Ik denk dan meteen; wat een amateurs en zou de rest van hun dienstverlening ook zo onprofessioneel verlopen?

Punten waarop Odido het waarschijnlijk niet goed deed:
- niet volgen adviezen ter beveiliging van Salesforce (o.a. permissies voor rollen)
- geen multifactor authenticatie
- veel te lang bewaren klantgegevens
- niet tijdig getroffen klanten en ex-klanten waarschuwen en informeren over wat er is gestolen

Twijfels over:
- af/aanwezigheid competente FG
- bedrijfsorganisatie m.b.t. mandaat voor CISO/FG
- ingehuurde expertise voor onderzoek van de lek
- cloudgebruik
- Amerikaanse leveranciers, en het voldoen aan GDPR wetgeving

Hey Odido waarom moet je kijken naar je processen voor dataretentie als je letterlijk zegt
Als je iets hanteert wil het zeggen dat je het gebruikt en als je afwijkt dan hanteer je dus niet.
Ik heb een appel ik wou een appel daarom heb ik een appel.
Ik heb een peer ik wou een appel daarom heb ik een peer
Odido: ik heb een peer ik wou een appel ik heb dus een appel.

Kan een kind nog uitleggen dat je geen appel in je hand hebt als het een peer is.
Denken ze nu werkelijk dat we zo dom zijn om deze PR diaree te geloven?

En nee hoogleraar Recht en de Informatiemaatschappij van de Universiteit Leiden de kans is niet groot dat is gewoon zo de wet is gewoon overtreden. Als jij langer bewaard dan wettelijk nodig is dan overtreed je de wet. Niks met kansen te maken. (Daar is de wet mede tegen gemaakt) En vervolgens zeg je het zelf Als er geen enkele goede reden is te verzinnen dan overtreed je de wet die is binair. Of je overtreed hem of je overtreed hem niet. Bij wie je hem overtreed dat is een variabel maar heeft geen zak te maken met het grote plaatje. Of een rechter dingen meeweegt bij een veroordeling, uitspraak dat is ook weer een variabel maar de wet is de wet.

Kunnen dit soort zogenaamde experts hun mond eens dichthouden en nadenken *echt* nadenken voor ze vanuit een tiel spreken want dit is beschamend. Als dit het niveau is waarop een hoogleraar antwoord howly hell wat voor voorbeeld ben je dan voor de volgende generatie.

Je bent een expert je moet dit weten het is geen kans berekening het is een ffing wetartikel lezen.
Geen grondslag (geen noodzaak meer) dus Onrechtmatige verwerking.
Onrechtmatige verwerking dus Wetsvertrading.

Hoe durf je te doen of er een grijsgebied bestaat hoe durf je als jurist de boel te maskeren. What next door rood rijden door een burger is mogelijk niet toegestaan voor de wet? Bang dat je de wet niet goed genoeg kent om een antwoord te geven? DAN GEEF GEEN ANTWOORD

Alles is gericht op winstmaximalisatie. ICT is bij dit soort bedrijven een commodity (denken ze) waar je een onderbetaalde ICT'er op kan zetten.

Twee mogelijkheden:

1) Men wist zelf niet van het bestaan ervan.
2) Men heeft gelogen

In beide gevallen is dat gewoon ernstig.

Na alles wat er gebeurd is kunnen de klanten maar beter een andere Provider kiezen
SKIP Odido (voorgoed!)

Ik voorspel dat die van het toneel verdwijnen en onder een andere naam terugkomen. Uit dat bedrijf kun je na wat ze hebben laten zien (schijt aan de klanten) nooit meer de volle potentie halen. De reputatieschade is daar te groot voor. En met die reclame "Jij pakt bij ons een abonnement en wij gooien je gegevens op straat", hebben ze wat bij betreft echt hun eigen graf gegraven. Ik zorg dat ik daar uit de buurt blijf de rest van mijn leven. En dat geldt ook voor hun investeerders. Want daar worden de bezuinigingen op security/personeelsopleiding besloten/afgedwongen..

Dit kwam toevallig aan het licht bij Odido, maar ik denk dat dit veel breder speelt.

Ik zit bij Odido (vanaf 1999) en zie inderdaad dat ze ook 2 oude mail adressen (veel te lang) hebben bewaard. Alles is gehacked en de spam mails komen al binnen.

Maar toch ga ik niet overstappen, dan blijf ik aan de gang. Ik heb voor elk bedrijf en uniek mail adres en weet daarom dat o.a. LinkedIn, Adobe, Wacom en een hele rits Nederlandse winkels is gehacked.

De vraag is niet of maar wanneer het gebeurt.

In https://security.nl/posting/928060 schreef ik:

In die posting schreef ik ook dat https://www.politie.nl/informatie/checkjehack.html onbetrouwbaar is.

Vanaf https://todon.nl/@ErikvanStraten/116216004495882854 vind je een draadje met screenshots van het soort phishingmails (en websites waar naar verwezen wordt) dat ik krijg sinds beide e-mailadressen door Odido zijn gelekt. Hopelijk helpt dit mensen om phishing beter te herkennen.

waarheen dan????

Berekende schatting van klanten die van Odido naar een andere provider zijn overgestapt is ongeveer tussen de 20.000 en de 30.000. Dit zijn nog niet eens officiele cijfers. Maar zouden we de schatting nu als standaard nemen, dan kan het gauw gedaan zijn met Odido.

En eerlijk gezegd zou ik er geen traan om laten.

Je bedoelt 10 jaar… van een kennis is het paspoortnummer gestolen, maar wel van een paspoort dat al 10 jaar geleden verlopen is…

Ik krijg sinds deze week Ledger spam/phishing op het unieke email adres dat ik gebruikte voor Odido. Zal vast niet de enige zijn.

To the moon!!!!

Mijn data was oud Tele2 internet (vaste lijn). Paar jaar geleden merkte ik al dat het @tele2.nl-e-mailadres het ook nog deed, toen ineens nadat ik daarop inlogde kwam er niet lang daarna een mail over dat het verwijderd ging worden ;-).

Maar op het alternatieve mailadres wat daarbij hoorde kwam dus wel datalek melding binnen.

Benieuwd of dat bij anderen ook het geval was.

Die ict’ers worden niet onderbetaald, die krijgen loon naar prestatie.
Maar goedkoop is duurkoop is nu gebleken.

De phishing-site waar ik eerder over schreef is nog steeds live, zie https://todon.nl/@ErikvanStraten/116232809924876862 (met screenshot en aanvullende info).

#CloudflareIsEvil #LetsEncryptIsEvil

Ik krijg nu nare phishing berichten over boetes en andere onzin. Moet ik mijn emailadres verwijderen?
Shitzooi dit.

Bevestiging van mijn constatering [1] dat CheckJeHack [2] van de Politie onbetrouwbaar is:

• Je kunt hooguit één keer een mailtje van de Politie [2] ontvangen per door jou ingevoerd e-mailadres;

• De Politie heeft de dataset niet van het dark web gedownload, maar van Odido gekregen. Daarin heeft Odido e-mailadressen verwijderd die zij niet had mogen bewaren, met als gevolg dat ik geen mailtje van de Politie kreeg nadat ik mijn oudere e-mailadres voor de eerste keer in [2] invoerde (https://haveibeenpwned meldt wél dat dit e-mailadres door Odido is gelekt). Bovendien heeft Odido nagelaten om mij op dat e-mailadres te waarschuwen dat ook dát adres van mij is gelekt.

Zie https://tweakers.net/reviews/14496/waarom-check-je-hack-slechts-1-keer-je-e-mailadres-opzoekt-in-de-odido-dataset.html?showReaction=21974730#r_21974730 (en evt. het artikel daarboven).

Wat een blunders, crimineel van Odido en stom van de Politie (naast de krankzinnige implementatie van de check).

[1] https://security.nl/posting/928060
[2] https://www.politie.nl/informatie/checkjehack.html

Waarschijnlijk?

Volgens mij was de huidige hack methode informatie vrij actueel geweest. Aanpassingen voer je niet zo snel door.
Wat ik begreep, was er gewoon MFA actief.
Correct.
Waar haal je dat uit? want volgens mij informeren ze gewoon de klanten. Dat we hier het allemaal sneller vinden moeten gaan, is omdat wij hier langs de zijlijn het allemaal beoordelen en het allemaal "beter" weten natuurlijk.

Je bedoelt je onderbuik gevoel?

Dat is niet zo relevant om je af te vragen. De afwijking van de eigen normen op zich is al voldoende bevestiging dat decultuur binnen odido niet is: d(e wat je zegt en zeg wat je doet.

Ik vindt het een belediging van amateurs omodido amateur te noemen.

Odido en de overheid (die een lange bewaarplicht eist) hadden de betrouwbare hackers gewoon moeten betalen omdat het om ZOVEEL mensen gaat die nu open staan aan allerlei narigheid. Odido heeft niet voor haar klanten gekozen maar voor zichzelf Daarom denk ik dat de klanten nu voor zichzelf moeten kiezen, want Odido heeft het vertrouwen geschonden.
Ook door gegevens langer dan nodig te bewaren.

Start sowieso vanaf nu overal met een uniek mailadres, waar jij de volledige controle over hebt.
Kun je deze bijvoorbeeld na een hack probleemloos uitschakelen.

Niet mee eens. Dan blijf je aan de gang. Maar Odido mag zeker wel even in de spiegel kijken en de bezem er door.

Ik zou starten met twijfels over een competent bestuur en directie. Zonder dat komt de rest niet in orde.

Ik denk meteen, Odido is nu betrapt op het niet op orde hebben van hun shit, wie zegt dat de rest het wel op orde heeft?

Het probleem is dat we het van Odido nu weten en dat ze het (hopelijk) gaan fixen. Doet de rest dat ook? nah vast niet, kost geld en ze hebben er geen last van, tot ze ook voor schut gezet worden.

Nooit betalen, als je dat wel doet ben je onderdeel van het probleem.

Er was vast een reden dat die klanten 12 jaar geleden al besloten om in geen eeuwen terug te keren...
(ik spreek voor mijzelf).

Eerst nog even wat odido wél goed deed. Gebruikers eerst met een lek. Meteen iedereen inlichten en in alle kranten staan. En dan ook nog afpersers niet betalen. DL3B. Super.

Verbeterpuntjes is dat ze zo idioot veel persoonsgegevens vroegen en nog vragen. Waarschijnlijk omdat "iedereen dat doet".

Ik lever zelf diensten en het enige wat ik moet weten is dat account Pietje Puk betaald heeft. Want dan krijgt ie onbeperkt toegang. Betaalt ie niet meer dan wordt het beperkt maar nog steeds even goeie vrienden en zeker ook dank voor de steun aan ons in het verleden. Contracten doen we niet aan. Daar koop je enorm veel vertrouwen mee! Soms geef ik wel eens een weekje gratis weg en dan mailt zo een gebruiker terug dat dat eigenlijk niet nodig was. Komt omdat we niet enkel diensten verkopen mns in het verleden. Contracten doen we niet aan. Daar koop je enorm veel vertrouwen mee! Soms geef ik wel eens een weekje gratis weg en dan mailt zo een gebruiker terug dat dat eigenlijk niet nodig was. Komt omdat we niet enkel diensten verkopen maar vertrouwen nog veel meer.

Omdat we werken hoe we werken is het ook echt niet schadelijk als we data wat te lang bewaren. Want we hebben eigenlijk helemaal geen data. Wat moet ik nou met een burgerservicenummer.

Als een gebruiker écht gaat zitten klooien, en dat is misschien eentje per twee of drie jaar, dan geef ik die netjes zijn geld terug en knikker hem eruit. Maar enkel bij een gebruiker die dat zelf ook wel aan had kunnen zien komen.

Voor de rest, wat moet een stomme glasvezelboer nou met al die privegegevens? Als je niks of bijna niks weet van je klant dan werkt alles toch ook gewoon?aar vertrouwen nog veel meer.

Omdat we werken hoe we werken is het ook echt niet schadelijk als we data wat te lang bewaren. Want we hebben eigenlijk helemaal geen data. Wat moet ik nou met een burgerservicenummer.

Als een gebruiker écht gaat zitten klooien, en dat is misschien eentje per twee of drie jaar, dan geef ik die netjes zijn geld terug en knikker hem eruit. Maar enkel bij een gebruiker die dat zelf ook wel aan had kunnen zien komen.

Voor de rest, wat moet een stomme glasvezelboer nou met al die privegegevens? Als je niks of bijna niks weet van je klant dan werkt alles toch ook gewoon?

Het is maar de vraag of andere providers het beter doen. Het enige verschil tot nu toe is dat die niet gehacked zijn, maar dat zegt niets over hoe zij intern hun zaakjes geregeld hebben.

Odido was in dit geval een 'makkelijke' prooi voor de aanvallers. Een bedrijf dat net nieuw is en afgesplitst is van de moedermaatschappij. In een dergelijk bedrijf zijn veel dingen nog onduidelijk, zijn vaak veel nieuwe werknemers aan het werk, etc. Een social-engineering aanval heeft in een dergelijk scenario een grotere kans van slagen.

Waarna de hackers naar alle waarschijnlijkheid de dataset in kleinere pakketten alsnog doorverkocht had en de data als nog op straat kwam te liggen, alleen iets later.
En als je betaalt houd je het businessmodel van dergelijke aanvallers in stand. A;s niemand betaald, hebben dergelijke aanvallen ook geen zin meer voor criminelen.

> al vijf jaar geen klant meer

Maak er maar 10 jaar van, incl. oude vodafone klanten

Waarheen? KPN in dit geval, hebben een 24/7 SOC. Ben geen locked-in klant, maar het is in ieder geval beter dan odiNo.

In nieuwsberichten in de media was gerapporteerd dat er naast wachtwoorden ook nog een (niet nader gespecificeerde) extra verificatiestap was (die de aanvallers door middel van social engineering echter succesvol konden doorkomen):
https://nos.nl/artikel/2602283-odido-hackers-kwamen-binnen-via-phishing-deden-zich-voor-als-ict-afdeling

Daarnaast is bekend dat Salesforce Inc. al sinds enige tijd MFA verplicht stelt voor alle Salesforce klanten:
https://help.salesforce.com/s/articleView?id=000396727&type=1

Dat was inderdaad niet echt tevredenstellend. Maar de aanvallers waren gedurende langere periode onopgemerkt in de systemen van Odido. Had Odido überhaupt een mogelijke weg om after-the-fact met zekerheid vast te stellen wat de aanvallers allemaal exact gedaan hadden en welke data ze allemaal exact opgevraagd hadden?

Maak je maar geen illusies, als oud KPN engineer kan ik je zeggen dat je liever geen klant van KPN wilt zijn.

Precies dat, de mens is altijd de zwakste schakel en daar kun je helaas weinig aan doen.
Andere bedrijven doen het echt niet beter, sterker nog nu gaat Odido beter z'n best doen terwijl die andere bedrijven achterover leunen.

Bedoel je dan aliassen?

Dat is voor mij een claim die een bronvermelding nodig heeft. Maar als we voor het moment even aannemen dat inderdaad 30.000 klanten overgestapt zijn: Odido heeft meer dan 6 miljoen klanten. 30.000 is dan minder dan een half procent van hun totale klantenbestand. Van zo'n percentage gaan ze echt niet wakker liggen 's nachts.

Plus daarnaast: welk deel precies van de klanten die in de laatste maand overgestapt deed dat specifiek vanwege het datalek, en zouden ook zonder niet sowieso overgestapt zijn?

Gellukig waren ze ISO gecertificeerd en voldeden ze aan alle AVG richtlijnen..
Kunnen we die certificeringen ook direct in de plee gooien, roep al jaren dat die niets zeggen en alleen maar een groene check zijn voor excel hitsige accountants.

Word tijd dat bij dit soort datalekken we bedrijven zowel financieel als bestuurlijk verantwoordelijk houden, want zolang de impact alleen bij de klant ligt en niet bij het bedrijf gaat er niets veranderen, dit terwijl dit soort datalekken wel steeds vaker gaan voorkomen.

100% mee eens. Als andere slachtoffers net zo suf gephished worden als ik (waar ik vanuit ga) zullen velen slachtoffer worden, ook degenen die meestal wel goed opletten.

Zie https://todon.nl/@ErikvanStraten/116243214638583572 en mijn replies daarop voor een update van vandaag.

+1

Terwijl ik voor Ledger dat ook had, en zo direct wist dat Ledger hun debacle aanvankelijk lang verzweeg / en dus ook totaal niet reageerde op meldingen daarvan.

Dank voor je waarschuwingen Erik.
Noob.

Bewaar termijn voor financiele gegevens is 7 jaar i.v.m. belastingen etc.

Ga ervan uit dat welk bedrijf dan ook waar je ooit een abonement hebt gehad je gegegvens 7 jaaar bewaard.

Ze kunnen zeggen 2 jaar, geldende voor andere onderdelen, klant notities en gedrag etc, maar je IBAN, NAW blijven 7 jaar.