De criminelen die bij Odido hebben ingebroken, kwamen binnen door in te loggen op het account van individuele klantenservicemedewerkers. Het wachtwoord wisten ze per mail te verkrijgenvia phishing, het ontfutselen van inloggegevens. Dat melden bronnen aan de NOS.
Nadat ze het wachtwoord hadden bemachtigd, belden de criminelen de medewerkers op en deden ze zich voor als de ICT-afdeling van Odido. Daarbij wisten ze hen ertoe te verleiden om hun frauduleuze inlogpoging goed te keuren en zo een extra beveiligingsstap te omzeilen.
De accounts van meerdere medewerkers zouden op die manier zijn gehackt. Nadat de criminelen wisten in te loggen, zijn ze geautomatiseerd data van klanten uit het systeem gaan opslaan.
Het is niet waarschijnlijk dat ze daadwerkelijk alle klantendata hebben kunnen downloaden, stelt een bron bekend met de hack tegenover de NOS. "De data van alle klanten uit dit systeem halen duurt echt heel lang, al is het ook niet uit te sluiten."
Of dat is gelukt, hangt ervan af hoelang ze binnen waren en hoeveel klantgegevens ze hebben weten buit te maken, zegt beveiligingsonderzoeker Sijmen Ruwhof. "Daar heb je met deze methode echt wel een aantal dagen voor nodig, en dat moet al die tijd onopgemerkt blijven."
Odido houdt die mogelijkheid nu nog wel open en waarschuwt 6,2 miljoen mensen, zowel huidige als voormalige klanten, van wie mogelijk gegevens zijn ontvreemd. Het bedrijf wil desgevraagd niet reageren op de bevindingen van de NOS.
Buitenlandse callcenters
Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt. Het lukte de aanvallers om in te loggen op Salesforce, een populair softwarepakket waarin klantgegevens worden bewaard. Door middel van scraping, het geautomatiseerd opvragen en opslaan van webpagina's, wisten ze de klantgegevens te bemachtigen.
Odido heeft het incident gemeld bij de Autoriteit Persoonsgegevens. Getroffen klanten worden nog geïnformeerd; dat kan in totaal 48 uur duren. De telecomprovider bracht het datalek gistermiddag naar buiten. Ook klanten van sim-only-dochterbedrijf Ben zijn getroffen.