NRC ging in gesprek met de Odido-hackers: wie zijn ze? Had het anders kunnen lopen? 'Hallo, u spreekt met de belangrijkste woordvoerder'

In dit artikel:

NRC legde contact met de hackersgroep Shinyhunters via een op hun darkweb‑site gevonden e-mailadres en vervolgde het gesprek op Signal met een persoon die zich presenteerde als woordvoerder. Hoewel de identiteit van die gesprekspartner niet onafhankelijk kon worden vastgesteld, beantwoordde hij in detail vragen over de inbraak op telecomprovider Odido en haar merken Ben en Tele2.

Wat volgens de hackers gebeurde
- Begin maart leidde het contact tot een uitvoerig tijdlijnverhaal van Shinyhunters. De groep zegt dat op 3 februari een medewerker van Odido op een normaal telefoontje naar de klantenservice werd verleid om inloggegevens te geven. Die pagina was volgens de hackers een door hen gemaakte façade; zo bemachtigden ze gebruikersnaam, wachtwoord en aanvullende authenticatiemiddelen.
- Met die informatie zijn de aanvallers in Salesforce gekomen en hebben ze op 5 februari in korte tijd grote hoeveelheden klantdata geëxtraheerd. De gelekte dataset bevat volgens de groep gevoelige persoonsgegevens zoals paspoort‑ en rijbewijsnummers, adressen, telefoonnummers, e‑mailadressen, bankrekeningnummers en interne aantekeningen. NRC‑onderzoek naar de data laat zien dat de bestanden na 5 februari 14:16 uur niet meer zijn bijgewerkt, wat strookt met die datum van diefstal.
- Shinyhunters zegt Odido op 7 februari te hebben gewaarschuwd en aanvankelijk één miljoen euro te hebben geëist; later zou dat bedrag naar een half miljoen zijn gezakt. Volgens de hackers verbrak Odido op 8 februari het contact. Toen betalingen uitbleven, verspreelden de aanvallers vanaf eind februari segmenten van de data naar Nederlandse media en publiceerden zij uiteindelijk op 1 maart de volledige dataset.

Motief en werkstijl
- De woordvoerder schetst Shinyhunters als een handelsmatige, financieel gedreven groep die het van reputatie en onderhandeling heeft: niet‑destructief handelen en ‘afspraken’ afdwingen zouden centraal staan. De groep wijst erop dat zij bedrijven doorgaans de mogelijkheid bieden te betalen om publicatie te voorkomen; in gevallen waar dat niet gebeurt, volgt uitlekken. Eerdere slachtoffers noemen ze onder meer Pornhub, Wynn Resorts, Adidas en Ticketmaster.
- Tegelijk ontkent de groep beschuldigingen die hen zouden verbinden aan gewelddadige COM‑groepen die kinderen afpersen; die aantijgingen verschenen recent in analyses en beïnvloedden volgens bronnen mogelijk de bereidheid van slachtoffers om te betalen.

Reacties, onderzoek en onduidelijkheden
- Odido weigert inhoudelijk te reageren en stelt dat het onderzoek naar de cyberaanval nog loopt. Wel staat op de site van het bedrijf dat in het weekend van 7–8 februari signalen over een mogelijk datalek binnenkwamen en dat autoriteiten en klanten zijn geïnformeerd. De politie en Salesforce wilden evenmin inhoudelijk ingaan op kritische vragen. Daardoor zijn sommige beweringen van de hackers moeilijk onafhankelijk te verifiëren.
- IT‑securityexperts bevestigen dat veel bedrijven Salesforce‑toegang te ruim toekennen: het principe van least privilege wordt niet altijd toegepast, wat helpt verklaren hoe één account veel data kon ontsluiten. Of het downloaden van circa 90 GB en 15 miljoen rijen in enkele minuten tot een uur technisch realistisch is, vinden verschillende experts twijfelachtig; Shinyhunters geeft daar geen complete technische onderbouwing voor.

Debat over betalen en strategische keuzes
- Odido schakelde snel het Britse beveiligingsbedrijf S‑RM in en volgde advies van politie en externe experts om niet met de afpersers te onderhandelen. Politie en sommige veiligheidsadviseurs benadrukken dat criminelen onbetrouwbaar zijn en dat betalen misdaad in de hand werkt. Andere beveiligingsexperts zeggen echter dat betalingen in veel gevallen materiële schade voor mensen kunnen beperken en dat organisaties verantwoordelijkheid moeten nemen voor de langetermijnrisico’s voor klanten.
- De beslissing om niet te betalen kan mede zijn ingegeven door reputatie‑onderzoeken naar Shinyhunters; publicaties die de groep in verband brachten met zeer verwerpelijke misstanden hebben volgens ingewijden invloed gehad op de afwegingen van slachtoffers en adviseurs.

Juridische actie en risico’s
- In voorgaande jaren zijn enkele personen die met Shinyhunters zouden zijn verbonden aangeklaagd of veroordeeld in internationale procedures; dat laat zien dat autoriteiten wereldwijd jacht maken op leden van zulke netwerken, maar tegelijk blijkt opsporing lastig en langlopend.

Slotbeeld
NRC’s gesprek met de vermeende woordvoerder levert een coherent, zelfverklaard beeld van hoe de aanval bij Odido zou zijn verlopen en waarom Shinyhunters koos voor open publicatie toen onderhandelingen niet slaagden. Veel technische en operationele details blijven echter niet‑verifieerbaar vanwege het terughoudende optreden van Odido, de politie en Salesforce. De zaak benadrukt twee structurele punten: de risico’s van te ruime toegangsrechten binnen bedrijfssoftware en het lastige dilemma voor slachtoffers tussen het betalen van afpersers om schade te beperken en het risico dat betalen criminaliteit legitimeert of verder aanwakkert. Tegelijk toonde de hackersgroep zich na de publicatie nog brutaal en prospectief over nieuwe doelwitten; het onderzoek en de gevolgen voor miljoenen klanten lopen door.