Ook gevoelige informatie over kwetsbare klanten in handen van Odido-criminelen

In dit artikel:

Bij de hack deze maand op telecomprovider Odido zijn ook vertrouwelijke aantekeningen van de klantenservice buitgemaakt, schrijft de NOS na inzage in een deel van de gestolen data. Die aantekeningen bevatten niet alleen contactgegevens zoals telefoonnummers en e-mailadressen, maar ook info over identiteitsdocumenten, betalingsgedrag, of iemand onder bewind staat en persoonlijke problemen die niks met het abonnement te maken hebben. De notities tonen bijvoorbeeld dat medewerkers opmerkten dat klanten niet gebeld wilden worden voor verlenging, door een moeilijke periode gingen of tijdens gesprekken mogelijk onder invloed leken.

Odido heeft volgens eigen zeggen niet geweten dat deze aanvullende interne aantekeningen deel uitmaakten van de gelekte dataset en heeft klanten daar daarom niet over geïnformeerd. Na een tip van de NOS plaatste het bedrijf wel een bericht op de website; het interne onderzoek loopt nog.

Beveiligingsexperts noemen het opvallend dat Odido niet inzag welke gegevens zijn weggesleept. Meestal vragen getroffen organisaties om een deel van de gestolen dataset als bewijs, om precies te weten wat criminelen in handen hebben. Onderzoeker Sijmen Ruwhof waarschuwt dat informatie over financiële problemen criminelen extra kansen geeft: mensen in geldnood zijn prikkelbaarder voor oplichting en sociale manipulatie.

De hackercollectief ShinyHunters eist losgeld en dreigt de gegevens vanaf donderdag stapsgewijs openbaar te maken, met claims dat zij 21 miljoen records bezitten en de publicatie met circa een miljoen records per dag willen aanzetten als er niet betaald wordt; ze zouden bereid zijn te schikken voor ongeveer een half miljoen euro. Odido spreekt van iets meer dan zes miljoen betrokkenen. Het Openbaar Ministerie is een strafrechtelijk onderzoek gestart; eerdere leden van ShinyHunters zijn al eens opgepakt in Frankrijk en de VS.