Telecomprovider Odido wist twee dagen lang niet dat de hack van begin februari een massale datadiefstal had opgeleverd. Topvrouw Tisha van Lammeren erkent voor het eerst publiekelijk dat intern onderzoek ten onrechte concludeerde dat er niets was buitgemaakt. De hackersgroep ShinyHunters moest dat zelf melden.
Er werd gebruikgemaakt van phishing om de netwerken van de telecomprovider binnen te komen. Odido blokkeerde het getroffen account weliswaar binnen een uur, maar dat was al te laat. Op 5 februari werden de gegevens van miljoenen klanten gedownload, zonder dat er een alarm afging, zegt Van Lammeren. Pas op 7 februari, toen ShinyHunters zelf contact opnam met de mededeling dat ze klantdata in handen hadden, drong de ware omvang van het lek door. “We waren extreem verrast door de snelheid waarmee alles gebeurde”, aldus de topvrouw.
Diefstal lange tijd onduidelijk
Ook daarna bleef onduidelijkheid de boventoon voeren. Pas begin maart, nadat de groep alle gestolen data op het darkweb publiceerde, ontdekte Odido dat ook zakelijke klanten waren getroffen. De provider dacht aanvankelijk dat het alleen om consumenten van Odido en Ben ging. Hoe de hackers de diefstal verborgen hielden, wil Van Lammeren niet toelichten. “De hackers hebben daar goede technieken voor. Dat vindt op de achtergrond plaats.”
Communicatie had beter gekund
De provider stuurde een aantal dagen na de hack 6,2 miljoen berichten naar klanten en oud-klanten. Maar verdere updates volgden nauwelijks. Van Lammeren noemt het verbeteren van de crisiscommunicatie de belangrijkste les die het bedrijf heeft geleerd. Ze erkent dat het bedrijf klanten ook had moeten informeren over zaken die nog onduidelijk waren.
De informatiepagina van Odido over de hack is afgelopen week uitgebreid. In een video met daarin de CEO legt het bedrijf onder meer uit waarom het besloot geen losgeld te betalen aan het hackerscollectief, een beslissing waar het nog steeds achter staat.
Ondertussen lopen er twee onderzoeken van toezichthouders naar de beveiliging van het klantensysteem en de bewaartermijnen van gegevens. Een tijdlijn voor de afronding ontbreekt nog. Privacystichting Consumers United in Court startte daarnaast een massaclaim tegen de provider. Van Lammeren zegt dat Odido het vertrouwen van klanten wil terugwinnen na wat zij omschrijft als “een donkere dag voor ons allemaal”.