Odido meldt diefstal van aanvullende gegevens uit klantcontactsysteem
De aanvallers die bij Odido wisten in te breken hebben aanvullende gegevens uit het klantcontactsysteem gestolen, zo heeft de telecomprovider vandaag bekendgemaakt. Om welke gegevens het precies gaat wordt niet gemeld. Deze week lieten de verantwoordelijke aanvallers weten dat ze over meer gegevens beschikken dan Odido in eerste instantie aankondigde. "Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen. Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen", aldus Odido op de informatiepagina over het incident.
Odido liet eerder weten dat de aanvallers de gegevens van 6,2 miljoen klanten hadden gestolen. Ook beweerde de telecomprovider dat er geen wachtwoorden waren buitgemaakt. De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren. Verder bleek dat er ook gegevens zijn gestolen van klanten die al jaren geen klant meer zijn. De aanvallers dreigden eerder deze week de gestolen data via hun eigen website te publiceren als Odido het gevraagde losgeld van 'zeven cijfers' niet betaalt.
Reacties (15)
Vandaag, 15:26 door
Anoniem
Deze hack krijgt een strafrechtelijk staartje...
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Vandaag, 15:27 door
Anoniem
De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren.
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Vandaag, 15:30 door
Anoniem
Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Vandaag, 15:41 door
Anoniem
Ik vind het ronduit zielig voor Odido.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Vandaag, 15:52 door
Anoniem
Door Anoniem: Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaat
Als dat ok gestolen is kunnen ze je simkaart vervangen (jatten dus)
Naargeestig clubje
Hopelijk worden ze gepakt
In diezelfde lijn kun je ook zeggen: odido stelt dat er 6 miljoen gegevens zijn gelekt. Zij eisen 7 miljoen, uiteindlijk zijn er 8 mijloen gegevens gelekt. Waar zou 9 voor staan?
Want een onzin allemaal weer, ga maar terug naar je iluminatie hoekje met deze complot theorieen
Vandaag, 15:53 door
Anoniem
Noobs
Vandaag, 15:53 door
Anoniem
Odildo the gift that keeps on giving.... op deze manier bestaan ze volgend jaar niet meer, wat een puinhoop
Vandaag, 16:01 door
Anoniem
Door Anoniem: De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren.
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Hier even algemeen advies ongeacht wat voor datalek verander altijd het wachtwoord maar doe dit wel pas na eerste officiele berichtgeving. Je moet nooit erop vertrouwen dat wat een bedrijf zegt klopt aangaande een datalek. Ze kunnen het mishebben ze kunnen liegen over het type data (ODIDO) Het kost je max 5 minuten en je hebt het al een stuk lastiger gemaakt voor een vervolg aanval als blijkt dat de dus ook versleuteld of onversleuteld inlog informatie is gelekt.WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Vandaag, 16:02 door
Anoniem
Door Anoniem: Deze hack krijgt een strafrechtelijk staartje...
https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Dat betekent dat iemand aangifte heeft gedaan, of het OM heeft ambtshalve aangifte gedaan. Bij de laatste doet het OM de aangifte zelf. https://www.rtl.nl/nieuws/binnenland/artikel/5571534/odido-datalek-onderzoek-openbaar-ministerie
Wat de ontwikkelingen zullen zijn moeten we nog afwachten, maar - als er strafbare feiten worden ontdekt - dan zullen nogal heel vervelende vragen worden gesteld aan bepaalde verantwoordelijken van Odido...
Vandaag, 16:11 door
Anoniem
Iemand schrijft dat ie meelijden heeft met Odido.
Ik lichtelijk.
Als iemand zijn abonnement bij Odido opzegt zouden die klantgegevens AUTOMATISCH na een maand compleet verwijderd moeten worden, en niet iemand zijn gegevens jarenlang bewaren..
Ik ben al 1.5 jaar weg bij Odido mobiel, en ook ik ben geraakt door de diefstal, daar ik een mail van ze kreeg omtrent de hack.
Ik hoop dat ze gaan betalen, en daarna direct alle inactieve accounts verwijderen.
Ik lichtelijk.
Als iemand zijn abonnement bij Odido opzegt zouden die klantgegevens AUTOMATISCH na een maand compleet verwijderd moeten worden, en niet iemand zijn gegevens jarenlang bewaren..
Ik ben al 1.5 jaar weg bij Odido mobiel, en ook ik ben geraakt door de diefstal, daar ik een mail van ze kreeg omtrent de hack.
Ik hoop dat ze gaan betalen, en daarna direct alle inactieve accounts verwijderen.
Vandaag, 16:25 door
Anoniem
Door Anoniem: Ik vind het ronduit zielig voor Odido.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Ze hadden meer moeten investeren in een veilig klanten-contactsysteem, medewerkers hardware keys moeten geven (geen wachtewoorden en geen 2FA), en op de Salesforce omgeving API limits moeten instellen.
Ik hoop echter, als oud Odido klant en inmiddels overgestapt, dat ze geen losgeld gaan betalen. Geef ze niks. Er staat al zoveel op het darkweb: gigantische databases met scans van id-kaarten en paspoorten en al, vrij in te zien. Dit kan er ook nog wel bij.
Laat ze rechercheurs het darkweb opgaan en proberen de data aan te kopen en achterhalen wie het zijn, tor exit-node verkeer tappen etc. Dit is in het landsbelang, gooi daar dat miljoen tegen stuk. En gewoon weigeren te betalen.
Wat is daar zielig aan? Een bagger infra en sec opzetten. Zo weinig mogelijk kosten om zoveel mogelijl klanten binnen te halen en dan zijn ze zielig en het slachtoffer?
Genoeg van al die zogenaamde marktwerking wat altijd resulteerd in onder de maatse kwaliteit en t naaien van klanten...
Vandaag, 16:42 door
Anoniem
"Slim en veilig.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Vandaag, 16:53 door
Anoniem
Door Anoniem: De aanvallers verklaarden dat ze gegevens van 8 miljoen klanten in handen hebben, waaronder ook wachtwoorden. Het zou dan gaan om wachtwoorden die klanten met Odido hebben afgesproken om telefonisch wijzigingen door te voeren.
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
WIJZIG dit dus direkt
Het gaat om een 7 cijferig wachtwoord voor TELEFONISCHE wijzigengen met de klantenservice
Dat kun je in het contact aanvragen
Het gaat dus niet om je Odido wachtwoord dat NATUURLIJK NIET uit 7 cijfers bestaat maar veel langer is en gecompliceerder
Op de informatie pagina van Odido staat:
"Wat er wél is gelekt, is een veld uit het klantcontactsysteem met de naam “password_c”. Ondanks deze naam gaat het niet om een wachtwoord, maar om een zogenoemd challenge word of codewoord. Dit werd gebruikt als extra controlevraag wanneer een klant telefonisch contact opnam. Dit codewoord geeft geen toegang tot accounts, diensten of persoonlijke gegevens en staat volledig los van de systemen waarin klanten inloggen.
Voor een beperkte groep klanten stond zo’n extra codewoord geregistreerd. Zodra we hoorden dat deze codewoorden in het lek voorkwamen, is de telefonische verificatie op basis van deze codewoorden direct stopgezet."
Heb je het hier over?
Zo niet, waar staan de instructies (bij Odido) voor het aanmaken of wijzigen van dat 7 cijferige wachtwoord.
Vandaag, 16:53 door
Anoniem
Door Anoniem: "Slim en veilig.
We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Precies. Ook DigiNotar was gecertificeerd met ISO 27001, maar werd toch slachtoffer van een hack.We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO 27001-certificering. Zo kunnen we mensen die
diensten van Odido afnemen zo veel mogelijk veiligheid en privacy garanderen."
bron: https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf
Odido verwijst naar hun ISO 27001-certificering om te benadrukken hoe “robuust” hun beveiliging zou zijn. Maar dit incident laat precies het bekende probleem zien: ISO 27001 zegt vooral iets over het bestaan van processen en risicomanagement, niet over de daadwerkelijke technische weerbaarheid.
Een organisatie kan volledig gecertificeerd zijn terwijl een systeem met miljoenen records nog steeds kwetsbaar is voor misbruik, bijvoorbeeld door te brede toegangsrechten, onvoldoende detectie op bulk-data-export of zwakke segmentatie. Dat wordt in een certificatie-audit zelden diepgaand getest.
De relevante vraag is dus niet of er een ISMS was, maar waarom een scenario met massale data-exfiltratie blijkbaar niet effectief is voorkomen of tijdig is gedetecteerd. Dit incident onderstreept vooral dat een ISO-stempel geen bewijs is dat de security in de praktijk ook echt werkt.
Door Anoniem: Het losgeld van 7 cijfers
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaatt
Ja dat is een gemene verwijzing naar het klantenservice wachtwoord dat ook uit 7 cijfers bestaatt
Dat valt dan nog mee. Maximaal 1 ton: € 99999,99 (:
Door Anoniem:Ik hoop dat ze gaan betalen, en daarna direct alle inactieve accounts verwijderen.
Betalen is altijd fout en zou strafbaar moeten zijn. Als je betaalt, help je idd de huidige klanten maar je helpt het financieren voor het maken van nog veel meer slachtoffers. Zolang het voor de criminelen lonend blijft, zullen ze door blijven gaan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.