Miljoenen Nederlanders in spanning: wat gebeurt er als hackers donderdag Odido-klantgegevens publiceren?

In dit artikel:

Cybercriminelen die toegang claimen tot systemen van telecomprovider Odido dreigen de gegevens van naar verluidt 6,2 miljoen klanten openbaar te maken. Dat lek, waarvan op 12 februari bekend werd, zou namen, adressen, telefoonnummers, bankrekeningnummers en identiteitsgegevens (zoals paspoortnummers en vervaldatums) bevatten en geldt als een van de grootste datalekken in Nederland.

Cybersecurity-expert Brenno de Winter waarschuwt dat de gevolgen verstrekkend zijn en dat het onterecht is om burgers de schuld te geven. Het veranderen van wachtwoorden helpt weinig als die niet zijn buitgemaakt; de gedane schade zit vooral in de combinatie van persoonlijke gegevens waarmee criminelen geloofwaardige oplichting kunnen opzetten. Voorbeelden zijn nepsms’en en e-mails, phishing, maar ook geraffineerde valse telefoontjes of aangetekende brieven die doen voorkomen alsof ze van de gemeente of een andere officiële instantie komen. Met alleen een geboortedatum en rekeningnummer kan een crimineel al veel geloofwaardigheid winnen, stelt De Winter.

De omvang van de dataset maakt de zaak extra zorgelijk: als ongeveer één op de drie Nederlanders in zulke lijsten voorkomt, vergroot dat de kans dat fraude succesvol is, en meerdere criminele groepen kunnen de data tegelijk of op termijn benutten. Daardoor blijft de impact lang doorwerken en wordt het lastiger om een specifieke fraudezaak aan één lek te koppelen. Volgens De Winter gaat het probleem iedereen aan, niet alleen huidige Odido-klanten: persoonsgegevens liggen verspreid bij veel organisaties en bij elk nieuw lek kan opnieuw grote schade ontstaan.

Odido onderzoekt nog hoe de inbraak heeft plaatsgevonden en of ook gegevens van ex-klanten (ouder dan twee jaar) in de dataset zitten; eerder gaf het bedrijf aan dat data van mensen die minder dan twee jaar geleden zijn vertrokken volgens het privacybeleid nog in systemen staan. Of de hackers de data daadwerkelijk donderdag of later publiceren, is onduidelijk; losgeldbetalingen om publicatie te voorkomen komen in dergelijke dossiers regelmatig voor, iets wat De Winter niet uitsluit.

Als onmiddellijke maatregel biedt Odido getroffen klanten twee jaar gratis een beveiligingspakket van F‑Secure aan (tegen phishing, virussen en met hulpmiddelen voor wachtwoordbeheer). Klanten kunnen een vouchercode per sms aanvragen, maar Odido benadrukt dat iedereen zelf alert moet blijven op verdachte berichten en ongebruikelijke afschrijvingen. De Winter onderstreept tot slot dat betere training en management binnen organisaties essentieel zijn: goed opgeleid personeel maakt het lastiger voor aanvallers om misbruik te maken van gelekte gegevens.