Odido betaalt geen losgeld aan hackers die begin deze maand miljoenen klantgegevens stalen. Hackersgroep ShinyHunters publiceerde daarom een deel van de gestolen data op het darkweb nadat een ultimatum verstreek.
Odido kreeg een deadline opgelegd door de criminelen die tot vanmiddag loopt. Ze eisten een onbekend bedrag om publicatie van de buitgemaakte gegevens te voorkomen. Odido gaat daar niet op in, bevestigt de provider. Het resultaat is dat ShinyHunters data is begonnen met het openbaar maken van de data via het darkweb.
Hoeveel gegevens er precies zijn gepubliceerd, blijft onduidelijk. Eerder dreigden de aanvallers om dagelijks 1 miljoen regels aan data vrij te geven zolang betaling uitbleef. Het gaat daarbij om mailadressen, telefoonnummers en andere privacygevoelige informatie.
Ruim 6 miljoen accounts getroffen
Bij de cyberaanval die Odido twee weken geleden meldde, werden persoonsgegevens van ruim 6 miljoen accounts buitgemaakt. De gestolen informatie omvat namen, woon- en emailadressen, telefoonnummers, geboortedata en nummers van bankrekeningen en identiteitsbewijzen.
Gisteren werd duidelijk dat de criminelen ook gevoelige aantekeningen uit het klantcontactsysteem in handen hebben. Daarin staat bijvoorbeeld of klanten hun betalingsafspraken nakomen, een bewindvoerder hebben of zich hebben misdragen. Odido wist naar eigen zeggen niet dat deze extra informatie ook was ontvreemd.
Berucht collectief met lange staat van dienst
De aanval werd uitgevoerd door ShinyHunters, een hackersgroep die eerder grootschalige datalekken veroorzaakte bij onder meer concertkaartjesverkoper Ticketmaster en pornosite Pornhub. Het collectief is sinds 2020 actief en richtte zich ook op bedrijven als Microsoft en Google.
De groep staat bekend om het gebruik van voice phishing en social engineering. Bij Odido kwamen criminelen binnen via medewerkers die werden misleid door telefoongesprekken waarin aanvallers zich voordeden als de IT-afdeling.
De politie raadt getroffen bedrijven altijd af om losgeld te betalen. Het blijft na betaling namelijk onzeker of criminelen de gestolen data niet doorverkopen of teruggeven bij ransomware. Daarnaast bestaat het risico dat organisaties opnieuw worden afgeperst. Toch komen veel bedrijven na onderhandelingen vaak wel over de brug, melden cybersecurity-experts. Het Openbaar Ministerie is inmiddels een strafrechtelijk onderzoek gestart naar de hele kwestie.