Odido waarschuwt voor grootschalig datalek: mogelijk 6,2 miljoen klantgegevens buitgemaakt bij cyberaanval

Het is niet de eerste keer dat Telecombedrijf Odido onder vuur ligt om zijn digitale veiligheid. In oktober vorig jaar kreeg Odido een boete van 1,5 miljoen euro opgelegd door de Rijksinspectie Digitale Infrastructuur (RDI), nadat was vastgesteld dat de beveiliging van het wettelijk aftapsysteem — het systeem waarmee politie en inlichtingendiensten communicatie kunnen onderscheppen — op meerdere essentiële punten tekortschoot.

Groot datalek met gevoelige persoonsgegevens

De recente commotie ontstond nadat bekend werd dat persoonsgegevens van circa 6,2 miljoen accounts zijn buitgemaakt. Het gaat om uiterst gevoelige informatie, waaronder volledige namen, telefoonnummers, woonadressen en bankrekeningnummers. In een aanzienlijk aantal gevallen zijn ook identiteitsdocumentnummers gelekt, zoals paspoort- of ID-kaartnummers.

Juist die combinatie van gegevens maakt het incident bijzonder ernstig. Volgens ethisch hacker Sijmen Ruwhof vergroot de volledigheid van de dataset het risico op identiteitsfraude aanzienlijk. Met een naam die aantoonbaar overeenkomt met een officieel identiteitsdocument en gekoppeld is aan een bankrekeningnummer, kunnen kwaadwillenden bijvoorbeeld proberen automatische incasso’s af te sluiten of andere financiële verplichtingen op naam van slachtoffers aan te gaan. In criminele circuits vertegenwoordigen zulke complete datasets een hoge marktwaarde, omdat de kans op succesvolle fraude groter is wanneer gegevens onderling consistent en controleerbaar zijn.

Volgens Ruwhof wijst de hack op structurele zwaktes in de beveiligingsarchitectuur. Moderne IT-omgevingen horen te beschikken over detectie- en responssystemen die ongebruikelijke activiteiten signaleren, zoals grote dataverplaatsingen, afwijkende inlogpatronen of verdachte toegangspogingen. Als een aanvaller langdurig toegang kan krijgen tot gevoelige databases zonder tijdige detectie, duidt dat op tekortschietende monitoring, segmentatie of toegangscontrole.

Eerdere tekortkomingen bij wettelijk aftapsysteem

De eerdere boete van de RDI betrof het systeem waarmee opsporingsdiensten op grond van wettelijke bevoegdheden telecommunicatie kunnen aftappen. Aan zulke systemen worden uitzonderlijk strenge eisen gesteld. Niet alleen moet technisch worden voorkomen dat onbevoegden toegang krijgen, ook moeten procedures en personele screening op orde zijn.

Uit toezichtonderzoek over de jaren 2021 en 2022 bleek dat Odido op meerdere fronten niet voldeed aan de wettelijke verplichtingen. Zo ontbrak een formeel en gedocumenteerd beveiligingsplan waarin expliciet stond beschreven hoe het aftapsysteem werd beschermd tegen interne en externe dreigingen — een wettelijke basisvereiste. Daarnaast waren beveiligingsmaatregelen rond toegangsbeheer onvoldoende uitgewerkt.

Ook op personeelsniveau bleken tekortkomingen. Een deel van de medewerkers had geen ondertekende geheimhoudingsverklaring, en bij sommigen ontbrak een geldige Verklaring Omtrent het Gedrag (VOG). In sommige gevallen hadden medewerkers toegang tot afgetapte communicatiegegevens terwijl dat niet noodzakelijk was voor hun functie. Dat druist in tegen het zogeheten “least privilege”-principe, waarbij medewerkers uitsluitend toegang mogen hebben tot gegevens die zij strikt nodig hebben voor hun werkzaamheden.

De RDI kwalificeerde deze situatie als ernstig en legde een bestuurlijke boete op. Odido moest corrigerende maatregelen nemen en het systeem herstructureren. Volgens de toezichthouder zijn de noodzakelijke aanpassingen inmiddels doorgevoerd, maar het recente datalek roept vragen op over de bredere beveiligingscultuur binnen het bedrijf.

Geopolitieke risico’s en statelijke dreigingen

De incidenten raken aan een bredere discussie over de veiligheid van vitale telecominfrastructuur, zeker in een periode van toenemende geopolitieke spanningen. Cybersecurity-expert Ronald Prins, medeoprichter van Fox-IT en tegenwoordig verbonden aan Hunt & Hackett, waarschuwt al langer voor infiltratie van telecomproviders door statelijke actoren.

Internationaal zijn meerdere voorbeelden bekend waarbij buitenlandse inlichtingendiensten langdurig toegang kregen tot telecomnetwerken. Het doel daarvan varieert: het verzamelen van metadata (wie belt met wie), het monitoren van politieke dissidenten, economische spionage of het opbouwen van strategische databases met persoonsgegevens die later gebruikt kunnen worden voor chantage, beïnvloeding of profilering.

Volgens Prins staan met name Chinese actoren erom bekend grootschalig data te verzamelen met het idee dat die informatie op een later moment strategische waarde kan krijgen. Het systematisch in kaart brengen van contactnetwerken kan bijvoorbeeld inzicht geven in activisten, journalisten of zakelijke besluitvormers. Wanneer personen uit zulke netwerken naar bepaalde landen reizen, kan dat leiden tot extra controle of gerichte beïnvloeding.

Preventie versus detectie

De kern van het probleem ligt volgens deskundigen in het spanningsveld tussen preventie en detectie. Absolute veiligheid bestaat niet: IT-systemen zijn complex, voortdurend in ontwikkeling en afhankelijk van menselijke handelingen. Eén verkeerd geconfigureerde server, een niet-gepatcht systeem of een medewerker die op een phishinglink klikt, kan voldoende zijn voor een succesvolle aanval.

Prins benadrukt dat organisaties daarom niet uitsluitend moeten vertrouwen op preventieve maatregelen zoals firewalls en toegangsbeperkingen. Net zo belangrijk zijn geavanceerde detectiesystemen die afwijkend gedrag snel signaleren, evenals een volwassen responsorganisatie die onmiddellijk kan ingrijpen bij incidenten. In de financiële sector is onder druk van toezichthouders een cultuur ontstaan waarin instellingen zich periodiek laten testen via penetratietests en “red team”-oefeningen, om hun weerbaarheid continu te toetsen.

De recente gebeurtenissen bij Odido illustreren dat telecombedrijven — als beheerders van vitale infrastructuur en enorme hoeveelheden gevoelige data — onder een vergrootglas liggen. De combinatie van eerdere tekortkomingen bij het aftapsysteem en het grootschalige datalek legt bloot dat technische beveiliging, personele screening, governance en continue monitoring onlosmakelijk met elkaar verbonden zijn.

De centrale vraag die nu boven de markt hangt, is niet alleen hoe dit specifieke datalek heeft kunnen plaatsvinden, maar ook of de structurele beveiligingscultuur binnen vitale telecomorganisaties voldoende robuust is om zowel criminele hackers als statelijke actoren het hoofd te bieden.

Door: Drifter