Gestolen data Odido-klanten door hackers gepubliceerd, provider weigert te betalen

Odido heeft geweigerd om de cybercriminele groep Shinyhunters het geëiste losgeld te betalen. De groep dreigde met een deadline die Odido heeft laten verstrijken. Om te laten zien dat het menens is, zijn nu gegevens van honderdduizenden huidige en oud-klanten op het dark web gepubliceerd.

Wie dreigt, moet niet bluffen. Wat dat betreft heeft Shinyhunters woord gehouden, want het dreigde de eerder deze maand gestolen gegevens online te zetten als Odido geen losgeld zou betalen. Dat losgeld moet meer dan een miljoen euro bedragen, maar hoe kan je een deal maken met een groep cybercriminelen? 

Odido heeft die deal niet gemaakt, en dus is een deel van de gestolen data gepubliceerd. De gegevens zijn door RTL Nieuws ingezien, geanalyseerd en geverifieerd: het gaat inderdaad om de gestolen data. De set bevat onder meer 275.000 IBAN's, zowel van huidige klanten als van mensen die al jaren geen klant meer zijn bij Odido, of voorganger T-Mobile. 

Odido wil geen zakendoen met hackers

De gelekte set data bevat gegevens uit het klantensysteem van Odido van zo'n 430.000 personen en 290.000 bedrijven. In de gelekte data staan naast onder meer IBAN's, namen en adresen ook andere gevoelige zaken: aantekeningen van de klantenservice en of klanten aanmaningen of sommaties krijgen. Er valt te lezen wie een BKR-registratie heeft, of onder bewindvoering staat. Ook onderzoeken van fraude en geweld tegen winkelpersoneel staat allemaal in de dataset genoteerd, met naam en toenaam.

Met de publicatie van de gegevens wil de groep duidelijk maken dat het menens is. "Jullie weten ons te vinden", meldt de groep aan Odido. "Ons aanbod staat, ook om te onderhandelen." 

Odido meldt in een verklaring niet aan de chantage mee te werken. "Onze focus ligt altijd bij onze klanten, en dat blijft zo. Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren. We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen."

Topje van de ijsberg, maar ga zelf niet op zoek

De nu gepubliceerde dataset bevat 1 miljoen records: in totaal hebben de hackers 21 miljoen records buitgemaakt. Shinyhunters beloofde eerder dagelijks een set van 1 miljoen te publiceren, totdat het losgeld wordt betaald.

Odido zegt getroffen (oud-)klanten op de hoogte te brengen. Ook heeft de provider compenserende maatregelen genomen. Mogelijk volgt een onderzoek naar de provider, omdat het erop lijkt dat Odido data veel langer dan toestaan heeft bewaard.

Een waarschuwing: ga niet zelf op zoek naar deze dataset, om te zien of je gegevens er in voorkomen. Het downloaden valt onder gegevensheling: je weet immers dat het om gestolen gegevens gaat. Nieuwsmedia mogen deze regel overtreden vanwege de nieuwswaardigheid, maar worden wel verwacht zeer voorzichtig met de gegevens om te gaan.