Een duivels dilemma voor Odido: miljoenen betalen, of álle gegevens op straat

In dit artikel:

Datakaping en afpersing via publicatie op het darkweb is volgens cybersecurity-expert Floris de Koning een groeiende trend. De Koning, die bedrijven bezoekt na een hack en soms namens hen met cybercriminelen onderhandelt, legt uit dat aanvallers vaak een digitaal bericht achterlaten met een verwijzing naar een chat op het darkweb waar losgeld geëist wordt.

In het geval van telecombedrijf Odido eist hackersgroep Shinyhunters volgens berichten een ‘zevencijferig bedrag’ (tussen €1 en €10 miljoen). De Koning zegt dat zulke eisen doorgaans worden afgeleid van de omzet van het slachtoffer; Odido boekte in 2024 ongeveer €2,3 miljard, waardoor de eis relatief laag is gezien het omvangrijke datalek. Omdat het om gegevens van miljoenen klanten gaat, komt het gevraagde bedrag per klant neer op minder dan een euro, wat sommige klanten ertoe kan brengen betaling te steunen.

Of gestolen data na betaling daadwerkelijk verwijderd worden is nooit zeker — dat berust op vertrouwen en reputatie van de criminelen. De Koning merkt dat bij eerdere gevallen (zoals bij Clinical Diagnostics) betalingen niet leidden tot publicatie, maar benadrukt dat risico's blijven. Odido maakt niet bekend of er wordt onderhandeld of betaald; de hackers plaatsten een ‘laatste waarschuwing’ en gaven een deadline tot donderdagochtend. Als de data daarna op het darkweb verschijnen, zal duidelijk worden of er betaald is.

De zaak onderstreept de dubbele schade: reputatieverlies door de bekendmaking van het lek en het verlies van controle als gevoelige klantgegevens openbaar worden en door criminelen misbruikt kunnen worden.