Bij de hack van Odido deze maand zijn ook gevoelige aantekeningen over klanten buitgemaakt. Het gaat om informatie over betalingsachterstanden en bewindvoerders. Odido wist naar eigen zeggen niet dat deze extra informatie in handen was van de criminelen.
Dat blijkt uit onderzoek van de NOS. De NOS kreeg een dataset van circa 10.000 Odido-klanten van hackersgroep Shinyhunters. De nieuworganisatie wist te verifiëren dat het inderdaad om de groep achter de Odido-hack ging. Bij minimaal 266 klanten waren aantekeningen aanwezig bedoeld voor de communicatie tussen medewerkers van de Odido-klantenservice. In 128 gevallen stonden gegevens van een bewindvoerder in het systeem.
De aantekeningen bevatten persoonlijke informatie die niets met het abonnement te maken heeft. “Klant wil niet gebeld worden voor contractverlenging” en “gaat door een moeilijke periode” zijn voorbeelden. Bij een ander account staat: “Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (…) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan.”
Na de melding heeft Odido een update op de website geplaatst. “Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen”, aldus de provider. Het benadrukt ook: “Zoals we eerder hebben gecommuniceerd, kan de exacte impact per persoon verschillen.”
Dreigement met publicatie
Shinyhunters dreigt de gegevens vandaag stapsgewijs te publiceren, tenzij Odido betaalt. “Als het bedrijf dat niet doet, gaan we vanaf donderdagmiddag een miljoen records per dag publiceren”, laat de groep weten. De criminelen eisen een bedrag van circa een half miljoen euro.
De groep claimt 21 miljoen records in handen te hebben. Odido houdt het op ruim zes miljoen getroffen accounts. Het Openbaar Ministerie is een strafrechtelijk onderzoek begonnen naar de zaak. Of er concrete aanknopingspunten zijn, is niet bekend.
Shinyhunters is actief sinds 2020 en staat bekend om grootschalige datalekken. De groep werkte eerder samen met andere hackerscollectieven bij aanvallen op Salesforce-omgevingen. Eerder zijn leden van Shinyhunters opgepakt in Frankrijk en de Verenigde Staten.