Met het mogelijk stelen van de gegevens van ruim 6,2 miljoen klanten heeft de cyberaanval die afgelopen week uitgevoerd werd op telecomprovider Odido waarschijnlijk geleid tot een van de grootste datalekken die Nederland ooit heeft meegemaakt. Hoeveel gegevens daadwerkelijk zijn buitgemaakt, en wie verantwoordelijk is, is nog niet duidelijk. Wel heeft Odido inmiddels zicht op hoe het heeft kunnen gebeuren.
Het was een klassieke aanval in twee stappen. Eerst werd de klantenservice benaderd via phishing mails om inloggegevens te bemachtigen. Helpdeskmedewerkers die via een link in deze mails probeerden in te loggen, gaven hun gebruikersnaam en wachtwoord prijs. Deze inloggegevens waren voor de Salesforce-omgeving van Odido, een internationaal veelgebruikt softwarepakket voor het beheer van klantengegevens.
Odido maakt echter gebruik van tweefactorauthenticatie, waarbij medewerkers elke inlogpoging moeten bevestigen, bijvoorbeeld via hun telefoon. Om deze laag in de beveiliging te omzeilen maakten de hackers gebruik van social engineering. Ze logden in met de gestolen inloggegevens van de medewerkers, en namen vervolgens telefonisch contact op. Aan de telefoon deden de criminelen zich voor als medewerkers van de ICT-afdeling van Odido. Ze overtuigden de medewerkers ervan om de malafiede inloggegevens goed te keuren. Op deze manier kregen ze toegang tot Salesforce.
Eenmaal binnen in de klantengegevens konden de aanvallers hun slag slaan. Alle klantgegevens, waaronder adressen, telefoonnummers en bankgegevens, konden uitgelezen worden. Met geautomatiseerde datascrapers werden vervolgens zo veel mogelijk gegevens binnengehaald voordat de verdachte activiteit geregistreerd werd. Het is nog niet duidelijk hoeveel gegevens zijn buitgemaakt, maar het gaat mogelijk om de gegevens van meer dan zes miljoen (voormalig) klanten van Odido.
Waarschuwing
Doordat Salesforce wereldwijd zo veel gebruikt wordt, is het een geliefd doelwit van cybercriminelen. Vorig jaar werd bekend dat verschillende groepen via inbraken in Salesforce samen ruim 1,5 miljard klantgegevens buitgemaakt hadden bij 760 bedrijven en organisaties.
Op 30 januari publiceerde Salesforce nog een waarschuwing dat ze aanwijzingen hadden gevonden dat cybercriminelen actief waren die precies deze combinatie van phishing en social engineering gebruikten om te proberen in te breken in Salesforce-omgevingen. Daarnaast heeft Salesforce een eigen informatiepagina specifiek bedoeld om organisaties beter te wapenen tegen social engineering, met verschillende tips om medewerkers beter te wapenen tegen deze vorm van cybercriminaliteit.
Ondanks deze waarschuwingen konden cybercriminelen toch binnendringen in de Salesforce-omgeving van Odido. Daarom heeft de telecomprovider nu een eigen informatiepagina gepubliceerd om klanten in te lichten over de mogelijke gevolgen van de inbraak. Ook worden tips gegeven over hoe de gegevens mogelijk gebruikt kunnen worden voor verdere cybercriminaliteit. Daarnaast hebben getroffen klanten een persoonlijke e-mail ontvangen.
Gevolgen
De buitgemaakte gegevens kunnen niet gebruikt worden om rechtstreeks van Odido-klanten te stelen. Zo zijn geen inloggegevens voor de klantomgeving van Odido of internetbankieren buitgemaakt. Toch kunnen gestolen gegevens gebruikt worden door oplichters om zichzelf overtuigender voor te doen als een medewerker van Odido of een bank van het doelwit. Doordat de oplichters toegang hebben tot persoonlijke gegevens kunnen ze overtuigender overkomen.
Dit gebeurde bijvoorbeeld in september 2025 met gestolen gegevens van Van der Valk hotels. Hier gebruikten oplichters de gestolen gegevens om klanten van de hotelketen te benaderen. De oplichters maakten meerdere slachtoffers doordat ze gebruik konden maken door gegevens uit het klantensysteem van Van der Valk. Omdat de oplichters konden verwijzen naar specifieke reserveringen was het makkelijker om klanten van de hotelketen te overtuigen om geld over te maken.
In tegenstelling tot Van der Valk heeft Odido wel gelijk openheid van zaken gegeven en melding gemaakt bij de Autoriteit Persoonsgegevens. Onderzoek zal moeten uitwijzen of Odido voldoende heeft gedaan om klantgegevens te beschermen. De verantwoordelijkheden van organisaties op dit gebied zijn vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is aan de Autoriteit Persoonsgegevens (AP) om te bepalen of Odido de AVG geschonden heeft, en om eventuele boetes op te leggen.