Odido is slachtoffer geworden van een cyberhack. Gegevens van 6,2 miljoen gebruikers zijn gelekt. Welke conclusies kunnen we tot nu toe trekken uit deze hack? In dit artikel bespreken we wat de Odido hack ons leert over security. Lees verder.
Een korte samenvatting over het Odido datalek
Op 12 februari werd bekend dat Odido slachtoffer was van een cyberaanval. Hier hebben wij al een artikel over geschreven. Om even het geheugen op te frissen, geven wij een korte samenvatting. De hackersgroep Shinyhunters heeft 6,2 miljoen gebruikersgegevens gestolen. Hoe hebben ze dat gedaan?
Ze hebben eerst een phishingmail ingezet om gegevens te krijgen van klantenservicemedewerkers. Om deze gegevens te gebruiken, was er een tweestapsverificatie nodig. De hackers deden zich voor als ICT-medewerker en wisten telefonische toegang te krijgen tot de salesomgeving in Salesforce.
Shinyhunters dreigde de gegevens te publiceren op het darkweb als Odido geen losgeld betaalde. Dit ging om een bedrag van 1 miljoen euro. Op o.a. advies van de politie heeft Odido dit losgeld niet betaald. Dit zorgt er wel voor dat Shinyhunters inmiddels alle gestolen data heeft gepubliceerd op het darkweb.
Zorg ervoor dat je security op orde is
Een bedrijf zoals Odido werkt met kwetsbare gegevens. Denk bijvoorbeeld aan burgerservicenummers, rekeningnummers, paspoorten, rijbewijzen, etc. Ieder bedrijf dat werkt met dit soort kwetsbare informatie moet een groot belang hebben bij goede beveiliging. Wanneer dit soort informatie op straat ligt, kunnen criminelen identiteitsfraude plegen. Dit kan grote negatieve gevolgen hebben voor je klanten en voor het vertrouwen in jouw bedrijf.
Wat kunnen we leren van de Odido hack?
Goede educatie over security is essentieel. Dit kan je op verschillende lagen invullen. Een goede vraag om mee te starten is: “Wat is goede security? En welke zaken moeten wij hiervoor regelen als bedrijf?” Maak deze zaken bespreekbaar en wijs meerdere personen aan die verantwoordelijk worden voor de beveiliging. Dit heeft meerdere belangen, zoals extra ogen, maar ook meer kennis. Deze beslissingen en gesprekken vinden vaak plaats op bestuursniveau.
De verantwoordelijkheid ligt niet alleen bij de aangewezen personen, maar bij iedereen. Goede educatie voor iedere medewerker is essentieel. Hoe gaan zij om met inloggegevens, gevoelige informatie, tweestapsverificatie etc.? Je kan ervoor kiezen om bijvoorbeeld een training te geven of een educatiemail te versturen. De aangewezen personen kunnen helpen dit proces in te richten en aan te sturen, maar uiteindelijk draagt iedereen zijn verantwoordelijkheid in dit proces.
Hoe ga je om met verdacht gedrag?
Om te voorkomen dat je slachtoffer wordt van cybercriminaliteit, is het goed om verdacht gedrag te herkennen. Hoe ga je daar precies mee om? In het geval van de Odido hack hadden de hackers de inloggegevens van een klantenservicemedewerker. Vervolgens deden zij zich voor als een ICT-medewerker. Hier moet al een belletje rinkelen dat er iets niet klopt. Het is verstandiger om extra te controleren dan onzeker toegang te geven.
Verdacht gedrag kan je ook terugzien in de logs. Wordt er bijvoorbeeld ingelogd vanaf een afwijkende locatie of IP-adres? Dit kan je zien als verdacht gedrag. Goede inspectie is belangrijk. Is er inderdaad sprake van verdacht gedrag? Blokkeer dit IP-adres om schade te voorkomen. Nog beter is om gebruik te maken van intelligent blacklisting. Dit zorgt voor een geautomatiseerd proces.
Communiceer open naar je klanten toe
In het geval van een datalek kan je als bedrijf reputatieschade oplopen. Klanten verwachten dat bedrijven op een goede manier omgaan met hun gegevens. Ook als een bedrijf niets kan doen aan het datalek, wordt het toch gezien als gedeeltelijk verantwoordelijk. Om schade te beperken, is het belangrijk om zo open mogelijk te communiceren met klanten.
Wees duidelijk over wat klanten kunnen verwachten, welke data er gestolen zijn en welke stappen ze kunnen ondernemen. Kunnen klanten informatie verwachten van het bedrijf? Of moeten ze dit vragen bij de politie? Het is geen leuke informatie om over te communiceren, maar bij onduidelijkheid wordt de ontevredenheid alleen maar groter.
Wat kan je nu doen als klant van Odido?
Het is begrijpelijk dat als klant van Odido je wilt controleren of je in het datalek zit. Ga niet zelf zoeken op het dark web. De politie heeft inmiddels de volledige dataset in handen. Via deze link controleer je of jouw gegevens in het datalek zitten. Je vult je e-mail in en krijg na een paar minuten een e-mail in het geval dat jouw data is gevonden.
Let op! De politie meldt alleen of jouw e-mail gevonden is in deze dataset. Ze geven aan dat mogelijk andere informatie ook is gelekt, maar dit bevestigen ze niet. Het belangrijkste is om je wachtwoord van Odido te veranderen en goed op phishing te letten. Gebruik je dit wachtwoord voor meerdere accounts? Verander deze dan direct. Er is momenteel geen reden voor paniek. Wees alert en bij verdacht gedrag kan je altijd informeren.
