Odido-lek bevat meer data dan aanvankelijk gedacht

Het recente datalek bij Odido blijkt veel gevoeliger gebruikersgegevens te bevatten dan eerst werd aangenomen. Het gaat onder meer om BSN-nummers van bepaalde gebruikers, evenals interne bedrijfsnotities die uitsluitend bedoeld waren voor intern gebruik en gedetailleerde informatie over sommige Odido-klanten bevatten.

Uit onderzoek van RTL blijkt dat de gelekte btw-nummers toebehoorden aan zakelijke klanten die in het systeem geregistreerd stonden als zelfstandigen. Het lek kon plaatsvinden omdat btw-nummers enkele jaren geleden gedeeltelijk uit BSN-nummers bestonden. Personen van wie het btw-nummer in het lek is opgenomen, lopen nu mogelijk een verhoogd risico op financiële fraude en gerichte cybercriminaliteit.

Daarnaast heeft onderzoek van de NOS, die van de hackers een steekproef van de gestolen data ontving als bewijs, aangetoond dat de gelekte gegevens ook interne notities bevatten die bedoeld waren voor communicatie tussen klantenservicemedewerkers. Deze notities bevatten gedetailleerde persoonlijke informatie, zoals telefoonnummers, e-mailadressen en zelfs identiteitsdocumenten, evenals uitgebreide aantekeningen over de persoonlijke situatie van klanten. Zo werd onder meer vermeld of klanten zich aan betalingsregelingen houden, of zij onder bewind staan, en andere gevoelige informatie over hun privéleven.

Dit vergroot het risico op zeer gerichte en verfijnde fraude- en cyberaanvallen, waarbij gebruik wordt gemaakt van sterk persoonlijke informatie. Volgens de NOS lopen met name personen die mogelijk financiële problemen hebben extra risico om doelwit te worden van oplichting.