Odido-datalek escaleert: hackers lekken opnieuw miljoen regels aan klantdata

Odido wil geen losgeld betalen, dus heeft hackersgroep ShinyHunters een volgende golf klantdata online gezet. Dit keer gaat het om ongeveer één miljoen extra regels aan data. Daarmee voeren de criminelen de druk verder op in een zaak die inmiddels is uitgegroeid tot een van de grootste telecomdatalekken in Nederland van de afgelopen jaren.

Begin februari werd ontdekt dat cybercriminelen toegang hadden gekregen tot een intern Odido-systeem met klantgegevens. In totaal zouden gegevens van ruim zes miljoen accounts zijn buitgemaakt. De hackers claimen zelfs dat het om nog meer records gaat, mogelijk ook van oud-klanten.

Een deel van die data werd eerder deze week al gepubliceerd. Nu is daar opnieuw een tweede batch van ongeveer één miljoen regels bijgekomen. Volgens eerdere berichtgeving gaat het om een mix van gevoelige informatie, zoals naam- en adresgegevens, e-mailadressen, telefoonnummers en geboortedata, maar ook bankrekeningnummers en mogelijk kopieën van identiteitsbewijzen en documentnummers.

Odido weigert losgeld te betalen

En daar lijkt het niet bij te blijven. De hackers hebben aangegeven dat ze dit weekend nog meer data naar buiten gaan brengen. Omdat Odido geen losgeld wil betalen, dreigt ShinyHunters de vrijgave van data zelfs te versnellen. Zo is aangekondigd dat er dit weekend nog eens twee miljoen records per dag online zullen verschijnen.

De hackers verhogen zo de druk in de hoop dat Odido alsnog over de brug komt. ShinyHunters zou een bedrag tussen de vijf ton en een miljoen euro hebben geëist om verdere publicatie te stoppen. Odido heeft besloten daar niet op in te gaan. Volgens het bedrijf is dat in lijn met het advies van opsporingsdiensten en cybersecurity-experts: losgeld betalen biedt geen garantie dat de data niet alsnog wordt verspreid.

Het einde is nog niet zicht

De verwachting is dan ook dat het einde van deze saga nog niet in zicht is. Zo zouden bij de eerste publicatie pas de gegevens van honderdduizenden klanten zijn gelekt, terwijl Odido al bekend heeft gemaakt dat de gegevens van 6,2 miljoen klanten zijn gestolen. Er ligt dus nog veel op de plank.

De rust bij Odido zal voorlopig dan ook niet terugkeren, mede omdat er flinke kritiek is op de provider. Zo kijkt momenteel ook de Autoriteit Persoonsgegevens mee. Die wil onder meer weten waarom bepaalde gegevens nog in het systeem stonden opgeslagen. Volgens berichten zou Odido sommige data veel langer hebben bewaard dan is toegestaan of afgesproken.