Hackers eisen meer dan miljoen losgeld van Odido: 'Ze staan met rug tegen de muur'
Leestijd: 4 minDoor Redactie DIT
Leestijd: 4 minDoor Redactie DIT
"Als er gevoelige informatie op straat komt te liggen, kan het zomaar zijn dat sommige mensen moeten verhuizen."
"Als de data openbaar worden, is het een soort atoombom in de cyberwereld."
De gegevens van miljoenen Nederlanders liggen waarschijnlijk morgen op straat. Hackers dreigen namelijk de gestolen klantgegevens van Odido te publiceren. Wat heeft dat voor gevolgen? 'Het risico op misbruik hiervan is echt groot', zegt ethisch hacker Sijmen Ruwhof.
De cybercriminelen die onlangs veel klantgegevens stalen bij telecombedrijf Odido, dreigen deze nu te publiceren. Ze willen dat Odido uiterlijk donderdagochtend meer dan een miljoen euro losgeld betaalt. Dat schrijft de hackersgroep ShinyHunters op het dark web.
Volgens Odido is er data gestolen van 6,2 miljoen mensen. Zelf claimt ShinyHunters dat het om data van 8 miljoen mensen gaat, meldt RTL Nieuws. Daarvan zegt de hackersgroep 21 miljoen records in handen te hebben. Volgens Odido hebben de hackers geen wachtwoorden in handen, maar wel zogeheten 'codewoorden': daarmee kunnen klanten telefonisch hun identiteit bevestigen.
Het gaat niet alleen om namen en adressen, maar ook om geboortedata, telefoonnummers, e-mailadressen en bankrekening- en paspoortnummers. Als deze gegevens (gekoppeld aan één persoon) openbaar worden, is het risico op misbruik groter. Andere criminelen kunnen er dan mee aan de haal gaan en mensen proberen op te lichten.
Niet lang na de hack werd ook bekend dat Odido klantgegevens langer heeft bewaard dan toegestaan. Volgens Odido's privacyverklaring mogen gegevens van oud-klanten niet langer dan twee jaar na hun overstap bewaard worden. Maar ook klanten die al vijf of tien jaar weg zijn, hebben te horen gekregen dat ze slachtoffer zijn van de hack.
Klanten van Odido wordt aangeraden om de komende tijd alert te zijn op verdachte berichtjes en belletjes en om bankafschriften in de gaten te houden. Ook wordt geadviseerd om het wachtwoord te veranderen van belangrijke toepassingen zoals je e-mail.
Het risico op misbruik is groot is als de gestolen gegevens openbaar worden, vertelt ethisch hacker Sijmen Ruwhof aan DIT.
Sijmen Ruwhof
Ethisch hacker"Tussen al die klanten zullen ook topmensen zitten: politici, mensen die gestalkt worden of politieagenten die onder vuur liggen. Als er dan gevoelige informatie op straat komt te liggen, kan het zomaar dat sommige mensen echt moeten verhuizen."
Alles lijkt er volgens hem op dat Odido niet gaat betalen:
Sijmen Ruwhof
Ethisch hacker"Odido heeft geen contact meer opgenomen met de hackers na hun laatste waarschuwing, heb ik van ShinyHunters vernomen. Zelf wil Odido niks kwijt en zijn alle luiken zo goed als dicht. Dat vind ik erg onverstandig. Als je het vertrouwen van je klanten zo beschaamd hebt, leert het verleden dat transparantie over het lek behoorlijk helpt om vertrouwen terug te winnen. In plaats daarvan downplayen ze de situatie en zijn ze niet transparant over wat precies allemaal over hun klanten is gelekt. Dat is niet goed doordacht."
Houden de hackers ook woord als het losgeld betaald wordt? In dit geval wel, denkt Ruwhof:
Sijmen Ruwhof
Ethisch hacker"Het maakt wel uit of de hackersgroep bekend is of niet. Als je ze niet kent, heb je geen garantie dat ze niet alsnog data lekken of doorverkopen. Maar zo’n beruchte groep als ShinyHunters zal zichzelf in de vingers snijden als ze na betaling alsnog lekken. Dan gooien ze hun reputatie te grabbel. Het is eigenlijk raar dat een criminele groep betrouwbaarheid toont, maar het is hun verdienmodel."
Het bedrag dat wordt gevraagd, is volgens Ruwhof 'een koopje'.
Sijmen Ruwhof
Ethisch hacker"Het bedrag is behoorlijk schappelijk. Volgens ShinyHunters vragen ze een bedrag tussen de 1 en 5 miljoen euro. Ook blijkt uit eerdere ervaringen dat er goed met ShinyHunters valt te onderhandelen om het bedrag te verlagen. In andere zaken wordt vaak een heel bedrijfsnetwerk op slot gezet waarbij back-ups regelmatig ook versleuteld zijn. Dan kan een bedrijf failliet gaan, omdat ze hun data niet meer hebben. Nu gaat het om kopieën en kan het bedrijf gewoon doordraaien."
Ook cyber security-expert Bernold Nieuwesteeg vindt het gevraagde bedrag meevallen.
Bernold Nieuwesteeg
Cyber security-expert"Het gaat om een bedrag van rond de 1 miljoen euro losgeld. Dat is minder dan 20 cent per persoon, dat valt nog mee. Maar die cybercriminelen weten heel goed wat de marktwaarde is van die data. Ze weten wanneer er betaald gaat worden. Dit is het topje van de ijsberg. We weten niet hoeveel vaker er door andere bedrijven betaald wordt."
Volgens hem staat Odido met de rug tegen de muur.
Bernold Nieuwesteeg
Cyber security-expert"Het bedrijf zit in een uiterst pijnlijke situatie. Als er allemaal wachtwoorden tussen zitten die niet versleuteld zijn, moeten mensen dus echt hun wachtwoord gaan wijzigen. Als die in handen van criminelen vallen, kunnen ze makkelijk andere accounts gaan hacken. Het is een soort atoombom in de cyberwereld."
Als Odido wel besluit om te betalen, is het waarschijnlijk dat ze hun beveiliging niet goed op orde hadden, zegt Nieuwesteeg:
Bernold Nieuwesteeg
Cyber security-expert"Als Odido de data goed versleuteld had, lopen de mensen geen risico wanneer de gegevens op straat komen te staan en zou Odido niet hoeven te betalen. Hoe beter je je verdediging op orde hebt, hoe sterker je staat."
In Dit is de dag (EO) gaat presentator Jan Willem Wesselink verder over dit onderwerp in gesprek met ethisch hacker Sijmen Ruwhof en cyber security expert Bernold Nieuwesteeg. Beluister de uitzending woensdag 25 februari tussen 18:00 en 19:00 uur op NPO Radio 1. Na afloop is de uitzending hier terug te luisteren als podcast.
