 |
| Afbeelding via Unsplash |
Meestal zijn datalekken en hacks ongemakken die anderen overkomen. Deze keer is de kans groot dat je zelf beteuterd naar een mailtje van je telecomprovider zit te kijken. Odido heeft namelijk ongeveer een derde van de Nederlandse mobiele markt in handen. Daarnaast leveren ze vaste internetaansluitingen aan een miljoen huishoudens. Ook als klant van Ben ben je trouwens het haasje.
Het
nieuws wordt breed uitgemeten in de media. Dat komt natuurlijk in eerste
instantie door de omvang: het gaat om 6,2 miljoen accounts, die de criminelen
uit het klantcontactsysteem hebben gestolen. Daar zitten ook accounts bij van
mensen die al jaren geen klant meer zijn van Odido, ontdekte het bedrijf
doordat deze mensen bevreemd reageerden op de mail waarin het bedrijf hen
inlichtte over de diefstal. Maar de omvang is niet de enige reden om
zenuwachtig te worden. Ook wát er gelekt is draagt daaraan bij. Het gaat
namelijk niet alleen om de ‘gebruikelijke’ gegevens zoals naam, adres en e-mailadres.
Bij deze hack zijn ook telefoonnummers, bankrekeningnummers, paspoortgegevens en BSN’s
buitgemaakt. En informatie over betalingsachterstanden.
Ongeveer
twee miljoen records, met bijna 700 duizend unieke e-mailadressen, zijn
inmiddels gepubliceerd, omdat Odido niet aan de eis van ShinyHunters, zoals de
criminelen zich noemen, heeft voldaan om ‘een laag 7-cijferig bedrag’ (dus
minimaal een miljoen euro) te betalen. En ze dreigen met publicatie van nog
meer gegevens. Reden genoeg voor miljoenen mensen om zich zorgen te maken.
Uit
de berichtgeving omtrent deze hack spreekt vooral medeleven met Odido en zijn
klanten. Waar je in de grote media minder over hoort is de vraag hoe dit heeft
kunnen gebeuren. Ik snap ook wel dat ze zich op de slachtoffers richten. Maar
toch: hoe heeft dit kunnen gebeuren?
Phishing,
beste mensen. Ik hamer er in alle presentaties steeds weer op hoe belangrijk
het is dat iedereen weerbaar is tegen deze vorm van cybercrime. Bij Odido is
dat deze keer niet gelukt. De phish kwam terecht bij medewerkers van de
klantenservice (mogelijk bij een callcenter in het buitenland), die erin
trapten en hun wachtwoord prijsgaven. Ook tweefactorauthenticatie (2FA) bleek
geen hindernis te zijn: de criminelen belden de medewerkers op en deden zich
voor als collega’s van de ICT-afdeling. Zo kregen ze ook de tweede factor in
bezit en konden ze inloggen. ShinyHunters heeft hier een mooi staaltje social
engineering gepleegd: ze hebben niet het computersysteem gehackt, maar de
computergebruikers.
Vervolgens
gingen ze gegevens downloaden. Heel veel gegevens. Daar had een automatische
noodrem op moeten zitten. Het kan immers nooit de bedoeling zijn dat via een
account van de klantenservice zoveel gegevens tegelijk worden gedownload. Het
lijkt erop dat daar niet op werd gemonitord. Dat zou betekenen dat niet alleen
de organisatorische maatregelen (training) hebben gefaald, maar ook de
technische. Dat de training heeft gefaald, kun je bijna niemand kwalijk nemen.
Want een zorgvuldig opgestelde phish is nauwelijks van echt te onderscheiden.
Oh, wat zou ik deze phish graag eens willen zien. Dat de medewerkers ook hun
2FA opgaven, is trouwens wel een dingetje dat extra aandacht behoeft.
Odido
zelf houdt zich erg op de vlakte. Ik verwachtte eigenlijk een melding op de
homepage van hun website, maar pas na het nodige graafwerk vond ik de Informatiepagina cyberincident Odido.
Daar staat eerst een bijzonder kort officieel statement over de kwestie.
Eronder maken ze in koeienletters reclame voor de gratis bescherming tegen
onder andere phishing die ze hun klanten bieden (zouden ze die zelf ook
gebruiken…?). Pas daarna volgt uitvoerige uitleg over wat er aan de hand is,
wat je kunt doen en wat je moet laten. De strekking van het verhaal is dat
criminelen, die over de gelekte informatie beschikken, jouw identiteit kunnen
aannemen en daarmee op jouw kosten van alles kunnen regelen. Kijk de komende
tijd vooral scherp naar facturen die je ontvangt, en check je bankrekening op
incasso’s die je niet herkent.
In de
veelgestelde vragen werpen ze zelf de vraag op of de beveiliging bij Odido op
orde was, maar ze beantwoorden de vraag niet echt. Er staan alleen de
gebruikelijke gemeenplaatsen: veiligheid is onze topprioriteit, we werken
continu aan verbetering, maar ja, die criminelen zijn ook best wel slim hè.
In de
reclametune van Odido zit een mama appelsap (ook wel mondegreen genoemd; je
weet wel, dat je (vooral in een liedje) iets anders hoort dan de feitelijke
tekst). In de tune wordt de naam van het bedrijf gezongen (‘O-di-do’), maar als
je wilt kun je ook verstaan: o-lie-dom. Of Odido inderdaad oliedom was bij het
beveiligen van zijn systemen, zal ongetwijfeld worden onderzocht. Maar het is
de vraag of wij dat ooit te horen krijgen.
Geen opmerkingen:
Een reactie posten