Hackers publiceren Odido-klantgegevens
Klantgegevens van miljoenen abonnees van Odido zijn gepubliceerd op het darkweb nadat het telecombedrijf weigerde losgeld te betalen. De hackersgroep ShinyHunters zette inmiddels meerdere miljoenen regels aan data online en dreigt daar dagelijks mee door te gaan. Daardoor neemt de druk op het bedrijf toe, terwijl steeds duidelijker wordt welke informatie in verkeerde handen is gevallen en hoe de aanvallers zijn binnengedrongen.
Odido weigert betaling na afpersing
De hackers eisten meer dan een miljoen euro om publicatie te voorkomen. Odido besloot echter niet te onderhandelen, op advies van cybersecurity-experts en overheidsinstanties. Volgens de politie houdt betaling het criminele verdienmodel juist in stand, maar daardoor kiezen aanvallers er vaak voor om data alsnog vrij te geven. Inmiddels zijn honderdduizenden klantgegevens openbaar gemaakt en kondigen de daders aan dit tempo op te voeren.
Meer gegevens gestolen dan aanvankelijk gedacht
Aanvankelijk leek het om basisgegevens te gaan, maar ondertussen blijkt de buit groter. In de gepubliceerde bestanden staan namen, adressen, e-mailadressen, telefoonnummers en rekeningnummers. Bovendien zijn ook geboortedata en identificatienummers buitgemaakt. Daarnaast bevatten sommige datasets interne klantnotities, bijvoorbeeld over betaalafspraken of persoonlijke omstandigheden. Bij enkele zakelijke klanten bleken zelfs burgerservicenummers indirect te herleiden via oude btw-nummers, terwijl eerder werd gezegd dat die niet waren opgeslagen.
Hackers deden zich voor als ICT-afdeling
De aanvallers kwamen binnen via phishingmails naar medewerkers. Daarmee ontfutselden zij inloggegevens. Vervolgens belden ze medewerkers op en deden zich voor als de interne ICT-afdeling. Daardoor wisten ze een extra beveiligingscontrole te omzeilen. Eenmaal binnen verzamelden ze geautomatiseerd grote hoeveelheden klantdata uit het systeem. Dat proces heet scraping, waarbij gegevens systematisch worden gekopieerd zonder direct op te vallen.
Gelekte klantgegevens vormen goudmijn
De combinatie van persoonsgegevens maakt deze gelekte klantgegevens bijzonder waardevol voor criminelen. Met echte namen, adressen en rekeningnummers kunnen zij zeer overtuigende phishingberichten sturen. Daardoor lijken e-mails of sms’jes betrouwbaar en klikken slachtoffers sneller op schadelijke links. Bovendien kunnen oplichters zich telefonisch voordoen als klant en aanvullende gegevens gebruiken om contracten af te sluiten of fraude te plegen. Experts spreken daarom van een goudmijn voor cybercriminelen en zelfs voor buitenlandse inlichtingendiensten.
Gevolgen kunnen jaren merkbaar blijven
Hoewel wachtwoorden en belgegevens niet zijn buitgemaakt, kan de impact langdurig zijn. Gegevens verdwijnen namelijk niet zomaar van het darkweb en kunnen later opnieuw opduiken. Daardoor kunnen betrokkenen nog maanden of zelfs jaren te maken krijgen met gerichte phishing of identiteitsmisbruik. Juist daarom is het belangrijk om onverwachte berichten kritisch te beoordelen en extra alert te zijn wanneer iemand zich voordoet als bank, telecomprovider of overheidsinstantie.
