Ook burgerservicenummers gelekt bij Odido: impact datalek groter dan gedacht

Het datalek bij Odido blijkt ernstiger dan eerder werd gemeld. Naast namen, adressen en bankgegevens zijn óók burgerservicenummers (bsn) buitgemaakt door hackers. En dat terwijl Odido eerder liet weten dat er geen burgerservicenummers in de gestolen dataset zaten. Dat blijkt nu dus niet te kloppen.

Dat is duidelijk geworden uit onderzoek van RTL Nieuws. De nieuwszender is in de door de cybercriminelen gepubliceerde klantgegevens van Odido meerdere burgerservicenummers tegengekomen.

Het gaat volgens berichtgeving vooral om bsn-nummers van (oud-)zzp’ers. Die waren relatief eenvoudig te achterhalen, omdat de btw-nummers van zelfstandigen een aantal jaar geleden hun bsn bevatten. Die gegevens zijn destijds bij het klant worden vastgelegd en bleken nog in de systemen aanwezig te zijn. Het zou naar verluidt om tientallen bsn-nummers gaan.

Toch bsn-nummers gevonden

Deze uitkomst maakt de situatie er niet beter op voor Odido. Op de website stelt het bedrijf namelijk dat “Odido geen bsn opslaat in haar systemen”. Dat blijkt dus niet helemaal te kloppen. Daarnaast gaat het in sommige gevallen om bsn-nummers van klanten die zich al jaren geleden hebben uitgeschreven bij de Kamer van Koophandel en ook geen klant meer zijn bij Odido. Nu blijkt dat hun gegevens toch nog in het klantensysteem staan.

Het feit dat er nu toch bsn-nummers buit zijn gemaakt, vergroot de mogelijke impact van het lek aanzienlijk. Een burgerservicenummer wordt gebruikt bij contact met de overheid, de Belastingdienst en soms financiële instellingen. In combinatie met andere persoonsgegevens kan een bsn worden ingezet voor identiteitsfraude of gerichte phishing.

Odido wil geen losgeld betalen

Dat de hackers nu gegevens van honderdduizenden huidige en oud-klanten op het dark web hebben gepubliceerd, komt doordat Odido heeft geweigerd het geëiste losgeld aan de cybercriminele groep ShinyHunters te betalen.