Odido heeft tot donderdag de tijd om de hackersgroep Shinyhunters losgeld te betalen. Anders dreigt de bende elke dag een miljoen klantgegevens online te zetten. Odido staat daarmee voor een lastige keuze, met vervelende uitkomsten.
"Betaal gewoon en voorkom een landelijke crisis", schrijft Shinyhunters op zijn pagina op het darkweb. "We vragen maar een paar cent per persoon en hebben al meerdere keren gezegd over het bedrag te kunnen onderhandelen."
Shinyhunters is een van de beruchtste hackersgroepen van de afgelopen jaren. Eerder perste het bedrijven als Pornhub en Ticketmaster af. Nu heeft het Odido in het vizier. De provider bracht eerder deze maand zelf het nieuws over een enorm datalek naar buiten. Hackers zouden bij een aanval toegang hebben gekregen tot gegevens van zeker 6,2 miljoen klanten.
Die worden vanaf donderdag op het darkweb gepubliceerd als Odido niet betaalt, zegt de bende. En die dreiging moet serieus worden genomen, zeggen deskundigen tegen NU.nl.
"Het gebeurt niet vaak dat data uitlekken, maar we weten dat ze het zullen doen", zegt Dave Maasland van cybersecuritybedrijf ESET Nederland. "Als er geen gegevens online komen, heeft het bedrijf waarschijnlijk betaald of een andere deal gesloten."
Shinyhunters is geen bende die bestanden gijzelt en versleutelt in ruil voor losgeld. De groep steelt gegevens en perst bedrijven daarna geld af door te dreigen die informatie te publiceren.
Dat maakt de groep ook onvoorspelbaarder, zegt cybersecurityexpert Erik de Jong van Tesorion. "Je weet niet wat er gebeurt als je hebt betaald. Er zijn gevallen bekend van hackersgroepen die de data niet publiceren, maar waarbij de autoriteiten later nog wel de gestolen data aantroffen op hun systemen."
Niet publiceren is dus niet hetzelfde als helemaal verwijderen. En dat de gegevens nooit uitlekken., is dus ook niet met zekerheid te zeggen. De criminelen kunnen bijvoorbeeld kleinere pakketjes samenstellen met informatie uit de berg van Odido-data en die op een andere naam doorverkopen. Dan wordt het lastig om de informatie te herleiden tot de hack bij Odido.
Wat Shinyhunters precies aan losgeld vraagt is onduidelijk, al denken experts aan een bedrag tussen de 1 en 5 miljoen euro. Odido staat voor een lastige keuze, zegt De Jong. "Als je niet betaalt, heb je als bedrijf de acute pijn dat klantgegevens op straat komen te liggen. Aan de andere kant is de schade al geleden. De data zijn al gelekt, dat kun je niet terugdraaien. Je kan het bijna niet goed doen."
In de meeste gevallen adviseren cybersecurityexperts om niet te betalen, zegt De Jong. Maasland is het daarmee eens. Hij zegt dat organisaties ook de maatschappelijke kosten op de lange termijn in overweging moeten nemen. "Als je nu betaalt, komen ze de volgende keer beter bewapend terug", zegt Maasland. "Met het geld dat een bedrijf investeert, werven zij nieuwe mensen en middelen om aanvallen uit te voeren."
De directeur van ESET Nederland zegt dat Shinyhunters zonder heel technische middelen binnenkomt bij grote bedrijven. De criminelen ontfutselen inloggegevens van medewerkers en krijgen daarmee verregaande toegang tot systemen. "Als een systeem je vertrouwt, zijn er doorgaans bijna geen tegenmaatregelen meer". zegt Maasland. "Zie het zo: heb je de voordeursleutel, dan kun je doorlopen naar de woonkamer en de slaapkamer. En dan kun je veel data uit de computers trekken."
Als het aan hem ligt, moeten bedrijven veel meer rekening houden met het scenario dat hackers op deze manier binnenkomen. "Waar kunnen medewerkers allemaal bij als ze in een systeem zitten? Wie krijgt er een melding als data uit computers worden gehaald?"
Voor Odido-klanten die een mail hebben gekregen dat er mogelijk data zijn gelekt, zit er niets anders op dan afwachten. De Jong zegt dat ze moeten uitgaan van het ergste scenario en dat de gegevens al zijn gelekt.
Om op de hoogte te blijven van gelekte data, wordt mensen aangeraden zich in te schrijven bij Check je hack van de politie. Als de autoriteiten je e-mailadres vinden in een gestolen dataset, krijg je daarover direct een melding. Op internationaal niveau kun je terecht bij Have I Been Pwned.
Source: Nu.nl economisch