En virksomhed med næsten en million kunder blev hacket.
En medarbejder blev ringet op af hackerne, og kundernes data blev stjålet på under en time.
Hele forretningsmodellen var databeskyttelse
Virksomheden er et amerikansk firma, der sælger identitetsbeskyttelse og svindelovervågning. Hele forretningsmodellen er at beskytte andres data mod hackere.
I marts 2026 ringede en angriber til en medarbejder og udgav sig for IT-support. Medarbejderen blev ledt til en falsk loginside, der lignede virksomhedens rigtige portal. Indtastede sit password og godkendte sin tofaktorlogin.
Det tog under en time.
Ét login åbnede alt
Hackerne fik adgang via virksomhedens single sign-on, det ene login der åbner alle tilkoblede systemer.
De fandt en marketingdatabase med 903.100 personers data. Navne, e-mails, telefonnumre, adresser.
Data fra et opkøb fem år tidligere
Det værste var ikke selve angrebet.
Det værste var, at databasen stammede fra et firma, virksomheden havde opkøbt fem år tidligere. Ingen havde ryddet op. Ingen havde gjort noget ved den.
Data, som firmaet ikke brugte, ikke havde brug for og ikke vidste de opbevarede, blev til hackernes bytte.
Nægtede at betale. Data lækket.
En hackergruppe tog ansvar. Virksomheden nægtede at betale. Data blev lækket offentligt.
Ifølge databrudtjenester var 90% allerede eksponeret i tidligere brud. Hackere kan nu krydse data fra flere læk og bygge præcise profiler af ofrene.
Over 100 organisationer ramt
Angrebet var ikke et enkeltstående tilfælde.
Sikkerhedsforskere bekræftede i januar 2026, at den ansvarlige hackergruppe kører en systematisk kampagne mod virksomheder, der bruger single sign-on. Over 100 organisationer er målrettet, på tværs af brancher og landegrænser.
Styrelsen for Samfundssikkerhed vurderer truslen fra cyberkriminalitet mod Danmark som meget høj.
Ingen malware. Bare et telefonopkald.
Metoden er den samme hver gang: ring til en medarbejder, styr loginflowet i realtid via et specialbygget phishing-kit, og omgå tofaktorlogin.
Ingen malware. Ingen sårbarhed. Bare et telefonopkald.
GDPR kalder det en bombe
GDPR artikel 5 kræver dataminimering. Virksomheder må kun opbevare persondata, der er nødvendige til formålet.
En glemt database fra et opkøb fem år tidligere er det modsatte af dataminimering. Det er en tikkende bombe.
Har I arvede data?
Har I opkøbt en virksomhed? Overtaget et kundesystem? Skiftet CRM-system uden at slette det gamle?
Så har I sandsynligvis data liggende, I aldrig har gennemgået.
Tre ting I kan gøre nu
Indfør phishing-resistent login. Traditionel tofaktor med SMS eller push-notifikationer kan omgås af disse angreb i realtid. Kun hardwarenøgler eller passkeys stopper dem.
Ryd op i arvede databaser. Gennemgå alle systemer fra opkøb, fusioner og tidligere leverandører. Slet data, I ikke længere har et formål med. Jo færre data, jo mindre afpresningsmateriale.
Indfør en fast verifikationsprocedure. IT-support ringer aldrig og beder om login. Hvis nogen gør det, ring tilbage på et kendt nummer. Det koster ingenting og stopper præcis denne type angreb.
Hvilke data opbevarer I egentlig?
Hvornår har I sidst gennemgået, hvilke data I faktisk opbevarer, og om I stadig har et formål med dem?
Få ryddet op og testet jeres forsvar
En cybersikkerhedsaudit kortlægger, hvilke databaser I opbevarer, om de stadig har et formål, og om I lever op til GDPR’s krav om dataminimering, eller om I har tikkende bomber fra gamle opkøb og systemskift.
En teknisk sikkerhedsgennemgang afslører, om jeres single sign-on er beskyttet med phishing-resistent login, eller om et telefonopkald og en falsk loginside er nok til at åbne alle jeres systemer.
Og awareness-træning lærer jeres medarbejdere at genkende vishing-angreb og bruge verifikationsprocedurer, så de ringer tilbage i stedet for at logge ind.
903.100 kunder. Ét opkald. Én time. Data fra et opkøb fem år tidligere. Hvilke glemte databaser har I?
Har I brug for at få ryddet op og testet jeres forsvar? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
