Criminelen dreigen gestolen Odido-gegevens openbaar te maken
Criminelen dreigen klantgegevens die bij Odido werden gestolen openbaar te maken als de telecomprovider voor donderdagochtend geen losgeld betaalt, zo laten de criminelen via hun eigen website weten. Die stellen ook dat er plaintext wachtwoorden zijn buitgemaakt. Als het telecombedrijf niet betaalt is de gestolen data straks voor iedereen te downloaden, aldus de aanvallers.
Beveiligingsexpert Dominic Alvieri berichtte op X als eerste over de boodschap van de aanvallers, die zich ShinyHunters noemen. De groep heeft het afgelopen jaar de Salesforce-omgevingen van allerlei organisaties weten te hacken, waarbij ze onder andere van telefonische phishingaanvallen gebruikmaken. Een soortgelijke aanval zou ook tegen Odido zijn ingezet. De groep sloeg onder andere toe bij TicketMaster, PornHub en luxe kledingmerken Balenciaga, Gucci en Alexander McQueen. Zowel de FBI als Google kwamen met waarschuwingen voor ShinyHunters en hun werkwijze.
Odido stelt op de eigen website dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. De criminelen laten tegenover RTL Nieuws weten dat ze wel wachtwoorden van klanten in handen hebben. Dat lijken volgens de website wachtwoorden te zijn die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren. Daarnaast zouden er geen gegevens van 6,2 miljoen klanten zijn gestolen zoals Odido eerder liet weten, maar 8 miljoen klanten. De aanvallers eisen een losgeldbedrag van 'zeven cijfers'.
Die passwords zijn wel het minste probleem - die kun je makkelijk wijzigen. Dat alle klanten nieuwe ID kaarten / paspoorten / rijbewijzen moeten aanvragen is veel omvangrijker.
We kunnen alleen maar hopen dat er zoveel mensen opzeggen dat ze failliet gaan.
De hack wordt niet groter, maar het debakel zelf wel. Ze hebben flink zitten kakken bij Odido! Daar helpt geen voucher tegen.
Dat deze beveiligingscode ook gehackt was wist ik niet maar ging en onbewust dus wel van uit.
wel erg dit
maar goed
Het ligt dus nog niet op straat....
Niet betalen is het enige dat ze nu nog kunnen doen.
Evenzogoed zouden het medewerkers geweest kunnen zijn die zich hebben laten social engineeren. En als dat dan medewerkers zijn met bovengemiddelde bevoegdheden, dan zou je een database langs die weg kunnen leeglepelen. Als je dat dan ook nog eens bij meer medewerkers lukt, en langzaam die database leeg trekt, dan valt het misschien niet eens zo op.
Je kunt je wel afvragen of hoe dan ook bij Odido (en heel veel andere bedrijven) wel voldoende maatregelen zijn getroffen tegen misbruik van bevoegdheden. Het is namelijk wel makkelijk als een service desk medewerker alle klantgegevens kan benaderen. Maar is het nodig? Moet een service desk agent bij altijd op elk moment bij alle klantgegevens kunnen? Is het wel nodig dat een paspoortnummer altijd tot die gegevens set behoort? Moeten dat soort gegevens niet zowieso anders / elders worden opgeslagen, en niet "pal naast" de NAW bijvoorbeeld? Vragen, vragen, vragen. Hopelijk ooit ook antwoorden ...
Bij welke provider zitten de gemeenten nu?
Een internetprovider heeft gewoon een uniek klantennummer nodig. Zodat als je niet betaald hebt je afgesloten kan worden. En betaal je dan weer wel dat ze je weer aansluiten. Waarom moet dat een abonnement zijn. Af en toe komt het effe niet uit met betalen, dat heeft toch iedereen?
Nog vervelender is dat je paspoort ook een abonnement is. En niet goedkoop ook nog. Je kunt het ook niet eens opzeggen. Maar wat moet een glasvezelboer nou met mijn boekje voor de douane? Of mijn rijbewijs. Best bizar. En ook heel on-Nederlands. Ausweiss bitte.
Private bedrijven verbieden naar identiteitsbewijzen te vragen waar die NIET voor zijn uitgegeven.
Privacy first.
Dat deze beveiligingscode ook gehackt was wist ik niet maar ging en onbewust dus wel van uit.
wel erg dit
maar goed
Het ligt dus nog niet op straat....
Je kunt ook nog SMS MfA aanzetten.
Dan maak je het ze nog iets lastiger met een extra OTP-code.
Bij aanbestedingen wordt vaak naar de laagste prijs gekeken. Zo is de aanbestedingswet opgezet. Agv de Hollandsche kruideniersmentaliteit in Den Haag.
In eerdere berichten stond dat de data van zakelijke klanten niet gelekt was.
Die (en dat betreft dus ook gemeenten) hebben van deze hack dus geen last.
Voor zover bekend.
Leg nader uit:
Waarom zouden gemeente dit "niet kunnen verkopen" aan hun medewerkers en de burgers?
Hoe gaan die last van de hack krijgen?
Wat weet jij wat wij niet weten.
En waar baseer je dat op, behalve je onderbuik.
"Maar wij (Odido) zijn niet verantwoordelijk, wij waren alleen maar verantwoordelijk voor het veilig houden van uw data en we hebben het gelekt omdat we in simpele truukjes van criminelen trappen, meer niet...
Mischien wilt u een tweede antivirus abonnement? Dan zijn we van u af, en praten we het weer goed, enne... niet naar de rechter gaan hoor, wij zeggen immers dat u daar geen recht op heeft."
Aldus een zeer ethische en verantwoordelijke telecom aanbieder. /-:
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
