De beruchte hackersgroep ShinyHunters is begonnen met het stapsgewijs publiceren van de privégegevens van miljoenen Odido-klanten op het darkweb om het telecombedrijf tot een miljoenenbetaling te dwingen. Nadat de provider weigerde om ruim 1.000.000 euro aan losgeld te betalen, worden er nu dagelijks pakketten met gevoelige records online gezet, zo meldt de NOS.
Het lijkt erop dat we te maken hebben met een digitale gijzeling waarbij de klant de inzet is. Waar het gisteren begon met de eerste miljoen regels aan data, is vanochtend vroeg opnieuw een vergelijkbare hoeveelheid informatie gedumpt. In totaal zijn de gegevens van ruim 6,2 miljoen accounts buitgemaakt, een aantal dat een aanzienlijk deel van de Nederlandse bevolking beslaat. De hackers gebruiken hiervoor het darkweb, een verborgen uithoek van het internet die enkel toegankelijk is via specifieke software en browsers, waar criminelen ongestoord in gestolen data kunnen handelen.
Privacygevoelige aantekeningen en bankgegevens op straat
De buitgemaakte informatie is helaas niet beperkt tot een simpel telefoonnummer. De gestolen database bevat namen, woonadressen, geboortedata en zelfs nummers van bankrekeningen en identiteitsbewijzen. Wat het verhaal nog een tikkeltje pijnlijk maakt, is dat er ook interne aantekeningen zijn gelekt. Hierin staat bijvoorbeeld of klanten hun betaalafspraken nakomen, een bewindvoerder hebben of dat zij zich in het verleden hebben misdragen tegenover de klantenservice. Voor de techliefhebber die gesteld is op zijn digitale privacy, is dit een bittere pil: je hele financiële en sociale doopceel ligt plotseling bij de hoogste bieder op de digitale marktplaats.
Hoewel het verleidelijk is om te denken dat dit enkel over techniek gaat, is de impact voor de gewone gebruiker zeer tastbaar. De dieven hebben namelijk aangekondigd dat de informatie die zij publiceren steeds gevoeliger zal worden naarmate Odido langer weigert te betalen.
Tot nu toe zijn nog niet van alle slachtoffers de directe contactgegevens zoals e-mailadressen gelekt, maar dat lijkt slechts een kwestie van tijd. Odido blijft ondertussen, op advies van de politie en cybersecurityexperts, weigeren om te onderhandelen. Het idee is simpel: wie betaalt, houdt het verdienmodel van deze criminelen in stand.
Zelf checken of je bij het Odido-datalek hoort
Voor wie nu met een ongemakkelijk gevoel naar zijn smartphone kijkt, is er een kleine pleister op de wond. Het is voor een leek nagenoeg onmogelijk om zelf door de gigantische databestanden van bijna 10 gigabyte op het darkweb te spitten, maar de bekende website Have I Been Pwned biedt uitkomst. Deze dienst houdt bij welke e-mailadressen voorkomen in bekende datalekken en heeft de gegevens van Odido inmiddels aan hun database toegevoegd. Houd er wel rekening mee dat er een vertraging zit tussen de publicatie door de hackers en de verwerking op de website.
Het is een wrange situatie voor de provider die zich onlangs nog in een fris nieuw jasje stak. Terwijl de directie de rug recht houdt tegenover de afpersers, moeten miljoenen Nederlanders hopen dat hun gegevens niet worden misbruikt voor identiteitsfraude of geavanceerde phishing. Voor meer context over hoe de aanval precies in zijn werk ging, kun je ons eerdere verslag over de Odido cyberaanval raadplegen. De komende dagen zal moeten blijken of de strategie van de ‘druppelsgewijze’ publicatie de provider alsnog op de knieën krijgt.
Veelgestelde vragen over het Odido-datalek
Omdat het om enorme bestanden op het darkweb gaat, kun je dit niet direct zelf inzien. De beste methode is om de website Have I Been Pwned te gebruiken. Als je mailadres daar opduikt in relatie tot het Odido-lek, moet je er rekening mee houden dat ook je andere gegevens bij de hackers bekend kunnen zijn.
Deze aantekeningen bevatten persoonlijke informatie over je betaalgedrag of gedrag aan de telefoon. Dit soort sociale data kan door oplichters worden gebruikt om heel geloofwaardig over te komen tijdens een telefoongesprek (phishing), waardoor ze je makkelijker kunnen oplichten.
Dat is meestal niet direct nodig, maar je moet wel extra alert zijn op ongebruikelijke incasso’s of telefoontjes van ‘de bank’. Met alleen een rekeningnummer kunnen criminelen niet zomaar bij je geld, maar ze kunnen het wel gebruiken voor automatische incasso’s of om je vertrouwen te winnen in een gesprek.
Odido biedt getroffen klanten een gratis digitaal veiligheidspakket van F-Secure aan voor een periode van twee jaar. Hiermee kunnen klanten hun apparaten beveiligen en worden ze gewaarschuwd als hun persoonlijke data op het internet verschijnt.
De provider volgt het advies van cybersecurityexperts en de politie. Het betalen van losgeld biedt geen garantie dat de data wordt verwijderd en financiert toekomstige criminele activiteiten. Bovendien zijn de gegevens al gestolen; de controle erover is Odido al kwijt.
Volgens de huidige verklaringen van Odido zijn er geen wachtwoorden, belgegevens of factuurgegevens buitgemaakt. De hack richtte zich primair op de systemen waarin klantgegevens en aantekeningen over klanten worden bewaard.
