Miljoenen klanten in gevaar na hack bij Odido: hackers eisen losgeld

Op 12 februari kwam naar buiten dat cybercriminelen toegang hadden gekregen tot het klantcontactsysteem van Odido en dochterbedrijf Ben. Geen klein lek, geen beperkt incident, maar een databreuk van enorme schaal. Volgens de provider gaat het om gegevens van ongeveer 6,2 miljoen klanten.

De buit is allesbehalve onschuldig. Namen, adressen, telefoonnummers, bankrekeningnummers en zelfs gegevens van identiteitsbewijzen zoals paspoortnummers zijn buitgemaakt. Dat zijn precies de gegevens waarmee criminelen jarenlang nieuwe slachtoffers kunnen maken. Wachtwoorden, belgegevens en factuurinformatie zouden volgens Odido niet zijn gestolen, maar dat biedt weinig troost.

Het incident behoort tot de grootste datalekken ooit bij een Nederlandse telecomprovider, en roept onvermijdelijk de vraag op hoe zoiets überhaupt heeft kunnen gebeuren.

De cybercriminelen, die zich presenteren als de beruchte hackersgroep Shinyhunters, voeren de druk inmiddels openlijk op. Via een bericht op hun darkwebpagina zetten zij Odido publiekelijk voor het blok. RTL Nieuws ontdekte het bericht als eerste, later bevestigd door onder meer de NOS.

Volgens berichtgeving eisen de hackers meer dan één miljoen euro aan losgeld. De deadline ligt op donderdagochtend. Betaalt Odido niet, dan volgt volgens de daders volledige publicatie van de gestolen gegevens.

In hun dreigbericht schrijven de daders: "Dit is een laatste waarschuwing voordat we gaan lekken en verscheidene andere vervelende (digitale) problemen jullie kant op komen. Jullie weten ons te vinden." Odido weigert ondertussen te zeggen of het bedrijf überhaupt overweegt om te betalen.

Als de gegevens daadwerkelijk op het dark web belanden, verandert het incident van een groot probleem in een vrijwel permanente nachtmerrie. Het dark web is geen obscure uithoek van het internet, maar een actieve marktplaats waar gestolen data als handelswaar circuleert.

Eenmaal gepubliceerd verdwijnen persoonsgegevens niet meer. Ze worden gekopieerd, doorverkocht en jarenlang opnieuw gebruikt. Identiteitsfraude, phishingaanvallen en financiële oplichting zijn dan geen theoretische risico’s meer, maar voorspelbare gevolgen.

Het Meldpunt Identiteitsfraude ontvangt inmiddels honderden meldingen van bezorgde klanten. Mensen vrezen terecht dat hun gegevens nog jaren tegen hen gebruikt kunnen worden. Sommige gedupeerden vermoeden zelfs dat hun informatie al wordt misbruikt.

Alsof de situatie nog niet ernstig genoeg is, stelt Shinyhunters dat het lek aanzienlijk groter is dan Odido zelf naar buiten brengt. Volgens de hackers beschikken zij over gegevens van circa acht miljoen klanten en tientallen miljoenen afzonderlijke datavelden.

Die claim is niet onafhankelijk bevestigd, maar de reputatie van Shinyhunters maakt de dreiging moeilijk weg te wuiven. De groep staat internationaal bekend om grootschalige datadiefstallen bij bedrijven wereldwijd. Wie er precies achter het collectief zit, blijft tot op heden onbekend, wat opsporing en aansprakelijkheid extra ingewikkeld maakt.

Ondertussen probeert Odido de schade te beperken. Getroffen klanten krijgen twee jaar lang gratis toegang tot een beveiligingspakket tegen virussen, online fraude en identiteitsmisbruik. Of klanten recht krijgen op een schadevergoeding is nog onduidelijk.

De komende dagen zijn cruciaal. Als Odido niet ingaat op de eisen van de hackers, dreigt een van de grootste Nederlandse datalekken uit te groeien tot een langdurige veiligheidscrisis voor miljoenen consumenten.