Resterende klantgegevens nu ook gepubliceerd door Odido-hackers

De internetcriminelen die telecomprovider Odido hebben gehackt hebben alle resterende gestolen klantgegevens openbaar gemaakt. De hackers hadden eerder nog plannen om de data in delen vrij te geven om zo de aandacht van het publiek vast te houden, maar besloten uiteindelijk om alles in één keer te publiceren.

Volgens een analyse van NOS bevat de gelekte dataset gegevens van minstens 6,5 miljoen personen en ongeveer 600.000 bedrijven. In de bestanden staan ook iets meer dan 5 miljoen unieke identificatienummers van officiële identiteitsbewijzen, waaronder rijbewijzen, paspoorten en in sommige gevallen verblijfspapieren van diplomaten.

Daarnaast zijn ook andere gevoelige persoonsgegevens gelekt, zoals geboortedata, bankrekeningnummers, telefoonnummers en e-mailadressen. Bij circa 71.000 klanten staat bovendien het e-mailadres van een bewindvoerder of hulpverlener geregistreerd. Meer dan 44.000 klantprofielen bevatten notities van de klantenservice, waarin soms informatie staat over mogelijke fraude, misdragingen of andere gevoelige onderwerpen.

Hackers claimen data deels achter te houden

De verantwoordelijke hackersgroep, geïdentificeerd als ShinyHunters, zegt dat niet alle gestolen data openbaar is gemaakt. Volgens de criminelen zijn de resterende bestanden ‘niet relevant’, terwijl ze tegelijk aangeven de data mogelijk voor eigen gebruik te willen inzetten.

Op een darkwebwebsite stelde de groep dat ‘recente ontwikkelingen’ ertoe hebben geleid dat de resterende gegevens ineens zijn gepubliceerd. Wat die ontwikkelingen precies inhouden, is niet duidelijk. Tegenover NOS wilde de hackersgroep daar geen verdere toelichting over geven.

Losgeld geëist, maar niet betaald

Begin februari drongen de hackers binnen bij Odido en wisten ze in één keer de klantgegevens van miljoenen mensen te stelen. De groep eiste aanvankelijk ongeveer één miljoen euro om publicatie van de data te voorkomen, maar verlaagde dat bedrag later naar circa 500.000 euro.

Odido besloot het losgeld niet te betalen en liet weten zich ‘niet te laten chanteren’. Het bedrijf baseerde die beslissing onder meer op advies van politie en cybersecurityspecialisten. De keuze kreeg kritiek omdat de hackers daarna begonnen met het publiceren van de gestolen data. Tegelijk kreeg het telecombedrijf ook steun van partijen die vinden dat niet onderhandeld moet worden met cybercriminelen.

Zwakke schakel in klantenservice

Vrijdag meldde NOS dat de softwareleverancier van Odido had gewaarschuwd voor een aanvalsmethode die de hackers gebruikten. De criminelen deden zich telefonisch voor als medewerkers van de ICT-afdeling en wisten zo via de klantenservice toegang te krijgen tot interne systemen. Daardoor konden zij uiteindelijk klantgegevens buitmaken zonder klassieke technische inbraak in de infrastructuur van het telecombedrijf.

Meer lezen over cyberaanvallen? Download dan onze app!