ODIDO hack

hallo sterrenacht

Je kan wellicht kijken of er een bieb is ofzo waar ze digibeten helpen met dit soort dingen of kan je zo een betrouwbaar iemand zoeken, een it-specialist aan wie je dit probleem deels kan uitbesteden. Als alternatief is er een meer autonome route die je kan nemen. Ik heb hieronder een tekst geschreven met zowel algemene concepten als concrete stappen, wellicht heb je er iets aan en help ik je ermee op weg.

De hoeveelheid gegevens die gelekt zijn is groot. Hoe meer gegevens dieven van jou hebben, des te verfijnder kunnen zij een poging doen om jou op te lichten. Je bent kwetsbaar dus het enige wat je kan doen is jezelf minder kwetsbaar maken voor oplichting vanuit bepaalde hoek. Kernachtig gesteld moet je het gelekte emailadres, rekeningnummer en andere data onbruikbaar maken voor de dief.

Maar waar begin je als je de kans op problemen wil verkleinen? De onderstaande strategieën en concepten zijn bedoeld om jezelf meer tijd te geven een plan te maken en om overzicht te krijgen als leek wat betreft digitale kennis. Sommige dingen hieronder kunnen wellicht wat overweldigend zijn maar je kan je laten helpen hierbij en bovendien is dit een uitgelezen leermoment.

Bij Odido:
Ga naar een Odido-winkel, zeg dat je als je iets wilt wijzigen in je abonnementen (nieuw nummer aanvragen, abonemmenten, tv-pakketten etc) jij daarvoor uitsluitend persoonlijk (dus niet online/telefonisch) naar de winkel komt om een wijziging door te voeren, op vertoon van je id-bewijs.
De medewerker moet maar verzinnen hoe hij deze wens in de systemen verwerkt, zolang deze melding maar verschijnt wanneer een dief in jouw naam belt/mailt naar odido in een poging om bijv. een nieuw abonnement af te sluiten.
Als alternatief kun je er ook voor kiezen je abonnementen op te zeggen bij Odido, maar dit verandert weinig aan de situatie, want de gegevens liggen al op straat en overstappen is soms een gedoe.

Bij de bank (indien rekeningnummer is gelekt):
Neem contact op met de bank of kijk op internet om meer informatie te krijgen over "blokkade- en goedkeuringslijsten." Ik heb hier zelf geen ervaring mee maar het lijkt me wel even een klusje waar je voor moet gaan zitten om dit ingeregeld te krijgen. Wat je met deze lijsten doet is dat alleen door jou goedgekeurde entiteiten/bedrijven incasso mogen doen van jouw rekening, denk aan woningcorporatie, nutsbedrijf of andere essentiële zaken die maandelijks betaald moeten worden. Zo wordt het moeilijker voor dieven om zo maar afschrijvingen te doen, bijvoorbeeld van jouw rekeningnummer dat ze online ergens hebben gebruikt om dingen op rekening te kopen. Een noodzakelijke, mogelijk tijdrovende optie is als een havik je rekening in de gaten te houden en actief ongewenste afschrijvingen te storneren. Een andere mogelijkheid: haal zelf je rekening leeg voordat een ander het doet. Zo maak je de rekening snel onbruikbaar voor een dief.

E-mail:
Het is lastig om dit kort te houden. Er zijn verschillende stappenplannen die je kan doorlopen. Maar voordat je een stappenplan kiest is het belangrijk om de volgende dingen in het achterhoofd te houden.
Mogelijk is het zo dat je op het emailadres dat bij Odido (en dieven) bekend is post ontvangt die van essentieel belang is. Wellicht is het ook zo dat je niet meer weet waar je dit adres allemaal hebt gebruikt om je ergens aan te melden. Een ding is zeker, je zal op het gelekte emailadres nu (meer) spam, oplichtings-mails naast de essentiële post ontvangen, zeker als je het op meerdere plekken hebt gebruikt. Neem ter illustratie het volgende extreme voorbeeld.

De consequenties van overal hetzelfde emailadres gebruiken.
Het voordeel van overal hetzelfde emailadres gebruiken is dat alle post van alle dingen die (on)belangrijk zijn, op een centraal punt binnenkomt zodat je maar een inbox in de gaten moet houden. Als je het jezelf nog makkelijker wilt maken, kan je voor je online accounts hetzelfde adres en wachtwoord gebruiken. Het nadeel is dat als ook maar bij één entiteit (bijv. energieleverancier) dit emailadres en bijbehorende wachtwoord gebruikt wordt en die gegevens lekken dat dieven meteen bij alle andere accounts terechtkunnen zodra ze weten dat je ergens een account hebt, bijvoorbeeld bij zalando, omdat je consequent overal dezelfde combinatie van emailadres en wachtwoord hebt gebruikt. Dat mensen één email en wachtwoord gebruiken komt tegenwoordig niet veel meer voor, maar het helpt wel goed illustreren wat je niet moet doen en vervolgens dus wèl moet doen.

Wat je moet doen:
Elk emailadres en wachtwoord wat wordt gebruikt voor een online account kan worden gelekt, vroeg of laat, zo realistisch moet je zijn. Je moet er dus voor zorgen dat de impact van zo een lek zo klein mogelijk is op jouw leven en je zo min mogelijk herstelwerk oplevert indien er een lek is. Het volgende voorbeeld is wederom extreem, dit ten behoeve van het doorgronden van het probleem.

Stel je hebt drie verschillende online accounts: 1 bij de energieleverancier, 1 bij facebook/instagram, 1 bij een webwinkel. Gebruik bij elke van deze accounts een uniek emailadres (bijv. japie.energie@gmail.com, japie.facebookinsta@gmail.com japie.webwinkel@gmail.com) en ook een uniek wachtwoord waarmee je je aanmeldt. Dus dat betekent dat je dan voor elk van deze drie accounts ook 3 aparte emailadressen met elk ook een eigen wachtwoord moet hebben en steeds apart inloggen om de mails die je krijgt van bijvoorbeeld de energieleverancier, facebook/insta en webwinkel te ontvangen.

Wat gebeurt er bij een datalek zoals Odido met een dergelijke opzet?
Het megagrote voordeel van deze benadering is dat als bij de energieleverancier jouw emailadres en wachtwoord lekt, is dat niet meteen ook de facebook/insta en webwinkel toegankelijk zijn voor de dieven, dit omdat voor elk account er een ander email/wachtwoord-combinatie is, in tegenstelling tot voor alles dezelfde email-wachtwoord combinatie gebruiken. Voor de gebruiker zelf is deze benadering met verschillende emailaccounts uiterst bewerkelijk maar wel effectief. Om het voor jezelf makkelijker te maken kan je bijvoorbeeld post laten doorsturen: bij alle drie eerder genoemde entiteiten gebruik je weer drie verschillende emailadressen maar dit keer stuur je alle mail van die entiteiten door naar 1 enkel emailadres waar jij toegang toe hebt, bijv. jessie.incognito@gmail.com. Ter verduidelijking ziet de route van het postverkeer er zo uit: energieleverancier stuurt een email naar het bij hem bekende emailadres. In die mailbox waar dat emaildres aan gekoppeld is, staat een instelling die ervoor zorgt dat alle mail wordt doorgestuurd naar een ander email adres wat jij opgeeft. Stel er vindt een lek plaats van energieleverancier. Je krijgt dan een mail hierover doorgestuurd naar jessie.incognito@gmail.com van de mailbox die is geregistreerd bij de energieleverancier, bijv. japie.energie@gmail.com. Het emailadres wat dan gelekt is, is japie.energie@gmail.com. Wat je vervolgens doet is japie.energie@gmail.com sluiten en een nieuw emailadres, speciaal voor de energieleverancier aanmaken bijv. japie.stroom@gmail.com. Vervolgens zorg je dat de post die binnenkomt op japie.stroom@gmail.com weer doorgestuurd wordt naar jessie.incognito@gmail.com. Het emailadres japie.energie@gmail.com is onbruikbaar voor de dief want het wordt nergens anders gebruikt. Vind er weer een lek plaats (bij energieleverancier of een webwinkel, herhaal je bovenstaande stappen). Hopelijk is het idee duidelijk.

Bovenstaande voorbeeld behelst veel stappen en is overdreven, maar er zijn online diensten beschikbaar die je veel van deze stappen uit handen nemen en je de boel extreem kunnen vergemakkelijken door bijvoorbeeld alle mail op een centrale plek binnen te laten komen. Zoek om te beginnen op internet op "email-aliassen".

Data onbruikbaar maken is een manier om dieven te dwarsbomen. Nog meer voorbeelden van data zijn: een documentnummer van id-kaart, rekeningnummer van bank. Je maakt deze onbruikbaar door: een nieuwe id-kaart of ander rekeningnummer in gebruik te nemen. Je moet ervan uitgaan dat bovenstaande (en andere) gegevens opnieuw zullen worden gelekt vroeg of laat. Door verschillende rekeningnummers emailadressen te gebruiken verklein je de impact die een datalek kan hebben op jouw leven. Wat je ook kan doen nadat je een transactie met bijvoorbeeld een webwinkel hebt afgerond, is een verzoek tot dataverwijdering indienen. Als de dief dan komt kijken bij die webwinkel zal hij jouw gegevens daar niet vinden.

Ga er daarom vanuit dat als een datalek plaatsvindt een dief meer informatie heeft over jou dan je denkt, want hij kan gegevens van jou uit een ander datalek met elkaar combineren. Als een odido/zalando bijvoorbeeld roept "met de data die ze van ons hebben, kunnen ze niet zoveel" is daarom een holle frase. Wees daarom zuinig op je mailadressen, telefoonnummers en andere data die aan jou is te koppelen.

Om jezelf meer overzicht en tijd te geven om de boel te organiseren met je email kan je het volgende doen:
Maak een overzicht van essentiële post en niet-essentieel. Laat het door Odido gelekte emailadres gewoon actief. Hou die mailbox in de gaten. Steeds wanneer je daar essentiële emailpost ziet binnenkomen ga je naar het online account dat je hebt bij de entiteit, bijv. de energieleverancier. Eenmaal ingelogd daar, pas je het emailadres wat de leverancier van je heeft (het gelekte emailadres door odido) aan. Wees zorgvuldig met welk nieuw emailadres je opgeeft, dit mag niet het emailadres zijn dat alleen jij kent. Dit moet een adres zijn dat maar voor/op een plek gebruikt wordt, nl. de energieleverancier, bijvoorbeeld japie.energie@gmail.com. Herhaal deze stappen elke keer wanneer je een mail krijgt op je door odido gelekte adres. Uiteindelijk zal je je gelekte odido adres niet meer op essentiële post controleren omdat je stapje voor stapje alles hebt aangepast. Het voordeel van deze aanpak is dat je op een inspanningsarme manier de data kan aanpassen op de talloze plekken online waar je je door de jaren heen hebt aangemeld. Kom je er niet uit, wellicht is er ergens een informatieavond voor digibeten bij de lokale bieb. Succes.