In de nacht van 21 januari werd de belastingassistent Waltio het slachtoffer van een datalek, snel gevolgd door een poging tot afpersing die werd toegeschreven aan de hackersgroep “Shiny Hunters”. Volgens de eerste informatie zouden bijna 50.000 gebruikers betrokken zijn, terwijl de Franse autoriteiten een onderzoek hebben ingesteld. In hoeverre is de centralisatie van gevoelige gegevens gerechtvaardigd wanneer deze een favoriet middel wordt voor cybercriminelen?
De “Shiny Hunters” achter de afpersing in verband met het Waltio-datalek
In de nacht van 21 januari meldde belastingadviseur Waltio dat hij op de hoogte was gebracht van een datalek. De Franse autoriteiten hebben de zaak in behandeling genomen en onderzoeken de aard van de gestolen gegevens en de identiteit van de slachtoffers.
Uit een persbericht van Pierre Morizot, CEO van Waltio, blijkt dat het platform is aangevallen door een kwaadwillende actor, die een voorbeeld heeft verstrekt om de authenticiteit van zijn bewering te staven.
Volgens een rapport van de krant Le Parisien zou de beroemde hackersgroep “Shiny Hunters” achter deze aanval zitten. Zij beweren in het bezit te zijn van de persoonlijke gegevens van bijna 50.000 klanten (1/3 van de gebruikers), waarvan het grootste deel zich in Europees Frankrijk bevindt.
Het lijkt erop dat de tegenstander contact heeft opgenomen met het bedrijf Waltio en losgeld eist. Zodra dit bericht werd ontvangen, werden de procedures voor incidentbeheer in gang gezet. Het bedrijf verklaart externe experts te hebben ingeschakeld om “de situatie met de hoogste mate van zorgvuldigheid te analyseren”.
In een persbericht heeft de afdeling cybercriminaliteit (J3) van het parket van Parijs inderdaad bekendgemaakt dat het onderzoek is toevertrouwd aan de nationale cyberunit van de nationale gendarmerie (UNCyber).
Volgens Waltio blijkt uit de eerste resultaten van het onderzoek dat de inbreuk niet langer actief is en dat alle diensten van het platform normaal functioneren.
Wat de betrokken gegevens betreft, blijft de omvang beperkt tot “de generatie van fiscale rapporten 2024, afgesloten op 31/12/2024”, aldus het persbericht. Het is dus mogelijk om het e-mailadres van de gebruiker en de gegevens uit de rapporten (winsten, verliezen, saldi) terug te vinden.
Vanwege de aard van Waltio’s fiscale assistent worden de gegevens van uw rekeningen op de handelsplatforms verzameld om ze te analyseren en vervolgens het bedrag van uw belastbare meerwaarden te berekenen.
Pierre Morizot benadrukt echter om de gebruikers gerust te stellen dat “er geen gegevens zijn die toegang geven tot uw crypto-activa”. Bovendien herinnert hij eraan dat het platform geen informatie over uw identiteit (voornaam, achternaam, postadres, telefoonnummer, geboortedatum) vereist. Het bedrijf verklaart het onderzoek voort te zetten door een volledige evaluatie van de geschiedenis van zijn informatiesysteem (IS) uit te voeren. Er zal een directe mededeling worden gestuurd naar de mogelijk betrokken gebruikers, vergezeld van “duidelijke en operationele” aanbevelingen.
Waltio kondigt bovendien aan dat het zich ertoe verbindt het incident te melden aan de CNIL (Franse gegevensbeschermingsautoriteit) en dat het via zijn advocaat, meester Romain Chilly, een klacht heeft ingediend bij de afdeling J3 van het parket van Parijs.
Het grootste risico: aanvallen door middel van social engineering
Zoals in het persbericht wordt vermeld, is het belangrijkste risico bij dit soort lekken niet de technische diefstal van geld. De aanvallers zullen eerder contextuele elementen gebruiken om slachtoffers te benaderen met phishing of pogingen tot oplichting.
Zij zullen verschillende cognitieve vooroordelen gebruiken om u in een stressvolle situatie te brengen en u tot een fout te verleiden:
- aansporing om snel te reageren;
- dreiging van financieel verlies;
- misbruik van een legitieme figuur;
- angst voor negatieve gevolgen;
- sociale druk…
Het is dus bijzonder belangrijk om duidelijk te identificeren met wie u te maken heeft. U kunt de authenticiteit van een Waltio-e-mail controleren aan de hand van de beveiligingscode onderaan de verzonden marketingmails. Controleer of deze overeenkomt met de codes in uw account, adviseert Waltio.
Houd er bovendien rekening mee dat het bedrijf niet over uw telefoonnummer en postadres beschikt, dus u zult geen telefoontjes, sms’jes of post van hen ontvangen.
Deze gebeurtenis draagt bij aan het versterken van het klimaat van angst onder houders van cryptovaluta op Frans grondgebied. De laatste tijd halen ontvoeringen, gijzelingen en bedreigingen voortdurend de krantenkoppen.
De centralisatie van gevoelige informatie creëert een unieke gegevensbank en vormt een belangrijk kwetsbaar punt. De bijzonder lange lijst van datalekken (waaronder een aantal overheidsinstanties) die door de website bonjourlafuite voor het jaar 2025 is opgesteld, roept vragen op over de legitimiteit van de toegang van bepaalde diensten tot dit soort gegevens.
Zoals Adan uitlegt, is deze verzameling vaak het gevolg van wettelijke vereisten; het is raadzaam om de omvang van de verwerking van deze gegevens te herzien om geen nieuwe kwetsbaarheden te creëren.
Adan constateert met grote bezorgdheid dat sinds begin 2026 het aantal ernstige gewelddaden tegen investeerders en actoren in de crypto-activa-sector in Frankrijk sterk is toegenomen. Deze feiten vragen om een reactie van de overheid die in verhouding staat tot de…
— Adan (@adan_asso) 23 januari 2026
Ongeacht de beveiliging van een informatiesysteem, zal dit altijd kwetsbaar blijven. Om het aanvalsoppervlak te verkleinen, lijkt de enige oplossing dus het minimaliseren van gegevens: geen gegevens, geen lekken.
