Odido De reputatie van hackersgroep Shinyhunters speelde mee in het besluit van Odido om geen losgeld te betalen. Het leidde tot een van de grootste publieke datalekken van Nederland. De groep wil z’n reputatie graag oppoetsen. „Hallo, bedankt voor uw bericht. Wat wilt u precies weten?”
Het antwoord komt snel. „Hi! Bedankt voor uw email, we willen ook graag met u in contact komen. U kunt ons via deze naam op Signal vinden.” Ondertekend: „KR SH”.
Een uur daarvoor, op 4 maart om 13.13 uur, stuurden we een mail met een interviewverzoek naar shinycorp@tutanota.com, een e-mailadres van de groep Shinyhunters dat we op hun eigen site op het darkweb vonden. Dat is de hackersgroep die in februari data van telecomprovider Odido en dochterbedrijven Ben en Tele2 stal en publiceerde.
Tien minuten na het antwoord is het contact via de beveiligde chat-app gelegd. De naam is een puntje, het plaatje is van een getekend oranje vosje – een standaardafbeelding in de Signal-app.
„Hallo, bedankt voor uw bericht. Wat wilt u precies weten?”
We leggen uit wie we zijn – verslaggevers van NRC – en wat we willen begrijpen van de keuze om gevoelige data van miljoenen Nederlanders op straat te gooien. Wie zijn ze? Wat is er gebeurd? Had het ook anders af kunnen lopen? Maar vooral: kunnen we in gesprek komen?
Het antwoord is snel en beleefd. „We communiceren via dit kanaal”, schrijft het vosje in formeel Engels, met hier en daar een spelfout. „We zullen de vragen beantwoorden die we kunnen beantwoorden. We sturen de antwoorden genummerd terug, dank u wel.”
Goed, eerste vraag: wie is dit vosje?
„U spreekt met de belangrijkste woordvoerder van deze groep. Ik ben gemachtigd en ik ben goed genoeg geïnformeerd om u te antwoorden. Ik overleg met onze leiding over de antwoorden en we nemen contact met u op.”
Tweede vraag: wat is Shinyhunters?
„Het antwoord op de vraag zou heel lang zijn. Ik heb de Wikipedia-pagina over onszelf gelezen, en ik kan bevestigen dat vrijwel alles correct is.” Hij – een hij, onze aanname – stuurt de Wikipedialink mee. „Wij zijn geen gecompliceerde, noch een complexe organisatie”, schrijft hij. Hij vertelt dat de groep al zeven jaar als Shinyhunters opereert. „We breken simpelweg bij bedrijven in en benaderen discreet de top voor een schikking. Anderen noemen dat ‘losgeld’ of ‘afpersing’.”
In de dagen erna ontvouwt zich een lang en uitvoerig gesprek over het hoe en waarom van het Odido-hack, een van de grootste datalekken uit de Nederlandse geschiedenis. Het lek is ernstig door de combinatie van gevoelige gegevens als bankrekeningnummers, adressen en paspoortnummers. Het geeft criminelen de komende jaren meer kansen om mensen te misleiden en te bestelen.
We weten niet met wie we appen, en we weten ook niet zeker of deze persoon echt bij Shinyhunters hoort. Wel beantwoordt hij al onze vragen snel en gedetailleerd, soms stuurt hij screenshots van mails, stukjes code en exacte tijdstippen van handelingen mee.
Eerst het verhaal volgens de dieven zelf, daarna lopen we hun beweringen af. Zo ging de inbraak volgens de hackersgroep:
Op 3 februari doet iemand die voor Shinyhunters werkt zich voor als een IT-medewerker van Odido en weet een medewerker van de klantenhelpdesk te verleiden zijn wachtwoorden te geven. Het is een gewoon belletje naar het helpdesknummer, van een levend persoon. „Onze persoon sprak vloeiend Nederlands.” Geruchten dat het een bot zou zijn kloppen volgens de hackers niet.
Die medewerker krijgt de instructie om in te loggen op een website van Odido. In werkelijkheid is dat een façade, gebouwd door Shinyhunters. De groep vangt zo wachtwoord, gebruikersnaam en andere inlogbeveiligingen af. Met die gegevens loggen de hackers daarna in alsof ze zelf een helpdeskmedewerker zijn en bemachtigen ze toegang tot het klantmanagementsysteem, Salesforce. Even worden ze uit het systeem gegooid, maar ze weten al snel weer binnen te komen.
Eenmaal ín het systeem gebruiken ze technische toegangswegen van Salesforce zelf om de gegevens eruit te trekken, wat op 5 februari gebeurt. Dat duurt volgens de hackers slechts „een paar minuten tot een uur”. Ter illustratie stuurt de woordvoerder in een regeltje code de ingang die de groep tijdens de aanval gebruikt zou hebben.
Net als bij veel andere bedrijven is inbreken bij Odido kinderlijk eenvoudig, stelt de groep. Zelfs medewerkers laag in de organisatie hebben vergaande rechten om veel data te bekijken en te downloaden. De woordvoerder heeft daar een term voor: „Odido past niet the principle of least privilege toe.”
Twee dagen na de geslaagde poging, op zaterdag 7 februari, stuurt Shinyhunters naar eigen zeggen mails naar hooggeplaatsten in het bedrijf, onder wie bestuursvoorzitter Søren Abildgaard, de financieel en operationeel directeur. Ook de beveiligings- en persafdeling krijgen die dag een mail. Althans, dat valt op te maken uit een screenshot dat het vosje opstuurt. In de mail, die om 13.03 uur zou zijn verstuurd, vertelt de groep dat het paspoort- en rijbewijsnummers, adressen, mailadressen, telefoonnummers, bankrekeningnummers, wachtwoorden en „veel, veel meer” heeft bemachtigd. „We zijn bereid om extra data samples te sturen voor verificatie”, schrijft de groep aan Odido, met een link naar een webadres, dat inmiddels doodloopt. Daar stond, zegt de woordvoerder, een sample van zo’n tienduizend regels vol gevoelige persoonsgegevens als bewijs dat ze écht bij de telecomprovider hadden ingebroken. Heeft Odido het sample gezien? „We zagen dat het gedownload werd.”
In het weekeinde van 7 en 8 februari is er contact tussen Odido en de hackers. Dat gaat per mail, zegt het vosje. Ze eisen één miljoen euro, dan zullen ze afzien van publicatie. Maar het contact wordt op 8 februari door Odido verbroken, zegt de woordvoerder. Er is geen gesprek meer.
Odido stuurt z’n klanten na een paar dagen een brief over het lek, maar blijft zwijgen tegen de hackers. Die voeren de druk op om onderhandelingen af te dwingen. Op 24 februari delen ze samples uit het datalek met RTL en NOS. NRC wordt overgeslagen, „want die kennen we niet”. Het zijn de samples die ook aan Odido zijn aangeboden, zegt de woordvoerder van de hackers: tabellen met tienduizend regels. Tegen NOS zegt de groep dat het losgeld zakt naar een half miljoen en waarschuwt het Odido dat de deadline nadert. Nog steeds weigert Odido om contact op te nemen.
Shinyhunters houdt de Nederlandse pers scherp in de gaten. NOS publiceert al snel het nieuws dat er heel gevoelige informatie in de gestolen data zit, zoals opmerkingen van helpdeskmedewerkers over stalking, wanbetalers en bewindvoerders van klanten. In het artikel staat ook de reactie van Odido op dat nieuws. Het telecombedrijf zegt dat het niet wist dat de hackers die extra gegevens ook hadden bemachtigd. „Ze liegen”, zegt het vosje daar nu over. „Waarom zouden we ze die niet in die sample gestuurd hebben? We wilden toch betaald krijgen?”
In de dagen erna publiceert Shinyhunters telkens een deel van de gegevens, een miljoen regels per keer, om de duimschroeven aan te draaien. Dat mislukt, er komt geen geld. Op zondag 1 maart zet de groep daarom alles online. In een bijgevoegd bericht zegt de groep: „Odido, jíj bent de reden voor het inboezemen van angst en terreur bij Nederlandse burgers. Wij waren heel geduldig en gaven je veel kansen om een overeenkomst met ons te sluiten. Dit is niet onze schuld.”
Tussen de regels door wordt een glimp zichtbaar van gekrenkte trots. Shinyhunters moet het hebben van zijn reputatie. De groep wordt „uitsluitend” door financiële motieven gedreven, zegt de woordvoerder. „Onze aanpak is niet-destructief en discreet in vergelijking met die van andere groepen.”
Shinyhunters wil overkomen als een „betrouwbare” partij waarmee je „afspraken” kunt maken. Dat is hun verdienmodel, en dat willen ze ook tegenover NRC benadrukken. Let wel: afspraken op hun voorwaarden. Eerder stal de groep gegevens van pornowebsite Pornhub, hotelketen Wynn Resorts, sportmerk Adidas en kaartverkoopbedrijf Ticketmaster. De laatste tijd richt de groep zich met name op klanten van Salesforce. Dit leidde vaak niet tot grote datalekken, wat doet vermoeden dat bedrijven losgeld betaalden.
De woordvoerder wil niet zeggen wie er precies betaalden, dat moet geheim blijven. Maar hij wijst wel op het mechanisme: wie betaalt, beperkt de schade. Shinyhunters, wil hij zeggen, houdt zich aan afspraken.
Voor bedrijven die niet over de brug komen hebben de criminelen geen goed woord over. Wie geeft om z’n data, maalt niet om een paar ton of een miljoen, is hun moraal. „Odido had moeten betalen”, appt de woordvoerder. Het bedrijf is „nalatig, bijna crimineel nalatig”, de hele top zou „ontslagen” moeten worden.
De woordvoerder – die zegt dat hij al jaren in de business zit – bedankt ons veelvuldig. Zeker als er goed ingevoerde vragen worden gesteld, veert hij op: „Dat waardeer ik zeer.” Als zijn werkdag erop zit, meldt hij zich af in de chat-app: „Ik ga naar bed, dus ik ben morgenochtend weer terug.”
De hackers doen hun best om zo professioneel en behulpzaam mogelijk voor de dag te komen. De woordvoerder spreekt nadrukkelijk van een organisatie met hiërarchie („ik overleg met ons management”), een vaste aanpak („we doen dit soort werk dagelijks”) en onderhandelingsteksten die vallen onder bedrijfsgeheim („we willen niet dat andere groepen/actoren onze e-mails kopiëren”). Een club met „regels en richtlijnen”. Zorgbedrijven, zoals ziekenhuizen en verpleeghuizen, hacken ze per definitie niet. „Waarom een sector aanvallen die alle mensen nodig hebben?”
Of ze zich opgejaagd voelen door autoriteiten wereldwijd, willen we weten. In 2021 werden immers drie leden met de Franse nationaliteit aangeklaagd door justitie in de VS. Een van hen, de 22-jarige Sebastien Raoult, kreeg begin 2024 drie jaar celstraf voor fraude en identiteitsdiefstal nadat hij door Marokko uitgeleverd was aan de VS. Afgelopen zomer zijn vier mensen gearresteerd in Frankrijk.
De risico’s op arrestatie wuift de woordvoerder weg. Dat waren allemaal vage contacten, beweert hij, die hoorden niet bij de groep. Op vragen naar gevoelens en angsten geeft hij geen antwoord. „Het wordt nu wat persoonlijk.”
Nu de vraag voor ons: klopt de beschrijving van Shinyhunters? Is het zo gegaan?
We bellen beveiligingsexperts en stellen vragen aan Odido, Salesforce, politie en ingehuurde partijen die het telecombedrijf bijstaan.
Odido zelf wil niet in gesprek over de aanval. Op vragen komen geen antwoorden, alleen de mededeling dat „het onderzoek naar de cyberaanval nog loopt”. Odido gaat niet in op het aanbod om documenten of code in te zien of het verloop van de gebeurtenissen bij te stellen. De politie wil ook niet in gesprek, evenmin als Salesforce, dat zegt niet te willen reageren op kwesties bij klanten. Sommige stellingen zijn daardoor moeilijk te verifiëren.
Dat de inbraak met een belletje naar de klantenservice begon, komt al gauw via NOS naar buiten. Wat we ook kunnen vaststellen is dat de gelekte Odido-gegevens, die NRC heeft ingezien, na 5 februari 14:16 uur niet meer zijn bijgewerkt. Dat ondersteunt de verklaring dat de data op die dag zijn gestolen.
Dat Odido op 7 februari op de hoogte is gebracht, strookt met de verklaring van het telecombedrijf op de eigen site. „In het weekend van 7 en 8 februari hebben ons de eerste signalen bereikt dat er sprake is van een datalek. We zijn direct begonnen met nader onderzoek. Samen met onze interne en externe cyberbeveiligingsexperts hebben we direct actie ondernomen. Zodra het datalek bevestigd was hebben we besloten de Autoriteit Persoonsgegevens en de betrokken klanten zo snel mogelijk te informeren.”
Maar wist Odido al in het eerste weekeinde hoe ernstig het lek was en had het de samples goed bestudeerd? Tegenover NOS toonde het bedrijf zich immers verrast over de gevoelige opmerkingen over wanbetalingen en bewindvoerders. Odido wil op deze vragen geen antwoord geven.
Dan het besluit om het contact snel af te breken, niet te onderhandelen en niet te betalen. Hoe ging dat?
Odido huurt meteen na de aanval het Britse IT-beveiligingsbedrijf S-RM in, vertellen betrokkenen. Het bedrijf heeft een tak in Utrecht, in een flexkantoor vlak bij het Centraal Station. Een van de directeuren werkt als beveiligingsexpert mee aan het tv-programma Hunted. S-RM is in Nederland geen grote naam in de beveiligingsscene; meerdere Nederlandse beveiligingsexperts zeggen het niet te kennen.
Odido kiest ervoor om al snel de deur dicht te gooien. Op z’n site schrijft het telecombedrijf dat „toonaangevende experts”, „politie” en „overheidsinstanties” Odido hebben geadviseerd om „niet in contact” met Shinyhunters te treden en „niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren”. Stan Duijf, baas van het Team High Tech Crime van de politie, dat nauw betrokken is bij het lek, steunt dat standpunt publiekelijk in talkshow Pauw & De Wit. Het is volgens hem een „misvatting” dat je data niet op straat komen als je betaalt. „Het gaat hier om criminelen en criminelen zijn gewoon niet te vertrouwen.” Bovendien: misdaad mag niet lonen.
Het besluit is omstreden in het werkveld. Meerdere experts zeggen tegen NRC: als er wat op het spel staat, betaal je. De maatschappelijke kosten zijn te groot, je kunt de schade niet eenzijdig op je klanten afwentelen. Jaren na het lek kunnen mensen nog slachtoffer worden van oplichting en diefstal. En betalen resulteert best vaak in ‘niet publiceren’.
Maar nu speelt een reputatiekwestie de hackers parten. Op internet zijn sinds kort volop artikelen van beveiligingsexperts te vinden waarin Shinyhunters wordt beschuldigd van nauwe banden met de zogeheten ‘COM’, online groepen die kinderen afpersen en aanzetten tot extreem, sadistisch geweld. Ook zou de hackersgroep onderling met elkaar in de clinch liggen. Een gerenommeerde onderzoeker bracht er begin februari, vlak voor de Odido-hack, een uitgebreid rapport over uit dat weer aandacht kreeg van het veelgelezen blog KrebsOnSecurity. De boodschap: wie Shinyhunters betaalt, faciliteert niet alleen maar criminelen, maar ook kindermisbruikers en sadisten. En bij ruzie komen de data misschien alsnog op straat.
Een goed ingevoerde betrokkene zegt dat die publicaties zeker een rol speelden in het besluit om het contact te verbreken. Odido wil er niets over kwijt, maar schrijft op z’n site dat het advies om niet te onderhandelen is gebaseerd op „uitgebreide ervaring met deze specifieke groepering”. IT-beveiligingsbedrijf S-RM reageert niet op telefoontjes, ingevulde webformulieren of e-mails. Bij bezoek aan het Utrechtse kantoor komt niemand naar de hal om vragen te beantwoorden. De receptionist moet van het aanwezige personeel de boodschap overbrengen dat de verslaggever een webformulier moet invullen.
Of de beschuldiging van nauwe banden met de COM-groepen hout snijdt? Sommige beveiligingsexperts die NRC spreekt zeggen geen overtuigend bewijs te kennen daarvoor. Beveiligingsexpert en onderhandelaar Rickey Gevers van Responders.NOW kent Shinyhunters bijvoorbeeld al jaren als een „vrij gedisciplineerde onderneming” die ‘high value targets’ aanvalt en een specifiek verdienmodel voor de gestolen data heeft. „Die gaan zich niet van de ene op de andere dag met de afpersing van jonge meisjes bezighouden.”
De hackers reageren ook zelf. Ze verzetten zich fel tegen de „walgelijke” en „oneerlijke” suggestie, waarvoor volgens hen geen enkel bewijs bestaat. Het gerucht is alleen maar de wereld in geholpen om hun bedrijfsmodel te slopen, zegt de woordvoerder, omdat de autoriteiten en IT-beveiligers hen niet te pakken krijgen. „Kijk naar onze actieve en consistente communicatie van afgelopen week, klopt dat met dat beeld?”
De laatste vraag: was de beveiliging echt zo slecht als Shinyhunters zegt? Had zelfs een medewerker van de klantenservice de technische mogelijkheid om op grote schaal het klantenbestand te downloaden? Had Odido zich daardoor onnodig kwetsbaar gemaakt? De woordvoerder van Salesforce stuurt op een vraag daarover een linkje naar een blogpost van vorig jaar, waarin het bedrijf zijn klanten daarvoor waarschuwt. Beperk de rechten van je medewerkers, adviseert het bedrijf. Experts die NRC spreekt zeggen dat het niet uitgesloten is dat helpdeskmedewerkers bij Odido te ruime toegang hadden. Rechten beperken vraagt in de Salesforcesoftware een actieve handeling, en veel bedrijven weten dat niet.
Dat het downloaden van alle data – zo’n 90 gigabyte, 15 miljoen rijen – binnen een uur zou zijn gebeurd, achten verschillende experts dan weer onwaarschijnlijk. De hackers willen niet precies vertellen hoe ze dit zo snel hebben kunnen doen. Extra bewijs komt er niet.
Odido zelf zegt dat veiligheid „onze topprioriteit” is, maar dat hackers op „een zeer geavanceerde en gerichte manier te werk gaan en helaas geen enkele organisatie immuun” is. „We werken voortdurend aan verbeteringen en gebruiken dit incident als aanleiding voor een grondige evaluatie.”
Ping.
Een berichtje van het vosje op zondagochtend. Hij stuurt een link naar een nieuw persbericht van Salesforce. Het bedrijf waarschuwt voor een nieuwe golf van aanvallen op klanten, via een andere route. De woordvoerder van Shinyhunters voorspelt grote koppen in de pers maandag.
Vierhonderd bedrijven zijn getroffen, zegt hij, of Odido weer slachtoffer is, wil hij niet zeggen.
„Salesforce weer onder vuur! Lol.” Zijn toon is nu vol bravoure. „Misschien moet je Odido vragen of ze weer gehackt worden, haha.”
NRC heeft voor dit artikel contact gezocht met Shinyhunters, Odido, Salesforce, de Autoriteit Persoonsgegevens, het Team High Tech Crime van de politie en S-RM. Ook sprak NRC met een aantal beveiligingsexperts over het lek en de reputatie van de groep en hoe getroffen bedrijven daar mee omgaan. Niet iedereen wilde dat zijn of haar naam genoemd werd, om commerciële redenen.
Organisaties moeten een mogelijk datalek melden bij de Autoriteit Persoonsgegevens (AP), binnen 72 uur na ontdekking. Wanneer Odido zich meldde, is vertrouwelijk. De AP heeft de afgelopen weken „relatief veel” klachten en tips ontvangen over dit lek (ruim vijfhonderd). „Die gaan onder meer over de beveiliging van klantgegevens door Odido en over het mogelijk te lang bewaren van klantgegevens.”
Doorzie de wereld van technologie elke week met NRC-redacteuren