Odido ontdekte pas na bericht van hackers dat klantgegevens waren gestolen

NOS Nieuws•vandaag, 21:26

Odido had na de hack van begin dit jaar niet door dat er van miljoenen klanten gegevens waren gestolen, tot de hackersgroep dat twee dagen later zelf tegen het bedrijf zei. Dat zegt topvrouw Tisha van Lammeren tegen de NOS. De conclusie van intern onderzoek, op de dag van de hack, was dat er geen gegevens waren gestolen, zegt ze.

Odido werd begin februari gehackt door de criminele groep ShinyHunters. Daarbij werden ook klantgegevens van telecomprovider Ben gestolen. Nadat Odido weigerde te betalen, plaatste de hackersgroep de gegevens van ruim 6 miljoen mensen op het darkweb. “Dat was een donkere dag voor ons allemaal”, zegt Van Lammeren.

Het is voor het eerst sinds de hack dat de Odido-top in de media terugblikt op de aanval. In gesprek met de NOS zegt Van Lammeren ook dat het bedrijf, een van de grootste telecomaanbieders van het land, beter had kunnen communiceren over de aanval. “Klanten nemen het ons wel kwalijk dat het zo stil is geweest.”

‘Gegevens in een uur gedownload’

Nadat Odido weet kreeg van de aanval liet de provider onderzoek doen naar digitale sporen van de inbraak. Inmiddels weet het bedrijf precies wat er is gebeurd, zegt Van Lammeren. De NOS vroeg om dat onderzoek in te zien, maar dat verzoek werd geweigerd. Wel geeft het bedrijf voor het eerst meer details prijs over hoe de diefstal uit het klantensysteem kon plaatsvinden.

“Een hacker van ShinyHunters belde een medewerker van de Odido-klantenservice en deed alsof hij voor de IT-afdeling werkte”, vertelt Van Lammeren. “De hacker wist deze medewerker over te halen om in te loggen op een valse versie van de werkomgeving. Zo heeft hij de inloggegevens van die persoon gestolen.”

Odido blokkeerde het account waarop de hacker inlogde binnen een uur, zegt het bedrijf. Maar toen was het al te laat, bleek twee dagen later: de gegevens van miljoenen klanten waren in die korte tijd gedownload, zegt Van Lammeren. “We waren extreem verrast door de snelheid waarmee alles gebeurde.”

‘Diefstal niet gezien’

De inbraak werd destijds wel opgemerkt, de diefstal niet, zegt Van Lammeren. “Er ging geen alarm af toen de gegevens op 5 februari werden gedownload.” Ook toen Odido later die dag samen met een cybersecuritybedrijf onderzoek deed naar de digitale sporen van de inbraak, concludeerden zij allebei dat er niets was gestolen, zegt de topvrouw.

Dus toen ShinyHunters op 7 februari een bericht stuurde dat zij klantgegevens hadden gestolen, kwam dat volgens haar als een verrassing. Hoe kan het dat Odido die diefstal niet opmerkte? Daar wil Van Lammeren niet veel over zeggen. “De hackers hebben daar goede technieken voor. Dat vindt op de achtergrond plaats. En dat hebben we niet gezien.”

Wie zijn de hackers die toesloegen bij Odido? Nieuwsuur ging na de hack op onderzoek uit:

Wie zijn de hackers die toesloegen bij Odido?

Ook de volledige omvang van de diefstal bleef lang onduidelijk, zegt Van Lammeren. Pas begin maart, nadat ShinyHunters alle gegevens op het darkweb publiceerde, zag Odido dat ook gegevens van zakelijke klanten waren gestolen. “We dachten dat het alleen consumenten betrof van Ben en Odido. Toen bleek toch dat het ook om een groep zakelijke gebruikers ging.”

‘Communicatie kon beter’

Dat er lange tijd veel onduidelijk was, was volgens Van Lammeren de reden dat het bedrijf zo weinig aan zijn miljoenen klanten liet weten. De topvrouw zegt dat het bedrijf dat beter had kunnen doen. Ze noemt het de belangrijkste les die het bedrijf heeft geleerd na de digitale inbraak.

De telecomprovider stuurde een aantal dagen na de hack 6,2 miljoen berichten naar klanten en oud-klanten van Odido en Ben. Daarin stond dat hun gegevens mogelijk waren gestolen. Ook plaatste het bedrijf informatie over de aanval op zijn website. “Maar we hadden niet iedere week een nieuwsbrief of zo”, zegt Van Lammeren.

“Als ik terugkijk, denk ik dat we toch iets hadden moeten laten weten, ook over dingen die je niet weet.” Het bedrijf had dat achteraf gezien kunnen doen nadat bleek dat er gevoelige aantekeningen over klanten waren gestolen, zegt Van Lammeren.

Odido hoopt klanten nu alsnog meer duidelijkheid te geven. Het bedrijf heeft zijn pagina over de hack vandaag aangevuld met extra informatie. Daarin legt het bedrijf onder meer uit waarom het besloot om ShinyHunters niet te betalen, een besluit waar het nog steeds achter zegt te staan.

Toezichthouders doen onderzoek

Op dit moment lopen nog twee onderzoeken van toezichthouders naar de inbraak. Daaruit moet blijken of Odido de beveiliging van het klantensysteem goed op orde had. En of Odido gegevens van (oud-)klanten niet langer bewaarde dan is toegestaan. Hoelang die onderzoeken nog duren is onduidelijk, zeggen de twee toezichthouders vandaag tegen de NOS.

Van Lammeren zegt dat dat Odido na de hack het vertrouwen van klanten wil terugwinnen. “Want dat is toch gebroken. Het spijt ons ontzettend naar onze klanten toe dat dit is gebeurd. Het voelt echt heel naar.”

Wat is er op

Brandstichting bij noodopvang Loosdrecht, betogers houden brandweer tegen

Tickets boeken voor internationale trein moet veel simpeler, vindt Europese Commissie

Burgemeester die opstapte om azc-conflict vervangt collega na fietsongeluk

Premier Jetten korte tijd opgenomen in ziekenhuis Bonaire na prik tijdens zwemmen

OpenAI stelt zijn systemen open voor Europese bedrijven

Openbaar Ministerie haalt site met stiekem gefilmde misbruikbeelden Motherless offline

Privéberichten op Instagram niet langer extra versleuteld

OM haalt site met stiekem gefilmde misbruikbeelden Motherless offline

Studenten gewaarschuwd voor phishing na hack softwarebedrijf

Contract met IT-bedrijf voor DigiD met twee jaar verlengd, ondanks zorgen

Meta heft blokkade van queer sites deels weer op

Wat staat op het spel in zaak van Musk tegen Altman over ChatGPT-maker OpenAI?

Brussel berispt Meta om gebruik platforms door kinderen, miljardenboete dreigt