Odido-topman over hack: 'Niets verkeerd gedaan, wel fouten gemaakt'

In dit artikel:

Telecombedrijf Odido ontdekte pas dagen na de inbraak van 5–6 februari dat persoonlijke gegevens van miljoenen klanten waren buitgemaakt — de hackersgroep ShinyHunters wees het bedrijf daar zelf op. Ook het externe cybersecurityteam dat Odido bijstond concludeerde in de uren na de aanval dat er niets verdwenen was. Nadere analyse wijst uit dat de toegang werd verkregen via social engineering: een medewerker werd telefonisch overtuigd in te loggen op een vervalste werkomgeving, waarna de aanvallers ongeveer een uur vrij spel hadden. ShinyHunters claimt in dat uur 21 miljoen regels met data van acht miljoen klanten te hebben gekopieerd; Odido stelt dat het om 6,2 miljoen accounts gaat.

Odido kreeg kritiek omdat het pas ruim twee weken later de volledige omvang erkende en lang bleef terughoudend over welke gevoelige gegevens — waaronder notities over betaalgedrag — waren gelekt. Een maand lang ging het bedrijf ervan uit dat alleen consumenten betroffen waren; begin maart bleek uit een plaatsing op het darkweb dat ook zakelijke klanten data kwijtraakten. CCO Tisha van Lammeren noemde de aanval geraffineerd en lastig te detecteren; CEO Søren Abildgaard zei dat de organisatie mogelijk fouten maakte maar meent dat de beveiliging voldeed aan de eisen. De Rijksinspectie Digitale Infrastructuur en de Autoriteit Persoonsgegevens onderzoeken de zaak verder.

Securityexperts wijzen erop dat beter logging en monitoring veel van dit soort diefstal had kunnen detecteren en beperken.