Telecomprovider Odido heeft zijn klanten gealarmeerd over de cyberaanval via mail en sms. Venema Media
Vallen Odido-klanten massaal in handen van cybercriminelen, nu hun gegevens op internet zijn geslingerd door hackers? „Er kan veel ellende achter weg komen, maar om jouw rekening leeg te trekken ben je nog altijd zelf nodig”, zegt de Groningse cyberexpert Kees de Vey Mestdagh.
Namen, adressen, telefoon- en bankrekeningnummers van enkele honderdduizenden tot mogelijk een miljoen klanten van telecomprovider Odido zijn openbaar gemaakt op het internet. Hackersgroep Shinyhunters heeft deze gestolen gegevens gepubliceerd omdat het bedrijf weigert het geëiste losgeld (’een bedrag met zeven cijfers’) te betalen.
Zolang Odido niet alsnog over de brug komt, publiceren de Shinyhunters iedere dag de data van nog eens een miljoen klanten, dreigen ze op hun eigen site. De hackers hebben naar eigen zeggen gegevens van ruim 6,2 miljoen klanten buitgemaakt. Daarmee gaat het om de grootste online-inbraak in de Nederlandse geschiedenis.
Moeten Odido-klanten vrezen dat ze financieel worden uitgekleed?
„De informatie die tot nu is gepubliceerd, opent nog niet direct de deur naar bankrekeningen”, zegt Kees de Vey Mestdagh, oprichter en voormalig hoofd van het Centrum voor Recht en ICT van de Rijksuniversiteit Groningen. „Maar cybercriminelen kunnen er wel op allerlei andere manieren mee frauderen. Bijvoorbeeld door accounts op jouw naam aan te maken en producten te bestellen waarvoor jij dan de rekening krijgt. In dit geval is simpel te bewijzen dat zo’n account niet van jou is, maar identiteitsfraude kan heel nare gevolgen hebben.”
Wat moet je doen om je te wapenen tegen misbruik van jouw gegevens?
„Het is sowieso altijd zaak om alert te zijn op ongebruikelijke telefoontjes, appjes, sms’jes of links in mails. Dat geldt hier nu nog eens extra, want daarmee kun je onbewust alsnog toegang verschaffen tot je rekening of wachtwoorden. De meeste mensen hebben daarvoor inmiddels wel 2-factorbeveiliging, met sms-bevestiging dan wel vingerafdruk- of gezichtsherkenning naast hun wachtwoorden. Maar we zijn nog altijd te weinig waakzaam op de slinkse wegen die criminelen weten te vinden om dat te omzeilen. Dat is dan ook één van mijn stokpaardjes: eigenlijk zou iedereen al vanaf de kleuterschool digitale zelfbeschermingsles moeten krijgen.”
Hoe kan zo’n enorme berg gegevens in één klap worden gestolen?
„Een betere vraag is: waarom bewaart dit soort bedrijven zo ontzettend veel gevoelige informatie? Bij Odido zijn niet alleen namen en adressen buitgemaakt, maar ook burgerservicenummers en volgens de laatste berichten zelfs gegevens over schulden en chatgesprekken. Waar is het in vredesnaam voor nodig om zó veel informatie te vragen voor een telefoonabonnement of een bankrekening? Laat staan het allemaal te bewaren.”
Is Odido aansprakelijk als klanten worden bestolen met de gehackte gegevens?
„Onderzoek zal moeten uitwijzen hoe dit precies heeft kunnen gebeuren. Maar hier lijkt mij sprake van een zeer slechte beveiliging in combinatie met een zeer onwenselijke stapeling van ook supergevoelige gegevens. In veel gevallen ligt dat ook aan de eisen die de overheid stelt en daarover moeten we zeker in gesprek. Bsn’s zoals die zijn gehackt bij Odido zijn helemaal niet nodig voor een telefoonabonnement. Zulke niet-noodzakelijke gegevens mág je volgens de privacywetgeving niet eens vragen en ook zeker niet langdurig bewaren. Dus er ligt zeker aansprakelijkheid bij Odido en ik verwacht ook dat dit nog wel een zaak wordt voor de nationale privacywaakhond Autoriteit Persoonsgegevens. Dit is in alle opzichten een heel pijnlijke zaak en een extra waarschuwing, ook voor de overheid. Als we niet nu grondig nadenken over onze cyberveiligheid, data-minimalisatie en -educatie vrees ik het ergste, zo instabiel en kwetsbaar als het systeem nu blijkt te zijn.”
