De Spaanse afdeling van autofabrikant Hyundai heeft een boete van 2 miljoen euro gekregen van de Spaanse privacywaakhond AEPD vanwege een datalek veroorzaakt door een ontbrekende beveiligingsupdate. Begin 2023 maakte een hacker gebruik van een onbekende kwetsbaarheid in een server van Hyundai en verkreeg toegang tot onversleutelde gegevens van meer dan een miljoen klanten en potentiële klanten in Spanje. Deze gegevens bevonden zich in een database voor marketing en statistische doeleinden.

De gestolen gegevens omvatten namen, geboortedata, telefoonnummers, e-mailadressen, adresgegevens, klantnummers en voertuig-identificatienummers. De aanval en het datalek werden pas eind februari 2023 ontdekt, toen de aanvallers contact opnamen met Hyundai. Vervolgens informeerde de autofabrikant de Spaanse privacytoezichthouder. In april 2023 werden de slachtoffers door Hyundai op de hoogte gebracht. Uit onderzoek van de AEPD bleek dat de aanvallers een bekende kwetsbaarheid hadden uitgebuit waarvoor op dat moment al beveiligingsupdates beschikbaar waren, maar Hyundai had deze updates niet geïnstalleerd. De specifieke serversoftware werd niet bekendgemaakt. De AEPD bekritiseerde ook het gebrek aan versleuteling van persoonlijke gegevens en het ontbreken van een risicoanalyse. Hyundai voerde pas na het datalek een risicoanalyse uit, terwijl dit volgens de toezichthouder vooraf had moeten gebeuren. De AEPD concludeerde dat Hyundai de AVG had overtreden en legde een boete op van 2 miljoen euro. Spaanse wetgeving biedt bedrijven de mogelijkheid om de boete te verlagen door verantwoordelijkheid te nemen en de boete te betalen. Hyundai koos ervoor de boete vrijwillig te betalen, waardoor het bedrag werd verlaagd tot 1,6 miljoen euro.