Deadline voor Odido om hackers te betalen verstrijkt vandaag: 'Dan komen er elke dag gegevens van een miljoen mensen online'

Ruim zes miljoen Odido-klanten wachten in spanning af nu de deadline voor een miljoenenbedrag aan losgeld vandaag afloopt. Cybercriminelen dreigen de buitgemaakte klantgegevens openbaar te maken als Odido niet betaalt. In Goedemorgen Nederland duidt cyberexpert Dave Maasland het dilemma waar het telecombedrijf voor staat.

Telecomprovider Odido werd getroffen door een grote cyberaanval waarbij gegevens van meer dan zes miljoen klanten zijn buitgemaakt. De hackers kregen toegang via accounts van medewerkers. Als het bedrijf niet betaalt, dreigen de criminelen de data online te zetten.

Of Odido daadwerkelijk overgaat tot betaling, is onbekend. Volgens Maasland is het allesbehalve een eenvoudige beslissing. "Dit is een ongelooflijk duivels dilemma. Ik denk dat aan beide kanten gewoon wat voor te zeggen is. En elke persoon die denkt dat dit een simpele beslissing is, mist denk ik heel veel in deze discussie. De maatschappelijke kosten."

Volgens hem staan organisaties bij dit soort aanvallen voor een keuze tussen twee kwaden. "Aan de ene kant heb je die maatschappelijke kosten. Als je betaalt, dan betaal je deze bende om de volgende keer terug te komen met grotere wapens. Ze worden sterker, ze worden aantrekkelijker, misdaad loont, et cetera. Dat wil niet zeggen dat op de korte termijn, als je wel betaalt, de kans veel kleiner is dat het uitlekt en je de schade kunt beperken."

Maar zelfs betalen biedt geen garantie, waarschuwt Maasland. "Het is natuurlijk nooit honderd procent garantie dat die data niet uitlekt. Die bendes krijgen ook ruzie onderling, kunnen ook gehackt worden, kunnen ook liegen. Natuurlijk doen ze dat niet zomaar, want dat businessmodel moet wel in stand blijven. Maar het blijven criminelen."

Vernuftige methode

De groep achter de aanval is volgens Maasland al jaren actief en hanteert een opvallende methode. "Het is een beruchte bende, al sinds 2019 zijn die actief. De meeste hackers gebruiken allerlei technische dingen om binnen te komen. Zij hebben een vernuftige methode gevonden om zichzelf naar binnen te praten. En dan eenmaal ingelogd als medewerker met jouw account overal bij te kunnen."

Juist omdat zij inloggen met bestaande accounts, vallen ze minder snel op. "En dan is het heel moeilijk om te zien wat iemand aan het doen is. Zij weten dus bijna zonder digitale koevoet of middelen onopgemerkt te blijven."

Onderhandelingen via chat

Hoe zo’n dag achter de schermen verloopt, daar heeft Maasland wel een beeld bij. "Het is uiteindelijk een onderhandeling met criminelen. Er zijn bedrijven die hierin gespecialiseerd zijn. Het gaat allemaal via de chat. Zij hebben een website waarop ze contact hebben met slachtoffers en vaak huren bedrijven een externe partij in om te onderhandelen."

Door de maatschappelijke impact is ook de politie waarschijnlijk aangehaakt. "Waarschijnlijk zijn die erbij betrokken, of in ieder geval is er contact mee. De aanwijzingen zijn dat Odido eerder heeft gesproken met de criminelen via de chat, maar die gesprekken gestaakt heeft."

Opvallend vindt Maasland dat de hackers de publiciteit zoeken. "Het verbaast me dat ShinyHunters zoveel contact met de media zoekt. Want cybercriminelen denken vaak dat ze onaantastbaar zijn, maar dat is niet zo. Als politiediensten alles op alles zetten, kunnen ze ze oppakken."

Zeer gevoelige informatie

De buit bestaat uit meer dan alleen contactgegevens. "Er zijn niet alleen namen, telefoonnummers en e-mailadressen. Ze hebben het klantcontactsysteem leeggetrokken. Daarin schrijven medewerkers ook opmerkingen, zoals: klant heeft het moeilijk, staat onder bewindvoering, of iemand is doorgedraaid in de winkel."

Dat maakt de impact potentieel groot. "Hele gevoelige informatie over financiële, emotionele en psychologische situaties. Daarmee weet je als crimineel precies wie de makkelijkste target is."

De gegevens kunnen bovendien worden gesorteerd en ingezet voor uiteenlopende vormen van misdaad. "Je kunt lijsten maken van jonge vrouwen voor afpersingsbeelden of van ouderen die vatbaar zijn voor babbeltrucs. Dit is een broedplaats voor allerlei andere vormen van criminaliteit."

Beveiliging blijft kwetsbaar

Volgens Maasland ligt de verantwoordelijkheid voor de bescherming van de data bij het bedrijf. "Odido is verantwoordelijk voor de beveiliging van die data. Deze bende is al sinds 2019 actief. Als je het digitale weerbericht een beetje volgt, weet je dat ze bestaan en test je daarop."

Hij waarschuwt om medewerkers niet als zondebok aan te wijzen. "Het is nooit de schuld van de medewerker. Je moet ervan uitgaan dat iemand een keer klikt. Het gaat erom: als iemand binnen is, waar kan die dan bij?"

Veel organisaties hebben hun 'digitale branddeuren' nog niet op orde. "Als je eenmaal binnen bent, is de kasteelpoort open en kun je overal bij. Tegenwoordig weten we dat je digitale branddeuren moet plaatsen en toegangsrechten goed moet instellen. Daar worstelen we nog steeds mee."

Wat gebeurt er vandaag?

De grote vraag blijft wat er gebeurt als Odido niet betaalt. "Het hangt af van de strategie die Odido gaat voeren. Als het bedrijf besluit niet te betalen, dan gaat ShinyHunters waarschijnlijk alles online zetten. Dat is een bende die niet zegt: we verkopen het door, die zet het gewoon openbaar."

Volgens Maasland kan dat stapsgewijs gebeuren om de druk verder op te voeren. "Dan staan dus gegevens van een miljoen mensen per dag online: adressen, telefoonnummers en eventuele opmerkingen. Dat is voor iedereen te downloaden."

Zelfs als er wel wordt betaald, betekent dat niet automatisch dat klanten opgelucht kunnen ademhalen. "Die gegevens zijn al in bezit van criminelen. Als ze alsnog worden vrijgegeven, is hun businessmodel weg, maar het blijven criminelen. Ze kunnen de data ook op andere manieren doorverkopen."

Eerdere zaken laten zien dat gestolen gegevens soms jaren later alsnog opduiken. "Er zijn bendes opgerold waarbij de data later toch werd gevonden. De kans is kleiner, maar nog steeds aanwezig dat de gegevens een jaar of twee jaar later alsnog opduiken."