Update on Incident: September 7
On September 7, Bitvavo experienced a technical issue which led to the personal data of eight users being shown on our app and web. We apologize for this issue, as keeping user funds and user data safe is our top priority, and want to stress that we understand your trust is the most valuable asset Bitvavo has. Precisely for this reason, what follows is a detailed account of what happened, how we reacted, and what’s next.
Here’s what happened, and why:
- To improve the user experience of Bitvavo, we use a solution called “caching” which stores copies of data in the cloud for faster access.
- Due to a misconfiguration of our cache solution, the personal data of eight users was exposed to users who logged in to the app or web for a period of 15 minutes.
How we reacted:
- Within those 15 minutes, we cleared and reconfigured the cache.
- Unfortunately, since caching stores data also locally, it takes 2 hours for the data to be erased from local storage of the user devices.
- We subsequently decided to lock down our app to prevent access to the user data.
- We contacted the affected users to notify them of the incident and provided them with the relevant support.
- We notified relevant authorities, including the Autoriteit Persoonsgegevens (AP), about this incident.
What happens next:
- Together with Bitvavo experts, industry leading security experts and our Data Protection Officer we will review our technical setup and procedures to ensure such an incident cannot repeat itself.
What does Bitvavo do about security?
Keeping user funds and user data safe is our top priority. We hold ourselves to the highest standards and have implemented:
- Industry leading security
- Screened employees
- Security audits
- Certified Data Centers
More information about the security measures Bitvavo has in place can be found here.
What happens with my data?
Eight users were affected by this incident, and all eight have been contacted by us. If you haven’t been contacted by Bitvavo, your data hasn’t been exposed in any way, shape, or form. You do not need to change your password or do anything to protect yourself from this incident.
Bitvavo processes your personal data only as required to provide you with the requested services and only as required by laws and regulations. Bitvavo will never use your personal data for commercial purposes and processes it in a strictly confidential manner.
More information about how Bitvavo processes your personal data can be found here.
Are my funds safe?
Your funds at Bitvavo have never been at risk due to this event.
Bitvavo has strong security measures in place to securely store customers' funds. To ensure the safety of user assets, Bitvavo is storing most of our user assets at Insured Custody Providers who are specialized in storing digital assets in a safe environment and are insured up to an amount of €255 million to mitigate potential risks as much as possible.
To bring the security of our user assets to the next level, we have introduced the Bitvavo Account Guarantee. Should someone gain unauthorized access to a Bitvavo account and misappropriate funds, users may now be eligible for reimbursement of up to €100.000.
More information about the security of customer funds is available here. Please note that this incident was due to a misconfiguration on our end, not a hack or a security breach.
Final note
We take safety and security very seriously and we will inform you of any relevant development. We strive to remain transparent and appreciate your continued support.
In case of any questions or concerns feel free to contact:
Op 7 september ondervond Bitvavo een technisch probleem waardoor de persoonlijke gegevens van acht gebruikers binnen onze app en website verkeerd werden getoond. Onze excuses voor dit probleem. Het veilig houden van tegoeden en gegevens van onze gebruikers is onze topprioriteit en we willen benadrukken dat we begrijpen dat uw vertrouwen het meest waardevolle bezit van Bitvavo is. Precies om deze reden beschrijven we hieronder gedetailleerd wat er is gebeurd, hoe we hebben gereageerd om gevolgen zoveel mogelijk te beperken en wat onze vervolgstappen zijn.
Dit is wat er is gebeurd en waarom:
- Om de gebruikerservaring van Bitvavo te verbeteren, gebruiken we een oplossing genaamd "caching", die kopieën van gegevens in de cloud opslaat voor snellere toegang.
- Door een verkeerde configuratie van onze cache-oplossing werden de persoonlijke gegevens van acht gebruikers blootgesteld aan gebruikers die zich gedurende 15 minuten bij de app of het web hadden aangemeld.
Hoe we hebben gereageerd:
- Binnen die 15 minuten hebben we de cache gewist en opnieuw geconfigureerd.
- Helaas, aangezien de cache-gegevens ook lokaal opgeslagen worden, duurt het 2 uur voordat de gegevens zijn gewist uit de lokale opslag van de apparaten van gebruikers.
- We hebben vervolgens besloten om onze app tijdelijk offline te halen om verdere toegang tot de gegevens van de betreffende gebruikers te voorkomen.
- We hebben contact opgenomen met de getroffen gebruikers om hen op de hoogte te stellen van het incident en hen de nodige ondersteuning aan te bieden.
- We hebben de relevante autoriteiten, waaronder de Autoriteit Persoonsgegevens (AP), op de hoogte gesteld van dit incident.
Welke vervolgstappen hebben we genomen:
- Samen met Bitvavo Experts, toonaangevende IT-beveiligingsexperts en onze Data Protection Officer zullen we onze technische opzet en procedures herzien om ervoor te zorgen dat een dergelijk incident zich niet kan herhalen.
Wat doet Bitvavo aan beveiliging?
Het veilig houden van klantentegoeden en gebruikersgegevens is onze topprioriteit. Dit wordt gerealiseerd door, onder andere, de volgende maatregelen:
- Gebruik maken van state-of-the-art beveiliging
- Medewerkers worden altijd uitvoerig gescreend voorafgaand indiensttreding
- Onze IT wordt gecontroleerd door meerdere gespecialiseerde IT-beveiligingsbedrijven
- Samenwerkingen met gecertificeerde datacenters
Meer informatie over de beveiligingsmaatregelen die Bitvavo heeft getroffen, vindt u hier.
Wat gebeurt er met mijn gegevens?
Acht gebruikers zijn getroffen door dit incident en alle acht zijn door ons gecontacteerd. Als er geen contact met u is opgenomen door Bitvavo, zijn uw gegevens op geen enkele manier openbaar gemaakt. U hoeft uw wachtwoord niet te wijzigen of iets te doen om uzelf tegen dit incident te beschermen.
Bitvavo verwerkt uw persoonsgegevens voor zover dit noodzakelijk is voor (het optimaliseren van) de dienstverlening of voor zover dit verplicht is op basis van wet- en regelgeving. Bitvavo gaat geheel vertrouwelijk om met de door u verstrekte informatie en zal deze nooit gebruiken voor commerciële doeleinden.
Meer informatie over hoe Bitvavo uw persoonsgegevens verwerkt, vindt u hier.
Zijn mijn tegoeden veilig?
Uw digital valuata bij Bitvavo zijn door deze gebeurtenis nooit in gevaar geweest.
Bitvavo heeft strenge veiligheidsmaatregelen getroffen om de tegoeden van klanten veilig op te slaan. Om de veiligheid van gebruikers te waarborgen, bewaart Bitvavo de meeste van onze data bij verzekerde Custody Providers, die zijn gespecialiseerd in het veilig opslaan van digitale valuta en hebben verschillende externe verzekeringen afgesloten tot een bedrag van EUR 255 MIO om eventuele risico's zoveel mogelijk af te zwakken.
Om de veiligheid van de tegoeden van onze klanten naar een hoger niveau te tillen, introduceren we de Bitvavo-accountgarantie. Mocht iemand ongeautoriseerd toegang krijgen tot uw Bitvavo account en fondsen verduisteren, dan kunt u nu in aanmerking komen voor een terugbetaling tot EUR 100.000.
Meer informatie over de beveiliging van geld van klanten vindt u hier. Houd er rekening mee dat dit incident te wijten was aan een verkeerde configuratie aan onze kant, niet aan een hack of een inbreuk op de beveiliging.
Ten Slotte:
Wij nemen veiligheid en beveiliging zeer serieus en zullen u informeren over relevante ontwikkelingen indien mogelijk. We streven er altijd naar transparant te zijn en waarderen uw voortdurende steun.
Bij vragen kunt u contact opnemen met: