Cyberincident met grote gevolgen bij Odido: is jouw organisatie voorbereid?
Een enorme impact door sociale engineering.
Privégegevens van meer dan 6 miljoen Odido-klanten zijn gestolen door de hackergroep ShinyHunters. Het gaat om gevoelige privé- en financiële informatie, waaronder namen, woonadressen, telefoonnummers, bankrekeningnummers en documentnummers van identiteitsbewijzen.
Inmiddels blijkt dat er mogelijk meer gevoelige data is gelekt dan aanvankelijk werd gedacht. Ook burgerservicenummers (BSN) en verblijfsdocumenten zouden onderdeel zijn van de buitgemaakte gegevens.
De aanval bleek geen klassiek technisch hackincident, maar vooral het resultaat van ‘social engineering’: het misleiden van medewerkers om toegang tot systemen te krijgen.
Hoe kon de Odido-hack gebeuren?
Uit verschillende analyses blijkt dat de aanvallers medewerkers via e-mail en telefoon benaderden en zich voordeden als IT-medewerkers van Odido. Door middel van phishing wisten zij inloggegevens te verkrijgen van onder andere klantenservicemedewerkers. Nadat een wachtwoord was buitgemaakt, volgde een tweede stap. De aanvallers belden opnieuw en overtuigden medewerkers om een frauduleuze multifactorauthenticatie (MFA)-aanmelding goed te keuren. Daardoor werd een belangrijk extra beveiligingsmechanisme omzeild. Met deze accounts kregen de criminelen toegang tot Odido’s Salesforce-gebaseerde CRM-omgeving, waar grote hoeveelheden klantgegevens zijn opgeslagen. Vanuit deze omgeving konden zij geautomatiseerd data verzamelen, waardoor mogelijk gegevens van meer dan 6 miljoen klanten zijn buitgemaakt.
Cybersecurity-experts wijzen er daarnaast op dat het waarschijnlijk langere tijd mogelijk was om data te exporteren zonder dat systemen alarm sloegen. Normaal gesproken zou afwijkend gedrag, zoals grote hoeveelheden data-exports, automatisch worden gedetecteerd.
De hackersgroep eiste vervolgens één miljoen euro losgeld, waarop Odido besloot hier niet op in te gaan. Het gevolg is dat de gestolen gegevens inmiddels openbaar zijn gemaakt.
Wat betekent dit? De komende maanden en mogelijk zelfs jaren kunnen deze gegevens worden misbruikt voor uiteenlopende vormen van fraude, identiteitsmisbruik, oplichting en gerichte phishingaanvallen. Dit onderstreept hoe groot de impact van één menselijke fout kan zijn.
Wat kunnen we leren van deze hack bij Odido?
Deze cyberhack bij Odido laat zien hoe kwetsbaar organisaties kunnen zijn wanneer gevoelige informatie niet voldoende wordt beschermd. Volgens de Europese General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) in het Nederlands zijn organisaties verplicht om persoonsgegevens zorgvuldig te verwerken en goed te beveiligen. Deze Europese privacywet regelt hoe organisaties met persoonsgegevens moeten omgaan. Dit betekent onder andere dat bedrijven alleen noodzakelijke gegevens mogen verzamelen (dataminimalisatie), passende beveiligingsmaatregelen moeten nemen zoals encryptie en toegangscontrole, en transparant moeten zijn over hoe gegevens worden gebruikt.
Wanneer er toch een datalek plaatsvindt, moet dit bovendien binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder die toezicht houdt op de naleving van de AVG. Deze instantie kan onderzoeken starten, waarschuwingen geven en boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
De aanval laat zien dat niet zozeer technische kwetsbaarheden, maar identiteitsmisbruik en menselijke misleiding vaak de grootste zwakke schakel vormen. Daarom is volgens onze experts security awareness training essentieel. Door medewerkers te trainen in het herkennen van phishing, het veilig omgaan met data en het volgen van de juiste procedures, kunnen organisaties het risico op datalekken aanzienlijk verkleinen. Het is een relatief kleine investering die een groot verschil kan maken, zowel voor de bescherming van persoonsgegevens als voor het naleven van de AVG.
Verschillende uitdagingen vragen om verschillende expertise. Zo helpt de Certified Data Protection Officer (CDPO) organisaties om AVG-overtredingen en problemen rond dataminimalisatie te voorkomen. Voor governance, audit en compliance met standaarden zoals NIS2 en ISO bieden certificeringen zoals CISSP, CISA en ISO 27001 LI, ISO 27001LA de juiste kennis. Trainingen zoals Security+ en CISMP richten zich op het verbeteren van operationele security, terwijl CEH en Security+ IT-teams helpen aanvallen beter te herkennen en te voorkomen. Voor nieuwe risico’s, zoals AI-security, zijn er daarnaast maatwerktrainingen.
Raadpleeg onze accountmanagers om samen te bepalen welke kennis en trainingen nodig zijn om cyberincidenten in jouw organisatie in de toekomst te voorkomen.