Criminelen die bij Odido inbraken, slaagden erin medewerkers te misleiden via phishing. Ze deden zich in telefoongesprekken voor als de IT-afdeling om multifactorauthenticatie te omzeilen. 6,2 miljoen klantdossiers zijn mogelijk buitgemaakt via geautomatiseerd scrapen. Het is het zoveelste voorbeeld van een datalek dat op papier sterk securitybeleid omzeilt. Hoe nu verder?
De aanvallers kwamen binnen door in te loggen op accounts van klantenservicemedewerkers. Het wachtwoord bemachtigden ze via succesvolle phishingpogingen. Bronnen melden dit aan de NOS.
Maar ze stopten niet bij die eerste stap. Nadat criminelen het wachtwoord hadden, belden ze de medewerkers op. Ze deden zich voor als de IT-afdeling van Odido en manipuleerden hen om de frauduleuze inlogpoging goed te keuren. Zo werd een extra beveiligingsstap omzeild die normaal ongeautoriseerde toegang blokkeert. Aangezien organisaties van een zeker formaat vaak de basis op orde hebben, moeten aanvallers listig zijn.
Scraping uit Salesforce
Meerdere medewerkers werden op deze manier gehackt. Het ging specifiek om de Salesforce-omgeving van Odido. Aanvallen via die applicatie of portals ertoe komen vaker voor in de afgelopen jaren, waarbij voice phishing en OAuth-misbruik veelgebruikte tactieken zijn.
De aanvallers zijn vervolgens geautomatiseerd data van klanten uit het systeem gaan opslaan. Door middel van scraping wisten ze de klantgegevens te bemachtigen. Het is niet waarschijnlijk dat ze daadwerkelijk alle klantendata hebben kunnen downloaden, stelt een bron bekend met de hack tegenover de NOS. “De data van alle klanten uit dit systeem halen duurt echt heel lang, al is het ook niet uit te sluiten.”
Of dat is gelukt, hangt ervan af hoelang ze binnen waren en hoeveel klantgegevens ze hebben weten buit te maken, zegt securityonderzoeker Sijmen Ruwhof tegen het NOS. “Daar heb je met deze methode echt wel een aantal dagen voor nodig, en dat moet al die tijd onopgemerkt blijven.”
Mogelijke omvang
Odido houdt die mogelijkheid nu nog wel open en waarschuwt 6,2 miljoen mensen, zowel huidige als voormalige klanten, van wie mogelijk gegevens zijn ontvreemd. Het bedrijf meldde gisteren het datalek en heeft het incident ook gemeld bij de Autoriteit Persoonsgegevens. Getroffen klanten worden nog geïnformeerd; dat kan in totaal 48 uur duren.
Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt. De telecomprovider wil desgevraagd niet reageren op de bevindingen van de NOS. Ook klanten van sim-only-dochterbedrijf Ben zijn getroffen door hetzelfde incident.
Mens als zwakke schakel
Niet iedereen is het erover eens om de mens als de zwakke schakel te zien bij cyberaanvallen. Vaak klinkt dit negatief of impliceert het dat slachtoffers schuldig zijn van nalatigheid. Dat willen we niet suggereren, maar voor verdedigers blijft het belangrijk om de menselijke factor te onthouden, ook als er op papier nagenoeg perfecte securitypraktijken worden gehanteerd. Security awareness-trainingen helpen om het aantal voorvallen van geslaagde phishingpogingen te verminderen, maar zijn niet genoeg.
Wie namelijk uitgaat van een compromis, kan de eventuele schade beperken. Er is altijd een medewerker vatbaar voor de listen van cybercriminelen. De vraag is nu of er bij Odido meer had kunnen worden gedaan om datadiefstal op deze schaal te voorkomen. Organisaties moeten eerder kijken naar de afscherming van data en niet alleen naar het personeel, juist omdat de mens nu eenmaal kan worden misleid.
Het feit blijft echter dat cybercriminelen met genoeg overtuigingskracht en de juiste doelwitten regelmatig slagen met phishingpogingen. De vraag is nu of er niet maatregelen getroffen hadden kunnen worden om zeer gevoelige klantinformatie beter af te schermen of allang te hebben verwijderd. Immers is het paspoortnummer van een klant na de initiële verificatie niet direct nodig. Het bewaren van bankinformatie en woonadressen zou eveneens afgeschermd kunnen worden tenzij er toestemming is vanuit de klant om dit te tonen aan een klantenservicemedewerker.
Hoe werkbaar allerlei defensiemechanismen zoals deze zijn, is niet zeker. Toch laat de schaal van de diefstal zien dat persoonlijke informatie klaarblijkelijk bij Odido te scrapen was, met enkel de bestandsgrootte als inperking zodra de accounts gecompromitteerd waren.