Meld een incident
Nieuws | Helpdesk

Journalisten en het datalek bij Odido

Datum
Leestijd

Bij PersVeilig zijn verschillende verontrustende mails en telefoontjes gekomen van journalisten over het datalek bij Odido.

De hackersgroep ShinyHunters heeft alle gegevens op het darkweb geplaatst, waardoor de gegevens van 6,5 miljoenen personen en 600.000 bedrijven nu op het internet staan: namen, adressen, IBAN nummers, geboortedata, paspoortnummers en BSN-nummers van zzp'ers.

In dit artikel wijzen we je op de risico's die je loopt als journalist en wat je kunt doen om veilig te blijven werken.

Website en nieuwsbrief Cybercrimeinfo

Voor dit artikel is met toestemming dankbaar gebruik gemaakt van de website cybercrimeinfo van Peter Lahousse. Het is overigens geen slecht idee om je in te schrijven voor de nieuwsbrief van deze website.

Een datalek is pas het begin

Criminelen gebruiken gestolen data niet als losse puzzelstukjes. Ze leggen puzzels. Dat proces heet dataverrijking. Criminelen kopen of downloaden datasets van verschillende datalekken en koppelen die aan elkaar. Een e-mailadres dat bij Odido is gestolen, duikt misschien ook op in het lek bij de GGD uit 2021, waar medische gegevens en BSN nummers van 6,5 miljoen Nederlanders op straat lagen. Of in een oud lek van LinkedIn, waar werkgevers en functies in stonden. Of in een breach bij een webwinkel, waar bestelgeschiedenis en wachtwoorden waren opgeslagen.

Van puzzelstukjes tot een compleet digitaal profiel

Door al die losse gegevens aan elkaar te knopen ontstaat er iets veel gevaarlijkers dan een enkel datalek ooit kan zijn: een compleet digitaal profiel van een persoon. Naam, adres, geboortedatum, telefoonnummer, bankrekeningnummer, paspoortnummer, werkgever, medische achtergrond, online accounts en wachtwoorden. Alles bij elkaar.

De complete profielen worden in het criminele jargon "fullz" genoemd, een afkorting van "full information". Een fullz bevat alles wat nodig is om iemands identiteit over te nemen: naam, adres, geboortedatum, BSN, bankgegevens en vaak ook beveiligingsvragen en wachtwoorden. Op het darkweb worden deze pakketten verhandeld voor bedragen tussen de 20 en 130 dollar per stuk, afhankelijk van hoe compleet ze zijn.

Jouw data is veel geld waard

Niet alle datalekken zijn gelijk. Het lek bij Odido is voor criminelen uitzonderlijk bruikbaar als bouwsteen voor dataverrijking. De combinatie van IBAN-nummer, geboortedatum en paspoortnummer is vrij uniek en heel veel geld waard op het darkweb. En dat is precies wat er bij Odido gestolen is.

De sleutel tot jouw digitale leven

Telecomproviders bewaren namelijk een bijzonder brede mix van gegevens. Ze hebben je identiteitsbewijs nodig voor contracten, je bankgegevens voor de facturen en je contactgegevens voor de dienstverlening. Bovendien is een telefoonnummer tegenwoordig een sleutel tot vrijwel al je online accounts. Van je bank tot je DigiD, overal wordt je mobiele nummer gebruikt voor verificatie en herstel. Wie dat nummer samen met je andere gegevens bezit, heeft de sleutel tot je digitale leven.

De risico’s

  • Phishing: met een compleet profiel kunnen criminelen vrijwel alles doen wat normaal alleen jijzelf kunt. Het meest directe gevaar is gerichte phishing. Een oplichter die je naam, klantnummer, IBAN en provider kent, kan een bericht sturen dat vrijwel niet van echt te onderscheiden is. "Beste [naam], we hebben een onregelmatigheid geconstateerd op uw rekening eindigend op [laatste vier cijfers]. Neem contact op via dit nummer." Dat is geen generieke spam meer, dat is een persoonlijke aanval.

  • Identiteitsfraude: criminelen kunnen met je gegevens abonnementen afsluiten, leningen aanvragen of bankrekeningen openen op jouw naam. Ze bellen helpdesks en beantwoorden de beveiligingsvragen feilloos, want ze kennen je geboortedatum, je adres en je klantnummer. Sommige criminelen gaan nog een stap verder en combineren echte gegevens uit meerdere lekken tot volledig nieuwe, synthetische identiteiten. Die zijn zo intern consistent dat ze zelfs kredietcontroles doorstaan.

  • Risicogroepen: criminelen gebruiken verrijkte data om makkelijke doelwitten te treffen: ouderen, mensen met betalingsproblemen of personen die al eerder slachtoffer werden van fraude. Die lijsten worden doorverkocht aan andere fraudeurs, die weten dat deze mensen het kwetsbaarst zijn.

  • Geheime adressen: in de tweede publicatie van gestolen data bleken klantennotities te zitten met informatie over stalking door partners, personen onder bewindvoering en mensen met een geheim adres. Minstens vijf personen met een geheim adres konden worden geïdentificeerd. Veilig Thuis noemde het "bizar en enorm zorgwekkend", want de fysieke veiligheid van deze mensen is nu direct in gevaar. En dan zijn er nog de duizenden gestolen identiteitsbewijzen die na eerdere ransomware aanvallen op Nederlandse bedrijven op het darkweb zijn beland. Het Odido lek voegt daar miljoenen records aan toe.

  • Inlichtingendiensten: vijandige inlichtingendiensten kopen dit soort databases op om politici, overheidspersoneel en medewerkers van energiebedrijven en havens te traceren en te profileren. Dat dit geen theorie is, bleek toen gegevens van 41 Nederlandse parlementariërs op het darkweb opdoken. Voor mensen in functies bij de politie, gemeente, defensie of andere overheidsinstanties is het risico van dataverrijking daarom nog groter dan voor de gemiddelde burger.

Wat kun je doen?

Het goede nieuws is dat je niet helemaal machteloos bent. Ga nooit in op onverwachte berichten die om actie vragen, hoe overtuigend ze ook klinken. Bel zelf het officiële nummer als je twijfelt. De gevolgen van het datalek beginnen nu pas. Over zes maanden, over een jaar, zelfs over vijf jaar zullen deze gegevens nog gebruikt worden voor fraude, oplichting en identiteitsdiefstal. Neem het dus serieus. Cybercrimeinfo.nl heeft een goed stappenplan gepubliceerd, dat jou als journalist ook kan helpen.

  • Controleer of je getroffen bent: check je e-mail op https://haveibeenpwned.com .

  • Verander direct je wachtwoorden: wijzig het wachtwoord van het getroffen account en van alle accounts waar je hetzelfde wachtwoord gebruikt. Gebruik voor elk account een uniek, sterk wachtwoord. MindYourPass is een Nederlands product en de enige wachtwoordmanager die geen wachtwoorden opslaat. Wat niet wordt opgeslagen, kan ook niet worden gestolen.

  • Activeer tweefactorauthenticatie (2FA): schakel tweefactorauthenticatie in op alle belangrijke accounts: e-mail, bank, social media en overheid. Zo heeft een crimineel niet genoeg aan alleen je wachtwoord. Gebruik bij voorkeur een authenticator app in plaats van sms.

  • Controleer je BKR registratie: bij het Bureau Krediet Registratie kun je controleren of er leningen of kredieten op jouw naam zijn aangevraagd die je niet herkent. Online inzage via Mijn BKR is altijd gratis. Doe dit zo snel mogelijk na een datalek:

  • Beveilig je DigiD: controleer of er onbekende inlogpogingen zijn geweest op je DigiD en schakel tweefactorauthenticatie in als dat nog niet is gebeurd. Met een gestolen DigiD kunnen criminelen onder jouw naam belastingzaken regelen of toeslagen aanvragen.

  • Activeer bankmeldingen: stel notificaties in bij je bank zodat je bij elke transactie, overboeking of wijziging direct een melding ontvangt. Zo merk je verdachte activiteit meteen op en kun je snel handelen. Dit regel je in de app of het internetbankieren van je eigen bank.

  • Registreer bij het Centraal Meldpunt Identiteitsfraude: Het Centraal Meldpunt Identiteitsfraude (CMI) houdt bij welke meldingen er binnenkomen rondom datalekken en kan je adviseren bij verdachte activiteiten op jouw naam.

  • Meld identiteitsfraude bij je bank: neem contact op met je bank en meld dat jouw gegevens zijn gelekt. Vraag om extra beveiligingsmaatregelen op je rekening. Je bank kan intern een fraudenotitie plaatsen waardoor ongebruikelijke aanvragen op jouw naam sneller worden gesignaleerd. Bel het nummer op de achterkant van je bankpas of log in via de app.

  • Wees extra alert op phishing: na een datalek weten criminelen je naam, e-mailadres en soms zelfs je klantnummer. Hiermee sturen ze overtuigende nepberichten namens het getroffen bedrijf, je bank of de overheid. Ga nooit in op onverwachte telefoontjes, smsberichten of e-mails die om actie vragen. Bel zelf het officiële nummer als je twijfelt.

  • Meld fraude en doe aangifte: als je vermoedt dat er al fraude is gepleegd met jouw gegevens, meld dit dan bij de Fraudehelpdesk en doe aangifte bij de politie. Zonder aangifte kan er geen onderzoek worden gestart.

  • Bescherm je identiteit met iKCHECK: installeer de gratis iKCHECK-app om misbruik van je identiteitsbewijs te voorkomen. De app waarschuwt je wanneer je rijbewijs of identiteitsdocument ergens wordt gebruikt, bijvoorbeeld bij voertuigverhuur. Zo merk je direct op als iemand jouw documenten misbruikt.

  • Vraag hulp aan iemand die je vertrouwt: weet je niet goed wat je moet doen? Vraag hulp aan familie, vrienden of een collega die meer weet over digitale veiligheid. Samen kun je de stappen doorlopen en zorgen dat je niets over het hoofd ziet. Niets doen is geen optie, maar je hoeft het niet alleen te doen.

Foto: ANP/Patrick van Katwijk

Over PersVeilig

PersVeilig is een gezamenlijk initiatief van de NVJ, Het Nederlands Genootschap van Hoofdredacteuren, de Politie en het Openbaar Ministerie en heeft tot doel de positie van journalisten te versterken tegen geweld en agressie op straat, op social media en tegen juridische claims.