Had ItsSafe de mega hack bij Odido kunnen voorkomen?

DEN HAAG / UTRECHT – Terwijl de nasleep van het enorme datalek bij telecomprovider Odido voortduurt, rijst bij cybersecurity-experts de vraag: hoe kon een systeem met 6,2 miljoen klantgegevens toegankelijk zijn via slechts één gecompromitteerd medewerkersaccount? Volgens beveiligingsdeskundigen had het gebruik van ‘ItsSafe’-identificatie dit incident in de kern kunnen smoren.

Het onderzoek naar de hack van 7 februari jongstleden bevestigt dat aanvallers binnendrongen via het klantcontactsysteem. De aanvalsmethode – waarschijnlijk een gerichte phishing-actie of een session hijack – maakte misbruik van de zwakste schakel in de keten: de digitale identiteit van een medewerker.

De zwakte van de huidige barrière

In de huidige opzet van veel grote bedrijven, waaronder Odido, leunt de beveiliging vaak op traditionele inlogmethoden (gebruikersnaam/wachtwoord) gecombineerd met Multi-Factor Authenticatie (MFA) zoals een sms-code of een authenticator-app. “Hoewel dit veiliger is dan niets, zijn deze methoden nog steeds vatbaar voor diefstal,” aldus een onafhankelijk security-analist. “Bij een session hijack steelt de hacker de ‘digitale toegangssleutel’ nadat de medewerker al is ingelogd. De hacker loopt dan simpelweg de openstaande deur binnen.”

Hoe ItsSafe het scenario had veranderd

Als Odido gebruik had gemaakt van de ItsSafe-identificatietechnologie, gebaseerd op Zero-Knowledge Biometrics, was de hack volgens experts vrijwel onmogelijk geweest. De beveiliging werkt bij ItsSafe fundamenteel anders op drie cruciale punten:

Geen centraal opgeslagen wachtwoorden: ItsSafe werkt niet met wachtwoorden die gestolen kunnen worden. De toegang is cryptografisch gekoppeld aan de unieke biometrische kenmerken van de medewerker zelf. Zelfs als een hacker de inloggegevens van een medewerker in handen krijgt, heeft hij niets aan deze data zonder de fysieke, biometrische aanwezigheid van die specifieke persoon.
Onmogelijkheid van Phishing: Een medewerker kan niet per ongeluk zijn ‘biometrische sleutel’ weggeven aan een nepwebsite. Omdat ItsSafe gebruikmaakt van gedecentraliseerde identificatie, verlaat de biometrische data nooit het toestel van de medewerker. Er valt voor een hacker simpelweg niets te vissen.
Preventie van Session Hijacking: Waar traditionele systemen een sessie ‘vertrouwen’ zolang de browser openstaat, kan ItsSafe ingesteld worden op continue of frequente verificatie. Zodra de actieve sessie van de medewerker wordt overgenomen door een vreemd IP-adres of een onbekend apparaat, blokkeert het systeem direct. De hacker zou dan opnieuw de biometrische verificatie van de rechtmatige medewerker moeten doorlopen – een onmogelijke barrière voor een aanvaller op afstand.

De les voor de toekomst

De Odido hack legt een pijnlijk pijnpunt bloot in de Nederlandse telecomsector: het centraal opslaan van miljoenen klantgegevens in systemen die uiteindelijk afhankelijk zijn van de kwetsbaarheid van menselijke accounts.

ItsSafe biedt geen pleister op de wond, maar een volledig nieuwe huid,” besluit de expert. “Door de identificatie los te koppelen van centrale databases en te verankeren in de persoon zelf, transformeer je het klantcontactsysteem van een glazen huis naar een onneembare kluis. Voor bedrijven die de data van miljoenen burgers beheren, is de overstap naar dit soort Zero-Knowledge technologie niet langer een luxe, maar een bittere noodzaak.

Veelgestelde vragen over de Odido-hack en ItsSafe

Hoe zijn de hackers bij Odido binnengekomen? De hackers kregen toegang tot de gegevens van 6,2 miljoen klanten via een medewerkersaccount van het klantcontactsysteem. Dit gebeurde waarschijnlijk via een gerichte phishing-aanval of session hijacking, waarbij een crimineel een actieve, legitieme inlogsessie van een medewerker overneemt.

Welke gegevens zijn er precies buitgemaakt bij Odido? Er zijn namen, adressen, telefoonnummers, e-mailadressen, IBAN-nummers en de nummers van paspoorten of rijbewijzen gestolen. Er zijn géén wachtwoorden, belgegevens of foto’s/scans van identiteitsbewijzen buitgemaakt.

Waarom is traditionele MFA (zoals sms of apps) niet genoeg? Hoewel Multi-Factor Authenticatie veiliger is dan alleen een wachtwoord, zijn sms-codes en apps nog steeds gevoelig voor phishing. Bovendien biedt traditionele MFA vaak geen bescherming tegen session hijacking: zodra een medewerker is ingelogd, kan een hacker de actieve verbinding stelen zonder dat er opnieuw om een code wordt gevraagd.

Hoe had ItsSafe deze hack kunnen voorkomen? ItsSafe maakt gebruik van Zero-Knowledge Biometrics, waarbij toegang onlosmakelijk is verbonden aan de fysieke aanwezigheid van de medewerker. Omdat er geen wachtwoorden worden gebruikt, valt er niets te phishen. Daarnaast kan ItsSafe de toegang blokkeren zodra een sessie door een ander apparaat of vanaf een andere locatie wordt overgenomen.

Zijn de gegevens van oud-klanten van Odido, Ben en Simpel ook gestolen? Ja, uit de berichtgeving blijkt dat ook gegevens van oud-klanten die tot vijf jaar geleden een abonnement hadden bij Odido (of de voorlopers daarvan) zijn getroffen door dit datalek.

#OdidoHack #Datalek #CyberSecurity #ItsSafe #ZeroKnowledge #PrivacyByDesign #PhishingPreventie #TelecomNews

Vergelijkbare berichten

Nieuws | Niet gecategoriseerd

Aanmelden bij OneGate in België
DoorGert Suur 10 april 202410 april 2024

OneGate is een volledig beveiligde onlinetoepassing van de Nationale Bank van België . Deze toepassing stelt de ondernemingen in staat om de statistische aangiften online in te vullen, hetzij door de gegevens handmatig in te voeren, hetzij door bestanden op te laden. Opmerkingen: Aangiften die men in de testomgeving indient, worden nooit in behandeling genomen. Om…

Lees meer Aanmelden bij OneGate in België
Nieuws

De airco als verwarming
DoorGert Suur 23 september 202123 september 2021

Geld besparen door de airco als verwarming te gebruiken lijkt vreemd, maar het tegendeel is waar. Door ook gebruik te maken van een airco als verwarming kan je aanzienlijk op je energienota besparen. De airco als verwarming Het lijkt zo vanzelfsprekend. In de zomer als het warm is dan zet je de airco aan. In…

Lees meer De airco als verwarming
ItsSafe | Nieuws

Realtime gezichtsherkenning voor toegangscontrole
DoorGert Suur 6 augustus 20256 augustus 2025

In de wereld van hoogwaardige beveiliging, met name binnen ISPS-conforme omgevingen, is de vraag niet óf je identificeert, maar hoe je dat doet. Een opkomende discussie vergelijkt het gebruik van een vooraf gecertificeerd toestel, zoals een smartphone die met gezichtsherkenning is ontgrendeld, met een systeem dat personen in realtime bij het toegangspunt scant. Hoewel beide methoden biometrie gebruiken, biedt de realtime aanpak, zoals die van ItsSafe, een fundamenteel hoger en onmisbaar veiligheidsniveau.

Lees meer Realtime gezichtsherkenning voor toegangscontrole
Nieuws

Atmotube Pro een gadget of handig hulpmiddel?
DoorGert Suur 15 december 202215 december 2022

Atmotube Pro is een draagbare luchtkwaliteitsmeter en weerstation De Atmotube Pro van Atmo is een zeer slimme luchtkwaliteit monitor. Hij ontdekt binnen enkele seconden zelfs kleine veranderingen in de luchtkwaliteit. Deze zeer compacte luchtkwaliteitsmonitor en weerstation is dan ook uniek te noemen. In tegenstelling tot andere sensoren voor luchtkwaliteit die alleen bedoeld zijn voor het meten van…

Lees meer Atmotube Pro een gadget of handig hulpmiddel?
Nieuws

Achteraf betalen bij Dairiten
DoorGert Suur 14 maart 202114 maart 2021

Achteraf betalen in 3 stappen Bij Dairiten kun je achteraf betalen via Klarna. Zo wordt online shoppen bij Dairiten gemakkelijk en veilig. Stap 1: Je bestelt een product via de webshop zoals je gewend bent en kiest “Klarna pay later” als betaalmethode. Stap 2: Jouw bestelling wordt geleverd. Je kunt rustig de tijd nemen om te bepalen…

Lees meer Achteraf betalen bij Dairiten
ItsSafe

Veilige identificatie: Waarom wachtwoorden en toegangspassen niet meer volstaan.
DoorGert Suur 15 augustus 202515 augustus 2025

Dit nieuwsbericht over identificatie en authenticatie legt twee manieren uit: de ‘oude’ manier met wachtwoorden en de ‘nieuwe, veiligere’ manier met iets wat je hebt (zoals je telefoon) en iets wat je bent (zoals je gezichtsherkenning). De beste oplossingen, zoals ItsSafe, combineren deze methoden voor maximale veiligheid, en zijn daarbij ook AVG-compliant.

Lees meer Veilige identificatie: Waarom wachtwoorden en toegangspassen niet meer volstaan.