Gegevens miljoenen Odido-klanten gelekt na grote cyberaanval

[Black Tiger]

Telecomprovider Odido is getroffen door een cyberaanval. Daarbij zijn gegevens van 6,2 miljoen klantenaccounts gelekt, bevestigt een woordvoerder van het bedrijf aan NU.nl.

Het gaat onder meer om namen, adressen en bankrekeningnummers van klanten. Wachtwoorden en telefoonnummers zijn wel veilig. Odido zoekt nog uit om hoeveel mensen het precies gaat en heeft het incident gemeld bij de Autoriteit Persoonsgegevens (AP).
De hackers hebben Odido zelf laten weten dat ze de miljoenen gegevens in handen hebben, laat de woordvoerder weten. Afgelopen weekend kreeg het bedrijf de eerste signalen dat er sprake was van een datalek. Odido startte een onderzoek met interne en externe cyberbeveiligingsexperts. Toen het datalek eenmaal bevestigd was, werden de klanten en de AP geïnformeerd.
Odido zegt het lek enorm te betreuren. De operationele dienstverlening is niet getroffen. Dat betekent dat klanten wel veilig kunnen blijven bellen, internetten en tv kijken.

De provider roept haar klanten op extra alert te zijn op verdachte en ongebruikelijke activiteiten. Odido deelt ontwikkelingen en veiligheidsadviezen op deze pagina.

Bron: nu.nl

 

[Peer]

Zo te lezen zijn ook identicatiegegevens gelekt. Hopelijk hebben ze zaken zoals BSN niet als plain text opgeslagen.

Voor de "ramptoeristen" onder ons:

https://community.odido.nl/algemeen-490/datalek-bij-odido-383094

 

[Tech]

De laatste tijd hoor je teveel van dit soort zaken en ga er maar van uit dat er meer gevallen zijn alleen zijn die niet publiek gemaakt....

 

[Black Tiger]

Zo te lezen zijn ook identicatiegegevens gelekt.

Dat klopt, ik heb Odido en heb al zo'n mailtje gehad, zoals de meeste klanten inmiddels vermoedelijk en daar zie je dat ze wel zowat alles hebben wat nodig is.

Wat wel is gelekt:

• Je volledige naam
• Je klantnummer
• Je adres en woonplaats
• Je telefoonnummer
• Je e-mailadres
• Je IBAN (rekeningnummer)
• Je geboortedatum
• Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Wat niet is gelekt:

• Je wachtwoord van "Mijn Odido"
• Je belgegevens - gegevens over wie je hebt gebeld of wanneer
• Je locatiegegevens - waar je aws
• Je factuurgegevens
• Scans van identiteitsbewijzen

Dus eigenlijk wat niet is gelekt dat is ook verder niet echt interessant te noemen, de belangrijkste informatie is wel gelekt.
Schijnbaar hadden ze het sowieso slecht in orde met de beveiliging. Het aftapsysteem van Odido was niet goed beveiligd tegen mogelijk meekijken van buitenstaanders. De Rijksinspectie Digitale Infrastructuur (RDI) heeft de provider daarom een boete van 1,5 miljoen euro opgelegd. Dat was oktober vorig jaar.
Tegen die boeten zijn ze nog in beroep, maar als je dan weer van deze hack leest dan krijg je toch wel twijfels over de veiligheid van hun servers in het algemeen.

er meer gevallen zijn alleen zijn die niet publiek gemaakt....

Dat zal zeker, lekken hoef je niet altijd bekend maken bij de AP (Authoriteit Persoonsgegevens), daar mag je een eigen inschatting over maken, aldus hun eigen site.
Maar in bepaalde gevallen kan dat ook (afhankelijk van de ernst) oplopen tot enorme hoogtes. Maximaal 20 miljoen of 4% van de wereldwijde jaaromzet, waarbij het hoogte bedrag genomen wordt.
Dus tja... er zullen zeker mensen zijn die het wel zouden moeten melden, maar dat niet doen. Dit grapje kan Odido dus nog wel eens behoorlijk wat gaan kosten omdat die gegevens die wel gelekt zijn klaarblijkelijk niet versleuteld opgeslagen waren.

 

[Tech]

Niet alleen niet versleuteld maar kennelijk had elke medewerker ook toegang tot die gegevens.....

 

[Peer]

Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Zo te lezen is jouw BSN dan in elk geval niet gelekt.

 

[janblues]

Ik dacht de dans te ontspringen.
Bijna 2 jaar geleden over gestapt naar een andere provider.
Maar de wat oudere klanten zijn ook de pineut.

 

[Black Tiger]

@Peer BSN lijkt het enige belangrijke wat niet gelekt is inderdaad.

@janblues Ja want ze verwijderen de gegevens van oude klanten niet zo snel. Daar kunnen de nodige jaren overheen gaan tenzij je het zelf eerder vraagt.

 

[sat-ed]

de gegevens van oude klanten niet zo snel. Daar kunnen de nodige jaren overheen gaan tenzij je het zelf eerder vraagt.

Valt dat ook niet onder de 7 jaar regel?

 

[aart44]

En ik ben er helaaas ook bij heb een telefoon abo bij Ben heb al bericht gehad.

 

[Peer]

Ik neem aan dat gegevens uit te T-Mobile tijdperk toch wel zijn gewist. Voor de overgang naar Odido ben ik al overgestapt naar KPN.

 

[Black Tiger]

Valt dat ook niet onder de 7 jaar regel?

De 7 jaar regel is voor de belasting, niet voor de AVG. Daar zit geen limiet op maar moeten bedrijven zelf inschatten of het nog nodig is gegevens te bewaren. Zitten geen vaste regels op las ik op de site van AVG, had het opgezocht. Ik dacht zelfs dat er een kortere limiet op zat, behalve dan facturen bijvoorbeeld.

@Peer Nee dat denk ik niet want ze zijn gewoon verder gegaan onder een nieuwe naam, geen overname of zoiets.

 

[sat-ed]

Dat bedoel ik... Facturen bewaren digitaal en wat staat daar op.
Minimaal:

Klant nr
Adres
Telefoon nummer

Met een beetje pech je incasso gegevens
En dan kun je zeggen dat de beveiliging niet op orde is maar we weten ook dat er regelmatig updates mis gaan dus dat men daar even mee wacht kan ik me voorstellen.
Daarbij weten mensen die kvk nummer hebben ook dat je vrij rap gegevens moet produceren als bv die blauwe envelop binnnen komt.
Dat is voor mij al zoeken laat staan een bedrijf met tig x meer klanten.
Praat dit niet goed wat er gebeurt is maar wil die andere kant ook even belichten

 

[Black Tiger]

Praat dit niet goed wat er gebeurt is maar wil die andere kant ook even belichten

Dat er gegevens bewaard worden uit noodzaak is ook het probleem niet, zoals bekend is dat voor belasting nodig. Maar het gaat om de beveiliging ervan en er zijn meer dingen dan alleen updates.

Deze hack is op een van de oudste manieren van hacken uitgevoerd, namelijk door social engineering. Men heeft gedaan alsof men medewerker van de ICT is van Odido en aldus bij een andere medewerker gegevens los gekregen waardoor men bij de database is kunnen komen en aldus gegevens jatten.

Dus helaas heeft een personeelslid wat schijnbaar bij die gegevens kon, niet goed genoeg opgelet of te weinig instructie gehad om te dubbelchecken voordat er gevoelig gegevens (zoals database toegang) worden verstrekt.

 

[sat-ed]

Korter gegevens moeten bewaren geeft een minder groot klanten bestand lijkt me.
Maar goed het grootste potentiele lek zit tussen de stoel en het toetsenbord lol

 

[Tech]

Een gevalletje pebkac ?

 

[Peer]

Voor wie geen database heeft met gegevens van 6 miljoen klanten: er is een andere manier om te zien op welk adres een Odido abonnement actief is.

https://community.odido.nl/algemeen-490/waarom-is-het-mogelijk-om-via-de-publieke-website-te-zien-of-iemand-wel-niet-odido-klant-is-383169

 

[Black Tiger]

op welk adres een Odido abonnement actief is.

Ja wel apart dit. Bij Ziggo en KPN krijg je gewoon te zien of er wel of niet een storing is in de "omgeving" of dat nu een klant is of niet.

 

[Peer]

Ik heb nu met die pagina kunnen zien dat nummer 19 als enige in mijn straat Odido heeft.

 

[janblues]

Ik zie net dat odido je gegevens 5 tot 10 jaar bewaard. Dan is 6 milj. Misschien wel meer.