Odido-hack: ook gevoelige klantnotities gestolen

In dit artikel:

Bij de hack op telecomprovider Odido deze maand zijn behalve contact- en abonnementsgegevens ook vertrouwelijke aantekeningen uit het klantcontactsysteem gelekt. Onderzoek van de NOS, dat een dataset van zo’n 10.000 accounts ontving en verifieerde als afkomstig van hackersgroep Shinyhunters, toont aan dat bij minimaal 266 klanten notities stonden die medewerkers onderling maakten. In 128 gevallen bevatte het systeem gegevens over bewindvoerders — informatie die verder niets met het abonnement te maken heeft en kwetsbare persoonlijke omstandigheden blootlegt (bijv. verzoeken geen telefoontjes te krijgen, thuiszorgen of meldingen dat iemand tijdens contact onder invloed was en agressief werd).

Odido zegt aanvankelijk niet te hebben geweten dat deze aanvullende aantekeningen waren buitgemaakt; na melding plaatste de provider een update waarin zij bevestigt dat ook het klantcontactsysteem is geraakt en dat de impact per persoon kan verschillen. Shinyhunters dreigt de gestolen data stapsgewijs te publiceren tenzij Odido ruim een half miljoen euro betaalt; de groep claimt in totaal 21 miljoen records te bezitten, Odido spreekt zelf van iets meer dan zes miljoen getroffen accounts. Het Openbaar Ministerie is een strafrechtelijk onderzoek gestart. Shinyhunters is sinds 2020 actief en staat bekend om grootschalige datalekken en eerdere samenwerkingen met andere hackerscollectieven; leden zijn al eerder gearresteerd in Frankrijk en de VS.

Context: de onthullingen raken niet alleen privacy van klanten maar ook extra kwetsbare groepen (bijv. mensen onder bewind), wat de mogelijke schade bij publicatie vergroot.