Een man voert een telefoongesprek achter zijn laptop in een schemerig kantoor.
Nieuws9 juli · 10:143 min leestijd

Politie vermoedt Nederlandse daders achter Odido-hack

De politie ziet sterke aanwijzingen dat Nederlandse criminelen achter de Odido-hack zitten, op basis van een opgenomen telefoongesprek. De inbraak begon niet met een technisch lek, maar met een oplichter aan de telefoon.

De politie heeft sterke aanwijzingen dat Nederlandse criminelen achter de grote Odido-hack van begin februari zitten. Die conclusie steunt op een opgenomen telefoongesprek waarin een Nederlandssprekende oplichter zich voordeed als ict'er van Odido, maakte het onderzoeksteam in een tussentijdse update bekend.

Voor organisaties die klant zijn bij Odido of met een vergelijkbare telecom- of SaaS-leverancier werken, verschuift deze dader-aanwijzing de dreigingsinschatting. De inbraak begon niet met een technisch lek. De aanvaller praatte een klantenservicemedewerker de tweetrapscodes afhandig en drong daarmee de Salesforce-omgeving binnen waarin Odido zijn klantgegevens beheert. De zwakste schakel zat aan de balie, niet in de firewall.

Het logo van telecomprovider Odido, waar begin februari 6,2 miljoen klantgegevens werden buitgemaakt. (Bron: Odido / Wikimedia Commons, CC BY-SA 4.0)
Het logo van telecomprovider Odido, waar begin februari 6,2 miljoen klantgegevens werden buitgemaakt. (Bron: Odido / Wikimedia Commons, CC BY-SA 4.0)

De stem is van een echt mens

De politie liet de opname analyseren en concludeert dat er een echt, onvervormd mens spreekt. "We kunnen AI nooit helemaal uitsluiten, maar alles wijst op een Nederlander", aldus een rechercheur. De politie vraagt de man zich te melden en dreigt zijn stem openbaar te maken als hij dat binnen enkele weken niet doet. Ook zijn meerdere servers offline gehaald waarmee de daders de buitgemaakte data verspreidden. Het onderzoek duurt naar verwachting nog maanden.

Waarom de menselijke stem opvalt

In een eerdere FLOH-analyse van de Odido-inbreuk, waarbij 6,2 miljoen klantgegevens werden buitgemaakt, gold vishing met AI-gekloonde stemmen nog als het schrikbeeld voor de volgende aanvalsgolf. Deze zaak laat iets ongemakkelijkers zien: er was geen AI-truc nodig. Een gewone menselijke oplichter met een geloofwaardig verhaal was genoeg om een helpdesk voorbij de tweetrapsbeveiliging te praten.

Wat dit betekent voor je eigen organisatie

De aanwijzing verandert niets aan wat er al gelekt is, maar wel aan hoe je het risico inschat. Zolang een medewerker onder tijdsdruk een beller kan vertrouwen die klinkt als een collega, is je klantsysteem net zo kwetsbaar als je zwakste verificatie. Het kabinet werkt inmiddels aan een handelingskader dat voorschrijft wat organisaties na een groot datalek aan gedupeerden moeten communiceren, met de Odido-hack als directe aanleiding. Dat regelt de nasleep. De inbraak zelf voorkom je een stap eerder: bij de vraag wie zich telefonisch toegang tot je CRM of SaaS mag verschaffen, en hoe je dat controleert voordat er een code over de lijn gaat.

Dat de politie nu dreigt de stem van de dader vrij te geven, laat zien hoe weinig sporen er verder liggen. Voor organisaties zit de echte les niet in die stem, maar in de balie die hem geloofde.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilig grip op je klantdata

Een datalek begint vaak bij de zwakke schakel tussen je systemen en de mensen die erbij kunnen. Ik denk mee, ontwerp en bouw de koppelingen en automatisering rond je klantdata, self-hosted waar dat kan, zodat jij bepaalt wie waarbij mag.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.
Inzicht
7 min

9 jul 13:03

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.

AI-agenten krijgen nu een eigen digitale identiteit, van Okta en de Linux Foundation tot Estland. Wie zijn agent op geleende inloggegevens laat draaien, verliest het zicht op wie er namens hem handelt.

Eerst centraliseren, dan pas AI: waarom een bot op een versnipperde inbox de chaos versnelt
Inzicht
6 min

6 jul 13:04

Eerst centraliseren, dan pas AI: waarom een bot op een versnipperde inbox de chaos versnelt

Een AI-bot op drie losse inboxen maakt je klantenservice niet slimmer, alleen sneller in het geven van drie verschillende antwoorden. Waarom architectuur vóór intelligentie komt.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Pay-per-resultaat AI-contract checklist: wat je checkt voordat je tekent
Gids
8 min

1 jul 21:45

Pay-per-resultaat AI-contract checklist: wat je checkt voordat je tekent

Een voorstel om per resultaat af te rekenen klinkt eerlijker dan een abonnement. Maar wie 'resultaat' definieert, stuurt je rekening. Zeven dingen die je checkt voordat je zo'n AI-contract tekent.

Van abonnement naar resultaat: waarom AI je software-inkoop omgooit
Inzicht
7 min

30 jun 13:03

Van abonnement naar resultaat: waarom AI je software-inkoop omgooit

Salesforce, Intercom en Sierra rekenen pas af als hun AI iets oplevert. Dat klinkt eerlijker dan een vast abonnement, en is het soms ook. Maar wie ‘resultaat’ definieert, herverdeelt stilletjes de marge.