatypes, blijft onduidelijk welke exacte informatie is blootgesteld.

Het bedrijf heeft niet bekendgemaakt hoeveel klanten zijn getroffen of of het incident zich beperkt tot de Amerikaanse klanten of ook andere landen betreft. EY meldt dat de systemen inmiddels zijn beveiligd en dat de federale opsporingsinstanties zijn geïnformeerd. Tevens is de onbevoegde toegang verwijderd. Er is geen aanwijzing dat de gestolen bestanden zijn misbruikt of verder zijn verspreid, noch dat specifieke personen doelwit waren van de aanvallers.

Om de risico’s van deze blootstelling te beperken, biedt EY getroffen klanten 24 maanden identiteitsbewaking en herstelservice aan via Experian, met een aanmeldtermijn tot 31 oktober 2026. Tot op heden heeft geen enkele ransomware- of datalekafpersingsgroep de aanval op Ernst & Young opgeëist.