Odido-hackers publiceren resterende klantdata, ook miljoenen ID-nummers

In dit artikel:

Hackergroep Shinyhunters heeft alle resterende klantgegevens van telecomprovider Odido vrijgegeven op hun darkwebsite, nadat zij in februari al een grote dataset hadden gestolen. In totaal bevat de gepubliceerde dataset ruim 15 miljoen rijen; een NOS-analyse laat zien dat daarin onder meer ongeveer 6,4 miljoen documentnummers (rijbewijs of paspoort), circa 8,1 miljoen e-mailadressen en ongeveer 6,5 miljoen telefoonnummers voorkomen. Hoeveel unieke klanten dit precies betreft en in hoeverre de gegevens actueel of correct zijn, is nog onduidelijk.

De groep zegt oorspronkelijk te hebben overwogen de data gefaseerd vrij te geven, maar heeft dat plan laten varen na “recente ontwikkelingen” — welke dat zijn, is niet verklaard. Shinyhunters beweert nog meer, gedetailleerdere klantinformatie te bezitten (zoals klantenservice-gesprekken) maar wil die achterhouden voor eigen gebruik. Eerder vroegen de hackers losgeld; het geëiste bedrag werd teruggebracht van circa 1 miljoen naar 500.000 euro. Odido weigerde te betalen en stelt zich niet te laten chanteren, een keuze die zowel kritiek als steun opleverde.

Toeleverancierwaarschuwingen en onderzoek wijzen op social engineering: de aanval ging via telefonische misleiding van de klantenservice, waarna toegang tot de gegevens werd verleend. Klanten wordt aangeraden alert te zijn op identiteitsfraude en phishing, wachtwoorden en contactgegevens te controleren en aanwijzingen van Odido af te wachten.