De hackers die eerder deze maand Odido de gegevens van 6,2 miljoen klanten ontfutselden, dreigen hun buit op internet te zetten, tenzij het belbedrijf een ‘losgeld’ betaalt. Welke gevaren lopen klanten als dat inderdaad gebeurt?
is nieuwsverslaggever van de Volkskrant.
Wat voor gegevens zijn er buitgemaakt bij Odido, de grootste mobiele aanbieder van Nederland?
In het weekeinde van 7 en 8 februari kreeg Odido lucht van een datalek. Na onderzoek bleken gegevens te zijn gestolen van zeker 6,2 miljoen en mogelijk 8 miljoen huidige en voormalige klanten, niet alleen van Odido maar ook van het budgetdochterbedrijf Ben.
Cybercriminelen hadden zich bij de klantenservice voorgedaan als collega’s van de ict-afdeling. Zo wisten ze de inloggegevens van medewerkers los te peuteren. Daarna hadden ze toegang tot het klantenbestand van Odido. Op 12 februari bracht Odido het nieuws van de inbraak naar buiten.
Volgens het belbedrijf gingen de hackers er vandoor met de naam van klanten, hun adres en telefoonnummer, geboortedatum, e-mailadres, bankrekeningnummer en nummers van identiteitsbewijzen, inclusief de geldigheidsdatum. De data die zijn gestolen, verschillen per klant. Odido zegt dat de inbrekers niet beschikken over de wachtwoorden waarmee klanten op zijn systemen inloggen, evenmin over de belgeschiedenis of locatiegegevens die de provider opslaat.
Wie zijn de hackers en wat eisen ze?
De verantwoordelijkheid voor de inbraak is opgeëist door Shinyhunters, een alom beruchte groep hackers die zich heeft gespecialiseerd in cyberinbraken bij bedrijven en instanties. In alle gevallen eist Shinyhunters een ‘losgeld’ om alle gestolen gegevens terug te geven. Dat blijkt nu ook bij Odido het geval.
Het belbedrijf moet volgens berichtgeving van RTL Nieuws een bedrag met zeven cijfers – dus in elk geval 1 miljoen euro – betalen. Als Odido dat voor donderdag niet doet, dreigt Shinyhunters de gegevens vrij te geven op het dark web.
Dat ‘donkere’ web is een schimmige uithoek van het internet, onbereikbaar met gewone webbrowsers en ook niet geïndexeerd door zoekmachines als Google. Om die reden is het een vrijplaats waar criminele hackers, terroristen en pedoseksuelen zich onbespied wanen.
Wat kan er gebeuren als Shinyhunters al die klantgegevens lekt?
Daarmee geven de hackers andere computercriminelen de mogelijkheid om mensen op te lichten. Ze kunnen zich voordoen als Odido of een bank per e-mail, sms of whatsapp-bericht en daarin een link verbergen waarmee ze een bankrekening kunnen plunderen of nog meer gegevens achterhalen van gedupeerden. Ze kunnen ook op naam van de klant bestellingen online doen, of abonnementen afsluiten – zeker bij bedrijven die het niet zo nauw nemen met beveiliging.
Wat kunnen Odidoklanten doen om de schade te beperken?
Odido raadt zijn klanten aan extra alert te zijn op verdachte berichten en belletjes, en ook hun bankafschriften goed in de gaten te houden. De Consumentenbond waarschuwt om niet in te gaan op verdachte verzoeken, zoals het installeren van software of het intikken van webadressen. Sta nooit wachtwoorden of pincodes af. Vraag de beller om identificatie, hang op en bel de onderneming die je zou hebben benaderd via het nummer dat op de officiële website staat.
Hoewel Odido zegt dat de wachtwoorden niet zijn gelekt, is het aan te raden die voor kritieke websites en toepassingen zoals e-mail te wijzigen. Het is sowieso af te raden om een wachtwoord voor meer dan één dienst, website of e-mailaccount te gebruiken.
Wat doet Odido om de gevolgen van het datalek in te perken?
De provider kondigde maandag aan zijn klanten gratis een abonnement van twee jaar te schenken op een pakket met beveiligingssoftware, voor zowel Windows- als Mac-computers als voor mobieltjes en tablets. De dienst stopt daarna automatisch.
Compensatie voor eventueel geleden schade is volgens Odido nog niet aan de orde. Het verwijst daarvoor naar een advies van het Centraal Meldpunt Identiteitsfraude (CMI) van de overheid. Dat stelt dat er geen reden is om bijvoorbeeld een nieuw paspoort of rijbewijs aan te vragen. Met de huidige buit kunnen criminelen niet zomaar bij je bankrekening of andere fraudegevoelige diensten, aldus het CMI.
Geselecteerd door de redactie
Source: Volkskrant