Odido moet na megahack kiezen tussen twee kostbare kwaden

Betalen of niet betalen, dat zijn de enige twee keuzes die telecomprovider Odido heeft na het dreigement van cybercriminele groep ShinyHunters om de gestolen data openbaar te maken. Het is een keuze tussen twee kwaden. Nu al is er schade omdat klanten opzeggen.

Is de dader van de datadiefstal al gevonden?
Dat schijnt zo, maar de dader is niet aangehouden. ShinyHunters is verantwoordelijk voor de hack op Odido, meldde RTL Nieuws.

Is dat goed nieuws voor Odido en de klanten?
Allesbehalve, want dit lijkt te gaan om professionele hackers. Op het dark web wordt de telecomprovider onder druk gezet om losgeld te betalen.

Wat is nu de volgende stap van Odido?
Odido wil nog niets zeggen over welke stappen het bedrijf neemt en of het overgaat tot betalen of niet. In beide gevallen is er schade voor de teleprovider. Al helemaal omdat de kwestie op straat ligt en heel Nederland wacht op de afloop. Gedupeerde klanten en de privacywaakhond willen uiteraard ook opheldering.

Kan Odido hier onderuit komen?
Dat is onwaarschijnlijk. Universitair hoofddocent Rolf van Wegberg van de TU Delft, die onderzoek doet naar hoe cybercriminelen hun geld verdienen, zegt dat de hackers de druk opvoeren. Hij gaat ervan uit dat het publieke dreigement van ShinyHunters volgt op onderhandelingen tussen beide partijen. Bij vergelijkbare incidenten wordt er eerst één-op-één onderhandeld, zonder publiek. Als dat niets oplevert, is de volgende stap dat er publieke druk uitgeoefend wordt. Die stap heeft de cybercriminele groep nu gezet.

Wat kost het afkopen van de hakcers?
Die eisen in dit geval een bedrag van meer dan 1 miljoen euro. De deadline voor betalen is donderdagochtend, meldde RTL Nieuws.

Hoe moet je zo’n keuze maken onder deze druk?
Van Wegberg verwacht dat Odido de keuze nu afweegt met onder meer cybercrime-experts. Het is een ontzettend ingewikkelde keuze, aldus Van Wegberg. “Moreel heel lastig en bovendien heeft het bedrijf verantwoordelijkheid voor klanten.”

Is losgeld betalen niet een enorm risico?
Dat lijkt zo, maar bij zo’n deal is de kans niet heel groot dat de data alsnog online komen. Volgens Van Wegberg houdt dit soort groepen zich aan hun woord, daar kan Odido kennelijk op vertrouwen. Dat heeft ermee te maken dat het anders hun geloofwaardigheid bij een volgende hack aantast. Het is een sterke economische prikkel om hun belofte ook waar te maken. aldus Van Wegberg.

Wat is het alternatief?
Dat is zo mogelijk nog erger. Door niet te betalen bestaat de kans dat ShinyHunters de druk verder opvoert. Daar zijn verschillende mogelijkheden voor, weet Van Wegberg uit onderzoek. Een deel van de data lekken of het verhogen van het losgeld.

Dan gaan dus de onderhandelingen nog door?
Dat hoeft niet. De groep kan er ook voor kiezen om het dreigement waar te maken en de data te publiceren op het dark web. De gevolgen zijn in dat geval groot, stelt Van Wegberg. De data die zijn gelekt omvatten niet alleen namen en mailadressen, maar ook paspoortnummers en bankrekeningnummers. Dat gebeurt niet heel vaak, zeker niet in één lek.

Is het waarschijnlijk dat Odido hiervoor kiest?
Dat zou een ramp zijn en daar zal Odido op worden aangesproken. Bij publicatie is het voor criminelen relatief eenvoudig om phishingmails te sturen die echt lijken, aldus Van Wegberg. Als de data op het dark web verschijnen, kunnen veel criminelen dat doen.