De gestolen Odido-klantgegevens zijn niet alleen in handen van de hackersgroep ShinyHunters gebleven. Ze zijn gepubliceerd op leak-platforms op het dark web en daarmee effectief voor iedere kwaadwillende beschikbaar. Wat betekent dit concreet voor u, en welke stappen zijn verstandig?
Wat is het dark web eigenlijk?
Het dark web is een deel van het internet dat alleen te bereiken is via speciale browsers zoals Tor. Het wordt gebruikt voor zowel legitieme doeleinden (journalistiek, privacy-activisme) als illegale activiteiten. Op het dark web worden gestolen datasets veelal verhandeld of vrij gedeeld, afhankelijk van de intentie van de daders.
In het geval van het Odido-datalek heeft ShinyHunters ervoor gekozen de gegevens publiekelijk te lekken. Dat betekent dat voor wie weet waar te zoeken, de dataset relatief eenvoudig te downloaden is. De data is daarmee niet alleen in handen van professionele criminelen maar ook van amateurs en scriptkiddies.
Waar moet u op letten?
1. Gerichte phishing
Criminelen kunnen uw naam, adres, telefoonnummer en e-mailadres combineren in overtuigende berichten. Verwacht een toename van phishingmails die er echt uitzien, bijvoorbeeld namens uw bank, Odido zelf, of een overheidsinstantie. Klik nooit op links in onverwachte berichten en log altijd zelf in via de officiële app of website.
2. SIM-swap-aanvallen
Met uw persoonlijke gegevens kunnen criminelen proberen uw telefoonnummer over te nemen door een nieuwe simkaart aan te vragen bij uw provider. Hiermee kunnen zij vervolgens sms-codes onderscheppen die banken en diensten gebruiken voor tweefactorauthenticatie. Vraag bij uw mobiele provider naar extra beveiliging op uw simkaart.
3. Identiteitsfraude
In combinatie met uw paspoort- of rijbewijsnummer kan uw identiteit misbruikt worden om bijvoorbeeld abonnementen, leningen of accounts op uw naam te openen. Controleer regelmatig uw BKR-registratie en blijf alert op post of e-mail over producten of diensten die u niet zelf heeft afgenomen.
Hoe weet u of uw gegevens circuleren?
De website haveibeenpwned.com houdt een database bij van bekende datalekken. Door uw e-mailadres in te voeren ziet u in welke lekken uw adres voorkomt. Let op dat dit geen volledige garantie geeft: niet alle lekken worden opgenomen, en specifiek voor het Odido-datalek kan de status per moment verschillen.
Praktische maatregelen nu
- Wijzig wachtwoorden op alle belangrijke accounts, zeker als u ergens nog wachtwoorden hergebruikt.
- Schakel tweefactorauthenticatie in, bij voorkeur via een authenticator-app (niet sms).
- Vraag een nieuw paspoort of rijbewijs aan als u sterke aanwijzingen heeft van misbruik. Het oude document kunt u laten blokkeren via het Centraal Register Reisdocumenten.
- Meld uw situatie bij het Centraal Meldpunt Identiteitsfraude (CMI).
- Houd uw bankafschriften en creditcardoverzichten extra goed in de gaten.
U staat er niet alleen voor
Miljoenen Nederlanders zijn door het Odido-datalek getroffen. Stichting VCC onderzoekt een collectieve schadeclaim zodat gedupeerden gezamenlijk kunnen optrekken. Door u aan te melden blijft u op de hoogte van de voortgang en kunt u zich aansluiten bij de procedure zodra deze formeel wordt opgestart. Aanmelden is kosteloos en vrijblijvend.
Bent u getroffen? Meld u kosteloos aan
Stichting VCC onderzoekt een collectieve schadeclaim tegen Odido. Aanmelden is vrijblijvend en kosteloos. Door u aan te melden blijft u op de hoogte van de voortgang van de zaak.