Gestolen data bij Odido zijn 'goud waard voor criminelen'
Deel dit artikel
De
hack bij telecomprovider Odido, waarbij toegang werd verkregen tot een bestand met gegevens van 6,2 miljoen accounts, is volgens deskundigen een van de grootste datalekken ooit in Nederland.
"Ik kan me niet een bedrijf voor de geest halen waarvan zoveel gegevens zijn gelekt", zegt ethisch hacker Sijmen Ruwhof.
Bij de hack zijn naast standaardpersoonsgegevens ook IBAN-nummers bemachtigd, wat niet vaak voorkomt, zegt Ruwhof.
"Ook hebben ze paspoort- of rijbewijsnummers weten te kopiëren. En die combinatie is best wel uniek; het zijn hele gevoelige persoonsgegevens."
Burgerservicenummers, bijvoorbeeld van scans van identiteitsbewijzen, zijn niet buitgemaakt.
Het is nog onduidelijk van hoeveel mensen de gegevens daadwerkelijk zijn gestolen. Dat zoekt Odido nu uit. De
inbraak werd afgelopen weekend ontdekt.
Wat is er volgens Odido mogelijk gestolen?
- Volledige naam
- Adres en woonplaats
- Mobiele nummer
- Klantnummer
- E-mailadres
- IBAN (rekeningnummer)
- Geboortedatum
- Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid)
Niet gestolen:
- Wachtwoorden van 'Mijn Odido'
- Belgegevens
- Locatiegegevens
- Factuurgegevens
- Scans van identiteitsbewijzen
Met de persoonsgegevens kunnen criminelen berichten sturen die er bijzonder echt uitzien, zegt Ruwhof. "Zoals e-mails of sms'jes waarin zij jouw persoonsgegevens opnemen en zich voordoen als een legitiem bedrijf. Omdat ze echte gegevens over je hebben, ziet zo'n bericht er heel authentiek en geloofwaardig eruit."
Ruwhof waarschuwt dat criminelen hiermee mensen proberen te verleiden om op linkjes te klikken die naar nepwebsites leiden. "Daar staat bijvoorbeeld een nepinlogscherm dat er heel echt uitziet. Als je daar je wachtwoord invoert, wordt het naar criminelen gestuurd, waardoor zij nog meer toegang tot je leven kunnen krijgen."
Met de gestolen gegevens kunnen criminelen ook op naam van iemand anders bedrijven bellen. "Dan moet je vaak een paar vragen beantwoorden, zoals de laatste drie cijfers van je bankrekeningnummer, je postcode en je geboortedatum, om je te authentiseren."
Dat risico is zeker aanwezig, zegt hij. "Criminelen kunnen zonder jou te benaderen zich voordoen als jou, contracten afsluiten en andere vormen van fraude plegen."
'Goudmijn voor inlichtingendiensten'
Ethisch hacker Matthijs Koot zegt dat criminelen de gestolen informatie kunnen misbruiken om bij hun slachtoffers vertrouwen te wekken. Hij waarschuwt voor een toename van helpdeskfraude, bankfraude en andere vormen van oplichting.
Volgens hem is de gestolen informatie ook een goudmijn voor vijandige inlichtingendiensten. "Die proberen continu hun potentiële doelwitten in kaart te brengen, bijvoorbeeld door telefoonnummers en woonadressen van bekende politici te achterhalen, of door informatie te verzamelen over medewerkers van (rijks)overheidsorganisaties, energiebedrijven en havenbedrijven."
Miljoenen
De datadiefstal laat volgens Ruwhof zien dat Odido niet in controle was. "Zes miljoen gegevens lekken is ontzettend veel. Op het moment dat de data werden gestolen, had de cybersecurity-afdeling al moeten ingrijpen", zegt hij.
"Zo'n grote hoeveelheid unieke set aan persoonsgegevens is heel veel geld waard. Het is heel goed mogelijk dat de criminelen de gegevens te koop gaan aanbieden", zegt Ruwhof. Volgens hem is het ook denkbaar dat de hackers Odido afpersen. Odido wil niet zeggen of het onder druk is gezet of wordt gechanteerd door de hackers.
Ook voor stalkers en doxxers (die persoonsgegevens delen om iemand te intimideren) kan de gestolen informatie relevant zijn omdat zij met een actueel telefoonnummer, woonadres en/of e-mailadres hun slachtoffers kunnen vinden.
Voor drugscriminelen kan het een manier zijn om gegevens te achterhalen van andere criminelen, zegt Koot. "Criminelen gebruiken niet altijd uitsluitend prepaid-simkaarten; ze kunnen ook voor privé-, familie- of vriendencontact een regulier betaald abonnement gebruiken. "Een datalek als dit is waarlijk één van de ergste horrorscenario's."
Communiceren duurt lang
"We zijn vanmiddag om 12.00 uur begonnen met het inlichten van onze klanten", zegt Odido-directeur Tisha van Lammeren tegen de NOS. "Dat gebeurde vanaf het moment dat duidelijk was op klantniveau welke gegevens zijn gestolen per klant." Dat kon niet eerder, zegt ze. "Je wil geen foutieve informatie delen."
Volgens Van Lammeren duurt het inlichten van klanten lang omdat het om miljoenen klanten gaat.
De directeur gaat niet in op de vraag of de beveiliging op orde was. "De veiligheid van onze klanten is onze hoofdprioriteit. Dat dit gebeurt geeft aan hoe slinks de cybercriminelen zijn."
Ook kan of wil Van Lammeren geen uitspraken doen over de vraag of duidelijk is wat de criminelen willen met de gegevens, of er bijvoorbeeld losgeld is geëist.
nos.nl
