Odido weigert losgeldbetaling: cybercriminelen dumpen eerste klantgegevens op darkweb
Gegevens van nog eens 6 tot 10 miljoen Nederlanders dreigen op darkweb te belanden
Het Nederlandse Odido is niet ingegaan op de losgeldeis van hackersgroep ShinyHunters. De cybercriminelen zijn hierna overgegaan tot het gedeeltelijk publiceren van gevoelige informatie over Odido-klanten op het darkweb. Tot overmaat van ramp lijkt de hoeveelheid informatie groter te zijn dan eerst gedacht.
In het kort
- Odido weigert te betalen aan hackersgroep ShinyHunters, waarna de eerste 100.000 klantgegevens zijn gelekt
- De totale datadump dreigt uit te groeien tot 10 miljoen records, inclusief gevoelige informatie over bewindvoering
- Er loopt een onderzoek naar waarom Odido klantgegevens langer dan de reglementaire twee jaar heeft bewaard
De cybercriminelen van ShinyHunters zouden Odido naar verluidt tot vandaag 26 februari de tijd hebben gegeven om een bedrag tussen de 500.000 en 1 miljoen euro aan Bitcoin te betalen. Zou Odido niet op tijd betalen dan wordt iedere dag 1 miljoen regels aan gevoelige klantinformatie op het darkweb gepubliceerd. Om die claim kracht bij te zetten is alvast een kleine dump van 100.000 regels gepubliceerd.
Odido is echter niet van plan te betalen en daarmee dreigen nog eens 6 tot 10 miljoen zeer gevoelige persoonsgegevens op het darkweb te verschijnen. Die informatie bevat zoals Odido eerder meldde NAW en rekeningnummers, maar inmiddels is duidelijk geworden dat er meer gegevens zijn gestolen. Zo berichtte NOS dat ook interne notities over klanten zijn buit gemaakt waaronder of een klant een bewindvoerder heeft of moeilijk in de omgang is.
Schending van eigen bewaartermijn
Naast informatie over bestaande Odido- en Ben-klanten zou de dump ook veel gegevens bevatten van oud-klanten. Dat gaat in tegen Odido's eigen regels. Zelf geeft Odido aan klantgegevens maximaal twee jaar te bewaren. Hoe het kan dat Odido deze gegevens nog altijd in bezit had wordt onderzoek naar gedaan.
Voor klanten en oud-klanten is dat momenteel irrelevant. Zij dreigen door het niet betalen van het losgeld in handen te vallen van vele toekomstige cybercriminelen die door de datadump zeer gerichte phishingaanvallen kunnen uitvoeren. Wees dus beducht op toekomstige e-mails, sms'jes, brieven en zelfs telefoontjes.
Dit incident volgt op een reeks grootschalige hacks waarbij ShinyHunters eerder betrokken was, waaronder de diefstal bij Ticketmaster in 2024. Hierbij werden klantgegevens van 560 miljoen gebruikers buitgemaakt.
Gerelateerd nieuws
Hoofdredacteur
Martijn is als oprichter van NieuweMobiel.NL verantwoordelijk voor zowel de technische als de strategische ontwikkeling van het platform. Met een achtergrond in de ICT heeft hij de website vanaf de start in 2002 volledig zelf ontwikkeld en onderhoudt deze tot op de dag van vandaag.
