De cybercriminelen die zeggen dat zij Odido hebben gehackt, dreigen de gestolen klantgegevens online te zetten op het dark web. Ze eisen dat de zwaar getroffen telecomprovider meer dan één miljoen euro betaalt. Volgens hen loopt de deadline aanstaande donderdagochtend af.
Als de gegevens echt worden gepubliceerd, kunnen andere criminelen ze makkelijk misbruiken, bijvoorbeeld voor phishing. De informatie zou dan voor iedereen toegankelijk zijn.
Beveiligingsexpert Dominic Alvieri berichtte op X als eerste over de chantage-poging van de aanvallers, die zich ShinyHunters noemen. Deze criminele hackersgroep is naar verluidt betrokken (geweest) bij een groot aantal datalekken. ShinyHunters zou zich meerdere malen hebben bezondigd aan chantage. Als de criminelen hun zin niet krijgen, plegen ze hun dreigementen waar te maken. Ze gaan dan daadwerkelijk over tot publicatie van gestolen data zodat iedereen die kan misbruiken. Dat zou een golf van phishing kunnen leiden. Met name voor malafide telefoontjes valt te vrezen.
Salesforce
De criminele groep die al sinds 2019 bestaat, heeft het vooral gemunt op Salesforce-omgevingen. Ook Odido gebruikt een klantcontactsysteem van die leverancier.
Volgens Alvieri heeft de bende 21 miljoen records buit gemaakt waaronder plain text wachtwoorden (niet versleuteld). Odido blijft volhouden dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. Maar de criminelen hebben tegenover RTL Nieuws het tegendeel verklaard. Odido suggereert dat het mogelijk gaat om verificatiewoorden tijdens telefonische contacten met de helpdesk.
Het datalek trof 6,2 miljoen Odido-klanten. Volgens ShinyHunters gaat om acht miljoen klanten en 21 miljoen regels aan data. Nog steeds heeft Odido niet kunnen verklaren waarom de massale datalek in het weekeinde van 7 en 8 februari lange tijd onopgemerkt bleef. Security-experts vragen zich af of Odido de logging en monitoring van systemen wel goed in orde had.
