Het is officieel mis. De beruchte hackersgroep ShinyHunters heeft gegevens van honderdduizenden Odido-klanten op het darkweb gezet. De groep had eerder al gedreigd dat te doen als er geen losgeld zou worden betaald. Dat de data nu online circuleert, wijst erop dat Odido niet is ingegaan op de eisen.
De hackers laten er weinig misverstand over bestaan. “Jullie weten ons te vinden,” schrijven ze richting Odido, met de toevoeging dat hun aanbod om te onderhandelen nog steeds staat. Of dat bluf is of een laatste poging om druk te zetten, is onduidelijk. Feit is dat de gegevens inmiddels rondgaan op plekken waar je liever niet genoemd wordt.
In de gepubliceerde bestanden staan gevoelige persoonsgegevens van (oud-)klanten. Denk aan ID-gegevens, geboortedata, e-mailadressen en telefoonnummers. Volgens berichtgeving bevat het lek ook ongeveer 275.000 IBAN-nummers. Dat maakt het direct een stuk serieuzer dan alleen “wat contactgegevens”.
Daarnaast zouden er interne notities zijn gelekt, bijvoorbeeld aantekeningen over klanten met betalingsproblemen. Dat is precies het soort informatie waar criminelen dol op zijn. Mensen die financieel kwetsbaar zijn, zijn namelijk sneller geneigd om in te gaan op een zogenaamd aantrekkelijk aanbod of een dringende betalingsmail.
Eerder meldde Odido zelf dat bij een cyberaanval gegevens van ongeveer 6,2 miljoen klanten zijn buitgemaakt. Daarmee gaat het om een van de grootste datalekken ooit in Nederland. Het Openbaar Ministerie is inmiddels een strafrechtelijk onderzoek gestart, maar inhoudelijk wordt daar voorlopig weinig over gedeeld.
De naam ShinyHunters duikt vaker op bij grote internationale datalekken. De groep staat bekend om het hacken van grote bedrijven en het vervolgens verkopen of publiceren van gestolen databases. Hun werkwijze is simpel: inbreken, data buitmaken, losgeld eisen en – als er niet wordt betaald – (delen van) de buit online zetten.
Cybersecurity-experts waarschuwen al langer dat betalen geen garantie is dat gegevens geheim blijven. Ook als een bedrijf over de brug komt, kan data alsnog later opduiken in andere pakketten of opnieuw verkocht worden.
Als jouw gegevens in deze database zitten, kun je het lek niet meer terugdraaien. Maar je kunt wél schade beperken.
Wees extra alert op phishingmails en sms’jes. Criminelen kunnen jouw naam, geboortedatum of IBAN gebruiken om een bericht geloofwaardig te laten lijken. Klik niet zomaar op links, zeker niet als er druk wordt gezet met woorden als “direct betalen” of “laatste waarschuwing”.
Controleer je bankrekening regelmatig op onbekende afschrijvingen. Zie je iets verdachts, neem dan direct contact op met je bank. Verander ook je wachtwoorden, vooral als je hetzelfde wachtwoord op meerdere plekken gebruikt. Gebruik waar mogelijk tweestapsverificatie.
Word je gebeld door iemand die zegt van Odido of een andere instantie te zijn en om persoonlijke gegevens vraagt? Hang op en bel zelf het officiële nummer van het bedrijf terug.
Het belangrijkste: raak niet in paniek, maar blijf scherp. Met miljoenen buitgemaakte gegevens is dit geen klein incident, maar een serieus beveiligingsprobleem. En zolang de data op het darkweb circuleert, zullen criminelen blijven proberen er geld uit te slaan.
Dit dossier is dus nog lang niet klaar.
Lees het artikel op de mobiele website