De ransomwaregroep Play beweert data te hebben buitgemaakt van de Amerikaanse kussenfabrikant MyPillow. Op het darkweb lekportaal van Play werd eerder deze week gedreigd met het publiceren van een onbekende hoeveelheid vertrouwelijke gegevens, waaronder documenten over klanten, budgetten, salarissen, identiteitsbewijzen, belastingen en financiële informatie.

De CEO van MyPillow, Mike Lindell, heeft deze claims echter ontkend. Lindell, die bekendstaat als een uitgesproken aanhanger van voormalig president Donald Trump en momenteel kandidaat is voor het gouverneurschap van Minnesota, gaf aan niet op de hoogte te zijn van de vermeende aanval totdat hij door de pers werd benaderd. Volgens hem zijn de beschuldigingen politiek gemotiveerd en een poging om hem te beschadigen: "Dit is weer een aanval van buitenaf omdat ik me verkiesbaar heb gesteld. Ik garandeer dat er geen datalek is."

Lindell gaf verder aan dat zijn bedrijf geen ransomware-eisen heeft ontvangen en dat er geen gevoelige data intern wordt opgeslagen, maar dat dit wordt uitbesteed aan externe partijen. Of er daadwerkelijk een datalek heeft plaatsgevonden, is op dit moment niet bevestigd. De Play-groep stelt van wel, terwijl MyPillow dit ontkent.

De waarheid zal waarschijnlijk snel duidelijk worden, aangezien de deadline voor betaling die Play op zijn lekportaal heeft gesteld, morgen verloopt. Na die datum zal blijken of de data openbaar wordt gemaakt. Als dit niet gebeurt, kan dat betekenen dat de aanvallers geen data hebben of dat zij een sterke prikkel hebben gekregen om de informatie niet te publiceren.

Het is belangrijk te benadrukken dat het feit dat een organisatie gevoelige data niet zelf opslaat, geen garantie biedt voor veiligheid. Moderne bedrijven werken met diverse externe partijen voor onder andere klantgegevens, salarisadministratie en financiële informatie. Deze leveranciers kunnen doelwit zijn van aanvallen, omdat een enkele inbraak toegang kan geven tot data van meerdere organisaties.

Voor betrokkenen zoals klanten, medewerkers en partners maakt het weinig verschil of hun gegevens van de eigen systemen van MyPillow komen of van een externe dienstverlener. Het uitbesteden van dataopslag en -verwerking beschermt de reputatie van een bedrijf niet automatisch tegen de gevolgen van een beveiligingsincident, noch vermindert het de impact op de getroffen personen.

Of de Play-ransomwaregroep na de betalingstermijn met een datalek komt of niet, zal snel duidelijk worden. Ransomwaregroepen richten zich op organisaties waarvan zij denken dat ze zullen betalen, waardoor het voor alle bedrijven van belang is om sterke beveiligingsmaatregelen te treffen.