De gestolen gegevens van de Nederlandse telecomprovider Odido zijn “goud” voor criminelen, zeggen experts, na een inbreuk waarbij informatie van 6,2 miljoen accounts is blootgesteld – een van de grootste ooit gerapporteerd in Nederland. Odido begon donderdag om 12.00 uur klanten te informeren nadat was vastgesteld welke gegevens mogelijk per account waren toegankelijk, meldt Nieuws Impuls.
Het is nog onduidelijk hoeveel mensen zijn getroffen. Odido gaf aan dat de gestolen informatie per klant kan verschillen en dat het onderzoek gaande is.
Ethical hacker Sijmen Ruwhof zei dat de combinatie van de blootgestelde gegevens ongebruikelijk is. “Ik kan me geen bedrijf voorstellen waarvan zoveel gegevens zijn gelekt,” vertelde hij. Hackers verkregen standaard persoonlijke gegevens en IBAN-rekeningnummers, wat Ruwhof ongebruikelijk noemde. “Ze zijn ook in staat geweest om paspoort- of rijbewijsnummers te kopiëren. En die combinatie is vrij uniek; dit zijn uiterst gevoelige persoonlijke data.”
Volgens Odido kunnen de gestolen gegevens onder andere de volledige naam, adres en stad, mobiele telefoonnummer, klantnummer, e-mailadres, IBAN, geboortedatum en identificatiegegevens, inclusief paspoort- of rijbewijsnummers en hun geldigheid bevatten. Gegevens die niet zijn gestolen zijn wachtwoorden voor “My Odido”, belhistorieken, locatiegegevens, facturatie-informatie en scans van identiteitsdocumenten.
Ruwhof waarschuwde dat criminelen de gestolen gegevens kunnen gebruiken om zeer overtuigende fraude te plegen. “Met persoonlijke gegevens kunnen criminelen berichten versturen die uitzonderlijk echt lijken,” zei hij. “Zulke e-mails of sms-berichten kunnen uw werkelijke gegevens bevatten en doen alsof ze van een legitiem bedrijf komen.” Slachtoffers kunnen worden misleid om wachtwoorden in te voeren op nepwebsites. “Als je je wachtwoord daar invoert, wordt het naar criminelen gestuurd, waardoor ze nog meer toegang tot je leven krijgen.”
Hij merkte ook op dat criminelen slachtoffers kunnen imiteren wanneer ze bedrijven bellen. “Je moet vaak een paar vragen beantwoorden, zoals de laatste drie cijfers van je bankrekeningnummer, je postcode en je geboortedatum, om je te authentiseren,” zei hij. “Dat risico is zeker aanwezig. Criminelen kunnen zich als jou voordoen zonder contact met jou op te nemen, contracten afsluiten en andere vormen van fraude plegen.”
Ethical hacker Matthijs Koot zei dat de inbreuk hulpdeskfraude, bankfraude en andere oplichtingen kan verergeren. Hij beschreef de gestolen data als een waardevolle bron voor vijandige inlichtingendiensten, die telefonie- en adresgegevens van politici in kaart kunnen brengen of werknemers van overheidsinstanties, energiebedrijven en havens kunnen volgen.
Ruwhof zei dat de inbreuk aantoont dat Odido onvoldoende controle had toen de gegevens werden gestolen. “Zes miljoen records die lekken is enorm. Op het moment dat de gegevens werden gestolen, had de cybersecurityafdeling moeten ingrijpen,” zei hij. Hij voegde eraan toe dat de gegevens konden worden verkocht of gebruikt voor afpersing van het bedrijf. Odido weigerde te commentariëren of hackers eisen hadden gesteld.
Experts verklaarden ook dat het lek stalkers en doxxers kan helpen om slachtoffers te lokaliseren. Koot voegde toe dat criminelen, waaronder drugsdelinquenten, de informatie kunnen gebruiken om andere criminelen te identificeren die reguliere telefoonabonnementen gebruiken. “Een datalek als dit is werkelijk een van de ergste nachtmerrie-scenario’s,” vertelde hij.
Odido CEO Tisha van Lammeren zei dat het bedrijf pas begon met het melden aan klanten nadat de getroffen informatie was vastgesteld. “Je wilt geen onjuiste informatie delen,” zei ze, eraan toevoegend dat het tijdrovend is om miljoenen klanten te informeren. Ze weigerde te commentariëren over de toereikendheid van de beveiliging van het bedrijf of of de hackers eisen hadden gesteld. “De veiligheid van onze klanten is onze topprioriteit. Dat dit gebeurt, toont aan hoe sluw cybercriminelen zijn.”
