Het is een nachtmerrie voor elke telecomprovider, en nu werkelijkheid voor miljoenen Nederlanders. Deze week kwam aan het licht dat telecombedrijven Odido en Ben slachtoffer zijn geworden van een grootschalige cyberaanval. De hackers wisten toegang te krijgen tot een klantcontactsysteem en stalen daarbij persoonsgegevens van maar liefst 6,2 miljoen klanten.
Wat is er precies gebeurd?
Het incident vond plaats op 7 en 8 februari, afgelopen weekend. De omvang van het datalek is enorm. Gestolen data omfat volledige namen, adresgegevens, telefoonnummers, klantnummers, e-mailadressen, geboortedata, bankrekeningnummers, en zelfs paspoort of rijbewijsnummers inclusief geldigheidsdatum.
Het goede nieuws? Wachtwoorden, belgegevens en factuurinformatie zijn volgens Odido niet buitgemaakt. Ook de dienstverlening blijft gewoon functioneren. Maar de gestolen data is meer dan genoeg om serieuze schade aan te richten.
De tactiek: social engineering op zijn sluws
Wat dit datalek bijzonder verontrustend maakt, is de manier waarop de aanvallers te werk gingen. Ze gebruikten phishing om eerst wachtwoorden van klantenservicemedewerkers te bemachtigen, waarna ze de medewerkers opbelden en zich voordeden als de ICT-afdeling van Odido om hen ertoe te verleiden frauduleuze inlogpogingen goed te keuren. Zo omzeilden ze de multi-factor authenticatie, eigenlijk een stevige extra beveiligingslaag.
Eenmaal binnen konden de criminelen geautomatiseerd klantdata uit het systeem downloaden. Of ze daadwerkelijk alle 6,2 miljoen klantenbestanden hebben weten buit te maken is nog onduidelijk, maar de potentiële schade is gigantisch.
Ook Ben klanten zijn het slachtoffer
Omdat Ben een dochteronderneming is van Odido en gebruik maakt van hetzelfde klantcontactsysteem, zijn ook klanten van deze provider getroffen. De gestolen data bij Ben is gelijk aan die van Odido. Andere merken op het Odido-netwerk, zoals Simpel en Tele2, lijken vooralsnog niet getroffen.
Wat kunnen criminelen met deze data?
Laten we eerlijk zijn: deze gegevens zijn goud waard voor cybercriminelen. Met je naam, adres, geboortedatum en klantnummer kunnen oplichters extreem overtuigende phishingberichten maken. Denk aan nepfacturen, waarschuwingen over onbetaalde rekeningen, of ‘dringende’ berichten van je bank.
Nog zorgwekkender is de diefstal van paspoort en rijbewijsnummers. Deze kunnen worden gebruikt voor identiteitsfraude: criminelen die zich voordoen als jou om bijvoorbeeld leningen af te sluiten of aankopen te doen.
Wat moet je nu doen?
Odido en Ben informeren getroffen klanten binnen 48 uur via e-mail of sms. Maar wacht daar niet passief op. Hier zijn concrete stappen die je kunt nemen:
Blijf waakzaam: Verwacht de komende tijd een toename aan phishingpogingen. Controleer altijd zorgvuldig wie er belt of mailt. Vraag bij twijfel om een referentienummer en bel zelf terug via het officiële nummer van de website.
Check je status: Wil je weten of je gegevens zijn gelekt? Voer je e-mailadres in op haveibeenpwned.com om te zien of je voorkomt in bekende datalekken.
Monitor je financiën: Houd je bankrekening extra in de gaten voor vreemde transacties. Overweeg een fraudealert aan te vragen bij je bank.
Geef nooit je wachtwoord of pincode door: Geen enkele legitieme organisatie zal hier ooit om vragen, ook niet telefonisch.
Update je wachtwoorden: Als je hetzelfde wachtwoord voor meerdere diensten gebruikt, wijzig deze dan. Schakel waar mogelijk tweestapsverificatie in.
Kritische vragen blijven
De hack roept belangrijke vragen op. Waarom bewaarde Odido eigenlijk paspoort en rijbewijsnummers? Voor verificatie zou dit eenmalig kunnen, maar langdurige opslag van deze gevoelige identificatiegegevens lijkt onnodig en mogelijk zelfs in strijd met privacyregels.
Daarnaast: hadden betere beveiligingsmaatregelen dit kunnen voorkomen? Experts wijzen erop dat er altijd medewerkers zullen zijn die vatbaar zijn voor de trucs van cybercriminelen, maar de vraag is of Odido meer had kunnen doen om datadiefstal op deze schaal te voorkomen.
Het incident is gemeld bij de Autoriteit Persoonsgegevens. Odido heeft externe cybersecurity-experts ingeschakeld en extra beveiligingsmaatregelen genomen, maar voor miljoenen klanten is het kwaad al geschied.
De menselijke factor blijft cruciaal
Deze hack is een pijnlijke herinnering dat technologie alleen niet genoeg is. De sterkste wachtwoorden en beste firewalls helpen niet als medewerkers worden misleid door slimme social engineering. Bedrijven moeten blijven investeren in bewustzijnstraining, maar ook realistische noodplannen hebben voor wanneer, niet als, er iets misgaat.
Voor de getroffen klanten rest nu vooral waakzaamheid. De gestolen data is weliswaar nog niet online gepubliceerd, maar het is een kwestie van tijd voordat criminelen ermee aan de slag gaan. Blijf de komende maanden extra alert, en neem phishing-pogingen serieus. Want in de digitale wereld is je data pas echt veilig als het nooit buitgemaakt wordt.