De Spaanse modegigant MANGO heeft zijn klanten geïnformeerd over een datalek waarbij persoonlijke gegevens zijn buitgemaakt via een externe marketingdienst. Het bedrijf benadrukt dat zijn eigen IT-systemen niet zijn gehackt, maar dat de inbreuk plaatsvond bij een partner die marketingcampagnes voor MANGO uitvoerde.
Datalek
In de kennisgeving, die op 14 oktober 2025 is verstuurd, schrijft het bedrijf: “MANGO wenst u te informeren dat een van onze externe marketingdiensten ongeautoriseerde toegang heeft gehad tot bepaalde persoonlijke gegevens van klanten.”
Volgens MANGO gaat het om beperkte informatie: voornamen, land, postcode, e-mailadres en telefoonnummer van klanten. Gevoelige data zoals achternamen, bankgegevens, creditcardinformatie, identiteitsbewijzen of inloggegevens zouden niet zijn getroffen.
Phishingaanvallen
Hoewel het risico daardoor kleiner lijkt, waarschuwen experts dat dergelijke gegevens nog steeds kunnen worden misbruikt voor phishingaanvallen of gerichte oplichting. Criminelen kunnen bijvoorbeeld overtuigende nepmails of sms-berichten sturen met persoonlijke details die echt lijken.
MANGO benadrukt dat zijn bedrijfsvoering en interne systemen niet zijn geraakt door de aanval: “Alles blijft normaal functioneren. De bedrijfsinfrastructuur en systemen van MANGO zijn niet gecompromitteerd”, aldus de verklaring.
Beveiligingsprotocollen
Na ontdekking van het lek activeerde MANGO onmiddellijk zijn beveiligingsprotocollen en stelde het de Spaanse gegevensbeschermingsautoriteit (AEPD) op de hoogte. Daarnaast is een speciaal e-mailadres en telefoonnummer opgezet voor klanten die zich zorgen maken over hun gegevens: ‘personaldata@mango.com’ en 900 150 543.
Identiteit daders
Het modebedrijf, opgericht in 1984 in Barcelona, heeft wereldwijd meer dan 2.800 winkels in 120 landen en een jaaromzet van ongeveer 3,3 miljard euro, waarvan dertig procent uit online verkoop komt.
Tot nu toe heeft geen enkele ransomwaregroep de aanval opgeëist en is de identiteit van de daders onbekend. Ondertussen onderzoekt MANGO samen met externe experts de aard en omvang van de inbreuk.
Het incident onderstreept opnieuw hoe kwetsbaar bedrijven kunnen zijn voor datalekken bij hun toeleveranciers, zelfs als hun eigen systemen goed beveiligd zijn.