Telecomprovider Odido heeft miljoenen klanten gewaarschuwd voor een ernstig datalek na een cyberaanval op een klantcontactsysteem. Bij de inbraak hebben aanvallers mogelijk persoonsgegevens van circa 6,2 miljoen klanten buitgemaakt, waaronder ook gegevens van klanten van merk Ben. Dat bevestigde Odido tegenover de NOS. Klanten van Simpel zouden niet zijn getroffen.

Volgens Odido gaat het om een ongeautoriseerde toegang tot een intern klantcontactsysteem waarin uiteenlopende persoonsgegevens waren opgeslagen. Het kan per klant verschillen welke gegevens zijn ingezien of gedownload, maar het gaat onder meer om namen, adres- en woonplaatsgegevens, telefoonnummers, klantnummers, e-mailadressen, rekeningnummers en geboortedata. In sommige gevallen zijn ook nummers en geldigheidsdata van identiteitsbewijzen, zoals paspoorten en rijbewijzen, betrokken. Wachtwoorden, belgegevens en factuurinformatie zouden niet zijn gelekt.

Slinkse en onbevoegde wijze

De telecomprovider ontving afgelopen weekend de eerste signalen dat sprake was van een datalek en startte daarop direct een onderzoek in samenwerking met externe cyberbeveiligingsexperts. Hoe de aanvallers toegang wisten te krijgen tot het systeem is niet bekendgemaakt. Odido stelt dat criminelen na binnendringen op ‘slinkse en onbevoegde wijze’ klantgegevens hebben weten te downloaden. Of sprake is van chantage of afpersing wil het bedrijf op dit moment niet bevestigen.
Odido waarschuwt klanten voor mogelijke misbruikscenario’s. Met de buitgemaakte gegevens kunnen criminelen zich geloofwaardig voordoen als Odido of andere vertrouwde organisaties, zoals banken, om via phishingmails, sms-berichten of telefoontjes slachtoffers op te lichten. Hoewel de data volgens Odido vooralsnog niet openbaar zijn gepubliceerd, sluit het bedrijf niet uit dat dit in de toekomst alsnog gebeurt. De situatie wordt naar eigen zeggen continu gemonitord.

Wat te doen als klant

Alle getroffen klanten worden per e-mail geïnformeerd. Daarnaast is het incident gemeld bij de Autoriteit Persoonsgegevens, die toezicht houdt op de afhandeling. Odido meldt dat de ongeautoriseerde toegang inmiddels is geblokkeerd en dat aanvullende beveiligingsmaatregelen zijn genomen. Ook is extra aandacht besteed aan bewustwording onder medewerkers, met name op het gebied van phishing en social engineering.
De dienstverlening van Odido is niet verstoord en klanten kunnen gebruik blijven maken van mobiele en vaste diensten. De Autoriteit Persoonsgegevens benadrukt het belang van snelle en volledige communicatie richting klanten. Odido adviseert klanten om extra alert te zijn op verdachte berichten en onverwachte contacten, nu gevoelige persoonsgegevens mogelijk in handen van criminelen zijn gekomen.