Odido meldt diefstal van aanvullende gegevens uit klantcontactsysteem
De aanvallers die bij Odido wisten in te breken hebben aanvullende gegevens uit het klantcontactsysteem gestolen, zo heeft de telecomprovider vandaag bekendgemaakt. Om welke gegevens het precies gaat wordt niet gemeld. Deze week lieten de verantwoordelijke aanvallers weten dat ze over meer gegevens beschikken dan Odido in eerste instantie aankondigde. "Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen. Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen", aldus Odido op de informatiepagina over het incident.
Odido liet eerder weten dat de aanvallers de gegevens van 6,2 miljoen klanten hadden gestolen. Ook beweerde de telecomprovider dat er geen wachtwoorden waren buitgemaakt. De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren. Verder bleek dat er ook gegevens zijn gestolen van klanten die al jaren geen klant meer zijn. De aanvallers dreigden eerder deze week de gestolen data via hun eigen website te publiceren als Odido het gevraagde losgeld van 'zeven cijfers' niet betaalt.
Reacties (23)
Vandaag, 15:26 door
Anoniem
Deze hack krijgt een strafrechtelijk staartje...
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Vandaag, 15:27 door
Anoniem
De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren.
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Vandaag, 15:30 door
Anoniem
Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Vandaag, 15:41 door
Anoniem
Ik vind het ronduit zielig voor Odido.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Vandaag, 15:52 door
Anoniem
Door Anoniem: Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
In diezelfde lijn kun je ook zeggen: odido stelt dat er 6 miljoen gegevens zijn gelekt. Zij eisen 7 miljoen, uiteindlijk zijn er 8 mijloen gegevens gelekt. Waar zou 9 voor staan?
Want een onzin allemaal weer, ga maar terug naar je iluminatie hoekje met deze complot theorieen
Vandaag, 15:53 door
Anoniem
Noobs
Vandaag, 15:53 door
Anoniem
Odildo the gift that keeps on giving.... op deze manier bestaan ze volgend jaar niet meer, wat een puinhoop
Vandaag, 16:01 door
Anoniem
Door Anoniem: De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren.
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Hier even algemeen advies ongeacht wat voor datalek verander altijd het wachtwoord maar doe dit wel pas na eerste officiele berichtgeving. Je moet nooit erop vertrouwen dat wat een bedrijf zegt klopt aangaande een datalek. Ze kunnen het mishebben ze kunnen liegen over het type data (ODIDO) Het kost je max 5 minuten en je hebt het al een stuk lastiger gemaakt voor een vervolg aanval als blijkt dat de dus ook versleuteld of onversleuteld inlog informatie is gelekt.WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Vandaag, 16:02 door
Anoniem
Door Anoniem: Deze hack krijgt een strafrechtelijk staartje...
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Dat betekent dat iemand aangifte heeft gedaan, of het OM heeft ambtshalve aangifte gedaan. Bij de laatste doet het OM de aangifte zelf. https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Wat de ontwikkelingen zullen zijn moeten we nog afwachten, maar - als er strafbare feiten worden ontdekt - dan zullen nogal heel vervelende vragen worden gesteld aan bepaalde verantwoordelijken van Odido...
Vandaag, 16:11 door
Anoniem
Iemand schrijft dat ie meelijden heeft met Odido.
Ik lichtelijk.
Als iemand zijn abonnement bij Odido opzegt zouden die klantgegevens AUTOMATISCH na een maand compleet verwijderd moeten worden, en niet iemand zijn gegevens jarenlang bewaren..
Ik ben al 1.5 jaar weg bij Odido mobiel, en ook ik ben geraakt door de diefstal, daar ik een mail van ze kreeg omtrent de hack.
Ik hoop dat ze gaan betalen, en daarna direct alle inactieve accounts verwijderen.
Ik lichtelijk.
Als iemand zijn abonnement bij Odido opzegt zouden die klantgegevens AUTOMATISCH na een maand compleet verwijderd moeten worden, en niet iemand zijn gegevens jarenlang bewaren..
Ik ben al 1.5 jaar weg bij Odido mobiel, en ook ik ben geraakt door de diefstal, daar ik een mail van ze kreeg omtrent de hack.
Ik hoop dat ze gaan betalen, en daarna direct alle inactieve accounts verwijderen.
Vandaag, 16:25 door
Anoniem
Door Anoniem: Ik vind het ronduit zielig voor Odido.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Wat is daar zielig aan? Een bagger infra en sec opzetten. Zo weinig mogelijk kosten om zoveel mogelijl klanten binnen te halen en dan zijn ze zielig en het slachtoffer?
Genoeg van al die zogenaamde marktwerking wat altijd resulteerd in onder de maatse kwaliteit en t naaien van klanten...
Vandaag, 16:42 door
Anoniem
"Slim en veilig.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Vandaag, 16:53 door
Anoniem
Door Anoniem: De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren.
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Op de informatie pagina van Odido staat:
"Wat er wél is gelekt, is een veld uit het klantcontactsysteem met de naam “password_c”. Ondanks deze naam gaat het niet om een wachtwoord, maar om een zogenoemd challenge word of codewoord. Dit werd gebruikt als extra controlevraag wanneer een klant telefonisch contact opnam. Dit codewoord geeft geen toegang tot accounts, diensten of persoonlijke gegevens en staat volledig los van de systemen waarin klanten inloggen.
Voor een beperkte groep klanten stond zo’n extra codewoord geregistreerd. Zodra we hoorden dat deze codewoorden in het lek voorkwamen, is de telefonische verificatie op basis van deze codewoorden direct stopgezet."
Heb je het hier over?
Zo niet, waar staan de instructies (bij Odido) voor het aanmaken of wijzigen van dat 7 cijferige wachtwoord.
Vandaag, 16:53 door
Anoniem
Door Anoniem: "Slim en veilig.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Precies. Ook DigiNotar was gecertificeerd met ISO 27001, maar werd toch slachtoffer van een hack.We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Vandaag, 17:18 door
Anoniem
We kunnen natuurlijk odido van van alles en nog wat beschuldigen maar we lezen hier dagelijks over organisaties die data lekken. Het probleem is veel groter dan dat van odido.
Wat me verbaast is dat hiertegen geen landelijke of Europese verdediging voor opgebouwd wordt.
We hebben de mond vol over de militaire verdediging tegen de dreiging uit het oosten met drones en afweergeschut maar laten we eerst beginnen met de aanvallen af te weren waar we nu last van hebben.
Dus menselijke tekortkomingen uitsluiten en systeemfouten elimineren.
En als we daar niet toe in staat zijn dan houden we de russen ook niet tegen.
Wat me verbaast is dat hiertegen geen landelijke of Europese verdediging voor opgebouwd wordt.
We hebben de mond vol over de militaire verdediging tegen de dreiging uit het oosten met drones en afweergeschut maar laten we eerst beginnen met de aanvallen af te weren waar we nu last van hebben.
Dus menselijke tekortkomingen uitsluiten en systeemfouten elimineren.
En als we daar niet toe in staat zijn dan houden we de russen ook niet tegen.
Door Anoniem: Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaatt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaatt
Dat valt dan nog mee. Maximaal 1 ton: € 99999,99 (:
Door Anoniem:Ik hoop dat ze gaan betalen, en daarna direct alle inactieve accounts verwijderen.
Betalen is altijd fout en zou strafbaar moeten zijn. Als je betaalt, help je idd de huidige klanten maar je helpt het financieren voor het maken van nog veel meer slachtoffers. Zolang het voor de criminelen lonend blijft, zullen ze door blijven gaan.
Vandaag, 18:05 door
Anoniem
Toevallig wordt dit een dag voor de deadline die de aanvallers hebben gesteld bekendgemaakt.
Waarom niet eerder? Volgens mij was voor Odido direct duidelijk welke gegevens waren gestolen.
Het feit dat de informatie over “aanvullende gegevens” pas vandaag wordt bekendgemaakt, kan de indruk wekken dat Odido mogelijk niet van plan is het losgeld te betalen en dat dit bericht een soort voorbereiding is op wat er kan gebeuren als de gestolen gegevens daadwerkelijk worden gepubliceerd.
Ik vraag me daarom af hoe transparant Odido in deze situatie is.
Waarom niet eerder? Volgens mij was voor Odido direct duidelijk welke gegevens waren gestolen.
Het feit dat de informatie over “aanvullende gegevens” pas vandaag wordt bekendgemaakt, kan de indruk wekken dat Odido mogelijk niet van plan is het losgeld te betalen en dat dit bericht een soort voorbereiding is op wat er kan gebeuren als de gestolen gegevens daadwerkelijk worden gepubliceerd.
Ik vraag me daarom af hoe transparant Odido in deze situatie is.
Vandaag, 18:23 door
Anoniem
Door Anoniem:
Door Anoniem: Deze hack krijgt een strafrechtelijk staartje...
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Dat betekent dat iemand aangifte heeft gedaan, of het OM heeft ambtshalve aangifte gedaan. Bij de laatste doet het OM de aangifte zelf. https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Het is uit dat artikel niet duidelijk waar dat onderzoek zich op richt.
Op z'n minst mag je verwachten dat Odido aangifte gedaan heeft van computervredebreuk/computercriminaliteit en afpersing.
En gezien de schaal mag deze inderdaad wel prioriteit hebben.
In dat geval is Odido slachtoffer en wordt gezocht naar de dadergroep.
Of het OM ook Odido als dader van iets (strafrechtelijke nalatigheid?) onderzoekt is niet te zeggen.
Juridisch lijkt me dat complex - als verdachte dader heb je diverse rechten (meest bekend : zwijgrecht) , terwijl je als slachtoffer wel verwacht wordt (verplicht denk ik niet) op alle manieren mee te helpen qua sporen/bewijs om de daders te identificeren.
Wat de ontwikkelingen zullen zijn moeten we nog afwachten, maar - als er strafbare feiten worden ontdekt - dan zullen nogal heel vervelende vragen worden gesteld aan bepaalde verantwoordelijken van Odido...
Die strafbare feiten zijn er 100% - hack en afpersing. Door de DADERS.
Of Odido iets _strafbaars_ gedaan heeft is niet zo duidelijk.
Je auto niet op slot zetten is niet _strafbaar_ , het blijft diefstal als iemand anders 'm meeneemt.
Alleen qua verzekering/aansprakelijkheid ben je nalatig en wordt de schade in eerste instantie op jou verhaald
Vandaag, 18:30 door
Anoniem
Door Anoniem: Ik vind het ronduit zielig voor Odido.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Net als in de vorige reactie: ik denk dat Odido niet zielig is. Behalve dat de veiligheid van IT voorzieningen te wensen overlaat (wachtwoorden in plaintekst ?!?), is Odido daarnaast te verwijten dat ze geen dataminimalisatie hebben toegepast. Net als bij Clinical Diagnostics zal het OM (en mogelijk ook de AP) daar iets van gaan vinden.
Al ben ik het wel eens met de gedachte om afpersers geen losgeld te betalen. Je financiert daarmee steeds geavanceerdere aanvallen. Het blijven wel criminelen: als je toch wilt betalen dan kunnen ze tussentijds best het losgeld ophogen. En garanties dat je de data terugkrijgt en de criminelen die data wissen krijg je niet.
Vandaag, 19:14 door
Anoniem
Door Anoniem:
In diezelfde lijn kun je ook zeggen: odido stelt dat er 6 miljoen gegevens zijn gelekt. Zij eisen 7 miljoen, uiteindlijk zijn er 8 mijloen gegevens gelekt. Waar zou 9 voor staan?
Want een onzin allemaal weer, ga maar terug naar je iluminatie hoekje met deze complot theorieen
Het gaat om losgeld 7 miljoen en een klantenservice wachtwoord van 7 cijfersDoor Anoniem: Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
In diezelfde lijn kun je ook zeggen: odido stelt dat er 6 miljoen gegevens zijn gelekt. Zij eisen 7 miljoen, uiteindlijk zijn er 8 mijloen gegevens gelekt. Waar zou 9 voor staan?
Want een onzin allemaal weer, ga maar terug naar je iluminatie hoekje met deze complot theorieen
en niet om het aantal klanten. Dus dat ligt niet in dezelfde lijn maar in jouw fantasie die verbanden ziet met complotten en
illuminatie . Maar fantasierijk ben je zeker.
Vandaag, 19:16 door
Anoniem
Door Anoniem: "Slim en veilig.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Het lijkt Diginotar wel. Die hadden ook alles op papier op orde.
Dat voorkwm net dat ze gehackt werden in 2011.
Vandaag, 20:00 door
Anoniem
Door Anoniem: Toevallig wordt dit een dag voor de deadline die de aanvallers hebben gesteld bekendgemaakt.
Waarom niet eerder? Volgens mij was voor Odido direct duidelijk welke gegevens waren gestolen.
Het feit dat de informatie over “aanvullende gegevens” pas vandaag wordt bekendgemaakt, kan de indruk wekken dat Odido mogelijk niet van plan is het losgeld te betalen en dat dit bericht een soort voorbereiding is op wat er kan gebeuren als de gestolen gegevens daadwerkelijk worden gepubliceerd.
Ik vraag me daarom af hoe transparant Odido in deze situatie is.
Waarom niet eerder? Volgens mij was voor Odido direct duidelijk welke gegevens waren gestolen.
Het feit dat de informatie over “aanvullende gegevens” pas vandaag wordt bekendgemaakt, kan de indruk wekken dat Odido mogelijk niet van plan is het losgeld te betalen en dat dit bericht een soort voorbereiding is op wat er kan gebeuren als de gestolen gegevens daadwerkelijk worden gepubliceerd.
Ik vraag me daarom af hoe transparant Odido in deze situatie is.
Odido zal niet alles aan de grote klok hangen. PR-technisch en juridisch zal ze dat afgeraden zijn door hun experts.
En dart er extra infornmatie naar buiten komt, is tactiek van de hackers om de druk op te voeren. Extra publiciteit. Iets waar Odido niet op zit te wachten.
Beide partijen zullen hetzelfde boekje met regels voor onderhandelen gebruiken.
De kosten die hier uit voort komen zijn allemaal al verdisconteerd in hun winstmarges. (aan beide kanten)
Business as usual.
En dat is het echte probleem.
Vandaag, 20:30 door
linuxpro
In aanloop naar de dag dat de data op internet komt komt Odildo ineens met dat er meer buit gemaakt is.`Wat interesseert mij niet, dat ze nu na weken ineens toegeven dat er meer buit is gemaakt is veel schadelijker. Hoe eerlijk/open zijn ze tot nu toe geweest en in hoeverre is deze investeringsclub nog te vertrouwen? De eerdere damagecontrol lijkt zich nu tegen zichzelf te gaan keren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.