Verschillende bedrijven hebben met AddComm brieven en facturen naar klanten gestuurd. Op die manier zijn klanten van deze bedrijven mogelijk ook de dupe van de aanval. Een woordvoerder van Vattenfall laat weten dat klantgegevens van de energieleverancier niet zijn buitgemaakt. AddComm zegt niet om welke bedrijven het wel gaat. Getroffen klanten krijgen een e-mail over de onderzoeksresultaten.

Eerder meldden ABN AMRO, energieleverancier Essent, woningcorporaties Staedion, Eigen Haard, Portaal en Ons Huis, belastinginners RBG en GBTwente, pensioenfonds PNO Media, drinkwaterbedrijven Dunea, WMD en Waterbedrijf Groningen en het Hoogheemraadschap Hollands Noorderkwartier dat gegevens van hun klanten mogelijk zijn gestolen bij de aanval.

AddComm zegt verspreiding van klantgegevens te voorkomen met „alle redelijke middelen, die technisch en organisatorisch mogelijk zijn”.

Tussen 5 en 17 mei hadden cybercriminelen toegang tot de systemen van AddComm. Op 17 mei werd de aanval ontdekt, nadat systemen versleuteld bleken te zijn en de criminelen losgeld eisten. Het bedrijf zegt nu onder begeleiding van cybersecurity-experts afspraken te hebben gemaakt met de aanvallers over het niet-publiceren en het verwijderen van buitgemaakte klantgegevens. „Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen”, stelt AddComm.

Mogelijk getroffen bedrijven hebben hun klanten geadviseerd voorzichtig te zijn met het openen van mails. Aanvallers kunnen de gestolen gegevens gebruiken om mensen te misleiden, zodat ze bijvoorbeeld gebruikersnamen of wachtwoorden ergens invullen. Door een dienstverlener als AddComm aan te vallen, kunnen cybercriminelen in een keer veel meer gegevens binnenhalen dan wanneer ze de bedrijven afzonderlijk zouden aanvallen.

Vorig jaar was er een vergelijkbare aanval bij Nebu, een softwareleverancier aan marktonderzoekers. Cybercriminelen stalen daarbij de gegevens van klanten van ongeveer 190 bedrijven.