 |
| Foto van auteur |
Het is niet mijn gewoonte om twee weken achter elkaar over hetzelfde onderwerp te bloggen. Maar nu hebben ze het er zelf naar gemaakt.
Ja,
ik heb het weer over de gegevensdiefstal bij Odido. Vorige week schreef ik dat
de pers Odido vooral als slachtoffer neerzette: ze waren gehackt en dan ben je
zielig. Maar ze zijn dus helemaal niet hardcore gehackt: de criminelen kwamen
binnen met phishing in combinatie met andere vormen van social engineering.
Vervolgens konden ze gewoon via de voordeur naar binnen en al die gegevens
downloaden. De slachtofferrol is dus steeds minder houdbaar en de pers heeft
dat inmiddels ook wel in de gaten. Er wordt nu kritisch naar Odido gekeken.
Het
bedrijf verkeert in een crisis en daar hoort goede communicatie bij. Hoe brengt
Odido het er op dat vlak van af? Nou, best wel beroerd. Laat ik vooropstellen
dat ik geen expert ben op dat gebied. Een teamgenoot is dat wel, hij heeft een
opleiding crisismanagement en -communicatie gevolgd. Weet je wat het eerste was
wat hij zei toen ik hem vroeg naar de kern van goede crisiscommunicatie?
Openheid en transparantie. Gevolgd door snelheid, eerlijkheid en initiatief.
Eerder
deze week sprak ik met mensen uit diverse organisaties. Daar viel te
beluisteren dat het allemaal niet meeviel. Tegen een van die bedrijven hadden
ze gezegd dat uitsluitend de gegevens van beheerders, die een account op de
zakelijke portal van Odido hebben, geraakt zouden zijn. Even later gingen
echter allerlei medewerkers klagen en bleken de gegevens van een paar duizend
medewerkers op straat te liggen. En er werd gemopperd over de zeer gebrekkige
en ook deels gewoonweg onjuiste informatie van het telecombedrijf.
Op 13
februari heb ik een mailtje van Odido gekregen. Daarin staat dat ook mijn
gegevens, als oud-klant, gelekt zijn. Ik was tot 2019 klant van T-Mobile, de
voorganger van Odido. Het bedrijf schrijft: “Odido bewaart – conform haar
privacy statement – tot 2 jaar na beeindiging (sic) van het contract en
overstap naar een andere aanbieder jouw contactgegevens. Omdat jij minder dan 2
jaar geleden overgestapt bent, stonden jouw gegevens nog in het systeem en
daarom heb je email ontvangen.” Een snelle rekensom leert dat hier iets niet
klopt.
In
hetzelfde mailtje staat ook: “Wat niet is gelekt: Identificatiegegevens: nummer
en geldigheid van je paspoort of rijbewijs”. Terwijl op de informatiepagina van
het bedrijf – die nog steeds moeilijk te vinden is –juist staat dat die
informatie wél is gelekt. Maar dat was kennelijk niet belangrijk genoeg om een
vervolgmail te sturen.
Op 1
maart berichtte haveibeenpwned.com mij dat mijn gegevens waren gelekt via
Odido, en drie dagen later kreeg ik een soortgelijk bericht van mijn
VPN-provider. Die had nog meer informatie: via hun Dark Web Monitor konden ze
aangeven welke gegevens precies gelekt waren. Daar zat ook het nummer van een
ID-kaart bij – de kaart die je hier ziet, en die geldig was tot 2016. Het
mailtje van Odido zelf had ik gemist omdat het naar een account is gestuurd dat
ik nog maar zelden gebruik; ik heb het mailtje net pas gevonden. Je kunt je dus
wel voorstellen dat ik ervan schrok dat zo’n oude ID-kaart boven water kwam
terwijl Odido mij zelf (dacht ik) niets had laten weten. Het toont in ieder
geval aan dat Odido zijn eigen privacy statement niet naleeft. Laat staan de
AVG, die toch echt bepaalt dat persoonsgegevens niet langer dan noodzakelijk
mogen worden bewaard. Dat ze gegevens hebben van iemand die zeven jaar geleden
klant was bij hun rechtsvoorganger is absurd.
Mijn
ter zake deskundige collega zei dat je door goede communicatie sterker uit een
crisis kunt komen, door eerlijkheid en integriteit uit te stralen. Deze
eigenschappen zijn bij Odido ver te zoeken. Wat ook niet helpt is dat de
woordvoerster van het bedrijf het in een interview met de NOS heeft over
‘siebercriminelen’. Dat straalt meteen zóveel ondeskundigheid en
ongeïnteresseerdheid uit dat ik plaatsvervangende schaamte voel. Het is sterker
om je niet als slachtoffer, maar als oplosser te profileren, merkte mijn
collega nog op (dankjewel Rico). Daar zie ik nog weinig van. Hun communicatie
over het niet betalen van het losgeld – wat op zich goed verdedigbaar is – beperkt
zich tot drie zinnen op die moeilijk te vinden pagina: “Wij hebben hierin een
zorgvuldige afweging gemaakt. Zowel toonaangevende experts als
overheidsinstanties hebben ons dringend geadviseerd om niet met deze criminele
groepering in contact te treden. Dit advies is gebaseerd op uitgebreide
ervaring met deze specifieke groepering.” Hier is geen spoor van
inlevingsvermogen in hun klanten te bekennen. Nogmaals, van mij hoeven ze niet
te betalen, maar ik verwacht wel dat ze helder uitleggen waarom ze dat niet
doen.
Eergisteren
wilde ik mijn bank iets vragen. De eerste vraag die hun chatbot mij stelde was:
“Chat je met ons n.a.v. de recente cyberaanval bij Odido?” De chatbot legde uit
dat mijn bankrekening veilig was en gaf meer informatie over datalekken in het
algemeen. Kijk, dát is slimme communicatie.
En in de grote boze buitenwereld …
- Is uitgerekend de FBI gehackt.
- Hallucineert AI bij het vertalen van Wikipedia-artikelen.
- Heeft de Zuid-Koreaanse belastingdienst het wachtwoord van een in beslag genomen cryptowallet mee op de foto gezet – om die opvallender te maken.
- Hielpen gehackte verkeerscamera’s bij het vinden van de ayatollah.
- Kan AI verrassend goed achterhalen wie achter een bepaald pseudoniem schuilgaat.
- Kan AI ook heel gemeen doen.
- Verraden de bandenspanningsensoren van je auto waar je bent.
- Is chat control weer eens van de Europese tafel geveegd.
- Linkt ook deze blogger het dagelijkse leven aan security.
