Odido meldt dat bij een cyberaanval toegang is geweest tot een bestand met gegevens van 6,2 miljoen accounts. Het is nog niet definitief duidelijk van hoeveel mensen er daadwerkelijk data is buitgemaakt; dat wordt nog uitgezocht. Volgens de NOS gaat het om één van de grootste datalekken die Nederland de afgelopen jaren heeft gezien.

Het incident werd volgens Odido afgelopen weekend ontdekt, waarna een onderzoek is gestart met externe cybersecurity-experts. De telecomprovider zegt dat de dagelijkse dienstverlening niet is geraakt: klanten kunnen blijven bellen, internetten en tv-kijken. Ook is melding gedaan bij de Autoriteit Persoonsgegevens.

Wat is er mogelijk buitgemaakt?

De buitgemaakte gegevens kunnen per klant verschillen. Odido benadrukt dat de persoonlijke e-mail of sms die klanten ontvangen leidend is: daarin staat welke informatie in iemands geval mogelijk is geraakt. Op basis van wat Odido en de NOS delen, kan het onder meer gaan om naam, adresgegevens, telefoonnummer, klantnummer, e-mailadres, geboortedatum en IBAN. Odido noemt daarnaast ook identificatiegegevens (zoals paspoort- of rijbewijsnummer en geldigheid) als mogelijke categorie, maar dit lijkt niet bij iedereen het geval.

Odido stelt dat in elk geval geen wachtwoorden van Mijn Odido, belgegevens, locatiegegevens, factuurgegevens of scans van identiteitsbewijzen zijn buitgemaakt.

Waarom criminelen hier veel mee kunnen

Ethisch hacker Sijmen Ruwhof noemt de combinatie van gegevens uitzonderlijk gevoelig, juist omdat niet alleen “standaard” persoonsgegevens, maar ook betaalgegevens kunnen zijn meegenomen. Hij waarschuwt dat criminelen hiermee berichten kunnen sturen die heel geloofwaardig ogen, bijvoorbeeld via mail of sms, omdat daarin echte gegevens van het slachtoffer staan. Met zulke berichten proberen oplichters mensen naar nepsites te lokken of inloggegevens los te krijgen.

Ruwhof wijst er ook op dat criminelen zich met deze gegevens kunnen voordoen als iemand anders bij bedrijven of klantenservices, omdat veel controles draaien om herkenbare persoonsgegevens (zoals postcode, geboortedatum of delen van een rekeningnummer). In dat scenario kan er fraude plaatsvinden zonder dat het slachtoffer vooraf direct benaderd wordt.

Ethisch hacker Matthijs Koot verwacht dat de buitgemaakte informatie bovendien kan worden gebruikt voor vormen van helpdeskfraude, bankfraude en andere oplichting waarbij vertrouwen wordt misbruikt. Hij noemt de dataset ook interessant voor vijandige inlichtingendiensten, die doelwitten in kaart proberen te brengen, bijvoorbeeld door contact- en adresgegevens te koppelen aan functies of organisaties.

Volgens de deskundigen is het denkbaar dat zulke grote datasets worden doorverkocht. Ruwhof noemt ook het scenario dat aanvallers druk proberen uit te oefenen op het bedrijf, al zegt Odido niet of daar sprake van is. Odido geeft aan dat er op dit moment geen gestolen data online is gepubliceerd, maar sluit niet uit dat dit later alsnog gebeurt.

Klanten informeren kost tijd, dit kun je zelf doen

Odido-directeur Tisha van Lammeren zegt dat het bedrijf op donderdag 12 februari rond 12.00 uur is begonnen met het informeren van klanten, nadat op klantniveau duidelijk werd welke gegevens per persoon mogelijk zijn geraakt. Het kan door de omvang van de operatie langer duren voordat iedereen bericht heeft.

Odido adviseert klanten vooral alert te zijn op onverwachte berichten, telefoontjes of betaalverzoeken die inspelen op het nieuws rond de hack. Het bedrijf wijst erop dat oplichters zich kunnen voordoen als Odido, een bank of een andere organisatie. Ook raadt Odido aan om nooit wachtwoorden of pincodes te delen, links in berichten kritisch te bekijken en bij twijfel zélf terug te bellen via het algemene nummer van een organisatie (op de officiële website).

Wie een e-mail of sms van Odido ontvangt, doet er goed aan die informatie rustig door te nemen en extra scherp te zijn op vervolgpogingen tot phishing. Niet elk datalek leidt tot misbruik, maar de mogelijkheid kan niet worden uitgesloten, benadrukt Odido.