Odido had zelfs twee dagen na de inbraak op 5 en 6 februari van dit jaar waarbij persoonlijke data van miljoenen klanten werden gekaapt, niet door dat de cybercriminelen wat hadden gestolen. Nota bene de hackersgroep ShinyHunters zelf attendeerde het telecombedrijf op de diefstal.
Enorme hoeveelheden klantgegevens waren gedownload zonder dat Odido daar een flauw benul van had. Ook het externe team van cybersecurity-specialisten dat het telecombedrijf bijstond, concludeerde enkele uren na de hack dat er niets was ontvreemd.
Odido, dat afgelopen dinsdag op de geruchtmakende hack terugkwam, kan nog steeds niet goed verklaren waarom de diefstal onopgemerkt bleef. Toen ShinyHunters de massale kraak meldde, was dat voor Odido een verrassing. Tisha van Lammeren, ‘chief commercial officer (cco) mass market’ wilde daar weinig over zeggen behalve dan de uitspraak dat de hackers goede technieken hebben om de diefstal te bedekken en dat alles op de achtergrond plaatsvindt. Maar deskundigen zeggen dat als de logging en monitoring van systemen in orde was geweest, dit niet zo ver had hoeven te komen.
‘Niets verkeerd gedaan’
Ceo Søren Abildgaard zei tegenover klanten dat zijn bedrijf ‘niets verkeerd’ heeft gedaan, maar dat er ‘mogelijk wel fouten zijn gemaakt’. Volgens hem voldeed de beveiliging bij Odido aan de vereisten. Of dat echt zo is, moet het onderzoek uitwijzen dat de Rijksinspectie Digitale Infrastructuur (RDI) doet in samenwerking met de Autoriteit Persoonsgegevens (AP).
Verder is dinsdag duidelijk geworden hoe ShinyHunters in de klantsystemen van Odido wist binnen te komen. Daar was alleen een telefoontje naar de klantenservice voor nodig geweest. Een medewerker dacht met de it-afdeling te maken te hebben en logde in op een valse versie van de werkomgeving. Op die manier kregen de hackers de inloggegevens van de medewerker in handen. Een uur lang had ShinyHunters vrij spel in de klantsystemen van Odido. Volgens de hackers konden ze in dat uur 21 miljoen regels aan data afkomstig van acht miljoen klanten wegsluizen. Odido houdt het op 6,2 miljoen accounts.
Veel kritiek
Odido blijkt op vele punten te hebben gefaald. Pas ruim twee weken na de hack werd de volle omvang van de hack door het telecombedrijf erkend. Ook duurde het lang voordat Odido toegaf dat ook notities over het betaalgedrag van klanten en andere gevoelige informatie in verkeerde handen waren gekomen.
Een maand lang dacht het telecombedrijf dat alleen consumenten waren getroffen. Toen de hackersgroep begin maart alle gegevens op het darkweb zette, merkte Odido ineens dat daar ook data van zakelijke klanten bij zaten.
Het bedrijf kreeg ook veel kritiek op de trage en summiere communicatie. Maar volgens cco Van Lammeren kwam dat omdat het bedrijf zelf ook niet wist wat er precies aan de hand was.
