Het zou begonnen zijn met een losgeld van 1 miljoen euro. Even later zakte hackersgroep ShinyHunters al naar 500.000 euro. Cybersecurityexpert Ronald Prins weet zeker dat Odido dat bedrag met gemak verder omlaag had kunnen sjacheren. Hij doet dat zelf namelijk vaak genoeg met zijn bedrijf Hunt & Hackett.
„Meestal laten die hackers iets achter in je systemen, in de trant van: je bent gegijzeld, klik op deze link. Dan log je in en kom je in een chatsysteem op het darkweb terecht”, vertelt hij op AD.nl. Daar volgen geen praatjes, maar een harde eis om geld. „Dan zeg je: zo veel is het me niet waard. En dan gaan ze wel omlaag. Het gaat hier vaak om boefjes, hè? Jochies die ook al blij zijn als ze 100.000 euro krijgen.” Zo is het wel gebeurd dat afpersers met een eis van 100 miljoen begonnen, maar onder de 100.000 euro eindigden.
LEES OOK
Miljoenenschade door hack bij Odido: waarom een cyberverzekering je bedrijf niet zomaar redt
Hack gaat voor Odido niet om geld
En natuurlijk kan Odido die 500.000 euro ook wel ophoesten. Prins: „Het gaat hier dus ook echt niet om die paar ton. Wat dat betreft is het ook wel dapper om te zeggen: wij doen hier niet aan mee. Want als je blijft betalen, gaat dit ook altijd maar door.”
Dat benadrukt ook de politie: wie betaalt, houdt het verdienmodel van criminelen in stand. Stan Duijff, als hoofd Operatiën verantwoordelijk voor de aanpak van cybercrime, laat weten dat betalen daarbij niet altijd een oplossing is. „Je kunt er niet van uitgaan dat je data veilig zijn als je betaalt. We weten uit onderzoek dat criminelen de gegevens niet altijd verwijderen, maar ze alsnog doorverkopen of opnieuw om geld vragen.”
ShinyHunters ‘hebben een reputatie hoog te houden’
Overigens schijnen de hackers van ShinyHunters zich wel aan afspraken te houden – ze hebben een ‘reputatie hoog te houden’, zoals ze zelf zouden zeggen. Maar Odido overleeft het echt wel om helemaal niet aan het maken van afspraken te beginnen, zegt Prins. Ook al voelt de dagelijkse dump van gedeelten van de gehackte gegevens ongetwijfeld als een marteling voor de telecomgigant en de getroffen klanten.
ShinyHunters voert de druk op die manier op, maar Prins relativeert dat. „Iedereen staat nu op zijn achterste benen, maar als je goed googelt, vind je veel van de informatie die nu naar buiten wordt gebracht ook.” Ook bsn’s zijn niet het best bewaarde geheim. „Die waren in het verleden ook bij de Kamer van Koophandel te vinden. Maar veel significante fraude vindt daarmee niet plaats. En als er wat mee gebeurt, bijvoorbeeld een contract afsluiten, valt dat vaak ook weer snel te repareren. Mijn gegevens staan trouwens ook tussen wat er nu naar buiten is gebracht. Maar ik maak me een stuk drukker over de gegevens die geheime diensten in stilte verzamelen, wat de Chinezen en de Russen binnenhalen.”
Een medewerker van de klantenservice maakte de grootste hack in de Nederlandse geschiedenis mogelijk.
En dan dat verwijt dat Odido best wat beter op had kunnen letten? Uiteindelijk is het op – plat gezegd – een lullige manier gegaan. Een medewerker van de klantenservice maakte de grootste hack in de Nederlandse geschiedenis mogelijk. Die dacht de ict-afdeling aan de telefoon te hebben en speelde zo per ongeluk wachtwoorden door aan de hackers. Zij hadden het ongetwijfeld al bij veel andere bedrijven geprobeerd, die of stiekem hebben betaald of wél alert reageerden.
Maar uiteindelijk had dit zelfs een expert als Prins kunnen overkomen, zegt hij zelf. Hij werd nota bene in 2011 nog tot ‘machtigste nerd van Nederland’ gedoopt. „De realiteit is gewoon dat iedereen ergens in kan trappen.”
Hackers staan niet in tien seconden binnen en weer buiten. Ze verzamelen gegevens, soms doen ze ook onderzoek
Ronald Prins Hunt & Hackett
En dus zit er voor bedrijven niets anders op dan te investeren in monitoring van hun systemen. „Je kunt alleen patrouilleren in je netwerken om te detecteren of er iets vreemds gebeurt. Hackers staan niet in tien seconden binnen en weer buiten. Ze verzamelen gegevens, soms doen ze ook onderzoek. Bijvoorbeeld naar een cfo. Als wordt gezegd: ‘Weet je vrouw wel dat je met deze andere vrouw aan het chatten bent?’, dan geeft dat soms een extra zetje om te betalen.”
‘We pakken dit met grote prioriteit op’
Door de hand op de knip te houden, zorgt Odido er nu in elk geval voor dat de jacht op ShinyHunters vol is geopend. De politie is erop gebrand terug te slaan na de diefstal van gegevens van meer dan zes miljoen accounts. Duijff liet eerder deze week al weten: „We pakken dit met grote prioriteit op.”
