Telecombedrijf Odido weigert losgeld te betalen aan de hackers die eerder deze maand een grote hoeveelheid klantgegevens hebben gestolen. De groep ShinyHunters heeft daarop een deel van de buitgemaakte data online gezet op het darkweb, een verborgen deel van internet dat via speciale software bereikbaar is. Hoeveel informatie er nu precies rondgaat, is nog niet duidelijk, maar het gaat om privacygevoelige gegevens van miljoenen klanten.
De criminelen hadden Odido een harde deadline gegeven en dreigden om elke dag 1 miljoen regels aan gegevens, zoals mailadressen en telefoonnummers, te publiceren zolang er geen betaling kwam. Ook eisten ze een bedrag waarvan de hoogte niet bekend is om verdere publicatie tegen te houden. Die druk heeft niet gewerkt: Odido blijft bij het besluit om niet te betalen of te onderhandelen met de groep.
Volgens het bedrijf zijn er persoonsgegevens van meer dan 6 miljoen accounts buitgemaakt. Het gaat om namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata en ook nummers van bankrekeningen en identiteitsbewijzen. Daarmee kunnen criminelen bijvoorbeeld gerichte phishingpogingen doen of proberen identiteiten over te nemen. Odido zegt dat de inzet nu ligt bij het beschermen van klanten en volgt daarbij het advies van experts en overheidsinstanties.
Uit gegevens die de hackers naar de NOS stuurden als bewijs, blijkt dat er nog gevoeliger informatie is weggenomen dan Odido eerst dacht. In de buitgemaakte data zitten ook interne notities uit het klantcontactsysteem. Daarin staat bijvoorbeeld of klanten betalingsachterstanden hebben, onder bewind staan, 'schijnbaar dronken' waren toen ze telefonisch contact hadden of zich hebben misdragen richting medewerkers. Odido zegt dat het bedrijf niet wist dat dit soort aantekeningen ook door de criminelen zijn gekopieerd.
De aanval is opgeëist door ShinyHunters, een hackersgroep die eerder verantwoordelijk was voor grote datadiefstallen bij onder meer Ticketmaster en Pornhub. Die zaken lieten al zien dat één geslaagde hack jarenlang kan doorwerken, omdat gestolen data vaak wordt doorverkocht en opnieuw opduikt in andere lekken en fraudezaken. De publicatie van de Odido-gegevens op het darkweb kan dus nog een lange nasleep krijgen voor klanten.
Politie en overheidsdiensten dringen er al langer op aan dat bedrijven niet betalen bij dit soort digitale chantage. Er is geen garantie dat de data wordt gewist na betaling, en criminelen kunnen organisaties later nogmaals chanteren met dezelfde of nieuwe gegevens. Toch geven veel bedrijven uiteindelijk wel toe na onderhandelingen, zeggen experts, onder meer uit angst voor reputatieschade en hoge kosten na publicatie. Odido kiest er nu juist voor om die stap niet te zetten en de klant uiteindelijk de gevolgen van de hack te laten dragen.
Source: Fok frontpage