Meldpunt Identiteitsfraude: datalek Odido zorgt voor ongerustheid bij klanten
Het datalek bij Odido zorgt voor ongerustheid bij klanten, zo laat het Centraal Meldpunt Identiteitsfraude (CMI) weten. Het meldpunt zegt dat het veel vragen van Odido-klanten over het datalek heeft ontvangen. Vorige week maakte de internetprovider bekend dat het de persoonlijke gegevens van 6,2 miljoen klanten heeft gelekt, die nu in handen van criminelen zijn.
De gestolen data bestaat uit volledige naam, adresgegevens, telefoonnummer, klantnummer, e-mailadres, rekeningnummer, geboortedatum en nummer van identiteitsdocument en geldigheid daarvan. "Het gaat om gevoelige persoonsgegevens. We weten niet precies wat criminelen met deze informatie kunnen of gaan doen", aldus het CMI. Het meldpunt voegt toe dat criminelen met deze gegevens niet zomaar een lening, bankrekening of telefoonabonnement kunnen afsluiten, omdat hiervoor extra controles nodig zijn. Wel benadrukt het CMI dat het niet kan garanderen dat bedrijven deze extra controles ook altijd uitvoeren. "Er bestaat daarom een risico dat wanneer zulke controles niet (zorgvuldig) worden uitgevoerd, gegevens toch misbruikt kunnen worden."
Volgens het Centraal Meldpunt Identiteitsfraude zit het risico met betrekking tot de gestolen data vooral bij spearphishing, waarbij criminelen de gegevens gericht gebruiken voor aanvallen en zich bijvoorbeeld voordoen als bank of Odido zelf. Klanten die met identiteitsfraude te maken krijgen worden door het CMI omgeroepen om aangifte bij de politie te doen en dit bij het meldpunt te melden.
of meer generiek:
Beste,
vanwege [allerlei gegevens die kloppen] vertrouwt u deze mail. Klik daarom hier om naar een site te gaan waar bijna alle gegevens ook kloppen, we hebben alleen nog uw betaling nodig.
Terwijl ik helemaal geen klant ben.
Dus "bestaande klanten" die bang zijn voor een risicio is een te kleine schatting van de impact van de criminelen en andere boefjes.
De dienstverlening van Odido gaat immers primair om het routen van data verkeer naar een < telefoonnummer > en/of <adresgegevens> dat gekoppeld met een <rekeningnummer> ervoor betaald.
Met zoveel gegevens kunnen ze anders een heleboel rottigheid uithalen, zoals identiteitsfraude.
En ik kan jou met zekerheid zeggen dat het geen pretje is, of het er 20 zijn of 6 miljoen dit is een groot probleem voor de slachtoffers je wordt dood gebombardeerd met ellende die ze met jou gegevens uit halen en dingen die ze op jou naam kopen.
Als ze niet weten of een record gestolen is, moeten ze aannemen dat het gestolen is. En dat melden.
Die 6,2 miljoen records is dus een maximum aantal. (de hele database?)
Mogelijk weten ze dat naukeuriger te maken, als ze het lek verder onderzocht hebben.
Nu vindt ik 20 wat erg laag, maar het zouden een paar 100.000 of miljoen minder kunnen worden.
Wie weet. Het is wachten op Odido.
- Odido-medewerk(st)er laat zich door social engineering in de luren leggen en verlokken tot medewerking
- persoonsgegevens-db is extern benaderbaar
- persoonsgegevens worden onnodig opgeslagen/bewaard
- persoonsgegevens zijn niet salted encrypted
Iedereen mag weer op cursus!!
"Daarnaast willen we benadrukken dat jouw veiligheid onze hoogste prioriteit heeft."
En iets verderop: "Odido heeft direct extra beveiligingsmaatregelen genomen."
Als veiligheid echt de hoogste prioriteit heeft zou het niet mogelijk zijn om extra beveiligingsmaatregelen te nemen omdat je die, vanwege de hoogste prioriteit, allang genomen hebt.
- Odido-medewerk(st)er laat zich door social engineering in de luren leggen en verlokken tot medewerking
- persoonsgegevens-db is extern benaderbaar
- persoonsgegevens worden onnodig opgeslagen/bewaard
- persoonsgegevens zijn niet salted encrypted
Iedereen mag weer op cursus!!
Ik heb nog een overweging of ik mijn abonnement zal handhaven of zal opzeggen, want Odido is inherent onveilig. Ik vrees alleen dat opzeggen weinig zin heeft, want je kunt je afvragen of de beveiliging bij andere providers beter is. Alleen die twee stapsverificatie voor klanten om in hun account te kijken staat nu wel in een raar daglicht.
De klant heeft de verbinding daarop verbroken, en is van plan om zo snel als mogelijk het abonnement eruit te knikkeren.
Dat is volgens mij ook de enige juiste handeling.
1 Zijn deze gegevens al ergens aangeboden?
2 Zo ja, wordt er losgeld gevraagd?
3 Wat is nu spannend aan deze gegevens?
4 Hoeveel werkelijk gedupeerde zijn er, dus mensen die aantoonbaar schade hebben op gelopen?
5 Wanneer komen we als experts nu eens verder dan; er kan identiteitsfraude worden gepleegd. Vraag is niet of het kan, vraag is of het gebeurd dat is heel wat anders!!
6 Wanneer kappen we met de slachtoffer gedrag en gelijk schade vergoeding eisen.. ervaring leert dat vele slachtoffers geen slachtoffer zijn maar gewoon mensen die zoeken naar gratis geld!!
Terwijl ik helemaal geen klant ben.
Dus "bestaande klanten" die bang zijn voor een risicio is een te kleine schatting van de impact van de criminelen en andere boefjes.
Als je geen klant bent hebben ze je gegevens ook niet. Dus een beetje een vreemde reactie.
En laat ik het zo zeggen, die mail met welke van mijn gegevens op straat liggen zijn/is niet mals. Ik ben hier absoluut niet tevreden over. Ik zit allang en breed bij een andere provider en toch hebben ze mijn data al die tijd bewaard.
Persoonlijk vind ik er wel wat van dat ze zich er schijnbaar zo makkelijk vanaf kunnen maken. Ik hoef echt geen grof geld te zien, maar het wordt afgedaan als een klein foutje. Iets wat de beste kan overkomen... en dat is geen excuus voor een flink winstgevende partij. Ze moeten hun spullen en hun procedures op orde hebben.
En laat ik het zo zeggen, die mail met welke van mijn gegevens op straat liggen zijn/is niet mals. Ik ben hier absoluut niet tevreden over. Ik zit allang en breed bij een andere provider en toch hebben ze mijn data al die tijd bewaard.
Persoonlijk vind ik er wel wat van dat ze zich er schijnbaar zo makkelijk vanaf kunnen maken. Ik hoef echt geen grof geld te zien, maar het wordt afgedaan als een klein foutje. Iets wat de beste kan overkomen... en dat is geen excuus voor een flink winstgevende partij. Ze moeten hun spullen en hun procedures op orde hebben.
Kijk en dat is nu een AVG schending en daarom kun je ze aanklagen volgens de AP.
Het is in NL en bij vele van die bedrijven schering en inslag en pas als het kalf verdronken is... zo gaat dat in NL tegenwoordig...
Stem gerust nog eens VVD!
Dat ze bij Odido een domme werknemer hebben die de les "Herken phishing" gemist heeft, kan gebeuren. Niet netjes, slordig maar nog net "Waar gewerkt wordt, vallen spaanders".
Wat ik niet kan vergeven is dat er schijnbaar toegestaan wordt dat een werknemer meerdere query's achter elkaar kan openen en waarschijnlijk ook nog eens op (klant)nummer volgwoorden, dit is ongewoon zeldzaam voor een werknemer om te doen.
Deze massale opvraging van informatie/klantendata dient geblokkeerd te worden net als dat we geen "brute force" meer hebben op wachtwoorden. Blokkeert massale overdracht van deze gegevens, al is het uit voorzorg.
Stel je voor dat het een persoon van binnenuit was geweest die deze gegevens wilt verkopen, net zoals toen er van binnenuit de GGD* gegevens verhandeld werden.
Je hebt maar een onderbetaalde, ontevreden medewerker nodig.
* https://www.rtl.nl/nieuws/nederland/artikel/5247728/datalek-datadiefstal-ggd-gedupeerden
Ik heb geen Tiktok-account.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
