Teknik

Hackare dumpar Odidos kundregister på mörka nätet

Teleoperatören vägrar betala lösensumma och 6,2 miljoner kunders uppgifter läcker med BSN-nummer och bankkonton, kostnaden för identitetsstölder hamnar hos kunder och myndigheter medan utpressarna fortsätter publicera

Bilder

Photo: Odido Photo: Odido Odido

Angriparna som tog sig in i nederländska telekombolaget Odido har publicerat ytterligare kunduppgifter på den kriminella delen av nätet efter att bolaget vägrat betala lösensumma, rapporterar DutchNews.nl. Odido uppger att information kopplad till 6,2 miljoner nuvarande och tidigare kunder har stulits, medan gruppen Shinyhunters påstår att över 10 miljoner berörs.

Det nypublicerade materialet ska enligt DutchNews.nl omfatta namn, adresser, telefonnummer, e-postadresser, bankkontonummer samt interna anteckningar från kundtjänst. Där ingår även BSN-nummer, ett medborgarservicenummer som används brett i Nederländerna i såväl offentliga som privata system. Odido säger att uppgifter om pass, körkort och identitetshandlingar ännu inte har publicerats, men angriparna har hotat att släppa även detta senare.

Händelsen blottlägger ett återkommande incitamentsproblem i telekombranschen: operatörer får betalt för abonnemang och kundlojalitet, medan kostnaden för läckta identitetsuppgifter i stor utsträckning hamnar hos kunderna, bankerna och myndigheterna som måste hantera bedrägerier och återställning. När en datamängd innehåller både kontaktuppgifter, finansiella kännetecken och berättande kundtjänstanteningar blir den ett färdigt verktyg för riktade nätfiskeförsök och kapning av konton. I telekomsammanhang kan detta dessutom leda vidare till försök att flytta telefonabonnemang till nytt kort, avlyssning av engångskoder och i förlängningen intrång i e-post och banktjänster.

Odido uppger att man rådgjort med experter på informationssäkerhet och med myndighetsföreträdare och därefter beslutat att inte förhandla. Kravet ska ha legat på 1 miljon euro. I praktiken upphör dock inte skadan bara för att man vägrar betala; ofta ändrar angriparen då strategi från utpressning till publicering, vilket förvandlar ett intrång i ett enskilt bolag till en offentlig masspridning.

För de drabbade är den akuta frågan inte bara vad som stulits, utan hur uppgifterna kommer att användas. Tjänsten ”Have I Been Pwned” har indexerat de två första läckorna så att människor kan kontrollera om deras e-postadress förekommer, skriver DutchNews.nl, och nederländsk polis har ett liknande verktyg.

Odido har inte uppgett när man tror att publiceringen kommer att upphöra. Shinyhunters säger att man kommer att fortsätta släppa information under de kommande dagarna.