Gestolen data bij Epsilon zorgt voor grote opschudding

Op 1 april werd duidelijk dat onbevoegden toegang hebben verkregen tot de data van het grootste permission based marketingbedrijf ter wereld: Epsilon. Reuters noemt het potentieel de grootste schending van zijn soort in de Amerikaanse geschiedenis. Miljoenen e-mailadressen en andere gegevens zijn gestolen en dat zal leiden tot een toename van spam en phishing en een afnemend vertrouwen onder consumenten.

Epsilon heeft veel grote klanten, waaronder Disney, Marks & Spencer, Verizon en Target. Deze bedrijven hebben op hun beurt klanten gewaarschuwd voor het feit dat het e-mailadres en wellicht andere gegevens in de handen van onbevoegden is gekomen. Het feit dat er geen creditcardgegevens zijn gestolen neemt niet weg dat consumenten nu een groot risico lopen om gepersonaliseerde phishingberichten te krijgen, ook wel spear phishing genoemd.

Sommige consumenten kregen van wel 6 verschillende A-merken tegelijk een waarschuwing dat hun gegevens kennelijk niet veilig waren. Als je op Twitter zoekt naar #epsilon of #databreach zijn de commentaren dan ook niet mis. En er is veel negatieve aandacht bij de ‘traditionele’ media, zoals MSN NBC, CNN en USA Today.

Dit speelt toch in Amerika?

David Daniels van de Relevancy Group heeft naar aanleiding van de databreach bij Epsilon een goed stuk geschreven over het verband tussen de groei van de economie en de vrijheid en het vertrouwen van consumenten. Alhoewel dit voor Amerika is geschreven, vertaalt dit zich zo naar de Europese en Nederlandse situatie.

Waarom moeten ook Nederlandse bedrijven zich hier zorgen om maken?

• Impact op consumentenvertrouwen. Kan een consument met een gerust hart zijn of haar gegevens delen met een bedrijf of marketeer?
• Effectiviteit van het kanaal. Mogelijke impact op deliverability en opens & clicks.
• Regelgeving. Dit gooit olie op het vuur bij de discussie over het verzamelen van data en volgen van online gedrag.
• Verantwoordelijkheid. Consumenten (en hun advocaten) zullen de bedrijven waar zij klant bij zijn verantwoordelijk houden voor het verlies van gegevens. Met grote reputatieschade als gevolg. Bedrijven zullen op hun beurt de serviceprovider aanspreken.
• Vertrouwen. De interneteconomie is gebaseerd op vertrouwen. Zonder dit vertrouwen verliezen we allemaal.

Voorzorgsmaatregelen

Gelukkig zijn er mogelijkheden voor bedrijven om zichzelf en de consument te beschermen tegen de schadelijke gevolgen van deze vorm van datadiefstal. De Online Trust Alliance heeft verschillende best practices en processen geïdentificeerd die van toepassing en het overwegen waard zijn. Ironisch genoeg heeft de OTA op 31 maart de Top 10 Recommendations to Help Businesses Protect Consumers From Being Fooled gepresenteerd, één dag voordat de databreach bij Epsilon bekend werd.

Een aantal belangrijke punten uit de top 10

• Ontwikkel en test een proactief Data Breach & Loss Incident Plan om voorbereid te zijn op een mogelijk verlies van data en om de vervolgschade, het risico en impact voor consumenten en businesspartners te minimaliseren.
• Encrypt alle databestanden die klantprofielen, e-mailadressen of andere PII (Personally Identifiable Information) bevatten.
• Upgrade alle websites waar gevoelige informatie, PII wordt afgevangen naar EV SSL. Deze groenebrowsertechnologie zorgt ervoor dat consumenten zeker weten dat ze data uitwisselen met het bedrijf en de website waar ze zaken mee willen doen.
• Implementeer e-mailauthenticatiestandaarden, inclusief SPF en DKIM, voor alle domeinen. Ook domeinen die niet worden gebruikt voor het e-mailverkeer. Geauthenticeerde e-mail stelt ontvangende partijen, zoals ISP’s en zakelijke netwerken, in staat om de identiteit van de verzender en de integriteit van het bericht te kunnen controleren. Hierdoor wordt de consument beschermd tegen e-mailphishing en wordt het bedrijf beschermd tegen merkmisbruik.