Odido hack: Waarom betalen aan Shinyhunters de schade niet herstelt
De deadline is verstreken, de dreiging is concreet en de druk op telecomprovider Odido is tot het kookpunt gestegen. Met de diefstal van de gegevens van 6,2 miljoen klanten claimt hackerscollectief Shinyhunters een digitale hoofdprijs. Terwijl de provider zwijgt, analyseert cybersecurity-expert Erik Westhovens, oprichter van Ransomwared, de harde realiteit achter deze hack. Zijn conclusie is even nuchter als alarmerend: "Het leed is al geschieden, betalen stelt het onvermijdelijke alleen maar uit."
1. Het morele moeras: Betalen is geen garantie
De eis van Shinyhunters is niet mals: een bedrag van zeven cijfers in ruil voor het 'vernietigen' van de gestolen data. Hoewel de verleiding groot is om de portemonnee te trekken in de hoop de privacy van miljoenen klanten te redden, is Westhovens onverbiddelijk in zijn advies.
"We hebben dit vaker gezien en vaak wordt beweerd dat betalen de schade beperkt, maar het tegendeel is waar," stelt Westhovens. Hij verwijst naar de geruchtmakende hack op de KNVB. "Die hebben destijds betaald, maar zes maanden later doken de gegevens alsnog op een server op, nota bene in Amsterdam. Je koopt simpelweg gebakken lucht. Er is geen enkele garantie dat criminelen de data daadwerkelijk wissen."
Volgens de expert moet Odido "door de zure appel heen bijten". Het afkopen van hackers voedt enkel het verdienmodel van de criminaliteit. Bovendien is Westhovens kritisch op de huidige strategie van de provider: "Ik zou ze adviseren een nieuwe communicatiedirecteur aan te stellen. Ze zijn nu wel heel erg stil, terwijl hun klanten in grote onzekerheid zitten."
2. De goudmijn: Paspoorten en banknummers
Wat deze hack zo gevaarlijk maakt, is de diepte van de buit. Het gaat niet slechts om e-mailadressen, maar om een combinatie van namen, bankrekeningnummers en paspoortgegevens.
"Met alleen een naam en e-mailadres kom je als crimineel niet ver, maar met deze dataset kun je identiteitsfraude op grote schaal plegen," legt Westhovens uit. De roep van gedupeerden om een vergoeding voor een nieuw paspoort noemt hij echter dweilen met de kraan open. "Een nieuw paspoortnummer helpt nauwelijks, omdat het oude document in de systemen van veel instanties nog steeds als geldig wordt gezien, zolang de verloopdatum niet is gepasseerd."
Westhovens ziet de oplossing niet in nieuwe documenten, maar in een systeemwijziging: "Het is tijd voor verplichte tweestapsverificatie bij contracten en leningen. Niet via een cent overmaken, maar via een identiteitscheck in de bank-app. Dat zou de waarde van gestolen paspoortgegevens direct minimaliseren."
3. Psychologische oorlogsvoering
In hun laatste waarschuwing dreigen de Shinyhunters met "andere vervelende digitale problemen". Moeten we vrezen voor een landelijke netwerkstoring? Westhovens relativeert de paniek.
"De data is buitgemaakt via Salesforce, een SaaS-applicatie (Software as a Service). Daar staat klantdata in, geen technische blauwdrukken van firewalls of routers. Het is uiterst onwaarschijnlijk dat de hackers hiermee de infrastructuur van het mobiele netwerk kunnen platleggen. Dit is pure psychologische oorlogsvoering om de druk op de directie van Odido te verhogen."
4. De perfecte phishing-storm
Het grootste gevaar ligt volgens de expert in de periode na het lek. De precisie van toekomstige phishing-aanvallen zal ongekend zijn. Wanneer een hacker niet alleen je naam weet, maar ook je bankrekeningnummer kan citeren in een nep-factuur van bijvoorbeeld Infomedics, wordt het onderscheid tussen echt en vals bijna onmogelijk voor de gemiddelde consument.
"Hackers hebben geen 100% succesratio nodig; als 1% erin trapt, lopen ze al binnen," waarschuwt Westhovens. Een ander onderschat probleem is het verlies van 'schone' e-mailadressen. "Veel mensen gebruiken een spam-adres voor sociale media, maar hun 'echte' privé-mail voor belangrijke diensten zoals hun provider. Nu dat adres op straat ligt, is ook die laatste veilige haven voorgoed besmet met spam en gerichte aanvallen."
5. De technische achilleshiel: Het 'Token-gat'
De hack begon waarschijnlijk met een menselijke fout: een medewerker die in een phishing-val trapte. Maar de diepere oorzaak ligt volgens Westhovens in de technische architectuur van inlogsystemen (Identity Providers).
Helpdeskmedewerkers loggen vaak in via Microsoft 365 bij Salesforce middels een zogeheten 'token'. Zo’n token vertelt Salesforce wie de gebruiker is en is vaak 60 minuten geldig. "Met onze AI bij Ransomwared kunnen we zo'n inlog zien en de token direct 'revoken' (ongeldig maken)," legt hij uit. "Maar hier zit de crux: dat signaal wordt vaak niet direct doorgegeven aan Salesforce. De hacker behoudt dan nog steeds toegang tot de resterende tijd van de token—soms wel een uur lang. In die tijd kan een script duizenden records per minuut wegtrekken."
De Odido-hack geeft aan dat cybersecurity niet ophoudt bij een sterk wachtwoord. Het vereist een constante strijd tegen de klok, waarbij zowel de menselijke factor als de technische afhandeling van digitale identiteiten waterdicht moet zijn. Voor Odido en haar 6,2 miljoen klanten is het wachten nu op de volgende zet van de Shinyhunters, maar voor de rest van Nederland is de les duidelijk: de 'zure appel' is inmiddels dagelijkse kost in de digitale wereld.
