Het is een grote trend onder hackers: data van een bedrijf stelen en vervolgens losgeld eisen, waarmee kan worden voorkomen dat die data gepubliceerd worden op het darkweb. Dat zegt cybersecurity-expert Floris de Koning tegen RTL Z. De Koning komt bij bedrijven over de vloer die slachtoffer zijn van een hack, en voert ook onderhandelingen met cybercriminelen.
Want ja: het ís mogelijk om te onderhandelen met hackers, zegt De Koning. “Meestal laten hackers een soort digitaal ‘briefje’ achter, bijvoorbeeld op het bureaublad van de computer van een getroffen medewerker. Daarin verwijzen ze naar een website op het darkweb waar het slachtoffer met de hackers kan chatten.”
Vervolgens komen de hackers met een eis. In het geval van Odido gaat het om ‘een bedrag van zeven cijfers’, zegt hackersgroep Shinyhunters tegen RTL Nieuws. Dat gaat dus om een bedrag van tussen de 1 en 10 miljoen euro. “Ze kijken wat de omzet van het bedrijf is en baseren daar een bedrag op”, zegt De Koning. “Het draait die hackersgroepen puur om financieel gewin, dus daar valt vaak nog behoorlijk wat af te onderhandelen.”
Relatief laag bedrag
In 2024 had Odido een omzet van 2,3 miljard euro. Een eis van hooguit een paar miljoen is dan ook relatief laag, zegt de cybersecurity-expert, zeker voor zo’n groot lek. “Het gaat om de gegevens van miljoenen klanten. Dat gaat per klant dus om een relatief laag bedrag, nog geen euro. Veel klanten zullen denken: betaal maar gewoon, dan zijn mijn gegevens tenminste veilig.”
Of de gestolen gegevens na betaling écht worden verwijderd, weet je nooit zeker. “Dat gaat op vertrouwen. Maar als de aanvallers zich niet aan hun woord houden, schieten ze zichzelf in de voet. Want dan komt die groep als onbetrouwbaar bekend te staan, en dan betaalt er nooit meer iemand. Wij hebben nog nooit meegemaakt dat gegevens na betaling tóch gepubliceerd worden”, aldus De Koning.
Ook bij eerdere grote datalekken, waaronder die bij het medische laboratorium Clinical Diagnostics, zijn de gestolen gegevens na betaling niet verspreid.
Odido wil niet vertellen of het met de cybercriminelen onderhandelt en of het van plan is losgeld te betalen. Maar de ‘laatste waarschuwing’ die de hackgroep publiceerde, wijst erop dat de onderhandelingen zijn stukgelopen, zegt De Koning. “Kom terug naar de chat”, schrijven de hackers in die waarschuwing, “jullie weten ons te vinden.”
De Koning: “Dat is een soort laatste drukmiddel. Het is wel een vreemde situatie, want Odido heeft al bekendgemaakt dat deze gegevens gestolen zijn. Ze hebben dus al grote reputatieschade geleden. Daarmee nemen ze de hackers een troefkaart uit handen. Tegelijkertijd: als de data van al hun klanten worden gepubliceerd, dan zou dat een ongekend groot lek zijn en heeft Odido geen controle meer over de hele situatie.”
Tot donderdag
De aanvallers zeggen dat Odido tot donderdagochtend de tijd heeft om te betalen. “Dus als de data daarna op het dark web verschijnen, dan weten we of er betaald is of niet”, zegt De Koning. Wat kun je doen als jouw gegevens gestolen zijn? Dat lees je in dit artikel.
De gegevens die bij Odido zijn gelekt, zijn erg gevoelig. En daar weten criminelen wel raad mee, legt techjournalist Daniël Verlaan uit in deze video.