Odido lekte ook data van 16 duizend werknemers in strategische sectoren - van ASML tot Defensie

In dit artikel:

Ruim 16.000 medewerkers van bedrijven en instellingen die behoren tot de vitale Nederlandse infrastructuur staan in de gelekte dataset van telecomprovider Odido, blijkt uit onderzoek van Follow the Money. De data, afgelopen weekend openbaar gezet door hackergroep ShinyHunters na een inbraak begin februari, bevat werknemers van drinkwaterbedrijven, netbeheerders, grote industriële en hightechbedrijven, luchthavens, haven- en spoorbedrijven, en ook van veiligheids- en justitieorganisaties.

Follow the Money koppelde de gelekte bestanden aan een lijst met domeinnamen van nationale vitale organisaties en vond onder meer:
- in totaal ruim 16.000 getroffenen; driekwart daarvan is zakelijke Odido-klant;
- bekende contact- en identificatiegegevens: van 13.271 personen een telefoonnummer, van 4.862 een paspoortnummer, van 5.700 een geboortedatum, van minstens 1.386 een bankrekeningnummer en van minstens 1.366 een adres;
- grote aantallen medewerkers bij individuele organisaties: Philips (1.276), NXP (288), ASML (110), Damen (18), Thales (16);
- kritieke infrastructuur: netbeheerders (705), drinkwaterbedrijven (203), Gasunie (127), Schiphol (221), ProRail (563), Havenbedrijf Rotterdam (169), Luchtverkeersleiding Nederland (67), AMS‑IX (45);
- veiligheid en justitie: ministerie van Defensie (128 medewerkers), politie (235), Europol (29), medewerkers met rechtspraak.nl‑adressen (111).

Verschillende genoemde organisaties bevestigden aan FTM dat zij op de hoogte zijn en hun medewerkers hebben gewaarschuwd; Philips weigerde inhoudelijk te reageren en enkele ministeries gaven geen reactie. Odido zegt dat het onderzoek nog loopt en dat zakelijke klanten indien nodig rechtstreeks geïnformeerd zullen worden.

De hack vond plaats via de klantenservicesystemen van Odido: ShinyHunters verkreeg toegang door zich voor te doen als IT‑personeel. Salesforce — leverancier van de gebruikte klantenservice‑software — én partijen als Google en de FBI hebben eerder gewaarschuwd voor deze methode. ShinyHunters eiste losgeld; Odido betaalde niet, waarna de groep de gegevens publiceerde op het dark web. De groep heeft eerder systemen van onder meer Ticketmaster en Pornhub gehackt.

Cybersecurity‑expert Lisa de Wilde wijst op de uitzonderlijke combinatie van schaal en gevoelige persoonsgegevens, en waarschuwt dat zulke informatie gebruikt kan worden voor gerichte phishing of als ingang voor buitenlandse inlichtingendiensten die langdurig en doelgericht proberen binnen te dringen bij strategische organisaties. Zij adviseert werkgevers nadrukkelijk werk en privé gescheiden te houden, zakelijke e‑mailadressen niet voor privédoeleinden te gebruiken en medewerkers structureel te trainen in cyberhygiëne. Voor organisaties betekent dit ook snel detecteren en mitigeren van misbruik, en het versterken van toegangs- en identificatieprocedures rond klantenservicekanalen.