Eerst volle stilte en als de storm is gaan liggen vol voor de slachtofferrol kiezen om de schade te beperken en het kader neer te zetten dat de kans op aansprakelijkheid moet verkleinen. Met "Deze aanval was ongekend en gebeurde onder hoge druk" moeten we geloven dat Odido hier het slachtoffer was van superslimme uberhackers waar je je eigenlijk niet tegen kunt wapenen. Maar feit is dat ze voor zo'n belangrijk systeem de basisbeveiliging niet op orde hadden. - De medewerker had enorm hoge rechten - De medewerker mocht in korte tijd een (voor zijn taak) onrealistisch grote hoeveelheid data downloaden - Als de medewerker dit zoals gesteld binnen een uur kon was er OF een export functie voor die medewerker (waarom) OF (bij enumeratie) er was geen rate limitting geactiveerd - Als er geen rate limitting was, was er geen WAF of de WAF was niet goed afgesteld - Er was blijkbaar geen IP filter om te borgen dat alleen het bedrijfsnetwerk en de VPN's bij de applicatie kan - Als Odido een losstaand financieel systeem ...