Telecomprovider Odido heeft een video gepubliceerd met CEO Soren Abildgaard. Daarin legt hij uit waarom het bedrijf heeft geweigerd losgeld te betalen na de cyberaanval van begin februari. Criminelen van de groep ShinyHunters stalen klantdata van 6,39 miljoen mensen. Odido betaalde niet en het gevolg daarvan was dat alle gestolen data op het darkweb belandde.
De aanval begon op 5 februari, toen een aanvaller contact opnam met het Odido Service-team zo liet Abilgaard weten in een video. De aanvaller deed zich voor als medewerker van de IT-afdeling. Op 6 februari volgde een tweede poging. Odido ontdekte in beide gevallen de ongeautoriseerde toegang, onderzocht het incident en trok de toegang in. Toch had de aanvaller op dat moment al heel wat data buitgemaakt.
De eerste melding van de cyberaanval verscheen begin februari, kort nadat Odido de inbraak had ontdekt. Het ging daarbij om ongeautoriseerde toegang van een klantcontactsysteem. De gestolen data omvatte onder andere onder andere namen, telefoonnummers, e-mailadressen, IBAN-nummers en gegevens van identiteitsbewijzen. Gegevens van verschillende klanten die al jaren geen abonnee meer waren van de telecomprovider, kwamen ook voor in het systeem.
Abildgaard: criminelen niet belonen
In de video legt Abildgaard uit hoe Odido tot de beslissing is gekomen om geen losgeld te betalen. “Ik ben ervan overtuigd dat je criminele organisaties niet moet belonen voor illegale activiteiten. Het betalen van losgeld kan er bovendien voor zorgen dat ook andere Nederlandse bedrijven doelwit worden”, aldus de topman. De CEO geeft tot slot aan op basis van duidelijke richtlijnen van de autoriteiten te hebben gehandeld.
ShinyHunters eiste losgeld, maar nadat Odido weigerde te betalen, publiceerde de groep de gestolen data volledig op het darkweb. De aanval staat niet op zichzelf. ShinyHunters heeft vaker gerichte voice phishing-campagnes uitgevoerd tegen grote organisaties. Daarbij bellen aanvallers medewerkers op, doen zich voor als IT-collega’s en proberen zo MFA-codes of inloggegevens los te krijgen, zo blijkt uit meerdere analyses over de werkwijze van ShinyHunters.
Odido zelf omschrijft de aanval als “zeer geavanceerd”, maar geeft geen verdere details over wat die aanval specifiek onderscheidde van andere phishingpogingen. De laatste organisatie die is getroffen door hetzelfde hackerscollectief is Instructure. Die aanval richtte zich op Canvas, het veelgebruikte digitale leerplatform van het softwarebedrijf.
Lees ook; Betalen aan criminelen of failliet: het duivelse dilemma
Meerdere onderzoeken lopen nog
Na het lek schakelde Odido direct externe cybersecurity-experts en de politie in. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur zijn ondertussen ook een formeel onderzoek gestart naar zowel de beveiliging als de bewaartermijnen van klantgegevens. Eerder bleek namelijk al dat Odido data van voormalige klanten langer bewaarde dan het eigen privacybeleid toelaat.
Inmiddels is ook een massaclaim van start gegaan tegen Odido vanwege het datalek. Privacystichting Consumers United in Court eist onder andere dat de provider alle getroffen (oud-)klanten persoonlijk informeert en uitlegt hoe het lek is ontstaan.