Bij de hack deze maand bij Odido zijn ook gevoelige aantekeningen over klanten buitgemaakt. Dat blijkt uit onderzoek van de NOS, die inzage had in een deel van de gestolen gegevens. Odido had dat niet aan klanten laten weten. Bij de extra informatie gaat het er bijvoorbeeld over of klanten hun betaalafspraken nakomen. Ook is te zien wie er een bewindvoerder hebben en dus onder curatele staan. Odido wist naar eigen zeggen niet dat die extra informatie ook in handen was van de criminelen en heeft daarover dus niets gecommuniceerd. Na een melding van de NOS heeft de provider daarover een bericht op de website geplaatst. Odido zegt verder dat het onderzoek nog loopt. Experts zeggen het opvallend vinden dat Odido niet wist dat ook deze gegevens zijn gelekt. Vaak vragen getroffen bedrijven om een deel van de dataset als bewijs, zodat ze weten wat de criminelen in handen hebben. Moeilijke periode De aantekeningen waren bedoeld voor de communicatie tussen medewerkers van de Odido-klantenservice. "Klant wil niet gebeld worden voor contractverlenging", is bijvoorbeeld te lezen en: "gaat door een moeilijke periode". Bij een ander account staat: "Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (...) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan." Welke gegevens heeft de NOS? Hackersgroep Shinyhunters benaderde de NOS en deelde een dataset met de persoonsgegevens van circa 10.000 Odido-klanten. De provider meldde deze maand dat de persoonsgegevens van 6,2 miljoen accounts zijn gestolen. Van de 10.000 klanten van wie de NOS data kreeg, is bij zeker 266 mensen een aantekening aanwezig. Gegevens van een bewindvoerder waren in 128 van de 10.000 gevallen aanwezig. Daarnaast zijn bij alle gebruikers ook recente mails opgenomen die naar klanten zijn verstuurd. Ook daar kunnen gevoelige gegevens in staan. Uit de aantekeningen zijn ook persoonlijke problemen te destilleren die niets met het abonnement te maken hebben. Zo wordt bij een klant gewaarschuwd extra op te letten: "Ex heeft zich voorgedaan als contractant." De gevoelige aantekeningen gaan gepaard met gedetailleerde persoonsgegevens, in veel gevallen een telefoonnummer en e-mailadres, maar ook gegevens over iemands identiteitsdocument. Al die informatie is nuttig voor criminelen, stelt beveiligingsonderzoeker Sijmen Ruwhof. "Mensen met bijvoorbeeld betaalproblemen zijn erg kwetsbaar om snel veel geld te willen verdienen." Daarmee is de kans groter dat ze kunnen worden opgelicht. "Financiële stress verlaagt de weerstand tegen sociale manipulatie, dan neem je sneller risico's." Ook staat bij een klant dat geprobeerd is om hem of haar op te lichten. Ook dat is nuttige informatie voor hackers, stelt Ruwhof, omdat ze weten welke klanten al eens doelwit waren van andere criminelen. Miljoen records per dag De criminelen dreigen om de gegevens vanaf morgen stapsgewijs te publiceren, tenzij Odido betaalt. "Als het bedrijf dat niet doet, gaan we vanaf donderdagmiddag een miljoen records per dag publiceren", laat Shinyhunters weten. Die gegevens zijn dan voor iedereen te downloaden. Het is een drukmiddel van de cybercriminelen om gehackte bedrijven tot betaling te dwingen. De groep zegt bereid te zijn te schikken voor een bedrag van circa een half miljoen euro. De criminelen claimen 21 miljoen records , oftewel stukjes persoonlijke informatie, in handen te hebben. Van hoeveel mensen dat gegevens zijn, is onbekend: Odido zelf houdt het dus op ruim zes miljoen. Intussen is het Openbaar Ministerie een strafrechtelijk onderzoek begonnen naar de zaak. Of er concrete aanknopingspunten zijn, is niet bekend, het OM wil nog niet op de zaak ingaan. Eerder zijn leden van Shinyhunters opgepakt in Frankrijk en de Verenigde Staten. Verantwoording Hackersgroep Shinyhunters nam dinsdagavond contact op met de NOS en liet weten een gedeelte van de gestolen Odido-dataset te willen delen. De NOS heeft vastgesteld dat het inderdaad gaat om 'Shinyhunters'. Omdat het hier gaat om gestolen informatie en een groep criminelen die de druk op Odido willen opvoeren, gaan we heel terughoudend om met de gegevens. Bovenstaand nieuws publiceren we omdat de redactie na onderzoek in de dataset gevoelige gegevens aantrof waarvan nog niet bekend was dat ze waren gestolen en dat heeft maatschappelijke relevantie.