Toeleverancier Odido waarschuwde voor gebruikte hackmethode

In dit artikel:

De clouddienstleverancier die Odido gebruikt voor klantgegevens had herhaaldelijk gewaarschuwd voor precies de aanvalsmethode die recent bij het telecombedrijf is toegepast. Salesforce stuurde eind januari nog een waarschuwing uit — kort vóór de vermoedelijke hack bij Odido, die naar verwachting rond 6 februari plaatsvond. Enkele dagen later ontdekte Odido een datalek; naar eigen zeggen zijn gegevens van ongeveer 6,2 miljoen accounts buitgemaakt.

Onderzoeksinformatie en verklaringen uit de kring rond de aanval wijzen erop dat de gebruikte methode overeenkomt met tactieken van hackersgroep Shinyhunters, die het afgelopen jaar ook andere organisaties trof (zoals Air France-KLM en Google). Beveiligingsbedrijven waaronder Mandiant en de FBI hebben soortgelijke waarschuwingen afgegeven. Of Odido op tijd maatregelen nam naar aanleiding van die signalen is niet duidelijk; Odido en Salesforce hebben vragen daarover voorlopig niet beantwoord.

De inbraak maakte geen gebruik van een verborgen software-achterdeurtje, maar berustte op social engineering gecombineerd met te ruime toegangsrechten en menselijke fouten. Aanvallers wisten medewerkers te misleiden en slaagden erin een extra beveiligingsstap (2FA-achtig) te omzeilen — precies het scenario waarvoor Salesforce had gewaarschuwd. Een andere grote Nederlandse afnemer van Salesforce zegt inmiddels personeel te trainen om dit soort pogingen direct te melden.

De daders zijn begonnen met het publiceren van buitgemaakte persoonsgegevens en dreigen twee weken lang elke dag tot een miljoen “datapunten” openbaar te maken tenzij losgeld wordt betaald. Tot nu toe zijn niet alle gevoelige gegevens (zoals ID-nummers) vrijgegeven. De Autoriteit Persoonsgegevens heeft om opheldering gevraagd over mogelijk te lang bewaren van data door Odido.