Datadiefstal raakt ook (ex)-klanten van Odido, Ben en Simpel

[Consumenneke]

De labels Ben en Simpel maken gebruik van de infrastructuur van Odido en naar nu blijkt ook van de backoffice en systemen. De recente datadiefstal waarbij persoonsgegevens van mogelijk 6,2 miljoen klanten zijn buitgemaakt, raakt daarom veel klanten van Ben en Simpel.

En blijkbaar ook oud-klanten.

Dat heeft te maken met uiteenlopende regels over het bewaren van klantgegevens. Voor zorggegevens is de termijn 20 jaar, betalingsgegevens moeten 7 jaar opgeslagen blijven en voor marketingcontacten is 2 jaar gemeengoed - hoewel inzamelinstellingen 3 jaar hanteren. Volgens de AVG mag niet meer bewaard worden dan nodig voor het doel.

Van vorige hacks is bekend dat de data terecht kwamen bij dubieuze callcenters die vervolgens huishoudens en ondernemers gingen bellen om energie- en telecomabonnementen te verkopen, maar nu ook zonnepanelen en thuisbatterijen. Dat is handel in leads.

[Moneyman]

Met name de combinatie van gegevens die is bemachtigd maakt dit wel een heel ernstig lek, met zeer goede pishing tot gevolg.

[Cro]

Weten ze überhaupt al wat er gelekt is? Ik heb namelijk een mail gehad met zaken die mogelijk gelekt kunnen zijn. Maar dat vind ik eigenlijk helemaal niet interessant. Ik wil weten wat er exact, van mij, gelekt is.

[kuklos]

En wat moet je dus altijd doen bij telefonische verkoop:

"Geen interesse"

* klik *

[k2p]

Dacht ik van ze af te zijn, krijg ik toch nog een mailtje.

Heeft het eerste advocatenkantoor zich al gemeld als quasi particuliere consument-lievende massaclaimvoerder?

[k2p]

Weten ze überhaupt al wat er gelekt is? Ik heb namelijk een mail gehad met zaken die mogelijk gelekt kunnen zijn. Maar dat vind ik eigenlijk helemaal niet interessant. Ik wil weten wat er exact, van mij, gelekt is.

Daarvoor moet je naar de dokter

[Moneyman]

Weten ze überhaupt al wat er gelekt is? Ik heb namelijk een mail gehad met zaken die mogelijk gelekt kunnen zijn. Maar dat vind ik eigenlijk helemaal niet interessant. Ik wil weten wat er exact, van mij, gelekt is.

Ze weten alleen nog maar welke gegevens in het gehackte systeem zijn opgeslagen (naam, adres en woonplaats, telefoonnummer, klantnummer, e-mailadres, rekeningnummer, geboortedatum en nummers en geldigheidsdatum van identiteitsbewijzen zoals paspoort of rijbewijs). Om te achterhalen welke data exact wel of niet zijn gestolen, is veel moeilijker te achterhalen (en vaak ook gewoon niet).

Maar ik zou exact dezelfde vraag als jou hebben... want deze combinatie van gegevens is echt een goudmijn.

Ook wel bijzonder: op de site van Odido is met geen woord iets te vinden over dit datalek...

[Speedy123]

Ook wel bijzonder: op de site van Odido is met geen woord iets te vinden over dit datalek...

In 2022 kochten Apex en Warburg T-Mobile Nederland voor €5 miljard. Ze wilde het in 2025 naar de beurs brengen voor €7 miljard.

De beursgang is herhaaldelijk uitgesteld wegens gebrek aan animo bij de handelaren. Dus komt dit enorme datalek ze heel slecht uit. Kan ze klanten kosten, kan slepende juridische procedures veroorzaken.

Als er nu klanten weg zouden lopen, dat zou ze wel heel slecht uitkomen. Maar op https://www.odido.nl/veiligheid vind je wel een uitleg.

[sergio1963]

Mijn vrouw kreeg een mail van Odido heeft GSM abonnement , ik een SMS heb GSM abonnement en de rest staat op mijn naam.
We kunnen er niks aan veranderen, kunnen beren op de weg zien, maar zullen afwachten.
En telefonisch of aan de deur koop ik al jaren niet.

[Cro]

Weten ze überhaupt al wat er gelekt is? Ik heb namelijk een mail gehad met zaken die mogelijk gelekt kunnen zijn. Maar dat vind ik eigenlijk helemaal niet interessant. Ik wil weten wat er exact, van mij, gelekt is.

Ze weten alleen nog maar welke gegevens in het gehackte systeem zijn opgeslagen (naam, adres en woonplaats, telefoonnummer, klantnummer, e-mailadres, rekeningnummer, geboortedatum en nummers en geldigheidsdatum van identiteitsbewijzen zoals paspoort of rijbewijs). Om te achterhalen welke data exact wel of niet zijn gestolen, is veel moeilijker te achterhalen (en vaak ook gewoon niet).

Dat mag bij een enigszins goed opgezet systeem waarin gevoelige data staat eigenlijk juist geen enkel probleem zijn omdat dat soort zaken gelogged horen te worden in dergelijke systemen in auditlogs, zodat er ook bijvoorbeeld audits gedaan kunnen worden op bijvoorbeeld toegang, maar ook logins, wat een ingelogde gebruiker gegaan heeft e.d.

[rwolters]

Het "geruststellende" is dan weer dat ieder netwerk lek is. Ook deze site, het netwerk van de bedrijven waar wij werken etc. het is niet de vraag of, maar wanneer het gehackt wordt.

En ook kleine inbraken zijn gevaarlijk. Er zillen op dit forum ongetwijfeld ook mensen zittten die hun loginnaam en wachtwoord ook voor zaken gebruiken die wel belangrijke informatie bevatten.

[Moneyman]

Maar op https://www.odido.nl/veiligheid vind je wel een uitleg.

Grappig... die pagina staat niet makkelijk vindbaar op de site, en als je zoekt op "datalek" kom je er evenmin terecht.

Die pagina staat zeker in de mail die je hebt gehad genoemd?

[Moneyman]

Weten ze überhaupt al wat er gelekt is? Ik heb namelijk een mail gehad met zaken die mogelijk gelekt kunnen zijn. Maar dat vind ik eigenlijk helemaal niet interessant. Ik wil weten wat er exact, van mij, gelekt is.

Ze weten alleen nog maar welke gegevens in het gehackte systeem zijn opgeslagen (naam, adres en woonplaats, telefoonnummer, klantnummer, e-mailadres, rekeningnummer, geboortedatum en nummers en geldigheidsdatum van identiteitsbewijzen zoals paspoort of rijbewijs). Om te achterhalen welke data exact wel of niet zijn gestolen, is veel moeilijker te achterhalen (en vaak ook gewoon niet).

Dat mag bij een enigszins goed opgezet systeem waarin gevoelige data staat eigenlijk juist geen enkel probleem zijn omdat dat soort zaken gelogged horen te worden in dergelijke systemen in auditlogs, zodat er ook bijvoorbeeld audits gedaan kunnen worden op bijvoorbeeld toegang, maar ook logins, wat een ingelogde gebruiker gegaan heeft e.d.

Ja, dat zou je verwachten... Maar bij een goed opgezet systeem had deze hack überhaupt niet plaats kunnen vinden... want er hadden direct al allerhande alarmbellen af moeten gaan als dergelijke grote hoeveelheden data ineens gekopieerd worden. Feit is dat ze zelf ook al aangeven dat ze het niet kunnen zien.

[tanjatjuh]

Vandaag een mail ontvangen van Odido: 1Quote uit de email: Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging van het contract en overstap naar een andere aanbieder jouw contactgegevens.

Mijn laatste (eind)factuur is gedateerd 14-08-2023. Dit zou moeten betekenen dat mijn gegevens uiterlijk aug/sept 2025 uit alle bestanden verwijderd hadden moeten worden, hetgeen dus niet is gebeurd!

Odido houdt zich dus niet aan haar eigen privacy statement!

[Arizonakid]

En gewoon op de simpelste manier binnen gekomen, via phising bij klantenservice medewerkers die dachten dat de IT afdeling contact met ze zocht.

[xflorisx]

En gewoon op de simpelste manier binnen gekomen, via phising bij klantenservice medewerkers die dachten dat de IT afdeling contact met ze zocht.

Iets anders. Via medewerkers en valse telefoontjes naar de ict afdeling heeft die een fout gemaakt. Dat is alleen maar erger. Niet een normale medewerker die overal maar op klikt, maar een deskundige op dit gebied die misleid wordt.

[16again]

Dat mag bij een enigszins goed opgezet systeem waarin gevoelige data staat eigenlijk juist geen enkel probleem zijn omdat dat soort zaken gelogged horen te worden in dergelijke systemen in auditlogs, zodat er ook bijvoorbeeld audits gedaan kunnen worden op bijvoorbeeld toegang, maar ook logins, wat een ingelogde gebruiker gegaan heeft e.d.

Zo'n log is mooi bij regulier gebruik, waar individuele database gegevens worden benaderd.
Mogelijk is hier gewoon de complete database gekopieerd, of een backup daarvan.

[Cro]

Dat mag bij een enigszins goed opgezet systeem waarin gevoelige data staat eigenlijk juist geen enkel probleem zijn omdat dat soort zaken gelogged horen te worden in dergelijke systemen in auditlogs, zodat er ook bijvoorbeeld audits gedaan kunnen worden op bijvoorbeeld toegang, maar ook logins, wat een ingelogde gebruiker gegaan heeft e.d.

Zo'n log is mooi bij regulier gebruik, waar individuele database gegevens worden benaderd.
Mogelijk is hier gewoon de complete database gekopieerd, of een backup daarvan.

Daar lijkt geen sprake van te zijn, ze hebben volgens de nu bekende informatie gewoon wat user accounts bemachtigd via phishing en zijn toen gaan scrapen. Dat hoort dus gewoon allemaal gelogged te zijn. Als dat dan niet zo blijkt te zijn is dat vrij amateuristisch. https://nos.nl/artikel/2602283-odido-ha ... t-afdeling

Daarnaast lijkt het te gaan om Salesforce, waar voor zover ik weet geen self hosted / on-premise versie van is, maar enkel de door Salesforce gehoste cloud oplossing. Admin level toegang tot de onderliggende systemen lijkt dan ook onwaarschijnlijk, want dan zou Salesforce zelf gehacked moeten zijn.

[witte angora]

En gewoon op de simpelste manier binnen gekomen, via phising bij klantenservice medewerkers die dachten dat de IT afdeling contact met ze zocht.

Iets anders. Via medewerkers en valse telefoontjes naar de ict afdeling heeft die een fout gemaakt. Dat is alleen maar erger. Niet een normale medewerker die overal maar op klikt, maar een deskundige op dit gebied die misleid wordt.

En dan komt de vraag: wat kan je dan van de 'gewone naïeve burger' verwachten?

Van de week een mail van de 'ASN' gehad, maar gevoelsmatig klopte er iets niet. Het mailadres zag er niet eens zo heel erg vreemd uit, ware het niet dat er geen ASN of iets dergelijks in stond. Bij ASN gekeken, en daar stond niets over de betreffende actie. Dan weet je het eigenlijk wel... Oplichters worden gewoon steeds geraffineerder. En lang niet iedereen ziet dat, of heeft dat door.

[Fredkees]

De labels Ben en Simpel maken gebruik van de infrastructuur van Odido en naar nu blijkt ook van de backoffice en systemen. De recente datadiefstal waarbij persoonsgegevens van mogelijk 6,2 miljoen klanten zijn buitgemaakt, raakt daarom veel klanten van Ben en Simpel.

En blijkbaar ook oud-klanten.

Dat heeft te maken met uiteenlopende regels over het bewaren van klantgegevens. Voor zorggegevens is de termijn 20 jaar, betalingsgegevens moeten 7 jaar opgeslagen blijven en voor marketingcontacten is 2 jaar gemeengoed - hoewel inzamelinstellingen 3 jaar hanteren. Volgens de AVG mag niet meer bewaard worden dan nodig voor het doel.

Van vorige hacks is bekend dat de data terecht kwamen bij dubieuze callcenters die vervolgens huishoudens en ondernemers gingen bellen om energie- en telecomabonnementen te verkopen, maar nu ook zonnepanelen en thuisbatterijen. Dat is handel in leads.

Even iets verduidelijken, alleen! als je klant bent geweest bij BEN of ODIDO en nu bij SIMPEL zit, zijn je klantgegevens achtergebleven bij BEN of ODIDO.

Maar als je nooit iets te maken heeft gehad met dat bedrijf "T-Mobile, BEN of ODIDO en je ben van KPN of een andere provider naar SIMPEL gegaan, hoef men zich geen zorgen te maken.