Odido had zelfs twee dagen na de inbraak op 5 en 6 februari van dit jaar waarbij persoonlijke data van miljoenen klanten werden gekaapt, niet door dat de cybercriminelen wat hadden gestolen. Nota bene de hackersgroep ShinyHunters zelf attendeerde het telecombedrijf op de diefstal.

Enorme hoeveelheden klantgegevens waren gedownload zonder dat Odido daar een flauw benul van had. Ook het externe team van cybersecurity-specialisten dat het telecombedrijf bijstond, concludeerde enkele uren na de hack dat er niets was ontvreemd.

Odido, dat afgelopen dinsdag op de geruchtmakende hack terugkwam, kan nog steeds niet goed verklaren waarom de diefstal onopgemerkt bleef. Toen ShinyHunters de massale kraak meldde, was dat voor Odido een verrassing. Tisha van Lammeren, ‘chief commercial officer (cco) mass market’ wilde daar weinig over zeggen behalve dan de uitspraak dat de hackers goede technieken hebben om de diefstal te bedekken en dat alles op de achtergrond plaatsvindt. Maar deskundigen zeggen dat als de logging en monitoring van systemen in orde was geweest, dit niet zo ver had hoeven te komen.

‘Niets verkeerd gedaan’

Ceo Søren Abildgaard zei tegenover klanten dat zijn bedrijf ‘niets verkeerd’ heeft gedaan, maar dat er ‘mogelijk wel fouten zijn gemaakt’. Volgens hem voldeed de beveiliging bij Odido aan de vereisten. Of dat echt zo is, moet het onderzoek uitwijzen dat de Rijksinspectie Digitale Infrastructuur (RDI) doet in samenwerking met de Autoriteit Persoonsgegevens (AP).

Verder is dinsdag duidelijk geworden hoe ShinyHunters in de klantsystemen van Odido wist binnen te komen. Daar was alleen een telefoontje naar de klantenservice voor nodig geweest. Een medewerker dacht met de it-afdeling te maken te hebben en logde in op een valse versie van de werkomgeving. Op die manier kregen de hackers de inloggegevens van de medewerker in handen.

Deze versturen we 3-4x per jaar.