DEN HAAG · Millionen Kundendaten sind nach einem Cyberangriff auf den Telekommunikationsanbieter Odido in die Hände von Kriminellen gelangt. Wie die NOS berichtet, hatten Unbefugte Zugriff auf ein System mit Daten von 6,2 Millionen Accounts. Betroffen sind neben Odido auch Kunden der Marke Ben, nicht jedoch Simpel. Laut Unternehmen stammen die Daten aus einem Kundendienstsystem. Passwörter, Gesprächsdaten oder Rechnungsdaten seien nicht betroffen. Die Autoriteit Persoonsgegevens wurde informiert. Die operative Dienstleistung bleibt laut Odido uneingeschränkt nutzbar.

Der Cyberangriff wurde nach Angaben des Unternehmens am Wochenende vom 7. und 8. Februar entdeckt. Wie die NOS meldet, verschafften sich Kriminelle Zugriff auf ein Kundendienstsystem, in dem Daten von insgesamt 6,2 Millionen Accounts gespeichert waren. Dabei handelt es sich um personenbezogene Informationen wie vollständiger Name, Adresse, Wohnort, Telefonnummer, Kundennummer, E Mail Adresse, IBAN, Geburtsdatum sowie Nummern und Gültigkeitsdaten von Ausweisdokumenten wie Reisepass oder Führerschein. Welche Daten im Einzelfall betroffen sind, kann laut Odido variieren.

Nicht betroffen sind Passwörter für Mein Odido, Gesprächsdaten, Standortdaten, Rechnungsdaten oder Scans von Ausweisdokumenten. Die unbefugte Zugriffsphase wurde nach Unternehmensangaben schnell beendet. Odido hat externe Cybersecurity Experten eingeschaltet und zusätzliche Sicherheitsmaßnahmen umgesetzt. Die Autoriteit Persoonsgegevens wurde über das Datenleck informiert. Die Behörde prüft nach Angaben der NOS, ob das Unternehmen ausreichend Maßnahmen ergreift und Kunden schnell sowie vollständig informiert.

Welche Marken und Kunden sind betroffen

Nach Angaben von Odido und wie die NOS berichtet, sind neben Odido selbst auch Kunden der Marke Ben betroffen. Für Kunden der Marke Simpel gilt dies ausdrücklich nicht. Für Geschäftskunden mit mehreren Endnutzern innerhalb einer Organisation seien die Daten der Endnutzer nicht geleakt worden. Das Unternehmen betont, dass nicht automatisch alle 6,2 Millionen Accounts tatsächlich betroffen sind. Es befanden sich zwar so viele Accounts im System, doch ob von allen Daten entwendet wurden, ist nach Angaben von Odido unklar.

Welche Daten betroffen sind und welche nicht

Laut Odido stammen die betroffenen Daten aus einem Kundendienstsystem. Möglich betroffen sind vollständiger Name, Adresse und Wohnort, Mobilnummer, Kundennummer, E Mail Adresse, IBAN, Geburtsdatum sowie Identifikationsnummern und deren Gültigkeit. Nicht betroffen sind Passwörter, Gesprächsverläufe, Standortdaten, Rechnungsdaten oder Ausweiskopien. Das Unternehmen betont, dass niemand auf Standortdaten oder private Kontakte zugreifen könne. Auch die Nutzung der Dienste bleibt uneingeschränkt möglich.

Veröffentlichung der Daten derzeit nicht bestätigt

Wie die NOS berichtet, sind die gestohlenen Daten nach aktuellem Stand nicht online veröffentlicht worden. Odido kann jedoch nicht ausschließen, dass die Daten zu einem späteren Zeitpunkt veröffentlicht oder missbraucht werden. Das Unternehmen überwacht die Lage gemeinsam mit externen Experten fortlaufend. Zur möglichen Identität oder Motivation der Angreifer äußert sich Odido nach eigenen Angaben derzeit nicht.

Information der Betroffenen und Empfehlungen

Betroffene Kunden erhalten laut Odido innerhalb von 48 Stunden eine E Mail vom Absender info@mail.odido.nl oder eine SMS. Kunden, die keine Nachricht erhalten, gelten nach Unternehmensangaben nicht als betroffen. Sowohl Odido als auch die NOS raten zur erhöhten Wachsamkeit gegenüber unerwarteten Anrufen, SMS, WhatsApp Nachrichten oder E Mails. Kunden sollten ihre Konten regelmäßig prüfen. Eine Änderung des Passworts ist laut Odido nicht erforderlich, da keine Passwörter entwendet wurden.

Rolle der Autoriteit Persoonsgegevens

Odido hat das Datenleck bei der Autoriteit Persoonsgegevens gemeldet. Wie die NOS berichtet, beobachtet die Aufsichtsbehörde, ob das Unternehmen die richtigen Schritte einleitet. Ein Sprecher der Behörde betont laut NOS die Bedeutung einer schnellen und vollständigen Information der Betroffenen.