„Het is absoluut geen toeval dat Odido getroffen is. Criminelen weten dat het bedrijf gegevens heeft die heel veel geld waard zijn.” Voor Rolf van Wegberg, universitair hoofddocent cybercriminaliteit aan de TU Delft, is het duidelijk: hackers vielen Odido doelbewust aan. De buitgemaakte gegevens zijn goud waard voor oplichters.

In het weekend van 7 en 8 februari komen de eerste signalen over een datalek binnen bij telecombedrijf Odido. Donderdag, even na één uur ’s middags, brengt de provider het nieuws over de cyberaanval naar buiten. Gegevens van mensen die in het klantcontactsysteem stonden, zijn gestolen door hackers.

Lees ook

Gegevens van miljoenen accounts Odido gelekt bij cyberaanval

Ook provider Ben, een merk van Odido, is getroffen. In totaal gaat het om miljoenen klantgegevens: van naam, adres en geboortedatum tot rekeningnummer, contactinformatie en identificatiegegevens van bijvoorbeeld rijbewijzen en paspoorten. En wat ermee gebeurt, daarop hebben alleen de hackers invloed.

De NOS meldde vrijdagmiddag dat criminelen bij Odido binnen wisten te komen via phishing. Ze zouden de inloggegevens van klantenservicemedewerkers hebben ontfutseld en deden zich daarna voor als medewerkers van de ICT-afdeling. De NOS baseert zich op bronnen „die bekend zijn met de hack”. Wie dat zijn is niet duidelijk.

Zwakste plek

Waarschijnlijk zullen de hackers de data van Odido doorverkopen, zegt Van Wegberg. De miljoenen persoonsgegevens kunnen criminelen volgens hem gebruiken om bijvoorbeeld levensechte nep-e-mails op te stellen. „Als ze om 50 euro vragen in die mails, en 1 procent van die ruim 6 miljoen mensen trapt daarin, verdienen ze een vermogen”, legt hij uit. Tot nu toe zijn de gegevens voor zover bekend nog niet online verschenen.

Een andere mogelijkheid is volgens Van Wegberg dat de criminelen Odido afpersen met de informatie. Als het bedrijf dan geen geld betaalt, zullen de gegevens online verschijnen.

Volgens Van Wegberg maken hackers bijna altijd gebruik van „kwetsbaarheden in de software” om in te breken. Dat betekent dat in het systeem dat Odido gebruikte een foutje gezeten zou hebben, waardoor hackers bij de informatie konden, legt hij uit.

„Cybercriminelen zoeken altijd naar de zwakste plek van een bedrijf”, zegt de universitair docent. „Bijvoorbeeld als de software niet goed onderhouden en geüpdatet was. Het is kwalijk als blijkt dat Odido de software niet goed beveiligd had, maar dat zal de Autoriteit Persoonsgegevens onderzoeken.”

Lees ook

Kan ik veilig een wachtwoordmanager gebruiken voor opslaan toegangscodes?

Phishing

Ook Wouter van Dongen acht het „aannemelijk” dat de hack bij Odido uit te voeren was door een mankement in de software. Volgens deze ethisch hacker is het „verbazingwekkend hoe makkelijk het soms is om binnen te komen”. Al jarenlang hackt Van Dongen bedrijven en instellingen om hun cyberbeveiliging op verzoek te testen.

Een andere veelgebruikte truc om binnen te komen is de phishingmail, zegt de ethisch hacker. Dat is een nagemaakte e-mail van bijvoorbeeld het bedrijf zelf met een linkje erin. Als een werknemer daarop klikt, opent hij een virus of geeft hij zijn inloggegevens weg.

Opsporing

Wie er achter de aanval op Odido zit, is niet te zeggen, stellen beide cyberexperts. Volgens Van Wegberg is het desondanks wel mogelijk te achterhalen welk hackerscollectief achter de dataroof zit. Maar het is „vrijwel onmogelijk” om de daders vervolgens te identificeren en voor de rechter te slepen, zegt hij. „Dat komt doordat ze meestal in een land als Rusland zitten. We hebben geen uitleveringsverdrag met zo’n land.”

Lees ook

Expert na hack medische gegevens van half miljoen vrouwen: Je kunt grootschalige roof voorkomen

Ook Van Dongen is pessimistisch over opsporing van hackers. „Onderzoeken naar dat soort georganiseerde groeperingen kosten veel tijd en geld. Bovendien: als je als hacker weet wat je doet, kun je vrij eenvoudig onder de radar blijven. Ik acht de kans dan ook niet groot dat ze gepakt worden.”

Risico

Naar eigen zeggen heeft Odido „de ongeautoriseerde toegang zo snel mogelijk beëindigd”. Ook gaf het bedrijf het incident door aan de Autoriteit Persoonsgegevens. Volgens de provider „komen cyberaanvallen zoals deze steeds vaker voor en is geen enkele organisatie immuun”.

Daarin heeft het telecombedrijf gelijk, erkennen Van Wegberg en Van Dongen. „Met genoeg tijd en geld kan alles gehackt worden”, stelt die laatste. „Ook Odido, al had het bedrijf nog zoveel beveiliging.”

Toch vindt Van Wegberg dat Odido zich te makkelijk verschuilt achter het feit dat 100 procent veiligheid niet bestaat. „Ik kan me niet voorstellen dat je het risico accepteert van een fout in de software, waardoor er gelijk 6 miljoen gegevens worden buitgemaakt. Samen met de softwareleverancier ben je verantwoordelijk voor de beveiliging van die data. Het lijkt erop dat dat niet goed is gegaan.”

Lees ook

Criminele hackers vragen na betaling weer om losgeld: hoe opmerkelijk is dat?

Waakzaam

Van Dongen adviseert Odido om werknemers bewuster te maken. „Ze moeten getraind worden om phishingberichten te herkennen. En de techniek moet volledig onderhouden en geüpdatet zijn. Bovendien kunnen preventieve maatregelen, zoals het laten testen op hacken door een ethisch hacker, fouten in de beveiliging boven water brengen.”

Odido zelf raadt klanten aan „extra alert” te zijn op „verdachte en ongebruikelijke activiteiten”, meldt de provider op zijn website naar aanleiding van de hack.

„Inmiddels heeft denk ik elke Nederlander minimaal één keer in een datalek gezeten”, zegt Van Wegberg. „Daarom moet iedereen constant op zijn hoede zijn. Gegevens worden telkens doorverkocht en opnieuw gebruikt. We leven in een tijd waarin we extra waakzaam moeten zijn.”