De volledige omvang van de datadiefstal bij telecomreus Odido is nu zichtbaar. De cybercriminelen achter de hack hebben, in tegenstelling tot hun eerdere dreigementen, alle nog niet vrijgegeven klantgegevens in één keer online gezet. De reden voor deze plotselinge koerswijziging, waarbij het oorspronkelijke plan om de data stapsgewijs te openbaren om zo de publieke aandacht te maximaliseren, is verlaten, blijft echter in nevelen gehuld.

Een diepgaande analyse van de zojuist vrijgegeven dataset door de NOS onthult een alarmerende schaal: meer dan 15 miljoen datarecords zijn nu toegankelijk, al is de exacte hoeveelheid unieke klanten die hierdoor getroffen zijn nog niet vastgesteld. Bij maar liefst 6,4 miljoen van deze records is sprake van de aanwezigheid van een documentnummer, afkomstig van een paspoort of rijbewijs.

Verder omvat de gelekte informatie minstens 8,1 miljoen vermeldingen van e-mailadressen en 6,5 miljoen van telefoonnummers. De validiteit en actualiteit van deze contactgegevens zijn op dit moment nog niet bevestigd.

Op hun verborgen webpagina's beweren de daders dat "recente ontwikkelingen" hen ertoe hebben aangezet om de resterende klantdata in zijn geheel te publiceren. Specifieke details over de aard van deze ontwikkelingen worden echter niet verstrekt; de groep weigerde tegenover de NOS verdere opheldering te geven.

De cybercriminelen verklaren wel nog over aanvullende, gedetailleerdere Odido-klantgegevens te beschikken, waaronder interacties met de klantenservice. Deze data zullen echter niet openbaar gemaakt worden, aangezien ze volgens de hackers "niet relevant" zijn voor de publieke aandacht, en naar eigen zeggen "voor eigen gebruik" zullen worden ingezet.

De inbraak, uitgevoerd door de hackersgroep Shinyhunters, vond begin februari plaats en resulteerde in de diefstal van miljoenen klantgegevens. Vorige week eisten zij nog losgeld van Odido om de publicatie van de buitgemaakte informatie te verhinderen. De oorspronkelijke eis van ongeveer één miljoen euro werd later naar beneden bijgesteld tot een bedrag van 500.000 euro.

Odido heeft echter standvastig geweigerd het losgeld te betalen, stellend dat zij zich "niet laten chanteren", een besluit dat mede werd ingegeven door advies van de politie en gespecialiseerde securitybedrijven. Deze weigering ontketende zowel kritiek, omdat het direct leidde tot de publicatie van de data, als steun voor het principe om niet toe te geven aan criminele eisen.

De NOS bracht vrijdag naar buiten dat de toeleverancier van de klantbeheersoftware die Odido gebruikt, al voorafgaand aan de aanval waarschuwde voor de specifieke hackmethode die uiteindelijk werd toegepast. De indringers wisten toegang te verkrijgen door de klantenservice te benaderen en zich voor te doen als medewerkers van de interne ICT-afdeling, waarna de klantenservice onbewust de benodigde toegang tot de gegevens verleende.