Telecomprovider Odido betaalde hackersgroep ShinyHunters geen losgeld om publicatie van gestolen klantdata te voorkomen. Dat leverde veel kritiek op van gedupeerde klanten. Volgens verschillende cybersecurityexperts en ingewijden was het echter de enige juiste keuze.
De hack, waarbij gegevens van miljoenen klanten werden gestolen, werd uitgevoerd via phishing en voice social engineering gericht op medewerkers van de klantenservice. Inmiddels is alle gestolen data gepubliceerd op het darkweb, dit nadat Odido de deadline van ShinyHunters liet verstrijken.
Na het ontdekken van het datalek schakelde Odido direct de politie en externe cybersecurityexperts in. Er werd gevraagd om een geldbedrag van “7 cijfers”. Dat was geen probleem om te betalen voor de provider, maar het bedrijf koos er bewust voor om dat niet te doen schrijft NU.nl. Zij spraken met verschillende ingewijden over de kwestie.
Betalen biedt geen garantie
Een bron rondom Odido liet weten dat het bedrijf geen zaken wilde doen met criminelen. Veel klanten reageerden daarop kritisch en dachten dat betaling publicatie van hun gegevens had kunnen voorkomen. Er werd zelfs een crowdfundingsactie opgezet om een deel van het losgeld bij elkaar te krijgen.
Maar die redenering klopt niet stellen verschillende experts. Criminelen kunnen gestolen data na betaling alsnog publiceren of doorverkopen. Bovendien was voor Odido en de ingeschakelde experts duidelijk dat ShinyHunters bekend staat om het niet nakomen van afspraken. “Zij verwijderen de data niet en verspreiden deze alsnog, zelfs als je betaalt. Odido had dus geen enkele garantie dat de data niet alsnog ergens zou opduiken”, aldus een bron. Ook de politie raadde Odido af om de gevraagde som geld te betalen.
ShinyHunters: een onbetrouwbaar collectief
ShinyHunters is geen strak georganiseerde criminele bende, zoals verschillende andere hackersgroepen. Deze groep bestaat uit een losse online gemeenschap van individuen. Dat zorgt ervoor dat de groep onvoorspelbaar is, ook op het gebied van gemaakte afspraken. De groep heeft inmiddels wel een lange staat van dienst opgebouwd. Eerder braken ze in bij organisaties zoals Ticketmaster, Microsoft en Pornhub.
Cybersecurityonderzoekers omschrijven ShinyHunters als onderdeel van een bredere ‘supergroep’ van cybercriminelen, samen met Scattered Lapsus$ Hunters. Hoewel de aanval richting Odido werd gepresenteerd als afpersing, is de inschatting van het bedrijf en betrokken experts dat het de groep primair om imagoschade te doen was.
Zowel de politie als het Openbaar Ministerie doen inmiddels onderzoek naar de hack. Er is Odido gevraagd om te reageren op de kwestie, maar het bedrijf liet weten geen uitspraken te doen vanwege de lopende onderzoeken.