nieuwsbriefNRC Voorkennis
NRC Voorkennis De hackers die gegevens van miljoenen Odido-klanten buitmaakten, dreigen vandaag te beginnen met het openbaar maken van die gegevens. Wat doet Odido om dat te voorkomen?
De groep hackers geeft de provider een laatste waarschuwing voordat ze de klantgegevens openbaar maken.
Komen vanaf vandaag de gegevens van miljoenen Odido-klanten op straat te liggen? Hackerscollectief ShinyHunters dreigt deze donderdagochtend gestolen persoonlijke data van enkele miljoenen huidige en voormalige Odido-klanten openbaar te maken, tenzij het telecombedrijf een „klein bedrag van zeven cijfers” betaalt.
Een miljoen euro dus, of meer. Op zich te doen, voor een bedrijf met elk jaar een miljardenomzet. Hoe serieus moeten we die eis nemen? En kan Odido de openbaarmaking van al die gevoelige klantgegevens (namen, adressen, telefoonnummers, bank- en paspoortgegevens) inderdaad nog voorkomen door losgeld te betalen?
Dit is een ingekorte versie van de NRC Voorkennis-nieuwsbrief. Twee keer per week schrijft de economieredactie van NRC daarin over economische ontwikkelingen die op de redactievloer tot opwinding leiden. Inschrijven (voor Plus-abonnees) doe je hier:
Inschrijven voor NRC Voorkennis
We weten dat ook het OM inmiddels naar de kwestie kijkt. Het bedrijf zelf doet geen enkele mededelingen over wat het van plan is en hoe contact met het hackerscollectief verloopt, dus heeft het zin om naar eerdere vergelijkbare hacks te kijken: hoe verliepen die? Twee recente voorbeelden suggereren dat de claim past binnen de werkwijze van hackers die onderdeel zijn van ShinyHunters, én dat Odido wel degelijk invloed heeft op wat er gaat gebeuren.
Kijk maar eens wat er in 2024 bij de Amerikaanse telecomgigant AT&T gebeurde nadat hetzelfde ShinyHunters toesloeg. De hackers stalen daar de gegevens van tientallen miljoenen klanten en dreigden die openbaar te maken – tenzij AT&T een bedrag van 1 miljoen dollar zou betalen.
Het telecombedrijf wist die eis omlaag te onderhandelen naar 370.000 dollar, zo reconstrueerde technologiemagazine Wired achteraf aan de hand van gesprekken met direct betrokkenen. Na betaling van het losgeld (in de vorm van bitcoins) begonnen de hackers met het verwijderen van de gestolen data. Ze stuurden AT&T een video daarvan als bewijs.
Voor AT&T zat de grootste financiële schade in iets anders dan het betaalde losgeld: het bedrijf trok vorig jaar 177 miljoen dollar uit om klanten wier gegevens gestolen waren, te compenseren. De digitale beveiligingsmuren van het bedrijf hadden immers gefaald.
Veel experts zijn ervan overtuigd dat, net als bij AT&T, de Odido-hackers geen klantendata zullen publiceren als het bedrijf losgeld zou betalen. Dat gaat immers in tegen hun eigen verdienmodel: „Als ze na het verkrijgen van het losgeld alsnog de buitgemaakte data verkopen, zouden ze behoorlijke reputatieschade oplopen. Toekomstige slachtoffers zouden dan niet meer betalen,” zei bijvoorbeeld ethisch hacker Sijmen Ruwhof in NRC.
Een andere roemruchte hack door ShinyHunters betrof het kaartjesplatform Ticketmaster. In mei 2024 wisten de hackers persoonlijke gegevens van zeker 40 miljoen klanten buit te maken. De hackers eisten vervolgens een bedrag van 500.000 dollar om verdere verspreiding van de data te voorkomen.
Ticketmaster weigerde losgeld te betalen, waarna de hackers in juli daadwerkelijk begonnen met het openbaar maken van de gestolen data. Ook voor het ticketplatform dreigen nog miljoenenclaims van gedupeerde klanten: verschillende advocatenkantoren werken op dit moment aan massaschadezaken om het bedrijf tot schadevergoeding te bewegen.
In het bedrijfsleven bestaat geen consensus over wat het verstandigste is in het geval van een hack: onderzoeksbureau Ponemon Institute concludeerde vorig jaar na onderzoek dat ongeveer de helft van de getroffen bedrijven wél ingaat op losgeldeisen van hackers, de andere helft niet.
Criminele hackers – waarschijnlijk hebben ze ook last van inflatie – schroeven hun financiële eisen steeds verder op, noteerde computergigant IBM onlangs. Vroegen ze in 2023 gemiddeld circa 1,8 miljoen dollar na een hack, in 2024 eisten ze gemiddeld 2,73 miljoen dollar in ruil voor het niet openbaar maken van gesloten data. Het gemiddelde losgeld dat bedrijven betaalden, steeg in dezelfde periode van 200.000 naar 1,5 miljoen dollar.
Odido zou ook een voorbeeld kunnen nemen aan cryptoplatform Coinbase: „We said no,” schreef het bedrijf vorig jaar in dikgedrukte letters op de site nadat hackers data van 70.000 klanten in handen kregen en 20 miljoen dollar losgeld eisten. Coinbase trok wel 20 miljoen dollar uit, maar dan voor tips die zouden leiden tot het arresteren van de hackers. Begin dit jaar werd een voormalig medewerker van Coinbase’s klantenservice in India gearresteerd.
Wat vindt u: moet Odido ingaan op de losgeldeis van de hackers om erger te voorkomen? Of is dat onnodig buigen voor criminelen? Laat het me weten viastefan.vermeulen@nrc.nl
Doorzie de wereld van technologie elke week met NRC-redacteuren