#informatief - De Odido Hack
Wat we moeten leren van het datalek dat 6,2 miljoen Nederlanders raakt
De schok van een digitale inbraak
Het weekend van 7 en 8 februari markeert een pijnlijk dieptepunt in de Nederlandse cybersecuritygeschiedenis. Terwijl miljoenen Nederlanders genoten van hun vrije tijd, voltrok zich bij telecomprovider Odido een digitale kaalslag die de privacy van bijna een derde van de Nederlandse bevolking raakt. De centrale, prangende vraag is hoe een gecentraliseerd systeem waarin de gevoelige gegevens van nagenoeg de volledige klantenbase zijn opgeslagen, zo kwetsbaar kon zijn voor cybercriminelen. Dit incident legt een fundamenteel probleem bloot in de manier waarop grote organisaties onze meest persoonlijke data beheren: we creëren digitale 'honeypots' die simpelweg te aantrekkelijk zijn voor aanvallers om te negeren.
Bijna elke klant is een mogelijk doelwit
De omvang van dit datalek is voor Nederlandse begrippen ongekend. Cybercriminelen kregen toegang tot een intern klantcontactsysteem dat de administratie van maar liefst 6,2 miljoen mensen beheert. Dit aantal is nagenoeg gelijk aan het volledige klantenbestand van Odido. Hoewel de provider aangeeft dat het nog onduidelijk is of álle records in het gedownloade bestand stonden, moeten we uitgaan van het ergste scenario. Voor de Nederlandse telecomsector is dit een beveiligingsdebacle van een schaal die we niet eerder hebben gezien; vrijwel iedereen met een Odido-abonnement is nu een potentieel doelwit.
Meer dan alleen een e-mailadres – Je identiteit ligt op straat
De aard van de gestolen data zorgwekkender dan de kwantiteit. Dit is geen simpel lek van e-mailadressen en wachtwoorden; dit is een blauwdruk voor identiteitsfraude. De buitgemaakte informatie bevat:
• Volledige namen en adresgegevens
• Mobiele telefoonnummers en e-mailadressen
• Klantnummers en IBAN-rekeningnummers
• Geboortedata
• Identificatiegegevens (zoals paspoort- of rijbewijsnummers)
Juist de combinatie van IBAN-gegevens met paspoortnummers is giftig. Dit stelt criminelen in staat om zeer geloofwaardige vormen van bankhelpdeskfraude of bewindvoeringsfraude te plegen. Wanneer een oplichter niet alleen uw naam en rekeningnummer weet, maar ook uw paspoortnummer kan citeren, wordt het voor een gemiddelde consument nagenoeg onmogelijk om echt van vals te onderscheiden.
De digitale kluis bleef deels gesloten
Er is een klein lichtpuntje in deze digitale duisternis. Volgens Odido zijn bepaalde kritieke datapunten buiten schot gebleven:
• Wachtwoorden
• Belgegevens en locatiegegevens
• Factuurgegevens
Vanuit technisch oogpunt is dit relevant omdat het een directe 'Account Takeover' (ATO) van de Odido-omgeving zelf bemoeilijkt. Criminelen kunnen niet direct inloggen om abonnementen te wijzigen of simkaarten te dupliceren via de webomgeving. Echter, als IT'er moet ik benadrukken dat de wél gestolen data meer dan voldoende is voor geavanceerde social engineering. Met de buitgemaakte info kunnen aanvallers via de helpdesk proberen alsnog wachtwoorden te laten resetten of toegang te forceren tot andere accounts van het slachtoffer.
De nieuwe golf van 'hyper-gepersonaliseerde' phishing
We gaan een fase in van hyper-gepersonaliseerde phishing. Criminelen hoeven niet meer te gokken; ze weten wie u bent, wat uw klantnummer is en bij welke bank u zit. Odido waarschuwt zelf expliciet voor dit gevaar:
"Criminelen zouden de gestolen informatie kunnen gebruiken om zich voor te doen als bank, telecomprovider of andere organisatie (phishing), bijvoorbeeld via frauduleuze e-mails, sms’jes of telefoontjes."
Tip: Wees uiterst waakzaam.
Besef dat een legitieme bank of provider u nooit zal vragen om uw volledige paspoortnummer ter verificatie te geven via een link of aan de telefoon, en ze zullen u nooit vragen om via een sms-link uw IBAN te 'bevestigen'. Krijgt u een dergelijk verzoek? Hang op en bel zelf het officiële nummer van de instantie.
Snel handelen en de rol van de Autoriteit Persoonsgegevens
Odido heeft na de ontdekking volgens het boekje gehandeld: de toegang is direct gedicht, klanten zijn geïnformeerd en er is een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Hoewel deze transparantie en het opvolgen van de wettelijke plichten prijzenswaardig zijn, lost het de kern van het probleem niet op. De data is "buiten" en kan nooit meer worden ingetrokken. De rol van de AP zal in de nabije toekomst cruciaal zijn om te beoordelen of Odido wel voldaan heeft aan de beveiligingseisen die de AVG stelt aan het opslaan van zulke risicovolle ID-documenten in een systeem dat blijkbaar relatief eenvoudig toegankelijk was.
De nasleep van een weekend in februari
De hack bij Odido is een pijnlijke herinnering aan de kwetsbaarheid van onze gecentraliseerde digitale samenleving. De technische gaten mogen dan gedicht zijn, de maatschappelijke schade begint nu pas. Dit incident dwingt ons tot een fundamentele discussie: waarom staan paspoortnummers en IBAN-gegevens in hetzelfde systeem als de aantekeningen van een klantenservice?
Zolang we dergelijke enorme 'honeypots' blijven bouwen, blijven we dweilen met de kraan open. De vraag is niet óf uw gegevens morgen op straat liggen, maar wanneer organisaties eindelijk inzien dat minder data-opslag de enige échte vorm van beveiliging is.
Hoe veilig voelt u zich nog als uw meest gevoelige documenten slechts één hack verwijderd zijn van de hoogste bieder?
Henk
SHN community ambassadeur
1 Reactie
Lang heb ik me door omstandigheden van mijn jeugd me onveilig gevoeld in de (buiten) wereld. Toch ben ik dat grotendeels te boven gekomen. Wat bleef is een wantrouwen in aanleg en doordat ik heel gevoelig ben erg vanuit mijn onderbuikgevoel reageer en handel. Dat is helpend.
Echter In de digitale wereld voel ik me beslist niet veilig. Meer nog nu ik als 1 van die miljoenen wiens gegevens gehackt zijn en misschien nu wel openbaar zijn.
Verder wordt ik gedwongen een app te gebruiken voor mijn gezondheidscentrum, huisartspraktijk. Die alleen.op mijn telefoon te installeren is en niet op mijn laptop die beter beveiligd is. Buiten de omslachtigheid van gebruik en nog minder menselijk contact moet ik maar klakkeloos aannemen dat het veilig is. Mijn praktijk valt onder een overkoepelende commerciële organisatie en de ervaringen zijn niet prettig. Daarover ben.ik in gesprek met het intervieuwbureau van RADAR.
En dan is het ook heel aannemelijk geworden dat DIGD overgenomen wordt door een Amerikaans bedrijf.
Bij alles voel ik in toenemende mate onveiligheid waar tegelijkertijd de druk opgevoerd wordt door instanties en organisaties alles digitaal te doen. Ik doe mijn best, met een achterstand met blijvende gevolgen, met weinig geld om me te handhaven.
Natuurlijk er zijn weer allerlei instanties opgericht om mensen te ondersteunen en verder te helpen.
Maar met chronische aandoeningen is het bijna onmogelijk om steeds weer op pad te moeten en energie in te stoppen.
Wat me vooral ergert, ik ben 68, dat mijn kritiek en/of voorbehoud door die ander vaak vertaald wordt als weerstand tegen veranderingen.
Mijn internist sprak ook haar bezorgdheid uit omdat als het internet uitvalt er niets meer mogelijk is en ook in die bedrijfstakken chaos zal ontstaan.
Ik vraag me steeds af waarom niet verschillende systemen naast elkaar gehandhaafd zijn gebleven.
Het is niet eenvoudig voor bovendien ook een groep mensen nog ouder dan ik, met geen of zwak sociaal vangnet en/of familie zich te bewegen in deze wereld, ik zie door vrijwilligerswerk daar schrijnende gevolgen van. Meer nog als zij geen internet hebben en afhankelijk van instanties/vreemden.
Voor mezelf ben ik weer in een alertstand terecht gekomen, die negatieve gevolgen heeft omdat ik lang op overlevingsmechanismen heb geleefd. En bovenop alle 'beperkingen' ik schijnbaar niet of moeilijk, ten dele maar kan bepalen wat ik wel of niet wil.
Ik zal toch niet de enigste zijn bij wie de zorgen van onze digitale wereld steeds meer toenemen.
Ik weet er zijn voordelen, maar ik kies ook ervoor weg te blijven bij sociale media, omdat ik daar zelf meer nadelen in zie, zoals al het verbaal geweld, bedreigingen, ongenuanceerde instant meningen. Toenemend gevaar voor hacks, fraude, seksueel geweld en uitbuiting.
Soms verlang ik waar beslist ook vroeger, alles niet beter was, in mijn geval zeker, naar de tijd van weleer. Die misschien niet beter was maar nog wel wat simpeler.
Niet alle veranderingen zijn vooruitgang.
Niet elke stil- en/of achterstand een nadeel.
Vooralsnog moet ik.dus opnieuw weer super alert zijn en dat bevalt me niet.