Odido lekt meer persoonlijke data dan verwacht

In dit artikel:

Telecombedrijf Odido is recentelijk slachtoffer geworden van een hack door de bekende cybergroep Shinyhunters. Waar Odido aanvankelijk meldde dat persoonsgegevens van 6,2 miljoen klanten waren buitgemaakt, stellen de aanvallers dat het om gegevens van ongeveer 8 miljoen mensen en 21 miljoen datarijen gaat. Odido heeft ondertussen erkend dat nog meer informatie uit het klantcontactsysteem is geraakt en meldt dat het onderzoek doorloopt; updates verschijnen op een speciale webpagina van het bedrijf.

De hackers eisen meer dan een miljoen euro losgeld en zetten een deadline: wordt er niet betaald, dan dreigen ze de gegevens op het dark web te plaatsen. Als bewijs hebben ze aan de NOS een bestand met data van 10.000 klanten verstrekt. Dat bestand bevat niet alleen NAW-gegevens en contactgegevens, maar ook gevoelige aanvullende informatie: onder bewind staanden, persoonlijke aantekeningen over klantgedrag (zoals vermeende dronkenschap tijdens contactmomenten) en opmerkingen over het gedrag in winkels. Odido zegt niet op de hoogte te zijn geweest van het bestaan van zulke dossiers in de gelekte set.

De zaak schaadt de reputatie van Odido en roept vragen op over naleving van privacyregels; mogelijk zijn sommige gegevens niet volgens de regels van de Autoriteit Persoonsgegevens bewaard. Shinyhunters heeft eerder grootschalige datalekken veroorzaakt bij onder meer Ticketmaster en Pornhub, wat de ernst van dit incident onderstreept. Klanten wordt geadviseerd alert te zijn op verdachte berichten en bankafschriften.