Datadiefstal raakt ook (ex)-klanten van Odido, Ben en Simpel

[Consumenneke]

Ik erger me kapot aan die datahonger van organisaties en bedrijven. Waar komt dat toch vandaan? Als ik lees hoeveel data Odido verzameld heeft en hoe ze ermee om zijn gegaan kan ik alleen maar verschrikkelijk boos worden.

Dat dus.

Compensatie hoef ik niet, maar ze mogen Odido een fiks tik op de vingers geven.

[Speedy123]

Je hebt toch niet de illusie dat andere bedrijven beter / zorgvuldiger omgaan met klantgegevens?

Illusie? Ik weet honderd procent zeker dat andere bedrijven er beter en zorgvuldiger mee omgaan. Multi Factor Autorisatie wordt in bijna elk bedrijf heden ten dage toegepast. En elke medewerker wordt getraind dat hij de gegenereerde code nimmer aan een derde mag verschaffen.

Kritieke klant systemen slechts beveiligen met een gebruikersnaam en wachtwoord combinatie is zeer nalatig en absoluut niet gangbaar. En medewerkers niet trainen dat ze nimmer een gegenereerde code mogen delen of een externe inlog op hun account mogen autoriseren, is echt onbestaanbaar. Het zijn zaken die gewoon niet kunnen.

Nadat het bij andere klanten fout gegaan was, heeft Salesforce op 31 januari nog al haar klanten gewaarschuwd voor een nieuwe social engineering-campagne, waarbij aanvallers phishing sites gebruikten en zich in telefoongesprekken voordeden als de it-afdeling om zo inloggegevens en MFA-codes (MFA app van Microsoft waarin een inlog poging goedgekeurd moet worden) te stelen. Deze waarschuwing was niet aan Odido besteed. Ze deden er niks mee. Dus trapte hun medewerkers in de phising emails, keurde medewerkers inlogpogingen op hun account van elders goed want ze werden gebeld door de 'IT afdeling' met het verzoek dat eventjes te doen.

En toen bleek het ook nog eens allemaal zo ingericht te zijn dat met enkele accounts men rustig de gegevens van 6,5 miljoen klanten op kon vragen. Kennelijk waren er geen beperkingen ingesteld op hoeveel gegevens de helpdesk medewerkers op konden vragen in een bepaald tijdsbestek.

En bedenk dan ook even dat Odido al eerder op haar vingers getikt was:
https://tweakers.net/nieuws/240462/odid ... steem.html

Odido had ook bepaalde concrete beveiligingsmaatregelen niet op orde. Op twee systemen was het bijvoorbeeld mogelijk in te loggen met standaardauthenticatie via wachtwoorden, in plaats van persoonsgebonden authenticatie. Andere systemen werden na meerdere foutieve inlogpogingen niet geblokkeerd en de logging en detectie stonden op andere systemen niet aan.

[De Posthoorn]

Gelukkig zijn persoonlijke gegevens bij de politie wel altijd zeer veilig https://www.telegraaf.nl/video/politiea ... 51819.html

[Speedy123]

Gelukkig zijn persoonlijke gegevens bij de politie wel altijd zeer veilig https://www.telegraaf.nl/video/politiea ... 51819.html

Inderdaad, daar zijn ze wel veilig. Want die systemen loggen dus wel de toegang. En slaan dus alarm als er teveel medewerkers in een bepaald dossier kijken. Elke toegang is dus vastgelegd inclusief wat er bekeken is. De politie medewerkers zijn dan ook door de politie zelf betrapt.

Vergelijk dat eens met een bedrijf waar de gegevens van 6,5 miljoen klanten opgezocht worden via enkele medewerkers accounts terwijl ze het geeneens door hadden. Pas nadat ze afgeperst worden komen ze erachter dat de klant gegevens gelekt zijn en dan weten ze nog geeneens wat er precies gelekt is. Dat wordt nu pas duidelijk nu de afpersers veel gepubliceerd hebben.

[De Posthoorn]

De politie medewerkers zijn dan ook door de politie zelf betrapt.

Ja, en? Ik vind dit heel wat erger dan een hack, want van politie medewerkers zou ik toch zeker integriteit mogen verwachten. Niet dus. En oh oh, er volg een gesprek, nou daar wordt je bang van hoor.

[Speedy123]

De politie medewerkers zijn dan ook door de politie zelf betrapt.

Ja, en? Ik vind dit heel wat erger dan een hack, want van politie medewerkers zou ik toch zeker integriteit mogen verwachten. Niet dus. En oh oh, er volg een gesprek, nou daar wordt je bang van hoor.

Onbevoegd inkijken van dossier kan tot ontslag leiden. Een bekend ex forum lid overkwam het nog toen die bij de gemeente werkte. https://www.vvaa.nl/nieuws-en-kennis/ni ... en-dossier

Bedenk wel dat politiemedewerkers gewoon toegang hebben, er is geen sprake van een tekortkoming in de beveiliging. De systemen werkte prima, al het onbevoegde inkijken werd geregistreerd.

Kijk ook eens naar de schaal 1700 medewerkers bekeken een enkel dossier en werden dus betrapt. Bij Odido werden er met enkele medewerker accounts de gegevens van 6.500.000 klanten ingezien en dat leidde niet tot een grootschalig alarm. Nadat de eerste duizenden klantengegevens reeds opgevraagd waren, gebeurde er niets. Men kon gewoon doorgaan totdat men alle miljoenen klant gegevens binnen gehengeld had.

[De Posthoorn]

De politie medewerkers zijn dan ook door de politie zelf betrapt.

Ja, en? Ik vind dit heel wat erger dan een hack, want van politie medewerkers zou ik toch zeker integriteit mogen verwachten. Niet dus. En oh oh, er volg een gesprek, nou daar wordt je bang van hoor.

Onbevoegd inkijken van dossier kan tot ontslag leiden. Een bekend ex forum lid overkwam het nog toen die bij de gemeente werkte. https://www.vvaa.nl/nieuws-en-kennis/ni ... en-dossier

Bedenk wel dat politiemedewerkers gewoon toegang hebben, er is geen sprake van een tekortkoming in de beveiliging. De systemen werkte prima, al het onbevoegde inkijken werd geregistreerd.

Kijk ook eens naar de schaal 1700 medewerkers bekeken een enkel dossier en werden dus betrapt. Bij Odido werden er met enkele medewerker accounts de gegevens van 6.500.000 klanten ingezien en dat leidde niet tot een grootschalig alarm. Nadat de eerste duizenden klantengegevens reeds opgevraagd waren, gebeurde er niets. Men kon gewoon doorgaan totdat men alle miljoenen klant gegevens binnen gehengeld had.

Je mist mijn punt. Politie medewerkers zouden integer en te vertrouwen moeten zijn. Dat ze het niet zijn, vind ik heel wat erger dan een datalek. En het is naïef te denken dat met een 2FA beveiliging je niet meer bang hoeft te zijn voor een hack. Die gaat er gewoon weer komen, bij welk bedrijf dan ook.

Ze hebben mijn gegevens trouwens ook, kan me er niet druk om maken. Alert moet je toch altijd zijn, dus wat dat betreft maakt een lek geen verschil.

[Anderidee]

Vorige week werden er in bovenstaande tekst nog 3 websites benoemd waar je veilig kon controleren of je betrokken was bij het datalek. Ik zie vandaag dat de derde mogelijkheid om te controleren er niet meer bij staat ( data………/odido ) Dit roept natuurlijk wel weer nieuwe vragen op. Was dit wel een betrouwbare website, zoals eerder werd aangegeven ?

[Speedy123]

En het is naïef te denken dat met een 2FA beveiliging je niet meer bang hoeft te zijn voor een hack. Die gaat er gewoon weer komen, bij welk bedrijf dan ook.

Ja zo ken ik er nog wel een paar.

Inbrekers hou je altijd dus waarom zou je een goed slot op je deur doen? Gewoon open laten staan, maakt toch niets uit toch? Al dat overdreven gedoe met hun SKG drie sterren sloten, nergens voor nodig. Als ze binnen willen komen, doen ze dat toch wel.

Net zoals die belachelijke kritiek op Toyota met hun electronisch sleutels die zo eenvoudig de kopiëren zijn. Ok nu worden wel heel veel Toyota's gestolen maar ja, als je auto willen stelen, lukt dat toch wel. Ook met veilige sleutels worden er toch wel auto's gestolen, dus maakt het allemaal niks uit toch?

Odido heeft zich gewoon niet aan de meest elementaire veiligheids regels gehouden. Terwijl ze er al eerder voor beboet waren. En daar zijn nu 6,5 miljoen mensen de dupe van.

[amigob]

Ja en KPN denk hier een slaatje uit te slaan. Verrassing, ik kreeg geadresseerde ( aan bewoners ) reclame van KPN in de bus ( in geen 10 jaar ooit van hun reclame gehad ) . Op Tweakers zijn er meerdere die het zelfde overkomen is. Grote kans dat er een slimmerik bij KPN, de gelekte data heeft gebruikt voor gerichte reclame.

[De Posthoorn]

Vorige week werden er in bovenstaande tekst nog 3 websites benoemd waar je veilig kon controleren of je betrokken was bij het datalek. Ik zie vandaag dat de derde mogelijkheid om te controleren er niet meer bij staat ( data………/odido ) Dit roept natuurlijk wel weer nieuwe vragen op. Was dit wel een betrouwbare website, zoals eerder werd aangegeven ?

Viel me ook op dat ze het over 3 sites hebben, terwijl er 2 genoemd worden.

[PGros]

..... En daar zijn nu 6,5 miljoen mensen de dupe van.

Voor zover ik nu weet is er nog niemand de dupe. Dat ben je pas als ze data gebruiken en het je geld gaat kosten. Mijn e-mail adres, telefoonnummer, NAW gegevens en IBAN staan ook op mijn website en daar gebeurt ook niets mee terwijl iedereen erbij kan.

[Moneyman]

..... En daar zijn nu 6,5 miljoen mensen de dupe van.

Voor zover ik nu weet is er nog niemand de dupe. Dat ben je pas als ze data gebruiken en het je geld gaat kosten.

Als je de berichten volgt, weet je dat dat al volle bak gebeurt.

[Speedy123]

..... En daar zijn nu 6,5 miljoen mensen de dupe van.

Voor zover ik nu weet is er nog niemand de dupe. Dat ben je pas als ze data gebruiken en het je geld gaat kosten. Mijn e-mail adres, telefoonnummer, NAW gegevens en IBAN staan ook op mijn website en daar gebeurt ook niets mee terwijl iedereen erbij kan.

Het feit dat je gegevens gelekt zijn en gebruikt worden voor onder andere phishing pogingen, geeft al veel onrust bij een hoop (ex) Odido klanten. Dat is impact, daarmee is er al sprake van gedupeerd zijn.

Deze gegevens gaan nimmer meer weg van het Internet en zullen nog heel veel jaren gebruikt worden.

Dat u uw gegevens publiceert en nog geen slachtoffer bent, geldt niet voor iedereen. We hebben al de ervaring van de KvK: https://www.kvk.nl/veilig-zakendoen/voo ... -gegevens/

[kuukske]

Ja wat kan je verwachten?
Hoop dat ze de miljoen euro die ze niet hebben betaald (wat mij betreft terecht) ten eerste gaan gebruiken voor een betere beveiliging.
En misschien een leuke korting of cadeau voor de gedupeerden.

Werk je voor Odido ofzo? Een kado of korting.... Eerder gewoon 3 maanden gratis abo en anders stap ik over zodra de ruimte er is.

[Moneyman]

Ja wat kan je verwachten?
Hoop dat ze de miljoen euro die ze niet hebben betaald (wat mij betreft terecht) ten eerste gaan gebruiken voor een betere beveiliging.
En misschien een leuke korting of cadeau voor de gedupeerden.

Werk je voor Odido ofzo? Een kado of korting.... Eerder gewoon 3 maanden gratis abo en anders stap ik over zodra de ruimte er is.

Wat is volgens jou het cruciale verschil tussen "een leuke korting" en "3 maanden gratis abo"?

[witte angora]

Ja wat kan je verwachten?
Hoop dat ze de miljoen euro die ze niet hebben betaald (wat mij betreft terecht) ten eerste gaan gebruiken voor een betere beveiliging.
En misschien een leuke korting of cadeau voor de gedupeerden.

Werk je voor Odido ofzo? Een kado of korting.... Eerder gewoon 3 maanden gratis abo en anders stap ik over zodra de ruimte er is.

Wat is volgens jou het cruciale verschil tussen "een leuke korting" en "3 maanden gratis abo"?

Het een is gratis, en het ander is voor niks?

[kuukske]

Wat is volgens jou het cruciale verschil tussen "een leuke korting" en "3 maanden gratis abo"?

Een korting krijg je op iets dat je aanschaft of afneemt. 3 maanden gratis abo gaat over een eerder overeengekomen verbintenis.

[Moneyman]

Wat is volgens jou het cruciale verschil tussen "een leuke korting" en "3 maanden gratis abo"?

Een korting krijg je op iets dat je aanschaft of afneemt. 3 maanden gratis abo gaat over een eerder overeengekomen verbintenis.

Wat is volgens jou het cruciale verschil tussen “iets wat je afneemt” en “een eerder overeengekomen verbintenis”?

Anders gezegd: je zoekt spijkers op laag water.

[16again]

Een korting krijg je op iets dat je aanschaft of afneemt. 3 maanden gratis abo gaat over een eerder overeengekomen verbintenis.

Wat is volgens jou het cruciale verschil tussen “iets wat je afneemt” en “een eerder overeengekomen verbintenis”?

Ik denk dat bedoeld wordt dat bestaande klanten korting krijgen, ipv zoals gebruikelijk enkel de nieuwe klanten.
De persoonsgegevens van bestaande klanten liggen immers op straat, die van nieuwe klanten zijn bij deze hack niet buit gemaakt.