Losgeld betalen na hack Odido had volgens experts weinig zin gehad

In dit artikel:

Telecombedrijf Odido raakte midden februari het slachtoffer van een datalek waarbij de hackersgroep Shinyhunters gegevens van 6,2 miljoen klanten wist te bemachtigen. De inbraak gebeurde via social engineering: aanvallers deden zich voor als interne collega’s om toegang te krijgen tot systemen. Daarna volgde een afpersingspoging; Shinyhunters eiste ongeveer 1 miljoen euro om publicatie van de data te voorkomen en nam actief contact op met Nederlandse media om druk te zetten.

Odido schakelde onmiddellijk de politie en externe cybersecurityspecialisten in en besloot, op advies van politie en experts, geen losgeld te betalen. Die keuze leidde tot veel kritiek van getroffen klanten: zij voelden zich in de steek gelaten en sommigen startten zelfs een crowdfundingsactie om het gevraagde bedrag bijeen te brengen. Rondom Odido benadrukt een ingewijde dat het bedrijf principieel geen zaken met criminelen wil doen.

Cybersecurityspecialisten steunen het niet-betalen. ESET-expert Dave Maasland wijst erop dat betalingen geen garantie bieden: criminelen kunnen data alsnog publiceren, onder een andere naam verspreiden of doorverkopen, en betaling maakt afpersers alleen maar sterker. Incidentresponder Lisa de Wilde legt uit dat organisaties bij datadiefstal twee keuzes hebben: wel of geen contact met de aanvallers, en wel of geen betaling. Die afweging hangt niet alleen van het bedrag af maar ook van het verleden en de betrouwbaarheid van de criminele groep; Shinyhunters staat erom bekend afspraken vaak niet na te komen. De groep zelf wordt beschreven als een losse online gemeenschap van individuen, wat voorspelbaarheid en handhaving van afspraken bemoeilijkt.

De zaak toont ook de enorme druk en emotionele belasting binnen crisisteams: medewerkers werken dagenlang, slapen en eten soms nauwelijks, en beslissingen kunnen grote gevolgen hebben. Daarnaast wees De Wilde erop dat menselijke fouten niet automatisch wijzen op slechte basisbeveiliging; in de praktijk kan vrijwel elke organisatie te maken krijgen met een succesvolle aanval.

Politie en Openbaar Ministerie onderzoeken Shinyhunters; vanwege die lopende onderzoeken doet Odido zelf geen inhoudelijke uitspraken. Experts concluderen dat de aanval vooral bedoeld was om imagoschade toe te brengen — en daarin is de groep volgens betrokkenen geslaagd.