Het lek bij Odido geldt waarschijnlijk als een van de grootste datalekken ooit in Nederland. Foto: ANP
De cybercriminelen die verantwoordelijk zeggen te zijn voor de hack op telecomprovider Odido dreigen met het publiceren van de gestolen klantgegevens. Het zou gaan om gegevens van miljoenen Nederlanders. De vraag die bij veel mensen leeft: wat staat ons te wachten als de data daadwerkelijk online verschijnt?
Op 12 februari werd bekend dat cybercriminelen toegang hadden gekregen tot de gegevens van 6,2 miljoen klanten van Odido en dochtermerk Ben. Daarbij gaat het om namen, adressen en telefoonnummers, maar ook om bankrekeningnummers en identiteitsgegevens, zoals paspoortnummers en verloopdata.
Het lek geldt waarschijnlijk als een van de grootste datalekken ooit in Nederland.
De burger is het slachtoffer van Odido-hack
Wat gebeurt er als de data daadwerkelijk online wordt gezet? Volgens cybersecurity-expert Brenno de Winter moeten we eerst stoppen met de reflex om naar consumenten te wijzen. „We moeten ophouden met zeggen dat de burger iets moet doen. De burger is hier het slachtoffer. Je kunt niet zeggen: had je maar beter moeten opletten.”
Zo heeft volgens De Winter het aanpassen van wachtwoorden bijvoorbeeld weinig zin als die niet zijn buitgemaakt. „Wat gelekt is, zijn onder meer bankrekeningnummers, identiteitsnummers, naam en adres. Verzin maar waar iemand dan op moet letten. Dat kan een incasso zijn, maar ook iemand die aan de deur komt in pak en zegt: ’Ik kom namens de gemeente, zullen we uw gegevens even doornemen?’”
„Met deze gegevens kun je een knop omzetten in het hoofd van mensen. Als iemand jouw geboortedatum en bankrekeningnummer noemt, voelt dat geloofwaardig.”
Het kan gaan om nepsms’jes of e-mails, maar ook om geraffineerdere vormen van fraude. Een telefoontje dat lijkt te komen van een gemeentelijk nummer, een overtuigende brief, of een verhaal over een openstaande WOZ-rekening. „Voor een habbekrats heb je een telefoonnummer dat lijkt op dat van een gemeente. Als een crimineel dit competent aanpakt, is de potentiële schade enorm”, aldus De Winter.
6,2 miljoen Odido-accounts gelekt
De omvang van het lek maakt het extra zorgwekkend. Met 6,2 miljoen accounts gaat het om een aanzienlijk deel van de Nederlandse bevolking. „Als straks één op de drie Nederlanders in zo’n dataset zit, dan maakt het bijna niet meer uit welk verhaal je ophangt”, zegt De Winter.
„Er zullen altijd mensen zijn die happen. Dan kan je zeggen: je had beter moeten opletten. Nee. Je had de gegevens niet mogen lekken. Je kunt ook niet verwachten dat mensen vanaf nu bang door het leven gaan, omdat Odido zijn huiswerk niet heeft gedaan.”
Zodra een dataset op het dark web verschijnt, gaan vaak meerdere criminele groepen ermee aan de slag. Dat kan direct gebeuren, maar ook maanden of zelfs jaren later. „En zeg dan nog maar eens: dit kwam door het Odido-lek”, aldus De Winter.
’Lek bij Odido gaat iedereen aan’
Volgens De Winter is het een misvatting om te denken dat alleen Odido-klanten zich zorgen hoeven te maken. „Dit is iets dat iedereen aangaat”, zegt hij. „We leven in een samenleving waarin onze gegevens overal worden opgeslagen. Daarom is er ook strenge regelgeving.”
Als er iets misgaat, heeft dat impact die veel breder is dan één bedrijf. Wie nu niet in deze dataset zit, kan bij een volgend lek alsnog aan de beurt zijn.
Volgens De Winter had dit niet alleen achteraf beter afgehandeld kunnen worden, maar mogelijk ook vooraf voorkomen of beperkt kunnen worden. Hij wijst op het belang van training en bewustwording binnen organisaties.
„In informatiebeveiliging is het heel simpel: als je mensen niet traint, worden ze je zwakste schakel. Train je ze goed en vaak, dan worden ze je sterkste schakel. Het verschil zit in het management.”
Odido nog bezig met onderzoek naar cyberaanval
De telecomprovider reageert dinsdagmiddag dat het nog bezig is met onderzoek naar de cyberaanval. Dat onderzoek gaat onder meer over hoe het lek is ontstaan, en of ook gegevens van mensen die al langer dan twee jaar geen contract meer hebben bij Odido onderdeel zijn van het lek.
Eerder meldde Odido al dat gegevens van klanten die minder dan twee jaar geleden overgestapt zijn conform haar privacystatement nog in het systeem staan.
Of de data donderdag daadwerkelijk worden gepubliceerd, is nog onzeker. In dit soort zaken komt het geregeld voor dat bedrijven uiteindelijk losgeld betalen om publicatie te voorkomen. De Winter sluit dat ook hier niet uit.
Odido biedt twee jaar gratis beveiliging
Ondertussen maakte Odido bekend dat getroffen klanten twee jaar lang een gratis online beveiligingspakket kunnen krijgen. Volgens de provider gaat het om tools via F-Secure die onder meer bescherming bieden tegen phishinglinks, antivirusbescherming en hulpmiddelen voor wachtwoordbeheer.
Klanten kunnen via een SMS een vouchercode aanvragen om het pakket te activeren, dat bedoeld is om slachtoffers extra bescherming te geven tegen misbruik van hun gegevens.
Odido benadrukt daarbij dat klanten zelf alert moeten blijven op verdachte activiteiten, zoals nepberichten of ongebruikelijke afschrijvingen, ook al biedt het pakket extra hulpmiddelen om deze te herkennen en te blokkeren.
