Van 6,39 miljoen Odido-klanten belandden in februari gegevens op straat. De provider werd slachtoffer van een van de grootste hacks ooit in Nederland. Odido hield zich maandenlang gedeisd, maar nu blikt chief commercial officer Tisha van Lammeren terug.
Hoe kwamen jullie achter de hack?
Van Lammeren: "Op 5 en 6 februari werden er pogingen gedaan om gegevens te stelen van een medewerker en verdere toegang tot onze systemen te krijgen. Degene die belde deed zich voor als IT-helpdeskmedewerker en klonk heel professioneel. Ik heb de gesprekken zelf ook gehoord."
"De eerste poging werd vrij snel gezien en toen snel dichtgezet. Daarna hebben we medewerkers gewaarschuwd: pas op."
"Een dag later was er weer een poging. We merkten niet meteen dat er gegevens waren gestolen. Daar kwamen we op 7 februari achter, toen de eerste chantagemail van ShinyHunters binnenkwam. We zijn toen snel gaan onderzoeken."
De bende was toch binnengekomen en had data van klanten gestolen. Hoe kon dat gebeuren?
"De details kan ik niet delen. Als er bij jou wordt ingebroken, zet je dat ook niet op Instagram om anderen op ideeën te brengen. Maar ze zijn binnengekomen, dat is een feit."
"Het is een combinatie geweest van een menselijke schakel en de snelheid van criminelen. Het gebeurde zo snel, dat we het niet eens doorhadden."
"In Nederland zijn we de eersten die op deze grote schaal zijn aangevallen. Hier lagen geen draaiboeken voor klaar. Deze aanval was ongekend en gebeurde onder hoge druk."
Er kwam vanuit klanten kritiek dat Odido hen niet sneller en uitvoeriger op de hoogte bracht. Herken je dat beeld?
"Vanaf 12 februari zijn we onze klanten gaan e-mailen. Maar ondertussen waren we ook bezig met een diep onderzoek naar miljoenen bestanden. We moesten uitzoeken wat er precies per klant gestolen was."
"De stilteperiode was lastig voor klanten. Zij hadden meer tussentijdse updates verwacht, meer dan alleen een website. Dat is een les: nog intensiever met klanten communiceren en het ook vertellen als we iets gewoon nog niet weten. Misschien hadden we elke twee weken een update per mail kunnen sturen."
Jullie waren resoluut in het besluit om ShinyHunters niet te betalen. Sta je daar nog achter?
"Het gaat niet eens om het geld. En als werknemers, bestuurders en hun kinderen worden bedreigd, overweeg je echt wel om te betalen. Ik zeg dat niet om sympathie te wekken, want klanten hebben er weinig aan, maar het geeft aan dat criminelen bereid zijn om ver te gaan."
"We hebben ons laten adviseren door het ministerie van Justitie en Veiligheid, de politie en cybersecurityexperts. Het werd snel duidelijk dat het heel onverstandig is om je als bedrijf in te laten met een criminele organisatie. Het geeft schijnzekerheid, we horen vaker dat betalen geen garantie is en dat gegevens alsnog kunnen lekken."
Op 26 februari publiceerde ShinyHunters miljoenen gegevens van Odido-klanten op het darkweb. Van Lammeren noemt dat "een heel donkere dag". Naar aanleiding van dit gesprek heeft NU.nl nog een rondgang gemaakt langs cybersecuritydeskundigen. Zij snappen dat er niet is betaald. Criminelen beloven de gegevens te verwijderen, maar doorgaans blijven gegevens ergens opgeslagen. Die kunnen op andere manieren alsnog worden verhandeld of uitlekken.
Is het niet vreemd dat de hackers zo makkelijk bij gegevens van miljoenen klanten kunnen komen?
"Ik vind het niet zo gek dat er zoveel data bij elkaar staan. Weet je hoeveel gesprekken we elke dag voeren en wat daarvoor nodig is? We krijgen moeilijke vragen. Als je die mensen op een goede manier wil helpen, is die toegang tot gegevens noodzakelijk. Je kunt proberen cyberaanvallen af te vangen met protocollen en veel monitoring, maar het is altijd een balans: kun je je werk nog doen?"
Deskundigen snappen dat. Toch vragen ze zich af of er geen andere stappen mogelijk waren, zoals via een systeem een seintje geven als een werknemer meer dan dertig accounts op een dag bekijkt. Zo voorkom je dat werknemers stiekem grasduinen in gegevens én dat ongezien 6,39 miljoen gegevens weglekken. Hoe dat bij Odido is geregeld, is onbekend.
Odido zal mensen van wie gegevens zijn gelekt niet compenseren. Daar ontstond commotie over. Klanten hebben er niet voor gekozen om hun data te lekken, maar krijgen nu wel met de gevolgen te maken. Hoe leg je dat uit?
"Ik kan me voorstellen dat klanten daar niet blij mee zijn. We compenseren wél als er een langdurige storing is die te lang duurt. Dan zijn we wettelijk verplicht om te compenseren, want de klant ondervindt daar direct schade van. Deze situatie leent zich daar niet voor. ShinyHunters heeft ons aangevallen, de data gestolen en die gepubliceerd. Als een klant geen aantoonbare schade heeft ondervonden door het lek bij Odido, compenseren wij niet."
Maar als dat wel zo is, komt de klant er nooit achter.
"Ik snap het gevoel. Maar als we jou nu 10 euro geven, lost dat niets op. Het belangrijkste is dat we nog beter bestand zijn tegen toekomstige, geavanceerde aanvallen en dat onze klanten de tools aangereikt krijgen om zich ertegen te beschermen."
"Voor ons is nu de vraag: hoe krijgen we het vertrouwen van klanten terug? Dat zijn we hierdoor kwijtgeraakt. We geloven dat we het terug kunnen winnen door hulp te bieden. Compensatie helpt daar niet bij."
Ruim 350.000 gedupeerden hebben zich aangesloten bij een massaclaim tegen Odido. Privacystichting Consumers United in Court (CUIC) startte de claim na de hack. De initiatiefnemers vinden dat Odido klantgegevens niet goed en te lang hebben bewaard.
Ondertussen zijn de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur ook onderzoeken gestart naar de bewaartermijnen van klantgegevens bij Odido.
Source: Nu.nl economisch