Odido had zelfs twee dagen na de inbraak op 5 en 6 februari van dit jaar waarbij persoonlijke data van miljoenen klanten werden gekaapt, niet door dat de cybercriminelen wat hadden gestolen. Nota bene de hackersgroep ShinyHunters zelf attendeerde het telecombedrijf op de diefstal.
Enorme hoeveelheden klantgegevens waren gedownload zonder dat Odido daar een flauw benul van had. Ook het externe team van cybersecurity-specialisten dat het telecombedrijf bijstond, concludeerde enkele uren na de hack dat er niets was ontvreemd.
Odido, dat afgelopen dinsdag op de geruchtmakende hack terugkwam, kan nog steeds niet goed verklaren waarom de diefstal onopgemerkt bleef. Toen ShinyHunters de massale kraak meldde, was dat voor Odido een verrassing. Tisha van Lammeren, ‘chief commercial officer (cco) mass market’ wilde daar weinig over zeggen behalve dan de uitspraak dat de hackers goede technieken hebben om de diefstal te bedekken en dat alles op de achtergrond plaatsvindt. Maar deskundigen zeggen dat als de logging en monitoring van systemen in orde was geweest, dit niet zo ver had hoeven te komen.
‘Niets verkeerd gedaan’
Ceo Søren Abildgaard zei tegenover klanten dat zijn bedrijf ‘niets verkeerd’ heeft gedaan, maar dat er ‘mogelijk wel fouten zijn gemaakt’. Volgens hem voldeed de beveiliging bij Odido aan de vereisten. Of dat echt zo is, moet het onderzoek uitwijzen dat de Rijksinspectie Digitale Infrastructuur (RDI) doet in samenwerking met de Autoriteit Persoonsgegevens (AP).
Verder is dinsdag duidelijk geworden hoe ShinyHunters in de klantsystemen van Odido wist binnen te komen. Daar was alleen een telefoontje naar de klantenservice voor nodig geweest. Een medewerker dacht met de it-afdeling te maken te hebben en logde in op een valse versie van de werkomgeving. Op die manier kregen de hackers de inloggegevens van de medewerker in handen. Een uur lang had ShinyHunters vrij spel in de klantsystemen van Odido. Volgens de hackers konden ze in dat uur 21 miljoen regels aan data afkomstig van acht miljoen klanten wegsluizen. Odido houdt het op 6,2 miljoen accounts.
Veel kritiek
Odido blijkt op vele punten te hebben gefaald. Pas ruim twee weken na de hack werd de volle omvang van de hack door het telecombedrijf erkend. Ook duurde het lang voordat Odido toegaf dat ook notities over het betaalgedrag van klanten en andere gevoelige informatie in verkeerde handen waren gekomen.
Een maand lang dacht het telecombedrijf dat alleen consumenten waren getroffen. Toen de hackersgroep begin maart alle gegevens op het darkweb zette, merkte Odido ineens dat daar ook data van zakelijke klanten bij zaten.
Het bedrijf kreeg ook veel kritiek op de trage en summiere communicatie. Maar volgens cco Van Lammeren kwam dat omdat het bedrijf zelf ook niet wist wat er precies aan de hand was.
De topman heeft gesproken: niets verkeerd gedaan, wel fouten gemaakt.
Dwz mogelijk, he.
En dan hooptie duidelijkheid te brengen ?
“Het bedrijf kreeg ook veel kritiek op de trage en summiere communicatie. Maar volgens cco Van Lammeren kwam dat omdat het bedrijf zelf ook niet wist wat er precies aan de hand was.”
Zucht..
Heel bijzonder ook, al die partijen die involved zijn:
Odido: “geen flauw benul”
Het externe dat team cybersecurity-specialisten dat het telecombedrijf bijstond: “niets was ontvreemd”
Deskundigen: die “zeggen dat als de logging en monitoring van systemen in orde was geweest, dit niet zo ver had hoeven te komen.”
Heb je dan cybersecurity-specialisten die maar wat roepen en daarnaast deskundigen die er wel verstand van hebben ?
En hoe geavanceerd was die aanval dan ?
Net zoals altijd: “Daar was alleen een telefoontje naar de klantenservice voor nodig geweest. Een medewerker dacht met de it-afdeling te maken te hebben en logde in op een valse versie van de werkomgeving.”
En dan meteen “21 miljoen regels aan data afkomstig van acht miljoen klanten wegsluizen.”
Niets verkeerd gedaan..
De Internet verbinding was juist heel snel 😛
Wonderlijk om verder geinformeerd te worden door “chief commercial officer (cco) mass market”. Gaat die niet over heel makkelijk klant kunnen worden, maar heel moeilijk het abo te kunnen opzeggen ?
De woorden van zo’n cco zijn net zo misleidend als de AI prompts van Jack.
Acht miljoen accounts gehackt, maar Odido houdt het op 6.2.
Terwijl ze hun informatie van de hackers krijgen, zelf hebben ze geen clue.
Beetje afwachten wat de hackers op het darkweb plaatsen..
Ik blijf erbij dat als er geen gevangenisstraffen worden uitgeloofd voor nalatigheid bij de opslag van gevoelige data dat bedrijven er gewoon met de pet ernaar blijven gooien. Zoals bij Odido.
Ze weten dat de wet aan hun kant staat want iedere klant moet individueel procederen en bewijzen dat ze schade hebben opgelopen. Dat is in de praktijk onmogelijk of niet rendabel (je bent veel meer aan advocaatkosten kwijt dan wat je als schadevergoeding krijgt). De massaclaim kan succesvol zijn maar de kans daarop is heel klein.