Telecomprovider Odido heeft de criminele hackersgroep Shinyhunters geen losgeld betaald om publicatie van de gestolen data te voorkomen. Dat leverde het bedrijf veel kritiek op van getroffen klanten. Toch was niet betalen de enige juiste beslissing, onderstrepen cyberexperts en ingewijden.
Hackersgroep Shinyhunters wist midden februari de gegevens van 6,2 miljoen Odido-klanten te stelen. De groep maakte daarbij gebruik van zogeheten social engineering. Cybercriminelen doen zich dan voor als collega of medewerker van de IT-afdeling om toegang te krijgen tot interne systemen.
Met die toegang konden de hackers de klantgegevens buitmaken. Daarna startte Shinyhunters een afpersingscampagne. Odido werd onder druk gezet om ongeveer 1 miljoen euro te betalen om publicatie van de data te voorkomen.
Zoals je in het artikel hieronder kunt lezen, zochten de criminelen daarbij actief contact met Nederlandse media. Ze hoopten dat Odido onder druk van negatieve publiciteit alsnog zou betalen.
Na het ontdekken van het datalek schakelde Odido direct de politie en cybersecurityexperts in, vertellen ingewijden aan NU.nl. Zowel de politie als de experts adviseerden het bedrijf om niet met Shinyhunters te onderhandelen en geen losgeld te betalen.
"Vooropgesteld, het gevraagde bedrag is voor een bedrijf als Odido geen enkel probleem om op tafel te leggen", zegt een bron rondom Odido. "Maar Odido heeft besloten daar niet op in te gaan omdat het bedrijf zich niet wil inlaten met criminelen."
Veel getroffen klanten uitten kritiek op dat besluit. Zij vonden dat Odido geen verantwoordelijkheid nam voor het datalek. Sommigen dachten dat de gegevens na betaling veilig zouden zijn. Er werd zelfs een crowdfundingsactie opgezet om het losgeld bij elkaar te krijgen.
Het idee dat betalen publicatie voorkomt, noemt cybersecurityexpert Dave Maasland van beveiligingsbedrijf ESET "complete onzin". Criminele groepen kunnen data onder een andere naam alsnog publiceren of doorverkopen. "Er is veel reden om aan te nemen dat deze groep niet te vertrouwen is. Door te betalen, maak je ze alleen maar krachtiger. En als je meegaat in de onderhandelingen, hebben ze je. Dan blijf je in een cyclus van afpersing zitten."
Bij cyberaanvallen waarbij data wordt gestolen en gebruikt voor afpersing, moeten organisaties volgens Lisa de Wilde meestal twee belangrijke keuzes maken. De eerste vraag is of een bedrijf überhaupt contact opneemt met de aanvallers. Daarna volgt de vraag of er betaald zal worden. De Wilde is een zogenoemde Cyber Incident Responder, oftewel een 'digitale brandweervrouw', en wordt vaak door bedrijven ingeschakeld om hen te helpen bij grote cyberincidenten.
Die afweging hangt niet alleen af van het gevraagde bedrag, zegt De Wilde. Experts kijken ook naar het gedrag en de reputatie van de criminele groep. Daarbij telt mee of eerdere afspraken zijn nagekomen. Die informatie wordt afgezet tegen de impact op het bedrijf, de klanten en de systemen.
"Zowel de politie als de ingeschakelde cybersecurityexperts gaven richting Odido aan dat Shinyhunters erom bekend staat afspraken niet na te komen", zegt de bron. "Zij verwijderen de data niet en verspreiden deze alsnog, zelfs als je betaalt. Odido had dus geen enkele garantie dat de data niet alsnog ergens zou opduiken."
Shinyhunters is volgens Maasland geen strak georganiseerde criminele bende. Het gaat om een losse online gemeenschap van individuen. Dat maakt de groep moeilijk voorspelbaar.
Veel mensen onderschatten volgens De Wilde hoe groot de druk is binnen organisaties tijdens een cyberincident. "In crisisteams wordt vaak letterlijk dag en nacht gewerkt om te begrijpen wat er is gebeurd en hoe de schade kan worden beperkt."
"Als ik bij een organisatie kom tijdens zo'n incident, zie ik regelmatig mensen die niet meer eten en slapen en soms zelfs niet eens meer hun laptop durven aan te raken", vertelt De Wilde. "Er hangen enorme gevolgen aan de keuzes die je maakt. Dat kan bij betrokkenen zelfs in psychische klachten resulteren."
Odido kreeg ook veel kritiek vanwege het ogenschijnlijke gemak waarmee de cybercriminelen zoveel data konden stelen. Ook daarover is De Wilde helder: een menselijke fout betekent niet automatisch dat een organisatie haar beveiliging niet op orde heeft.
In de cybersecuritywereld geldt volgens De Wilde de harde realiteit dat elke organisatie uiteindelijk slachtoffer kan worden van een aanval. "Als cybercriminelen binnen willen komen, komen ze binnen."
Hoewel Shinyhunters de aanval presenteerde als afpersing, is het de inschatting van Odido en cyberexperts dat het de groep vooral om imagoschade te doen was. "En dat is gelukt."
Zowel de politie als het Openbaar Ministerie doen onderzoek naar Shinyhunters. Vanwege de lopende onderzoeken doet Odido zelf geen uitspraken over de zaak.
Source: Nu.nl economisch