Odido-hackers kwamen binnen via phishing, deden zich voor als ICT-afdeling

In dit artikel:

Criminelen kregen toegang tot Odido-systemen door eerst via phishing wachtwoorden van individuele klantenservicemedewerkers te bemachtigen. Met die gegevens belden ze vervolgens de getroffen medewerkers en deden zich voor als de eigen ICT-afdeling, waardoor personeel een frauduleuze inlog kon goedkeuren en een extra beveiligingslaag werd omzeild. Meerdere medewerkersaccounts zouden zo zijn gekraakt.

Eenmaal binnen logden de aanvallers in op Salesforce, het CRM-systeem waar klantgegevens staan, en gebruikten geautomatiseerde scraping-technieken om gegevens van klanten te verzamelen. Hoeveel data zij precies hebben buitgemaakt is nog onduidelijk: volledig exporteren van alle klantgegevens kost veel tijd, dus het hangt af van hoe lang de daders onopgemerkt waren — volgens beveiligingsonderzoeker Sijmen Ruwhof zou dat dagen vergen.

Odido heeft het incident gisterenmiddag naar buiten gebracht en meldt het bij de Autoriteit Persoonsgegevens. Het telecombedrijf waarschuwt mogelijk getroffen huidige en voormalige klanten — in totaal ongeveer 6,2 miljoen mensen, waaronder ook gebruikers van dochtermerk Ben. Klanten worden binnen 48 uur geïnformeerd. Mogelijk waren medewerkers van buitenlandse callcenters, die Odido inzet, betrokken. Op vragen over de bevindingen reageerde Odido niet.