DEN HAAG · Veröffentlichung nach abgelaufener Erpressungsfrist: Nachdem die von der Hackergruppe gesetzte Zahlungsfrist verstrichen ist, haben Kriminelle erste Datensätze von Odido Kunden im Darkweb veröffentlicht. Das Telekommunikationsunternehmen verweigert eine Lösegeldzahlung und beruft sich auf den Rat von Sicherheitsberatern und Behörden. Betroffen sind personenbezogene Daten aus einem Kundensystem. Laut Odido wurden keine Passwörter, Gesprächsdaten oder Rechnungsdaten entwendet. Behörden und Polizei raten zur Wachsamkeit, da insbesondere gezielte Phishing Angriffe drohen.

Die Lage spitzt sich weiter zu. Die Hackergruppe Shinyhunters veröffentlichte einen ersten Teil der gestohlenen Datensätze, nachdem eine von ihr gesetzte Frist am Nachmittag ablief. Die Kriminellen forderten 500.000 Euro, um eine Veröffentlichung zu verhindern. Odido erklärte offiziell, nicht zu zahlen. Man folge dem Rat führender Cybersecurity Berater und relevanter Behörden und werde sich nicht erpressen lassen. Nach Angaben von NOS betrifft die veröffentlichte Datensammlung Daten von 430.000 Personen und 290.000 Unternehmen. Insgesamt seien laut Odido personenbezogene Daten von mehr als sechs Millionen Accounts entwendet worden. Dazu zählen Namen, Adressen, E Mail Adressen, Telefonnummern, Geburtsdaten sowie IBAN und Identifikationsnummern. Zusätzlich wurden auch sensible Notizen aus dem Kundensystem erbeutet, etwa Hinweise zu finanziellen Situationen einzelner Kunden. Odido erklärte, die unbefugte Zugriffsquelle sei geschlossen worden. Externe Cybersecurity Experten seien hinzugezogen worden. Das Unternehmen habe den Vorfall der Autoriteit Persoonsgegevens gemeldet.

Veröffentlichung in Etappen angekündigt

Wie das Technikportal Tweakers berichtet, wurde eine erste Datenmenge von rund neun Gigabyte veröffentlicht. Diese enthalte eine Million Datensätze. Die Gruppe Shinyhunters kündigte an, künftig täglich weitere Datensätze zu veröffentlichen, solange keine Zahlung erfolgt. Laut Tweakers geht die Gruppe insgesamt von 21 Millionen Datensätzen aus. Odido bestätigte in einem Update, kein Lösegeld gezahlt zu haben.

In den veröffentlichten Dateien befinden sich unter anderem Namen, Adressen, Telefonnummern und weitere personenbezogene Angaben. Geburtsdaten, Passdaten und E Mail Adressen seien in der an NOS übermittelten Datensammlung enthalten gewesen, jedoch zunächst nicht veröffentlicht worden. Die Kriminellen erklärten, diese Informationen bewusst zurückzuhalten, um den Druck aufrechtzuerhalten.

Auch Steueridentifikationsnummern betroffen

Wie RTL Nieuws berichtet, enthalten die veröffentlichten Datensätze auch Dutzende Bürgerservicenummern. Es handele sich um ehemalige Mehrwertsteuernummern von Selbstständigen, die bis 2020 identisch mit der Bürgerservicenummer waren. Odido hatte zuvor erklärt, keine Bürgerservicenummern zu speichern. Laut RTL Nieuws befanden sich diese Nummern im System unter den historischen Mehrwertsteuernummern. Die Autoriteit Persoonsgegevens habe Odido um Aufklärung gebeten, unter anderem zur Frage, ob Daten zu lange gespeichert wurden.

Auch die NOS weist darauf hin, dass in den geleakten Dateien Mehrwertsteuernummern enthalten sind, die in Einzelfällen mit Bürgerservicenummern identisch sein können. Die Nutzung dieser Nummern als Mehrwertsteuernummer wurde bereits 2018 untersagt.

Polizei und CMI raten zur Wachsamkeit

Der Centraal Meldpunt Identiteitsfraude, eine Einrichtung der Politie, meldet nach eigenen Angaben zahlreiche Anfragen verunsicherter Kunden. Ein Datenleck bedeute nicht automatisch Identitätsbetrug. Dennoch handele es sich um sensible personenbezogene Daten. Mit den bekannten Angaben könne nicht ohne Weiteres ein Kredit oder ein neues Identitätsdokument beantragt werden, da zusätzliche Prüfungen wie physische Ausweise oder DigiD erforderlich seien. Ein Risiko bestehe jedoch insbesondere bei gezielten Phishing Angriffen.

Die Polizei rät grundsätzlich davon ab, Lösegeld zu zahlen. Stan Duijf von der niederländischen Polizei erklärte, dass eine Zahlung das Geschäftsmodell der Kriminellen am Leben halte und keine Garantie biete, dass Daten anschließend sicher seien.

Unterstützung und Schutzmaßnahmen

Odido bietet betroffenen Kunden ein kostenloses digitales Sicherheitspaket von F Secure für 24 Monate an. Zudem wurden betroffene Kunden per E Mail oder SMS informiert. Das Unternehmen betont, dass operative Dienste wie Telefonie, Internet und Fernsehen nicht beeinträchtigt seien. Kunden sollen besonders aufmerksam bei unerwarteten Anrufen, Nachrichten oder Rechnungen sein und keine sensiblen Zugangsdaten weitergeben.

Unter Kunden besteht erhebliche Verunsicherung. Das Openbaar Ministerie hat Ermittlungen aufgenommen. Ob weitere Datensätze veröffentlicht werden, bleibt offen. Die angekündigte tägliche Veröffentlichung neuer Datensätze deutet auf eine anhaltende Eskalation hin.