Toeleverancier Odido waarschuwde voor gebruikte hackmethode

• 

  Joost Schellevis

  redacteur Tech

• Sarah Bürmann

  redacteur Binnenland

De toeleverancier die door Odido wordt gebruikt voor de opslag van klantendata, waarschuwde meermaals voor de door hackersgroep Shinyhunters gebruikte hackmethode. Salesforce riep bedrijven op om de beveiliging indien nodig aan te scherpen.

De laatste waarschuwing kwam eind januari, waarschijnlijk voor de hackaanval bij Odido, die op of kort voor 6 februari zou hebben plaatsgevonden. In de dagen daarna ontdekte het telecombedrijf dat er sprake was van een datalek. Odido meldde dat persoonsgegevens van zo’n 6,2 miljoen accounts waren gestolen.

Het afgelopen jaar werden meerdere bedrijven slachtoffer van vergelijkbare hackaanvallen van Shinyhunters. Daaronder waren bijvoorbeeld Air France-KLM en Google.

De NOS kon vaststellen dat de hackmethode waarvoor gewaarschuwd werd, precies overeenkomt met de hack bij Odido. Dat blijkt uit informatie van de hackers en uit gesprekken met bronnen rond de hack.

Odido wil lopende het onderzoek niet reageren op vragen van de NOS. Ook Salesforce heeft vooralsnog niet gereageerd op vragen van de NOS over de vraag of het bedrijf meer had kunnen doen om het downloaden van zulke grote hoeveelheden klantdata te voorkomen.

Vorig jaar waarschuwde Salesforce ook al een aantal keer voor de gebruikte methode, waaronder in oktober in een officiële security-update. Ook beveiligingsbedrijf Mandiant, onderdeel van Google, en de FBI hebben waarschuwingen uitgedaan.

Of Odido maatregelen heeft genomen naar aanleiding van de waarschuwingen, is onbekend. Een ander groot Nederlands bedrijf dat ook klantdata in een clouddienst van Salesforce beheert, geeft aan bekend te zijn met de manier waarop de inbraak bij Odido is gebeurd, melden bronnen aan de NOS. Naar aanleiding van eerdere berichten over de hackmethode traint het bedrijf personeel om hier alert op te zijn en dergelijke pogingen meteen intern te melden.

De internetcriminelen misbruiken geen kant-en-klaar achterdeurtje in de software, maar een combinatie van menselijke fouten en te ruim ingestelde toegang voor medewerkers. Daardoor kan een aanvaller die een medewerker om de tuin weet te leiden, succesvol toegang krijgen tot veel data.

Salesforce adviseerde zijn klanten daarom om bestand te zijn tegen phishing. Verder waarschuwde het bedrijf dat tweestapsverificatie, waardoor accounts extra beveiligd zijn, in sommige gevallen kan worden omzeild.

Bij Odido wisten, meldde de NOS eerder, aanvallers medewerkers te verleiden om ze toegang te geven tot het systeem. Daarbij lukte het de aanvallers om de extra beveiligingsstap te omzeilen. Naar nu blijkt is de gebruikte extra beveiligingsstap het type stap waar Salesforce expliciet voor waarschuwde.

De internetcriminelen die bij Odido binnenkwamen, zijn gisteren begonnen met het publiceren van persoonsgegevens van Odido-klanten. Ze dreigen daar de komende twee weken mee door te gaan en elke dag een miljoen nieuwe ‘datapunten’ vrij te geven als Odido geen losgeld betaalt.

Ook dreigen ze de gevoeligheid van de data op te voeren: zo is nu bij lang niet alle klanten het e-mailadres of telefoonummer openbaar gemaakt. Ook de nummers van identiteitsbewijzen, die de hackers in bezit hebben, zijn nog niet gepubliceerd.

Eén klant kan meerdere van die datapunten hebben. Zo kan het gaan om meerdere aansluitingen op één adres, bijvoorbeeld een aantal mobiele abonnementen en een vast abonnement, maar ook om oude adressen. De Autoriteit Persoonsgegevens liet gisteren weten uitleg te willen van Odido vanwege de mogelijke te lange opslag van gegevens.