Omdat Odido de criminele hackersgroep Shinyhunters niet wil betalen, zetten de hackers stapsgewijs de gestolen data van miljoenen klanten uit Nederland online. Waarom betaalt Odido niet, zoals andere organisaties wel deden?
Waarom delen de hackers niet alle data in één keer?
De hackersgroep Shinyhunters, een los verband van criminele hackers, hanteert een uitgekiende mediastrategie. De groep steelt data om daar geld mee te verdienen. Dat doen ze door de getroffen bedrijven onder druk te zetten om te betalen voordat de gestolen data online worden gezet. Shinyhunters is vermoedelijk sinds 2019 actief en heeft op deze manier al honderden slachtoffers gemaakt.
Om succesvol te zijn, zoekt de groep actief contact met media om de hack in de openbaarheid te krijgen. Dat doen ze middels verklaringen, directe contacten met journalisten en het stapsgewijs lekken van data. Meer aandacht is meer druk op het getroffen bedrijf.
Hoe uitzonderlijk is de diefstal?
Internationaal zijn er datalekken geweest waarbij de gegevens van honderden miljoenen accounts (zoals bij Yahoo in 2014) werden gelekt. Maar dat zoveel data in één keer in Nederland worden gestolen en gepubliceerd, is bijzonder, al helemaal omdat het om zulke gevoelige data gaat. Het gaat volgens Odido om de gegevens van zeker 6,2 miljoen mensen: onder meer telefoonnummers, rekeningnummers, en nummers van een paspoort of rijbewijs. De hackers zelf claimen nog meer data te hebben.
Hoewel de omvang uitzonderlijk is, zijn datalekken dat allerminst. Datalekken komen bijna twintigduizend keer per jaar in Nederland voor. Ook worden gegevens gehackt door partijen die hun werk niet openbaar maken. Zo schreven inlichtingdiensten in 2022 dat in Nederland ‘grootschalige vergaring van persoonsgegevens door China’ plaatsvindt.
Waarom betaalt Odido niet?
Shinyhunters is geen traditionele afpersgroep. Traditionele afpersers zetten software in waarmee ze data van een bedrijf ‘gijzelen’ totdat die overgaat tot betaling. Ze onderhandelen met het slachtoffer en als die betaalt, verstrekken afpersers een decryptiesleutel zodat het slachtoffer weer toegang krijgt tot de gegevens.
Die onderhandelingen verlopen doorgaans vriendelijk en professioneel. Na afloop krijgen de getroffen bedrijven een rapport met aanbevelingen hoe ze hun netwerk voortaan beter kunnen beveiligen.
De KNVB betaalde naar verluidt een miljoen euro aan een groep criminele hackers. Voor traditionele afpersers is hun reputatie belangrijk: houden ze zich niet aan de afspraken, dan betaalt een volgend slachtoffer mogelijk niet.
Shinyhunters opereert anders. Niet zelden maken de hackers gebruik van intimidatie en bedreiging, concludeerde het Amerikaanse beveiligingsbedrijf Unit 221B eerder deze maand. Ze staan bovendien bekend als onbetrouwbaar. De hackers overdrijven over wat ze in handen hebben en geven data niet altijd terug als slachtoffers betalen. De politie adviseerde Odido dan ook om niet in te gaan op de afpersing.
Kan iedereen de data inzien?
In theorie wel. Maar let op: het downloaden van dit soort gehackte data kan strafbaar zijn. Bovendien is het voor een normale internetgebruiker even zoeken: de gegevens worden gepubliceerd op ‘leak sites’ op het darkweb, een afgeschermd deel van het internet dat enkel toegankelijk is met speciale webbrowsers.
Als Odido-klanten willen weten of hun gegevens gestolen zijn, kunnen ze gebruikmaken van sites als Have I Been Pwned. Die site houdt permanent bij welke data zijn gelekt en maakt dat met een simpele tool duidelijk. Als gegevens daartussen staan dan is het in elk geval aan te raden het wachtwoord te wijzigen dat bij het account hoort en alert te zijn op phishingberichten.
Wat kunnen we nog verwachten?
De criminelen zullen proberen Odido verder onder druk te zetten. Dus gaan ze waarschijnlijk de komende dagen door met het publiceren van data. De kans is klein dat Odido alsnog overstag gaat en betaalt.
Wel roept deze zaak, net als eerder bij het lek rond Bevolkingsonderzoek Nederland, opnieuw de vraag op waarom organisaties zo ontzettend veel gegevens bewaren. Soms is daar een wettelijke noodzaak voor. Maar in het geval van Odido lijkt het ook te gaan over gegevens van oud-klanten die al jaren geen abonnement meer hebben bij Odido. Bij ieder nieuw datalek valt op dat bedrijven ruimhartig verzamelen, terwijl dataminimalisatie een wettelijk vereiste is.
Geselecteerd door de redactie
Source: Volkskrant