Telecombedrijf Odido gaat geen losgeld betalen aan de hackers die deze maand miljoenen klantgegevens hebben gestolen bij het bedrijf. De hackersgroep ShinyHunters heeft daarom een deel van de privacygevoelige gegevens van klanten gepubliceerd op het darkweb, een moeilijk toegankelijk deel van internet.

Het gaat om de gegevens van 430.000 personen en 290.000 bedrijven. De gevoelige aantekeningen waar de NOS gisteren over publiceerde en waarin informatie over financiële of zelfs persoonlijke situatie was vermeld, zijn aanwezig in ruim 8000 van de één miljoen rijen met data.

In de dataset die de groep criminelen met de NOS deelde, waren ook geboortedata, telefoonnummers en paspoortdata en e-mailadressen aanwezig. Die gegevens zijn nu niet gepubliceerd.

De internetcriminelen zeggen daar bewust voor te hebben gekozen en die informatie later wel te publiceren. Op die manier willen ze de aandacht van het grote publiek vasthouden en het bedrijf toch tot betaling dwingen.

Ook BTW-nummers

De gelekte gegevens bevatten enkele tientallen btw-nummers van bedrijven. Dat is riskant als het om een eenmanszaak gaat. Tot 2020 bestonden de btw-nummers van die bedrijven uit het bsn-nummer van de ondernemer. Omdat de gegevens in de gelekte bestanden soms oud zijn, kunnen hier dus bsn-nummers van personen tussen staan.

Inmiddels worden de bsn-nummers hier niet meer voor gebruikt. De Autoriteit Persoonsgegevens heeft dat in 2018 verboden.

Deadline verstreken

Hoeveel gegevens er precies zijn gepubliceerd, is nog niet bekend. De criminelen dreigden om een miljoen regels aan data per dag te publiceren zolang Odido niet betaalt.

De criminelen hadden Odido een deadline opgelegd die vanmiddag verstreek. Ze eisten tot nu toe 500.000 euro om publicatie van de gestolen gegevens te voorkomen.

Odido gaat daar dus niet op in. "Onze focus ligt bij klanten", zegt een woordvoerder van het bedrijf tegen de NOS. "Op advies van adviseurs en overheidsinstanties hebben we besloten niet te onderhandelen met deze club. We zetten nu in op veiligheid van de klanten." Hoe het bedrijf dat laatste gaat doen, is nog niet bekend.

Zes miljoen accounts

Volgens de telecomprovider zijn de persoonsgegevens van ruim 6 miljoen accounts buitgemaakt. Het gaat onder meer om namen, woon- en e-mailadressen, telefoonnummers, geboortedata en nummers van bankrekeningen en identiteitsbewijzen.

Gisteren werd duidelijk dat de criminelen ook gevoelige informatie over het contact met klanten van Odido hebben buitgemaakt. Ze stuurden een deel van de gestolen data naar de NOS als bewijs.

Daaruit blijkt dat naast de genoemde gegevens ook aantekeningen zijn gestolen uit het klantcontactsysteem van Odido. Daarin staat bijvoorbeeld of klanten hun betaalafspraken nakomen, een bewindvoerder hebben of zich hebben misdragen. Odido wist naar eigen zeggen niet dat die extra informatie ook in handen was van de criminelen.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens laat vandaag weten dat ze Odido om opheldering hebben gevraagd over klantdata die te lang zouden zijn opgeslagen.

De cyberaanval is uitgevoerd door hackersgroep Shinyhunters, die ook grote hoeveelheden data heeft gestolen bij concertkaartjesverkoper Ticketmaster en bij pornosite Pornhub.

De politie raadt gehackte bedrijven altijd af om losgeld te betalen. "Wanneer zij worden betaald blijft hun verdienmodel tenslotte levend", zegt Stan Duijf, bij de politie verantwoordelijk voor de aanpak van cybercriminaliteit. "Daarnaast weet je nooit of je data veilig zijn als je betaalt. Criminelen kunnen de gegevens alsnog doorverkopen of opnieuw om geld vragen."

Toch komen veel bedrijven na een periode van onderhandelen wel over de brug, zo meldden cyberveiligheid-experts aan de NOS.

In onderstaande special leggen we uit wat een hacker aan iemands 'digitale vingerafdruk heeft':