Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort

Toppe zijn epistel

En het lijkt er op dat hij probeert te redden wat er te redden valt als je dit leest.

Het is onduidelijk waarom Odido niet betaalt

Mij wel want het staat er letterlijk boven "Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties, zoals de politie, heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren."

Dat roept vragen op hoe “toonaangevend” de security-experts zijn die Odido inhuurt.

Mogelijk zijn deze experts ook niet goed op de hoogte van de mate van betrouwbaarheid van ShinyHunters en is daarom geadviseerd om niet te betalen.

De kosten die Odido maakt zullen vele malen meer zijn dan de losgeld eis van €500.000. Directe kosten zullen gemaakt worden met het dichten van het lek en adviseurs e.d. en indirecte kosten gaan gemaakt worden achter de schermen. De AP/ACM zal hier ook nog wat vinden met mogelijk een boete tot gevolg.

Daarbij maakt het in mijn ogen weinig uit hoe betrouwbaar een bepaalde partij is. Uiteindelijk draait alles om geld zoals velen al zeggen, de data ís gejat en bijvoorbeeld het doorverkopen van alle email adressen of telefoonnummer kan al voldoende opleveren.

Als elk slachtoffer uit dit lek maar 4 cent overmaakt (€250.000 / 6,2 miljoen slachtoffers volgens Odido), dan wordt het lekken gestopt!

Hoe "Ethisch" ben je als je vraagt of Odido klanten geld willen betalen om te voorkomen dat hún data gelekt wordt:

Ze zijn daarnaast onvoldoende geïnformeerd door Odido over welke data precies de hackers allemaal in handen hebben en wat daar de impact precies van is op de rest van hun leven.

Mogelijk omdat Odido ook nog niet alle (relevante) informatie heeft of bewust even de kaarten tegen de borst houdt.

Aan hen is niet gevraagd of zij vinden dat afpersgeld betaald moet worden

Vervolgens de opmerking dat "ons" (Odido klanten) niet gevraagd is of er betaald moet worden of niet. Afgezien van de technische uitdagingen om dit uberhaupth voor elkaar te krijgen was er toch ook een deadline. Wat ga je tegen de bewuste groep zeggen? "We willen graag 4 weken uitstel want dan kunnen we eerst even stemmen?"

De politie doet geen uitspraak in hun nieuwsartikel of zij onderzocht hebben of ShinyHunters zijn afspraken nakomt dat als betaald wordt, gegevens niet verder lekken. Ze houden het algemeen door te zeggen “we weten vanuit onderzoek”, wat waarschijnlijk onderzoek is naar allerlei hackersgroepen die zich met ransomware bezighouden.

De politie heeft in eerste instantie een opsporingstaak en die moeten zich niet bezig houden of iemand zich wel of niet aan een afspraak houdt. Je kan naast iemand met een gebiedsverbod óók geen hele dag politie zetten om te krijgen "Of iemand een afspraak nakomt".

Politie geeft blijkbaar nooit maatwerkadvies of je wel of niet moet betalen

De politie heeft daar de capaciteit niet voor. Daarom zullen ze altijd zeggen: Wij adviseren niet te betalenn.

Het betalen (of niet betalen) is volgens mij niet verboden en het kost de politie onnodige capaciteit als ze zich daarmee moeten gaan bemoeien. Er wordt een voorbeeld aangehaald van Universiteit Maastricht en die hebben zélf een rekensom gemaakt en besloten te gaan betalen.

quote: AP

“Het betalen van losgeld is geen oplossing of beveiligingsmaatregel. Het geeft namelijk geen zekerheid dat gelekte persoonsgegevens niet alsnog worden doorverkocht of gepubliceerd. Bovendien houdt het criminaliteit in stand. Daarom is niet betalen de norm.”

Enige juiste antwoord als het mij gevraagd zou worden.

“Het dringende advies vanuit het Kabinet blijft om geen losgeld te betalen na een ransomware-aanval, aangezien dit het crimineel verdienmodel in stand houdt. De politie stelt vast dat een relevant deel van het door slachtoffers betaalde losgeld rechtstreeks wordt geïnvesteerd in nieuwe aanvalsinfrastructuren. Ik heb begrip voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden. Een algemeen verbod op het betalen van losgeld kan leiden tot minder losgeldbetalingen, maar kan ook grote nadelige effecten hebben. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden.”

Exact dit. Je houdt het dus in stand door ze te voorzien van nieuw kapitaal.

Het afpersverdienmodel van ShinyHunters wordt een beetje ondermijnd als Odido geen afpersgeld gaat betalen. Er zijn genoeg andere bedrijven die hoogstwaarschijnlijk wel afpersgeld hebben betaald nadat ShinyHunters ze gehackt heeft, zoals Ticketmaster (2024) en Pornhub (2025). Van die bedrijven heeft ShinyHunters de buitgemaakte gegevens nooit op internet gezet.

Dat weet je niet. De dataset zoals deze geexpoteerd is mogelijk niet maar dat betekend niet dat delen van de data mogelijk los verkocht zijn. Feit blijft: De data is al gesloten.

Dat betekent echter niet dat bedrijven dan niet meer gehackt gaan worden om grote hoeveelheden persoonsgegevens te bemachtigen. Dat zal nog steeds doorgaan. In plaats van bedrijven daarmee af te persen, zullen criminelen de buitgemaakte gegevens verkopen aan andere criminelen die fors betalen voor zo’n gigantische dataset. Deze modus operandi hanteerde ShinyHunters eerder, maar nadat de groep erachter kwam dat meer geld te verdienen was met bedrijven afpersen, is de groep van verdienmodel en modus operandi veranderd.

Het is net vraag en aanbod: Als je 3 keer aan de zelfde Tweaker heb verkocht dan heb je er een 4de keer al veel meer vertrouwen in en dus raak je de data echt wel kwijt.

Er is een grote kans dat buitgemaakte data niet verder meer lekt als eenmaal betaald is. ShinyHunters heeft er het grootste belang bij dat hun reputatie in stand gehouden wordt als betrouwbare partij, zodat hun volgende slachtoffers óók afpersgeld gaan betalen. ShinyHunters staat bekend als een groep die zich aan gemaakte afspraken houdt dat als afpersgeld betaald wordt, buitgemaakte data niet verder lekt.

Nooit aangetoond, wie zegt dat het niet los verkocht wordt?

De politie geeft aan dat “betalingsinformatie van grote waarde is voor het opsporingsonderzoek”. Dat geeft een belangrijk aanknopingspunt, waardoor de criminelen achter ShinyHunters mogelijk opgepakt kunnen worden waardoor toekomstige hacks voorkomen kunnen worden.

Hacks worden veelal via het anonieme Tor-netwerk uitgevoerd, wat opsporing zeer lastig maakt.

Betaalinformatie via crypto biedt opeens een tweede spoor waar onderzoek naar verricht kan worden.

We hebben hier niet te maken met een handige buurjongen die wat truukjes kan. We hebben het over professionals die ruim te tijd nemen om dit soort hacks te kunnen uitvoeren. Die laten zich niet zomaar pakken.

Inzage welke beveiligingslekken gebruikt zijn
Als aanvullende service, leggen hackersgroepen vaak precies uit hoe ze een bedrijf gehackt hebben als er eenmaal betaald is.

Links of rechtsom wordt dat toch wel duidelijk, daar hoef je niet voor te betalen.

Laten zien richting klanten dat elke kans is benut om verdere datalekkage te voorkomen
Zekerheid heb je nooit, maar als betaald wordt naar een enigzins betrouwbare hackersgroep, laat je aan je klanten zien dat je er alles aan gedaan hebt om te voorkomen dat na een hack de buitgemaakte data op internet gezet wordt.

Steek dat geld liever in een ISO 27001 certificaat.

Een relevant deel van door slachtoffers betaald afpersgeld wordt rechtstreeks geïnvesteerd in nieuwe aanvalsinfrastructuren en het financieren van de volgende hack.

Klopt. Daarmee maak je een partij alleen maar sterker en professioneler.

Je kunt er niet vanuit gaan dat de criminelen buitgemaakte data altijd van hun computers verwijderen na betaling. Met als gevolg dat:

Het woordje "altijd" kan je net zo goed weg laten want je kan er nooit vanuit gaan. Hoe goed hun bedoeling ook is.

Reputatie-technisch gezien is het niet handig om publiek te melden dat afpersgeld betaald is. Veel mensen hebben hier namelijk een heel sterke negatieve mening over. Daarom doet bijna geen enkel bedrijf publiekelijk mededelingen dat afpersgeld betaald is. Als niemand het weet, dan kan je ook niet veroordeeld worden in de publieke opinie dat je criminelen geld gegeven hebt.

1. Cencora (Farmacie) 2024 $75 Miljoen
2. CNA Financial (Verzekering) 2021 $40 Miljoen
3. CDK Global (Software/Auto) 2024 $25 Miljoen
4. Change Healthcare (Zorg) 2024 $22 Miljoen
5. JBS Foods (Vleesindustrie) 2021 $11 Miljoen
6. Colonial Pipeline (Energie) 2021 $4,4 Miljoen
7. Travelex (Valuta) 2020 $2,3 Miljoe
8. Universiteit Maastricht (Onderwijs) 2019 €200.000
9. Garmin (Technologie) 2020 $10
10. Riviera Beach (Stad in VS) 2019 $600.000

Totaal: €170.000.000

Als een nieuwe criminele hacker(sgroep) voor het eerst een hack uitvoert en (persoons)gegevens van een bedrijf kopieert, dan kan het proberen om dat bedrijf daarmee af te persen. Security-experts die zo’n bedrijf adviseren, zullen dan waarschijnlijk de voorkeur geven aan niet betalen, want de hacker(sgroep) heeft nog geen enkele verifieerbare reputatie dat die zijn afspraken nakomen.

Een hackersgroep met een betrouwbare reputatie is er alles aan gelegen om die reputatie zo goed mogelijk te beschermen. Alleen dan zullen toekomstige slachtoffers eerder bereid zijn afpersgeld te betalen, want dan kan een slachtoffer ervan op aan dat data niet meer verder zal worden gelekt.

Change Healthcare: Betaald én gelekt
Cencora: Betaald én gelekt
Colonial Pipeline: Betaald én (deels)gelekt
Travelex: Betaald én (deels)gelekt
JBS Foods: Betaald én (deels)gelekt

Of te wel: 50% kans dat het lukt.

Hackersgroepen zoals ShinyHunters hebben daarom er het grootste belang bij dat hun reputatie in stand gehouden wordt als betrouwbare partij om mee te onderhandelen. Dat betekent dat bedrijven die afpersgeld betalen, er op kunnen rekenen dat buitgemaakte (persoons)gegevens niet beschikbaar worden gemaakt voor iedereen om te downloaden. ShinyHunters is wereldwijd berucht en al zeker zes jaar actief. Zij staan bekend als een groep die zich aan gemaakte afspraken houdt. Dit geeft natuurlijk geen garanties dat afspraken in de toekomst nageleefd worden, maar het lijkt wel aannemelijk.

Zeer gespecialiseerde incident responders en cyber threat intelligence-experts hebben deze nichekennis over hackersgroepen in huis. Nederland kent slechts enkele experts die gespecialiseerd zijn in ShinyHunters. De afgelopen week heb ik zelf in nauw contact gestaan met zo’n expert, die de komende dagen een blogpost over de groep wil schrijven.

Zou jij je kind met een pedofiel vertrouwen?

Odido weigert te vertellen welke bedrijven en security-experts het bedrijf inhuurt om het incident onder controle te brengen. Daarnaast lijkt niets over het incident naar buiten gebracht te worden, behalve hetgeen in Odido’s ogen wettelijk gezien minimaal noodzakelijk is. Het is daarom onbekend waarom Odido’s security-experts geadviseerd hebben om niet te betalen.

Vergeljik het met de politie of het OM: Wij doen geen verdere mededelingen zolang het onderzoek nog loopt. Volkomen logisch.


Of te wel: Verplicht een jaarlijkse ISO 27001.

[Reactie gewijzigd door Toppe op 2 maart 2026 13:45]