Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura

De ransomwarebende Shinyhunters, vooral bekend van de Odido-hack, heeft bij een hack van securitybedrijf Aura de gegevens van 900.000 mensen gestolen. Het gaat voornamelijk om namen en e-mailadressen, maar in sommige gevallen zijn er ook telefoonnummers buitgemaakt.

Het gros van de 900.000 gestolen e-mailadressen en namen is afkomstig van een 'marketingtool' van een bedrijf dat Aura in 2021 overnam. Volgens Have I Been Pwned stond zo'n tien procent van de e-mailadressen nog niet eerder in zijn database. Zo'n 35.000 van de 900.000 slachtoffers zijn of waren ooit klant van Aura. Van die groep zijn niet alleen namen en e-mailadressen gestolen, maar ook telefoonnummers en fysieke adressen. Have I Been Pwned meldt dat er ook 'aantekeningen van de klantenservice' gestolen zijn. Aura belooft dat de hackers geen toegang hadden tot 'gevoelige' informatie als wachtwoorden en betaalgegevens.

Volgens het securitybedrijf kon de hack plaatsvinden doordat een medewerker telefonisch werd gephisht, waarna de hackers toegang wisten te krijgen tot het account van die medewerker. Op een vergelijkbare manier wist de productieve hackersgroep Shinyhunters vorige maand ook de gegevens van miljoenen Odido-klanten te stelen.

Aura biedt een app met verschillende privacygerelateerde diensten aan. Zo kunnen gebruikers persoonlijke gegevens zoals wachtwoorden opslaan en krijgen ze een melding als hun gegevens op straat belanden. Ook bevat de app een vpn-dienst en is het mogelijk om gekoppelde apparaten te beheren, zodat gebruikers onder meer een schermtijdlimiet voor hun kinderen kunnen instellen en bepaalde apps kunnen blokkeren.

Aura

Door Kevin Krikhaar

Redacteur

Feedback • 18-03-2026 15:41
79 • submitter: eagle00789

18-03-2026 • 15:41

79

Submitter: eagle00789

Lees meer

EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack
EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack Nieuws van 3 april 2026
Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia
Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia Nieuws van 24 maart 2026
Innova Energie waarschuwt voor datalek door medewerker die klantgegevens stal
Innova Energie waarschuwt voor datalek door medewerker die klantgegevens stal Nieuws van 19 maart 2026
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek Nieuws van 3 maart 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
'Pornhub-hack treft 1,5 miljoen Nederlandse accounts'
'Pornhub-hack treft 1,5 miljoen Nederlandse accounts' Nieuws van 17 december 2025
AT&T betaalde hacker 370.000 dollar om onlangs gestolen data te wissen
AT&T betaalde hacker 370.000 dollar om onlangs gestolen data te wissen Nieuws van 15 juli 2024
Cybercriminelen stelen miljoenen telefoonnummers van Authy
Cybercriminelen stelen miljoenen telefoonnummers van Authy Nieuws van 4 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Datalek Hack

Reacties (79)

-Moderatie-faq
79
78
32
4
0
36
Wijzig sortering

Sorteer op:

Weergave:
JumpStart 18 maart 2026 15:59
Volgens het securitybedrijf kon de hack plaatsvinden doordat een medewerker telefonisch werd gephisht, waarna de hackers toegang wisten te krijgen tot het account van die medewerker.
Ik stel voor dat er in de Nederlandse wet wordt vastgelegd dat bedrijven die klantgegevens verwerken verplicht gesteld worden om hun telefonisch medewerkers verplicht en aantoonbaar "weerbaarheidstraining" te geven tegen dit soort social engineering.

(Zal in de praktijk wel het nodige aan handen en voeten in de aarde hebben, maar toch.)
Reageer
ApexAlpha @JumpStart18 maart 2026 16:15
Denken dat je je hiertegen kan wapenen is een illusie.

Je kan phishingrisico's nooit wegsimuleren. Dat werkt gewoon niet.

Ons bedrijf stuurt continu van die neppe mails vanuit Hoxhunt en er is altijd wel iemand die klikt of erin trapt.
Reageer
laurxp @ApexAlpha18 maart 2026 16:39
Je kan phishingrisico's nooit wegsimuleren. Dat werkt gewoon niet.
Jawel hoor.

Met Webauthn / Passkeys is het wiskundig onmogelijk om gephished te worden: je inloggegevens werken alléén maar op een legitieme website. Een phishing-website heeft een ander domein, waardoor die nooit een geldige 2FA-bevestiging kan krijgen van bijvoorbeeld een Yubikey, waardoor de phisher nooit een geldige 2FA-bevestiging kan doorsturen naar de service die ze aan het aanvallen zijn.

Je zult altijd werknemers hebben die op rare links blijven klikken, maar het feit dat zo'n phishing-poging kan leiden tot een overgenomen account is een keuze: de beveiliging bestaat al lang, sommige bedrijven kiezen er alleen nog steeds voor om het niet te gebruiken.

Google heeft bijvoorbeeld Titan Keys verplicht gemaakt voor eigen werknemers - en het gevolg is dat er geen succesvolle meer zijn geweest. Andere bedrijven hebben vergelijkbare resultaten.

[Reactie gewijzigd door laurxp op 18 maart 2026 16:42]

Reageer
wooha @laurxp18 maart 2026 17:29
Onmogelijk om in te loggen via een fake website en zonder de hardware key van de gebruiker en daardoor een enorme verbetering.

Phishing in een andere vorm dan een fake website is volgens mij nog steeds mogelijk door een ingelogde medewerker al dan niet bewust software te laten installeren. Daarna kunnen sessie-cookies worden gekopieerd waarmee (tijdelijke) toegang mogelijk is. Daar heb je dan weer extra beschermingen voor nodig.
Reageer
laurxp @wooha18 maart 2026 17:53
door een ingelogde medewerker al dan niet bewust software te laten installeren (...) Daar heb je dan weer extra beschermingen voor nodig.
Klopt, maar de meeste bedrijven hebben die beveiliging allang. Ze kwamen er al vrij snel achter dat reguliere kantoormedewerkers de rechten geven om eigen software te installeren een héél slecht idee is, dus die mogelijkheid is compleet dichtgetimmert.
Reageer
baseoa @laurxp18 maart 2026 17:07
Dit klopt, maar is een technische oplossing en niet "wegsimuleren" (het probleem weg doen gaan door mensen genoeg simulaties te geven ter oefening) zoals het citaat zegt dat je tegenspreekt
Reageer
bzuidgeest @laurxp19 maart 2026 01:12
Dat is maar 1 voorbeeld van phishing, babbeltrucs en alle andere opties. Je kan zelfs gewoon nog erg medewerker chanteren of infiltreren.

Het idee dat iets 100% secure is, kan alleen er ook totaal geen toegang is. Voor niets of niemand.
Reageer
ApexAlpha @laurxp18 maart 2026 20:43
Maar dit is toch helemaal geen phishingsimulatie?
Reageer
themadone @ApexAlpha18 maart 2026 16:29
Export van datasets blocken kan prima, rate limits, auditing met alerting etc etc. Er zijn meer dan genoeg technische oplossingen beschikbaar om dit te voorkomen.

Echter, doordat veel van dit soort systemen als SaaS worden afgenomen ben je volledig afhankelijk van de aanbieder of die zijn zooi op orde heeft. En dat is 9 van de 10 keer niet zo blijkt ook nu maar weer.
Reageer
Sito @themadone18 maart 2026 16:38
SaaS is geen excuus. Als je als bedrijf een SaaS-product afneemt ben je, mits je het via een leverancier doet, zelf verantwoordelijk om de boel dicht te timmeren.SaaS-producten hebben hier vaak genoeg instellingen voor (zoals Salesforce).
Reageer
themadone @Sito18 maart 2026 16:48
Helaas is dat niet hoe SaaS in de directiekamers wordt verkocht. De tekst want dan heb je geen beheer meer komt vaak voorbij met als gevolg dat functionele mensen verantwoordelijk worden voor technische instellingen waarvan ze waarschijnlijk het bestaan niet eens weten.

En ja. Er zijn ook bedrijven waar het wel goed is ingericht qua personeel, maar ook meer dan genoeg waar de fte's geruimd zijn met dank aan de cloud/SaaS overgang.
Reageer
R_Zwart @themadone18 maart 2026 19:17
Dat kan wel zijn maar uiteindelijk is het toch de ICT afdeling die het project moet doen. Je mag toch verwachten dat de hoog opgeleide medewerkers daar verstand van zaken hebben en niet zomaar iets doen omdat de directeur het zegt. Als ze dat wel doen hebben ze zelf ook niet de juiste competenties ej moeten ze maar wat anders gaan doen.
Reageer
ApexAlpha @themadone18 maart 2026 16:57
Precies. Dat zijn de oplossingen.

Je moet altijd vanuit gaan dat een groep die moeite doet om jouw te hacken echt wel iemand vind die klikt / reageert.

Dat is nu eenmaal de realiteit.
Reageer
bzuidgeest @themadone19 maart 2026 01:15
Het kan allemaal een dan kan het nog steeds mis gaan. Er is altijd wel een mogelijkheid, het word op zijn hoogst moeilijker. Maar als de payday hoog genoeg is gaan ze er voor.

Iemand in de organisatie gaat dit dataset legitiem nodig hebben. Dus iemand is open voor aanval. Via phishing, chantage, infiltratie. Er zijn zo veel opties.
Reageer
Llopigat @ApexAlpha18 maart 2026 16:20
Nee maar je kan wel aan mitigatie doen. Zorgen dat 1 werknemer niet overal bij kan (RBAC). Zorgen dat er monitoring gebeurt op verdachte activiteit (waarom bekijkt werknemer A opeens 10.000 accounts per dag in plaats van de gebruikelijk 10). Zorgen dat ze alleen op afgesloten omgevingen bij hun gevoelige data kunnen (dus geen internet toegang binnen diezelfde omgeving). Enzovoorts.

Overigens, wat ik zie met die mails (wij hebben de dienst KnowBe4 van flapdrol kevin mitnick) is dat ze alleen meten of mensen ergens op klikken. Niet of ze daadwerkelijk hun credentials invoeren. Ik denk dat die hoeveelheid een stuk lager gaat zitten.

[Reactie gewijzigd door Llopigat op 18 maart 2026 16:21]

Reageer
bzuidgeest @Llopigat19 maart 2026 01:16
Dus dan bekijken ze er 10.000 en dan is het al gebeurd. Het is op zijn hoogst een detectie van een misstand, de schade is dan aan gedaan.
Reageer
Llopigat @bzuidgeest19 maart 2026 01:41
10.000 is helemaal niet veel. Zie hoeveel gigabytes aan data er is buitgemaakt bij die voorlaatste hack. Dat was 300GB. Met Odido waren het miljoenen klanten.

Het is ook niet helemaal te voorkomen, maar de insteek is de schade beperken. Als er bij Odido was ingegrepen na de eerste 10.000 had het waarschijnlijk het nieuws niet eens gehaald.

[Reactie gewijzigd door Llopigat op 19 maart 2026 01:42]

Reageer
bzuidgeest @Llopigat19 maart 2026 08:25
Of 10.000 veel is of niet. Die klanten worden waarschijnlijk niet graag gelekt. En het dus weinig of veel en reactieve maatregel. Pas als er wat zoek is, grijpt men in. En wat is te veel bekijken? Zet daar eens een grens voor? En wat voor het proces dat de marketing mailing doet en de hele lijst nodig heeft?
Reageer
baseoa @Llopigat18 maart 2026 17:14
Hoe lost RBAC dit op? Als R=servicemedewerker is de daarop geBaseerde AC dat ze bij de in het artikel genoemde klantgevens kunnen

Monitoring is wel een goed idee, met name als het niet alleen detecteert/monitort wanneer het opeens meer dan gebruikelijk is (IDS) maar ook blokkeert als het gebruik meer is dan bij de functie past (IPS). We blijven dit aan klanten aanraden maar ik moet de eerste keer nog zien dat het wordt ingevoerd. Misschien moet ik eens nieuwsartikelen gaan linken maar het komt zo dwingerig over (of zelfs scammy, alsof we ze wat aan willen smeren) terwijl wij slechts onafhankelijk advies geven

Phishingsimulatie helpt (en daarbij ben ik niet bijzonder onder de indruk van wat het bedrijf dat je aanhaalt aanbiedt qua kwaliteit/specificiteit) maar bij een groot genoeg bedrijf vult er altijd wel iemand diens gegevens in. Gezien 1 persoon genoeg is, kun je het bijna net zo goed laten in favor of technische maatregelen zoals die detectie en domeingebaseerde 2FA zoals elders genoemd

[Reactie gewijzigd door baseoa op 18 maart 2026 17:16]

Reageer
Llopigat @baseoa18 maart 2026 17:19
Hoe lost RBAC dit op? Als R=servicemedewerker is de daarop geBaseerde AC dat ze bij de in het artikel genoemde klantgevens kunnen
Klantenservice hebben vaak onderverdelingen. Mensen die alleen tech suppot doen, mensen die sales doen enz. Verantwoordelijkheid voor landen. Iemand die NL support doet, waarom moet die ook bij de gegevens van Duitse klanten kunnen? Dat soort dingen.

En ja blokkade is beter dan detectie maar met een goed ingerichte SOC kan je daar ruim op tijd op inspringen.

Die phishingsimulatie vind ik zelf nogal onzin, het is altijd zo laaghangend fruit dat niemand er in trapt en de mensen die het wel doen klikken per ongeluk maar zouden nooit echt hun credentials invoeren.
Reageer
jan55en @Llopigat18 maart 2026 20:13
In veel bedrijven wordt er te gemakkelijk gedacht over toegang tot de CMDB en is de need to know in RBAC of applicaties veel te ruim opengezet voor de daadwerkelijke doeleinden.

Waarom zou je in een keer duizenden gegevens moeten kunnen zien en of exporteren.

Ook op de klantenservice kom je binnen met een vraag of iets dergelijks voor een specifieke klant of hooguit een handvol als de klant meerdere producten afneemt.

Dan kan nog altijd een voor een klant gevens (soort van brute force) een voor een ophalen en met scripts etc harvesten.

Daarentegen moet zeker bij kritisch data de nodige monitoring worden ingeregeld. Een knappe helpdeskmedewerker haalt doorgaans per gesprek een paar keer specifieke klant gegevens op. Met de juiste monitoring kunnen de nodige alarmbellen afgaan en toegang voor het betreffende medewerkeraccount worden geblokkeerd, als diens gebruikersaccount in korte tijd een abnormaal hoeveelheid data benadert.
Reageer
aikebah @Llopigat19 maart 2026 18:48
Het zal per phishing-test dienst verschillen, maar ik weet dat bij ons de resultaten van de phishing-test-campagne losse statistieken opleveren voor 'click' en 'credentials ingevuld' en daar was het meestal ongeveer de helft van de click-through die daarna ook nog credentials hadden ingevuld.
Reageer
JumpStart @ApexAlpha18 maart 2026 19:25
Het doel is ook niet 100% voorkomen. Zo'n doel is niet realistisch.

Maar betere alertheid creëren kan zeker wel de effectiviteit van social engineering doen afnemen en daarmee verklein je het risico op herhaling. Nul maken is echter een illusie.
Reageer
Cyberpuppy @JumpStart18 maart 2026 16:07
Zoals ik hierboven ook al betoogde. Ook de softwaremakers aanpakken. Als ik verdorie voor een gebruiker een simpele instelling op zijn telefoon wil wijzigen moet ik potverdorie 6 keer zijn gezicht scannen en z'n schoenmaat opmeten. Maar als ik 900.000 (of 6,2 miljoen) records wil downloaden. Geen punt joh, ga je gang.
Reageer
jongetje @Cyberpuppy18 maart 2026 16:52
En dan is dit nog een bedrijf die beveiligingsproducten verkoopt, maar blijkbaar zelf niets gebruikt.
Reageer
Verwijderd @JumpStart18 maart 2026 16:11
Naast dat het inderdaad praktisch niet heel haalbaar is, denk ik dat je het probleem ook nog eens mogelijk verergert.

De mensen die juist vatbaar zijn voor deze zaken zijn mensen die denken dat ze niet vatbaar zijn. Die overschatten zichzelf namelijk gruwelijk, want alle mensen zijn hier vatbaar voor. 'Weerbaarheid' is dan niks meer dan schijnveiligheid, waardoor mensen denken 'nee mij pakken ze niet'.

Je moet je processen zo inrichten dat het geen probleem kan zijn. Mensen gaan fouten maken, dat ga je niet oplossen. Dat is altijd zo geweest, gaat altijd zo zijn. Dus blijft over dat die fouten niet in één keer desastreus kunnen zijn, door juist niet te vertrouwen op één mens maar op een proces.
Reageer
useruser @JumpStart18 maart 2026 16:05
Net zoals alle vrouwen verplicht een cursus zelfverdediging moeten volgen voordat ze de straat op mogen? Dit soort shit is pure victim blaming en dient weinig doel behalve criminaliteit bagatelliseren.
Reageer
Rixter223 @useruser18 maart 2026 16:17
Dat lijkt mij wat overdreven. Het is gewoon onderdeel van je werk dat je daarop let en getraind wordt. Net zoals de politie getraind wordt in het herkennen van potentieel criminele activiteiten en personen.
Reageer
Heroic_Nonsense @Rixter22319 maart 2026 08:09
Deels mee eens.

Phishing, zeker gerichte phishing, kan heel gerafineerd zijn. Tot op het punt dat er gebeld wordt met AI-gegenereerde klonen van de stemmen van echte medewerkers of managers van een bedrijf. Het bedrijf Arup uit hong kong werd zelfs bestolen van meerdere miljoeen doordat een medewerker via een videocall door zijn meerderen werd gevraagd geld over te boeken. Die personen waren echter AI-klonen (of eigenlijk: deepfakes) van de managers van het bedrijf.

Tuurlijk, je hebt altijd medewerkers die ondanks alle trainingen klikken op alle links die je ze toestuurt. Maar geen enkele training biedt 100% garantie.

De oplossing moet m.i. gezocht worden bij de rechten van een medewerker. Waarom kan een medewerker bij de gehele klantendatabase ineens? Hij heeft niet alle klantdata tegelijk nodig - alleen die van de klant (of kleine groep klanten) waar hij op dat moment voor aan het werk is. Dus stop met functionaliteit in CRM-pakketten om alle klanten uit te lijsten en te exporteren is mijn advies.

Voor die paar situaties waarbij dat echt nodig is (migraties bijvoorbeeld) kan er op basis van PIM altijd nog tijdelijk een uitbreiding van het rechtenpakket plaatsvinden.
Reageer
wiseger @Heroic_Nonsense19 maart 2026 12:51
Het bedrijf Arup uit hong kong werd zelfs bestolen van meerdere miljoeen doordat een medewerker via een videocall door zijn meerderen werd gevraagd geld over te boeken. Die personen waren echter AI-klonen (of eigenlijk: deepfakes) van de managers van het bedrijf.
Kortom, de medewerker vond het kennelijk normaal en acceptabel dat hij directe opdrachten kreeg van zijn meerderen om betalingsopdrachten aan te maken zonder de daarvoor normale procedures te volgen.

Het is alweer acht jaar geleden dat Pathé op een vergelijkbare manier voor miljoenen werd opgelicht. Ook daar werd het normale proces omzeilt en de medewerkers er via emailtjes van overtuigd dat ze directe opdrachten kregen van de hoofddirectie.

https://www.nu.nl/economie/5564843/nederlandse-directie-pathe-voor-19-miljoen-euro-opgelicht-met-valse-e-mails.html

Dit soort casussen zijn bekend en onderdeel van veiligheidstrainingen. Nimmer onder druk van leidinggevenden afwijken van de normale processen is wat in dat soort trainingen aangeleerd wordt.

Daarom zijn dat soort trainingen van wezenlijk belang. En ook het invoeren van een strak sanctie beleid van medewerkers die afwijken van de normale processen. Eventjes een account uitlenen voor een 4-ogen proces want het is echt een hele belangrijke klant en het moet nu gebeuren. Of een autorisatie verzoek goedkeuren op verzoek van de IT-afdeling in Microsoft MFA. Medewerkers die dat doen, dienen zware sancties te krijgen. Alleen zo krijg je het eruit.
Reageer
Heroic_Nonsense @wiseger19 maart 2026 15:38
In de Chinese/Kantonese cultuur is dat zeker iets dat medewerkers doen - je spreekt je meerdere niet tegen. Als aanvalvector is het handig om te weten met welke cultuur je te maken hebt. Een bedrijf in een top-down hiërarchische cultuur is eenvoudiger aan te vallen als je het doel ervan overtuigd met een meerdere te maken hebt.


Wellicht is dat in Nederland minder makkelijk, omdat de hiërarchie hier cultureel veel platter is ("ik heb geen baas - honden hebben een baas").
Hoewel - zoals je al zegt is ook Pathé op een vergelijkbare manier aangevallen.
Reageer
asing @useruser18 maart 2026 16:30
Dat is behoorlijk overtrokken. Ondanks dat heel veel mensen met de digitale wereld te maken hebben (wie heeft er geen smartphone of een account bij Big Tech?) is een groot deel niet digitaal weerbaar. Het is dagelijkse kost, nep-agenten, bankhelpdeskfraude, babbeltrucs. Genoeg mensen die er met open ogen intrappen ook al lazen ze het gisteren nog. Social Engineering is gewoon een probleem en het levert de daders veel geld op. Dit zitten ongrijpbaar ergens in Rusland ofzo, dus je enige beveiliging is de persoon die de telefoon aanneemt.

Onderaan de streep zal je je medewerkers dus moeten trainen om er niet in te trappen. Ik kom op opdrachten geregeld van die trainingen tegen en het zit tegenwoordig zelfs in de duurdere Microsoft abonnementen. Die zijn in bijna alle gevallen verplicht voor iedereen en het ligt vastgelegd in het beleid, samen met andere maatregelen.

Er is geen sprake van victim blaming, het slachtoffer kan er niets aan doen. Die wordt net zo lang bewerkt tot deze omvalt. Waar je in dat geval wel naar moet kijken of de training is gevolgd en of je iets aan de frequentie/inhoud moet doen.
Reageer
R_Zwart @asing18 maart 2026 19:24
Een tijdje terug een presentatie gezien van een ondernemer die gehackt was. Hij had een mooi plaatje over verkeersslachtoffers vs. hackslachtoffers. Tot 1973 waren er maar weinig verkeersregels en steeg het aantal verkeersdoden gigantisch. Toen werd rijden met alcohol op verboden, werd een maximumsnelheid ingevoerd en werden veiligheidsgordels verplicht. De grafiek van slachtoffers van internetfraude (in alle mogelijke vormen) ziet er hetzelfde uit als die van verkeersdoden destijds. Dus wellicht toch een idee om bepaalde regels voor internettoegang in te gaan voeren. Het is op een forum als dit natuurlijk als vloeken in de kerk, maar in het grotere geheel lijkt dat toch de enige oplossing. De leveranciers moeten dan de "veiligheidsgordels" voor hun diensten inbouwen, anders mag je je product niet meer verkopen, en voor gebruikers moeten ook regels komen. Hoe en wat weet ik niet zo, maar er zijn ongeveer experts die hier wat voor kunnen bedenken.
Reageer
Llopigat @R_Zwart18 maart 2026 20:34
Ahhh die geweldige kromme autovergelijkingen.

Dit zou meer vergelijkbaar zijn met dat ze in 1973 een agent op de achterbank hadden gezet die continu over je schouder kijkt en meteen een boete uitschrijft als je 1 keer niet goed over je schouder kijkt bij het afslaan.
Reageer
GewoonWatSpulle @Llopigat19 maart 2026 07:00
Die vergelijking slaat nergens op en word ook nergens gesuggereerd door @R_Zwart. Veiligheidsgordels kan je zien als passieve en actieve beveiliging. In software zou dat betekenen dat je snel iets kan dicht kan zetten, en bij een actie zeg voor de zoveelste keer een search uit voeren en wacht scherm. Op gevoelige data een 4 ogen principe, je vraagt om toegang en iemand anders moet dat goed keuren. Klinkt allemaal vervelend maar we weten dat zelfs politie mensen hun nieuwsgierigheid niet kunnen onderdrukken, zie 1700 onnodige dossier inzages.
Reageer
Landisk4001 @asing19 maart 2026 17:13
Het slachtoffer wordt niet zolang bewerkt todat ie omvalt. Je mikt op 1000 potentiële slachtoffers, en 995 trappen er niet om of ze nu bewust zijn van de fraudepoging of niet. Als je maar genoeg mensen benadert, zullen er altijd wel een paar zijn die erin trappen, en als je miljoenen mensen benadert, dan zullen er duizenden of tienduizenden reageren, genoeg voor een aardige winst.
Reageer
asing @Landisk400119 maart 2026 19:25
Er wordt niet gemikt op 1000 potentiële slachtoffers, er wordt gericht geschoten op IT personeel van de support afdeling. Zowel in dit geval als in het geval van Odido. Je zou het spear phishing kunnen noemen.

Het resultaat van die actie is dat de support medewerker de credentials van iemand gaf die toegang had tot de gegevens. Daarna werden ze gejat. Nu ken ik de omstandigheden niet, het kan zijn dat de credentials meteen werden gegeven, of dat er even op ingewerkt moest worden. Het resultaat is hetzelfde.
Reageer
h8bal @useruser18 maart 2026 16:17
Helemaal niet vergelijkbaar.

Die medewerker mogen ze gerust op straat smijten voor die domme fout. Die vrouwen doen niets mis met op straat te gaan.
Reageer
Vinxian @h8bal18 maart 2026 17:02
Ik vind niet dat je een arbeider moet straffen als het bedrijf tekort schiet.
Er zijn gewoon dingen die ze kunnen doen, zoals rate limits op de database en webAuthn als bescherming tegen phishing.
Je kunt een bedrijf best verantwoordelijk stellen voor het niet toepassen van "redelijke maatregelen". Ik denk dat er best kritisch gekeken mag worden welke maatregelen "redelijk" zijn als een bedrijf persoonsgegevens verwerkt. Ik denk dat de twee zaken die ik genoemd heb best redelijk zijn, zelfs voor een kleiner bedrijf.
Reageer
baseoa @useruser18 maart 2026 17:22
Is een slot op je deur verplichten ook victim blaming vanuit de inboedelverzekeringsmaatschappij?

Ik snap wat je bedoelt en we kunnen zeker meer doen qua opsporing van digitale criminaliteit. Of waar dat niet mogelijk is vanwege schurkenstaten, moeten we ons misschien afvragen waarom we ze dan binnenlaten op onze netwerken (ja vpn is leuk maar de vpn-provider kan dan zien waar ze vandaan komen. Érgens komen ze binnen). Tot die tijd is het helaas het wilde westen online en kun je een partij met digitale systemen achten hier technische en organisatorische maatregelen tegen te nemen
Reageer
JumpStart @useruser18 maart 2026 18:37
Gast, dit gaat niet over schuld, of verantwoording. Dit gaat over social engineering minder effectief maken.

Op geen enkele manier ligt de schuld (blame) hier bij een helpdesk medewerker of receptionist(e). Haal die woorden terug uit mijn mond, want dat schreef ik nergens. :(
Reageer
Ryunoru @useruser18 maart 2026 19:05
Wat een extreem kromme vergelijking. Slachtoffers (mannen EN vrouwen, welteverstaan) hebben niet de morele of legale plicht zich te hoeven verdedigen tegen criminelen. Beveiligingsbedrijven en bedrijven die met privacygevoelige data van gebruikers te maken hebben, hebben wèl die plicht, want door hun eigen nalaten lopen ze het risico de veiligheid van anderen te schaden. Totaal verschillende situaties dus. Dat het al in je op komt om een dergelijke vergelijking te maken...
Reageer
Quintiemero @JumpStart18 maart 2026 16:16
Hah, als je daar als organisatie van afhankelijk bent, doe je iets verkeerd.

En wat wil je dan bereiken? Vinkje-compliance?

[Reactie gewijzigd door Quintiemero op 18 maart 2026 16:16]

Reageer
Baardmeester @JumpStart18 maart 2026 16:18
Wat versta je onder aantoonbare weerbaarheidstraining? Zoals je nu bijvoorbeeld bij de cbw krijgt wordt de training voor management vormvrij en is een deelname certificaat zonder accreditatie genoeg. Er hoeft alleen een naam van de trainer, organisatie van de trainer en besproken onderwerpen op het certificaat te komen. Er zullen genoeg weerbaarheids elearnings zijn waar men alleen hoeft door te klikken op multiple choice antwoorden en de filmpjes moet laten afspelen
Reageer
FreezeXJ @Baardmeester18 maart 2026 17:19
Dan zit het in elk geval al in het systeem, bij teveel bedrijven gebeurt er helemaal niks. Laten we beginnen met een hele beperkte set (bijna nutteloos, zou je haast zeggen) en daarna de eisen aanscherpen. Leuk dat je trainer bij naam genoemd moet worden, dan kunnen we er ook statistieken van bijhouden. Bij trainer X wordt 0.3% van de bedrijven gehacked binnen een jaar, maar bij trainer Y is dat 8%. Dat is een mooie manier om als bedrijf al eisen te stellen. Uiteindelijk snapt management (zeker _na_ een succesvolle aanval) dat digitale veiligheid toch misschien wel belangrijk genoeg is om energie in te steken, naast je jaarlijkse budget en vinkjes.
Reageer
Elorad @JumpStart18 maart 2026 16:28
Het zou al ontzettend helpen als meer bedrijven een vorm van least privilege access + zero trust principes zouden hanteren. Daarmee wordt m.i. de aanvals vector om echt "interessante" gegevens te kunnen downloaden/inzien al een heel stuk kleiner. Dat icm gegevens niet langer bewaren dan nodig (ik heb het tegen jou odido) kan veel ellende besparen. Uitsluiten kan je het denk ik nooit.

Weerbaarheidstraining is ook goed, maar is geen heilige graal.
Reageer
Iksie @Elorad18 maart 2026 16:51
Dit dus inderdaad. Daarnaast zeg ik altijd: gebruik multi level of defense in People/Process/Technology. Naast awareness en training zijn ook procedurele aanpassingen nodig zoals 4-ogen principes in belangrijke wijzigingen zoals bankrekeningen, en ook oplossingen zoals Secure Email Gateway en Secure Web Gateway (SSE). Moeten de middelen wel toelaten natuurlijk.
Reageer
mphilipp @JumpStart18 maart 2026 17:07
Er zijn andere manieren om te voorkomen dat dit gebeurt. Het moet gewoon niet mogelijk zijn om in te loggen met een willekeurig apparaat, ook al heb je credentials. Je moet niet eens verbinding kunnen maken als je niet een goedgekeurd device hebt, dat aangemeld is. Dan wordt het ineens een stuk moeilijker.
Reageer
WillySis @JumpStart18 maart 2026 17:22
Zelfs goede beveiligingsexperts beweren dat ook zij ooit eens in een fishing-mailtje zullen trappen. Een training maakt het risico kleiner, maar is beslist geen volledige oplossing.

Zoek de oplossing eerder in het beperken van de hoeveelheid data die een medewerker kan downloaden en beperk grote downloads tot enkele computers.
Reageer
sworpie @JumpStart18 maart 2026 17:51
Heb je wel eens zo'n weerbaarheidstraining gedaan? Zijn zelden realistisch en volgens mij hebben ze ook weinig effect.
Reageer
JumpStart @sworpie18 maart 2026 19:29
Als de helft van de deelnemers zich beseft dat mondelinge "spoedjes" toch altijd intern bevestigd moeten worden, dan is je attack surface al gehalveerd.

Nee, dit gaat het risico niet tot nul reduceren. Maar het zal wel helpen de effectiviteit van social engineering te verminderen.
Reageer
sworpie @JumpStart21 maart 2026 16:30
Deze trainingen worden al volop gebruikt in het bedrijfsleven (kan me haast niet voorstellen dat Odido niet iets dergelijks had) en lijken weinig effect te sorteren.
Reageer
StarZ @JumpStart18 maart 2026 18:52
De meeste bedrijven hebben dit al ingericht maar die fouten worden altijd gemaakt. Je moet voorkomen dat 1 gebruiker bij zoveel gegevens kan. Er zouden allemaal alarmen af moeten gaan.
Reageer
R_Zwart @JumpStart18 maart 2026 19:15
Dan train je ze op de bekende aanvalsmethoden en dan wordt er weer iets totaal ander bedacht door hackers. Als een simpele oplossing mogelijk was, waren er geen problemen.
Reageer
JumpStart @R_Zwart18 maart 2026 19:33
Het gaat niet om specifieke methoden. Je leert algemene concepten.

Als iemand je belt die stelt dat nu meteen er toegang verleend moet worden want anders... dan moet je snappen dat dit alarmbellen moet laten gaan. En dan moet je weten dat er toch echt eerst intern, via andere kanalen, bevestiging moet komen.

Is dat fool-proof? Nee. Maakt dat de kans kleiner dat zo'n "babbeltruuk" werkt? Jazeker!
Reageer
SunnieNL @JumpStart18 maart 2026 19:37
Je denkt dat een security bedrijf dat nog niet doet?

Onder de nieuwe cybersecurity wet wordt dit sowieso al voor kritieke en belangrijke bedrijven verplicht.

Maar dan nog kun je er vanuit gaan dat dit blijft gebeuren. Er hoeft maar een onoplettend moment te zijn.

Beter is mensen te trainen op wat ze moeten doen op het moment dat ze denken 'was dat wel zo handig?'. Dat is namelijk vaak niet bekend en vaak is dat proces daar achter ook niet zo goed opgezet.
Reageer
GrooV @JumpStart19 maart 2026 08:48
Lekker weer de slachtoffers de schuld geven, zullen we anders beter dat geld investeren in systemen die het niet mogelijk maken om 900.000 records te exporteren?
Reageer
JumpStart @GrooV19 maart 2026 09:20
Lekker weer de slachtoffers de schuld geven
Bullshit! Waar schrijf ik dat?

Nergens stel ik dat het de schuld is van helpdeskers / receptionisten.

Deze mensen zijn de eerste verdedigingslinie waar het aankomt op "social engineering". Daar ligt zeker een mogelijkheid om dit soort hacken minder succesvol te maken. Ik snap ook dat dit nooit 100% garantie biedt.

Dat heeft helemaal niets te maken met wie verantwoordelijkheid draagt voor deze vorm van binnendringen. Ik denk niét dat dat ligt bij de mensen die daadwerkelijk de telefoon opnemen.
Reageer
jpsch @JumpStart19 maart 2026 11:38
Meeste klantcontacten gaan binnenkort toch via AI, die AI zou ook op training moeten.
Reageer
Milanobrotchen 18 maart 2026 16:11
In welk land opereert Shiney hunters? het valt me wel op dat ze allemaal grote tech bedrijven hacken zoals nu Aura, maar ook eerst Salesforce (via Odido). valt me op dat salesforce ook connecties heeft met big data.
Reageer
wildhagen
@Milanobrotchen18 maart 2026 16:19
Het is een internationale groep. Er zijn al leden gearresteerd in oa de VS, Frankrijk en er lijken ook activiteiten in iig de UK en India te zijn.

Shiny Hunters is ook een groep criminelen due samenwerkt met andere criminele groepen zoals ScatteredSpider en Lapsus$

Je moet maar eens kijken op Wikipedia: ShinyHunters voor meer info over deze criminelen.
Reageer
redbullzuiper 18 maart 2026 15:51
Samenvattend, je installeerde ooit Aura om op de hoogte te blijven van datalekken waarbij jouw gegevens op straat belanden. En nu krijg je via Aura de melding dat jouw gegevens zijn gelekt… bij Aura. Dan is de cirkel wel héél netjes rond 🙈
Reageer
SinergyX 18 maart 2026 16:50
Zopu ik dan ook een melding in die app krijgen als mijn data van hun gelekt is? :P
Reageer
NSG 18 maart 2026 16:50
Dit is toch makkelijk te voorkomen door alleen phishing-resistente MFA te gebruiken (bijv. Yubico token)?
Reageer
Cyberpuppy 18 maart 2026 15:51
Gewoon een oprechte vraag. Waarom moet toch overal die naam van dit soort criminele bendes in beeld? Het zijn geen popsterren (voor de jongeren onder ons, lees influencers)

In mijn optiek kan een dergelijk artikel prima geschreven worden zonder die bende op een voetstuk te plaatsen.


En daarnaast. Wanneer gaan we onze pijlen eens richten op de platformen die het mogelijk maken dat 1 enkele medewerker een dergelijke grote set data kan downloaden. Zou default gewoon geblokkeerd moeten zijn.
Reageer
Toine1 @Cyberpuppy18 maart 2026 16:04
Bij het bedrijf waar ik werk is dit dus wel, want ongeveer 10jr geleden is daar ook iemand op betrapt. Ik ben geen ICT’ er maar mij lijkt het toch wel heel simpel voor een beveiligingsbedrijf om dit goed af te zekeren.
Reageer
Archcry @Cyberpuppy18 maart 2026 16:24
Het noemen van de naam van een bende is toch niet hetzelfde als die bende op een voetstuk plaatsen? Zo werkt nieuws nu eenmaal. Wanneer er een aanslag wordt gepleegd, wordt de naam van de terroristische organisatie daarachter ook gewoon genoemd. Het is simpelweg een feitelijk detail. Journalistiek gezien is daar niets vreemds aan. Bovendien wordt de bende op geen enkele manier verheerlijkt of opgehemeld.

[Reactie gewijzigd door Archcry op 18 maart 2026 16:26]

Reageer
Elorad @Cyberpuppy18 maart 2026 16:34
Waarom moet toch overal die naam van dit soort criminele bendes in beeld
Als het sinaloa kartel in Colombia een bus vol mensen opblaast, worden ze toch ook gewoon bij naam genoemd?

Het is niet dat er iets staat als, de helden van shinyhunters, toch? Ze worden gewoon een bende genoemd (wat het ook is)

Dan omgedraaid, wat ga je bereiken door de naam niet te noemen?
Reageer
Hemingr 18 maart 2026 16:29
Gaan we nu elke keer als de shinyhunters een hack hebben een artikeltje tikken?

Ter info, na de odido hack hebben ze de volgende doelen geraakt:
  • Pathstone.com > 15GB aan data
  • WoFlow > 326GB aan data
  • CFGI.com >800K records
  • Aura > 900K records

    Een productief clubje boefjes.
Reageer
Llopigat @Hemingr18 maart 2026 16:51
Die van WoFlow is nogal wat. Ik had er nooit van gehoord maar het is bijvoorbeeld Deliveroo en DoorDash. Vind ik wat nieuwswaardiger dan deze leak eigenlijk.

[Reactie gewijzigd door Llopigat op 18 maart 2026 16:55]

Reageer
A. Ben 18 maart 2026 15:45
Tja je kan er zoveel grappen over maken maar dit is wel echt een pure Aura verlies
Reageer
vinkjb 18 maart 2026 16:23
Daar gaat je naam van je bedrijf ten onder aan eigen fouten. Slechte opleiding net als bij Odido of matige trainingen.
Reageer
cnoobie 18 maart 2026 16:40
Zucht. Weet je, op een gegeven moment zijn alle gegevens van iedereen gelekt en dan maakt het allemaal niet meer uit. Dat is de enige, wrange, relativerende silver lining bij dit nieuws.
Reageer
FreezeXJ @cnoobie18 maart 2026 17:23
Was dat maar zo, er wordt blijkbaar nog steeds riant betaald voor dit soort datasets, en er wordt nog steeds massaal data gehamsterd voor 'profielen' van alles en iedereen. Kan ik misschien gewoon 5.000 euro krijgen van een bedrijf dat ze me een keer een uurtje interviewen, en daarna me met rust laten? Zij blij want data, ik blij want geld, en daarna een stuk minder tracking. Hoeven ze niet overal koekjes bij de thee en website te serveren.
Reageer

Om te kunnen reageren moet je ingelogd zijn