ShinyHunters vertelde Odido over zijn eigen datalek met 6,5 miljoen klanten

Wat het Odido-datalek blootlegde en wie er getroffen is

Het datalek bij Odido is een van de meest ongemakkelijke verhalen die dit jaar uit de Europese telecomsector naar buiten zijn gekomen. Odido, de op twee na grootste mobiele aanbieder van Nederland, had de gegevens van 6,5 miljoen klanten gestolen in februari. Contactgegevens, geboortedatums, klantnummers en andere persoonlijke informatie werden buitgemaakt bij de aanval. Wat dit incident bijzonder opvallend maakt, is niet alleen de omvang. Het is het feit dat het eigen beveiligingsteam van Odido het volledig heeft gemist.

Het bedrijf bevestigde dat het pas op de hoogte raakte van het lek nadat de hackinggroep ShinyHunters rechtstreeks contact opnam. ShinyHunters, een productieve cybercriminele groep die bekend staat om grootschalige gegevensdiefstal, stelde het slachtoffer in feite op de hoogte. De CEO van Odido erkende publiekelijk dat er fouten zijn gemaakt. Wachtwoorden, factureringsgegevens, belgegevens en locatiedata zouden niet zijn opgenomen in de gestolen dataset, maar die beperkte geruststelling verandert niets aan het kernprobleem: miljoenen mensen hadden hun telecomgegevens blootgesteld zonder dat het bedrijf dit wist.

Hoe de interne detectie van Odido maandenlang faalde

Dit is het deel van het Odido-dataleekverhaal dat in de meeste berichtgeving wordt overgeslagen. Een aanval vond plaats in februari. Het bedrijf voerde een intern onderzoek uit. Dat onderzoek vond niets. Het waren de aanvallers zelf die de cirkel sloten.

Dit soort detectiefalen is niet uniek voor Odido. Telecombedrijven beheren uitgebreide CRM-systemen met miljoenen records, en geavanceerde inbraaktechnieken kunnen minimale sporen achterlaten als de aanvaller voorzichtig is. Maar het falen wijst op een systemische kloof: de interne monitoring was blijkbaar niet toereikend om gegevensexfiltratie in real time te detecteren. Tegen de tijd dat Odido bevestigde wat er was gebeurd, bevonden de gegevens zich al in handen van een groep met een staat van dienst in het verkopen van gestolen gegevens op dark web-marktplaatsen.

Ter context over het bredere patroon van ShinyHunters: de groep is gekoppeld aan meerdere grootschalige lekken waarbij bedrijven eveneens traag reageerden of zich nergens van bewust waren. Hun aanval op Canvas eerder dit jaar volgde een vergelijkbaar draaiboek: gegevens exfiltreren, het lek publiekelijk of via het slachtoffer naar buiten brengen, en druk uitoefenen. Het Odido-incident past bijna precies in dat stramien.

Waarom telecomlekken bijzonder gevaarlijk zijn voor de privacy

Niet alle datalekken brengen hetzelfde vervolgrisico met zich mee. Telecomgegevens bevinden zich op een bijzonder gevaarlijk kruispunt, omdat ze uw echte identiteit koppelen aan uw telefoonnummer, en die combinatie opent een specifieke reeks aanvallen.

SIM-swapfraude is de meest directe zorg. Wanneer een aanvaller uw naam, telefoonnummer en accountgegevens heeft, kan hij contact opnemen met uw provider door zich voor te doen als u en een SIM-overdracht aanvragen naar een apparaat dat hij beheert. Zodra ze uw nummer hebben, kunnen ze op sms gebaseerde tweefactorauthenticatiecodes onderscheppen en toegang krijgen tot bankrekeningen, e-mail en crypto-wallets. Dit is geen theoretisch risico. Het is een van de primaire methoden om gestolen telecomgegevens te gelde te maken.

Naast SIM-swaps maakt telecommetadata uiterst gerichte phishing mogelijk. Een aanvaller die uw naam, mobiel nummer en het feit kent dat u klant bent bij een specifieke provider, kan overtuigende berichten opstellen die de klantenservice van die provider nabootsen. Dit zijn geen generieke spamberichten. Het zijn sociaal gemanipuleerde aanvallen die zijn opgebouwd uit echte gegevens, waardoor ze aanzienlijk moeilijker te herkennen zijn.

Dit maakt deel uit van een breder patroon dat zichtbaar is bij lekken in heel Europa. Het lek bij de Franse e-mailprovider dat 40 miljoen records blootlegde en de blootstelling van 18 miljoen Franse ID-gegevens door een tiener-hacker toonden beide aan hoe het samenvoegen van persoonsgegevens het risico voor individuen vergroot, zelfs wanneer geen enkel afzonderlijk stukje informatie op zichzelf catastrofaal lijkt. Telecomgegevens zijn bijzonder waardevol omdat ze al die geaggregeerde informatie verankeren aan een bereikbaar, realtime communicatiekanaal.

Gelaagde bescherming die VPN-gebruikers moeten toevoegen na telecomdatalekken

Als u een Odido-klant bent, of gewoon iemand die nadenkt over wat dit lek betekent voor mensen zoals u, zijn er concrete stappen die u nu kunt nemen.

Ten eerste: neem contact op met uw mobiele provider en vraag om een SIM-vergrendeling of nummerporteeringblokkering op uw account te plaatsen. Dit maakt het voor een aanvaller aanzienlijk moeilijker om uw nummer over te dragen zonder persoonlijke verificatie. Veel providers bieden dit aan maar adverteren er niet prominent mee.

Ten tweede: stap waar mogelijk af van op sms gebaseerde tweefactorauthenticatie. Gebruik in plaats daarvan een authenticator-app. Als uw telefoonnummer gecompromitteerd raakt via een SIM-swap, worden sms-codes een kwetsbaarheid in plaats van een bescherming.

Ten derde: controleer waar uw telefoonnummer wordt gebruikt als herstelmethode. E-mailaccounts, bank-apps en socialemediaplatforms die uw mobiele nummer gebruiken voor accountherstel, zijn allemaal potentiële doelwitten als uw telecomgegevens zijn blootgesteld.

Ten vierde: overweeg een VPN met DNS-lekbescherming voor uw mobiele apparaat. Een VPN voorkomt geen SIM-swap, maar voegt wel een beschermingslaag toe voor het browse- en app-verkeer op uw apparaat, met name op openbare netwerken waar een aanvaller mogelijk verkeer probeert te onderscheppen na een SIM-compromittering.

Tot slot: gebruik een service voor lekmonitoring om bij te houden of uw e-mailadres of telefoonnummer verschijnt in nieuw gelekte datasets. Have I Been Pwned heeft het Odido-lek al geïndexeerd.

Wat dit voor u betekent

Het datalek bij Odido is een herinnering dat de bedrijven die uw gegevens bewaren, mogelijk niet weten dat deze zijn gestolen totdat iemand anders hen dit vertelt. Detectiefouten komen voor, en wanneer dat het geval is, kan het tijdvenster tussen de diefstal en uw bewustwording maanden lang zijn. Gedurende dat tijdvenster kunnen uw gegevens worden gekocht, verkocht en gebruikt.

Beschouw dit als een aanleiding om de beveiliging van uw telecomaccount te controleren en uw afhankelijkheid van op telefoonnummer gebaseerde authenticatie bij uw meest gevoelige accounts te verminderen. Het Odido-incident is ook de moeite waard om te bekijken naast de bredere activiteiten van ShinyHunters. Als u het patroon van de groep begrijpt waarbij grote consumentgerichte platforms worden aangevallen, wordt duidelijk waarom geen enkel bedrijf of sector als veilig kan worden beschouwd. Begin bij uw telefoonnummer. Dat is de sleutel die meer opent dan de meeste mensen beseffen.