Door _R0N_: In deze batch zit mijn adres niet ieder geval.

Door _R0N_: In deze batch zit mijn adres niet ieder geval.

Ik zal even proberen wat duiding te geven aan de data van Odido die vandaag is gepubliceerd.

Aanvallers van de groepering Shinyhunters hebben met vishing toegang gekregen tot een of meerdere accounts van een externe partij die voor Odido het callcenter bemant.
Met deze inloggegevens is vervolgens alle of een gedeelte van de salesforce data gedownload.
salesforce kent standaard 257 kolommen die je kunt gebruiken om data op te slaan. Naast adres, telefoonnummer, email en een textveld zitten daar ook velden bij met names als facebook, Linkedin profiel en nog veel meer.
Bij Odido worden zover we kunnen zien rond de 50 van die kolommen echt gebruikt. En nee, ze hebben dus geen facebook of linkedin profielen opgeslagen.
Ook hebben ze geen BSN nummers opgeslagen. Wat ze wel hebben is van diverse zakelijke klanten het btw nummer en tot 2020 was dat het bsn nummer met de toevoeging b01 of 02 en zo verder.

Er zijn meerdere kolommen password. En alle zijn leeg. Het lijkt dus echt om een customer relations database te gaan waar die gegevens niet instaan.

Ook zijn er GEEN kopieen van paspoorten of rijbewijzen. Er is wel een kolom waar een pad instaat naar sources\img\nummer.jpg. Maar die zitten niet in de dataset. Bij eerdere hacks op bijvoorbeeld Nike en Mark&Spencer in de UK hebben we dat ook gezien en bleek achteraf dat ze geen kopie van paspoorten of rijbewijzen hadden.
Een veel gestelde vraag die wij kregen is waarom we de data hebben gedownload. Tientallen van onze klanten hebben ook Salesforce en hebben vragen over hoe ze zich kunnen beveiligen. Voor ons is dat een vraagstuk waar we onderzoek heen doen en onze klanten en opdrachtgevers mee helpen.
De data is bij ons op een testsysteem gezet en omgezet in een csv bestand en ingelezen. Voor ons zijn namen, adressen etc niet interressant. Voor ons is wel interressant wat we van de hack kunnen leren. Na afloop hebben we de data dan ook verwijderd. Er zit verder niks in wat we kunnen gebruiken voor het onderzoek.
Mij vragen naar gegevens of hoe we eraan zijn gekomen heeft dan ook geen zin.
Ben je klant van Odido dan zit je er gewoon tussen. Misschien niet vandaag, maar je komt wel aan de beurt. Mooier kan ik het ook niet maken. En als je meerdere abbonementen hebt, dan kom je meerdere keren langs. Van mij is het tv abbonement reeds in de eerste set vrijgekomen. En ook een regel over een wifi versterker die ik een paar maanden heb gehad. Mijn meerdere gsm abbonement heb ik nog niet gezien.
De informatie over de data en waar deze stond hebben we netjes met de opsporingsdiensten gedeeld. Helaas is de tijd om dan een cease en desist te doen en te kort, en bevind de data en de server waarop deze staat zich fysiek in Rusland. En daar krijg je niet snel medewerking.
Vanuit Ransomwared onderzoeken we tientallen hacks en is Odido er gewoon een van. Wat we graag willen is ontdekken hoe de hackers iets gedaan hebben en waarom een dergelijke grote download niet is opgevallen. Het gaat om meer dan 200 GB aan data.

Door _R0N_: ff van LinkedIn


Bron: https://www.linkedin.com/feed/update/urn:li:activity:7432880590087114752/

Door Anoniem: Jeetje zeg, deze mega-hack is niet normaal. Ik hoop echt dat mij dit nooit overkomt.

Door Anoniem: Odido-datalek erger dan gemeld, ook burgerservicenummers gelekt
https://www.rtl.nl/nieuws/binnenland/artikel/5572041/odido-datalek-burgerservicenummers-bsn

Door Anoniem: Odido-datalek erger dan gemeld, ook burgerservicenummers gelekt
https://www.rtl.nl/nieuws/binnenland/artikel/5572041/odido-datalek-burgerservicenummers-bsn

Door Anoniem: Toen bij de eerste Vishing stond en niet gewoon Phishing.... geloofwaardigheid eigenlijk al kwijt.

Door Anoniem: Ik heb zojuist de data gedownload ook ik ben slachtoffer en wat Odido zegt klopt niet ze hebben gigantisch veel mijn Iban is gelekt ik zie in de data pictures staan dus ook id/passport gegevens hebben ze. Echter hebben ze dat nog niet gepubliceerd.

Door Anoniem: Nog een risico waar niet goed over is nagedacht:

Als je je e-mail gaat controleren op zulke websites, dan is er geen garantie dat ze je e-mail niet aan je IP, browser fingerprint, TLS JA3S, en JA4 SSL/TLS client fingerprints gaan correleren. Ook als je VPN gebruikt dan lekt JA SSL/TLS client fingerprints nog steeds. Dit kun je niet voorkomen. Ik raad het af om te checken. Ga er maar gewoon vanuit dat je in de database staat.

Vertrouw niemand, en niets, is de beste manier.

Door Briolet:
Die BSN nummers heeft Odido niet gelekt. Als je verder leest zijn dat BTW nummers die een ZZP-er toch al verplicht openbaar moet maken. Als er gelekt is, is het de belastingdienst geweest die een BTW nummer heeft toegewezen dat identiek aan het BSN nummer was.

Door Anoniem: Ik heb zojuist de data gedownload ook ik ben slachtoffer en wat Odido zegt klopt niet ze hebben gigantisch veel mijn Iban is gelekt ik zie in de data pictures staan dus ook id/passport gegevens hebben ze. Echter hebben ze dat nog niet gepubliceerd.

Door Anoniem: Nog een risico waar niet goed over is nagedacht:

Als je je e-mail gaat controleren op zulke websites, dan is er geen garantie dat ze je e-mail niet aan je IP, browser fingerprint, TLS JA3S, en JA4 SSL/TLS client fingerprints gaan correleren. Ook als je VPN gebruikt dan lekt JA SSL/TLS client fingerprints nog steeds. Dit kun je niet voorkomen. Ik raad het af om te checken. Ga er maar gewoon vanuit dat je in de database staat.

Vertrouw niemand, en niets, is de beste manier.

Door Anoniem: Ook ZZPers kunnen tegenwoordig een RSN aanvragen, zodat BTW niet meer de BSN van de eigenaar is.

Door Anoniem: Besef dat je met deze daad zelf de wet overtreden hebt

Door Anoniem: Dat heeft Odido ook. Worden zij aangepakt? Nee. Wat vind je daarvan?