Sotheby’s , een van ‘s werelds oudste en meest prestigieuze veilinghuizen, heeft bevestigd dat het te maken heeft gehad met een datalek waarbij gevoelige persoonlijke en financiële informatie betrokken was. Het bedrijf maakte bekend dat het incident voor het eerst werd ontdekt op 24 juli 2025, toen interne controlesystemen verdachte activiteiten binnen zijn netwerk ontdekten. Wat aanvankelijk een routinematige beveiligingswaarschuwing leek, bleek iets veel ernstigers te zijn. Een onbevoegde partij had toegang gekregen tot bepaalde delen van Sotheby’s de digitale infrastructuur en vertrouwelijke gegevens verwijderd.
Volgens officiële meldingen van inbreuken die bij toezichthouders zijn ingediend, slaagde de aanvaller erin gegevens te exfiltreren voordat Sotheby’s het beveiligingsteam de inbraak indamde. De gestolen bestanden bevatten naar verluidt individuele namen, burgerservicenummers en financiële rekeninggegevens, hoewel het bedrijf niet heeft bekendgemaakt of creditcard- of betalingsgegevens ook zijn blootgesteld. De informatie is eigendom van personen die verbonden zijn met Sotheby’s operaties, hoogstwaarschijnlijk klanten, werknemers of zakenpartners.
Als reactie op het incident Sotheby’s is een uitgebreid intern onderzoek gestart, waarbij we samenwerkten met externe cyberbeveiligingsexperts om de omvang van de inbreuk te bepalen en de impact op de getroffen personen te beoordelen. Het bedrijf informeerde ook de wetshandhavingsinstanties, die de situatie in de gaten zouden houden. Het forensisch onderzoek duurde ongeveer twee maanden en eindigde rond 24 september 2025, wat bevestigde dat de inbreuk beperkt van omvang was, maar ernstig van aard.
Hoewel het bedrijf niet heeft onthuld hoeveel mensen zijn getroffen, heeft het de inbreuk wel gemeld aan het kantoor van de procureur-generaal van Maine, zoals vereist door de wet. Ten minste twee inwoners van Maine ontvingen formele kennisgevingsbrieven waarin ze werden gewaarschuwd dat hun persoonlijke gegevens waren ingezien door een onbevoegde partij. Gezien Sotheby’s de internationale klantenkring en de wereldwijde aanwezigheid kan het werkelijke aantal getroffen personen hoger zijn, maar dat is nog niet bevestigd.
Tot nu toe Sotheby’s heeft de groep of persoon die verantwoordelijk is voor de inbreuk niet geïdentificeerd, noch heeft een bekende cybercriminele organisatie publiekelijk de eer opgeëist voor de aanval. Er is geen bewijs naar voren gekomen dat de gestolen gegevens zijn gelekt of online zijn verkocht, en er zijn geen losgeldeisen gemeld. Cybersecurity-specialisten merken echter op dat gestolen identiteitsinformatie vaak weken of zelfs maanden later weer opduikt op darkweb-marktplaatsen, wat suggereert dat de volledige gevolgen van het incident zich in de loop van de tijd nog steeds kunnen ontvouwen.
In een verklaring die werd gedeeld met toezichthouders en getroffen personen, Sotheby’s legde het uit dat het onmiddellijk stappen ondernam om zijn netwerk te beveiligen na het detecteren van de inbreuk. Het bedrijf zei dat het zijn interne verdediging heeft versterkt, aanvullende monitoringtools heeft geïmplementeerd en zijn cyberbeveiligingsprotocollen heeft herzien om herhaling te voorkomen. Het veilinghuis verzekerde klanten ook dat zijn primaire bedrijfsactiviteiten, waaronder online veilingen en biedplatforms, niet werden verstoord.
Om de risico’s voor de getroffenen te beperken, Sotheby’s biedt het een jaar lang gratis kredietbewaking en bescherming tegen identiteitsdiefstal aan via een toonaangevend kredietrapportagebureau. Ontvangers van de kennisgevingsbrieven werden aangemoedigd om zich onmiddellijk in te schrijven voor de service en alert te blijven op verdachte activiteiten, zoals ongeautoriseerde afschrijvingen of ongebruikelijke accountwijzigingen. Het bedrijf adviseerde ook iedereen die getroffen was om hun kredietrapporten regelmatig te controleren, financiële overzichten te bekijken en te overwegen een fraudewaarschuwing of kredietbevriezing te plaatsen bij grote kredietbureaus.
Hoewel Sotheby’s het relatief stil is gebleven over de technische details van de inbreuk, hebben cybersecurity-experts gespeculeerd over verschillende mogelijke oorzaken. Veelvoorkomende vectoren bij dit soort incidenten zijn onder meer phishing-campagnes gericht op werknemers, diefstal van inloggegevens of misbruik van niet-gepatchte softwarekwetsbaarheden. Gezien de gevoelige aard van de betrokken gegevens, met name burgerservicenummers en financiële gegevens, was de aanvaller mogelijk op zoek naar persoonlijk identificeerbare informatie in plaats van bedrijfsgeheimen.
Hoewel het onderzoek nog loopt, draagt het incident bij aan een groeiende lijst van inbreuken die de afgelopen jaren van invloed zijn op luxe- en spraakmakende Sotheby’s merken. Experts wijzen erop dat cybercriminelen zich steeds vaker richten op bedrijven die geassocieerd worden met rijkdom of exclusiviteit, omdat de informatie van hun klanten een hogere prijs op de zwarte markt opbrengt.
Sotheby’s heeft spijt betuigd over het incident en herhaald dat het zich inzet voor gegevensbeveiliging. In zijn kennisgevingsverklaring zei het bedrijf: “We nemen de privacy van onze klanten en medewerkers zeer serieus. Toen we dit incident ontdekten, hebben we snel gehandeld om de dreiging in te dammen, de oorzaak te onderzoeken en aanvullende waarborgen te implementeren om persoonlijke informatie te beschermen.”
Het bedrijf heeft beloofd zijn cyberbeveiligingspositie te blijven versterken in het licht van de inbreuk en volledig samen te werken met regelgevers en wetshandhavers bij de beoordeling van de zaak. Voorlopig zijn er geen publieke aanwijzingen dat de aanval de belangrijkste veilingsystemen heeft getroffen Sotheby’s of klanttransacties heeft verstoord, maar de blootstelling van financiële en identiteitsgegevens heeft niettemin tot bezorgdheid geleid bij verzamelaars en professionals uit de industrie.