Vragen over de Odido hack
20 maart 2026 - 11:43    reactie #175
geplaatst door: puk1980
Zo kan men bij Odido gedacht hebben dat het opvolgen van de aanbevelingen niet direct nodig waren omdat er bij Salesforce met man en macht aan een softwareoplossing gewerkt werd.
De oplossing zit niet aan de Salesforce kant (zoals beschreven in de link).

Hier ging het mis (aan de Odido kant):

Citaat
The hacker contacts the Odido employee via phone, spoofing legitimate IT support numbers. The Odido employee is directed to navigate to a fraudulent Identity Provider login page (i.e. not the standard login page) under the pretext of a security verification or system update. The phishing kit captures the username and password and notifies the attacker in real-time.
Vragen over de Odido hack
20 maart 2026 - 13:09    reactie #176
geplaatst door: sdequack
Duidelijk. En hoe komt de hacker aan 'legitimate IT support numbers'?
geen onderschrift
Vragen over de Odido hack
20 maart 2026 - 15:08    reactie #177
geplaatst door: boiing
Als het om mijn bedrijf zou gaan had ik je ze zo kunnen geven, die zijn niet echt geheim. Met andere woorden: dat lijkt me niet heel lastig..
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
20 maart 2026 - 19:15    reactie #178
geplaatst door: sdequack
Wat zijn het? Tickets?
geen onderschrift
Vragen over de Odido hack
20 maart 2026 - 19:20    reactie #179
geplaatst door: boiing
:wacko:
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
21 maart 2026 - 09:06    reactie #181
geplaatst door: sdequack
@puk1980, Je denkt dat het (neppe) tickets van Salesforce waren?

Ik denk dat de gemiddelde Odido medewerker niet bekend zal zijn met ondersteuning door Salesforce. Bij een dergelijk grote organisatie loop dat via de IT afdeling. Dat beperkt het aantal mogelijk slachtoffers voor de phishing al aanzienlijk.

Het houdt ook in dat alleen een groep medewerkers die het functioneel en technisch beheer heeft benaderd kan worden. Deze groep zal i.h.a. wat voorzichtiger zijn met het uit handen geven van hun credentials.

Dus hoe hebben de hackers zo iemand kunnen verleiden tot het afgeven daarvan? Chantage?
geen onderschrift
Vragen over de Odido hack
21 maart 2026 - 09:13    reactie #182
geplaatst door: boiing
Begrijp je het nou echt niet? De Odido medewerker werd gebeld door de eigen IT afdeling van Odido, met een (vervalst) telefoonnummer van die afdeling. Dat heeft niets met support-tickets of SalesForce te maken. De medewerker dacht dat hij een interne IT collega aan de lijn had en werd zo verleid in te loggen in het klantensysteem, en dat werd vervolgens onderschept middels een vervalste pagina.

Het knapste en moeilijkste aan dit soort hacks is meestal de 'social engineering' component.


Screenshot_20260321 _09.23.20@2x.jpgVragen over de Odido hack
Bewerkt: 21 maart 2026 - 09:24 door boiing
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
21 maart 2026 - 09:26    reactie #183
geplaatst door: puk1980
Dus hoe hebben de hackers zo iemand kunnen verleiden tot het afgeven daarvan? Chantage?
De techniek is al jaren oud en goed gedocumenteerd.

Zie bijvoorbeeld de boeken van Kevin Mitnick:
"The Art of Deception: Controlling the Human Element of Security" (2002)
"The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers" (2005)
Vragen over de Odido hack
21 maart 2026 - 11:38    reactie #184
geplaatst door: sdequack
@puk1980, interessante lectuur. Dank voor de link!

@boiing, telefonisch is toch ook wel lastig. Je moet dan wel behoorlijk wat afweten van de interne gang van zaken, een goed misleidingsplan hebben (ziel link van puk1980) en (vermoedelijk) ook goed Nederlands spreken.

En nee, ik begrijp het i.d.d. niet. Er komt immers toch wel heel wat bij kijken. Ik zou het i.i.g. niet kunnen.
geen onderschrift
Vragen over de Odido hack
21 maart 2026 - 11:51    reactie #185
geplaatst door: boiing
Je moet dan wel behoorlijk wat afweten van de interne gang van zaken, een goed misleidingsplan hebben (ziel link van puk1980) en (vermoedelijk) ook goed Nederlands spreken.
Het feit dat het gelukt is toont aan dat ze die drie zaken goed op orde hadden :wink:. Het is ook niet mijn vak, maar gezien de eerdere successen is ShinyHunters er aardig bedreven in.
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
21 maart 2026 - 11:59    reactie #186
geplaatst door: puk1980
En het jammere van het hele verhaal is dat dit al veel langer aan de gang was.

https://www.computable.nl/2025/09/18/salesforce-hack-door-shinyhunters-omvat-15-miljard-records/

Citaat
Meer dan 1,5 miljard Salesforce-records, van 760 bedrijven, zouden in de Salesforce-hack zijn gestolen. Het afgelopen jaar richtten de cybercriminelen zich op klanten van Salesforce en leidden die om de tuin via social engineering. Met kwaadaardige OAuth-applicaties – open authorization, een autorisatieframework om toepassingen te machtigen toegang te krijgen tot een resource – werden ze vervolgens gehackt. Met de gestolen data werden de organisaties vervolgens afgeperst.
Vragen over de Odido hack
21 maart 2026 - 13:19    reactie #187
geplaatst door: Flix
Dat goede Nederlands spreken, zal wel niet gelden. Er werken zoveel nationaliteiten bij grotere bedrijven, dat iemand van de IT afdeling die bv Engels met Indiaas accent spreekt, niet direct achterdocht zal oproepen.
Ons brein is dan ook een meester om elke rode vlag weg te redeneren -met in zo’n geval dmv bv bovengenoemd argument; wat dat betreft zijn wij ook collectief dom.

Ik heb niet alle linken doorgespit (dus misschien spreek ik voor mijn beurt), maar ik verwijt Salesforce, als mogelijke spil in elke potentiële hack, dat ze zich niet veel beter hebben bewapend tegen social engineering.
Vragen over de Odido hack
21 maart 2026 - 13:51    reactie #188
geplaatst door: puk1980
Ik verwijt Salesforce dat ze zich niet veel beter hebben bewapend tegen social engineering.

https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

Citaat
In all observed cases, attackers relied on manipulating end users, not exploiting any vulnerability inherent to Salesforce.

Het is lastig om je te bewapenen tegen invallen als je eigen medewerkers te overreden zijn om de sleutels van de voordeur af te geven (zonder dat ze dat zelf in de gaten hebben).

Zie voor de details de link.
Vragen over de Odido hack
21 maart 2026 - 13:53    reactie #189
geplaatst door: boiing
Dat goede Nederlands spreken, zal wel niet gelden.
"Onze persoon sprak vloeiend Nederlands", aldus ShinyHunters zelf in een interessant NRC interview met de hackersgroep.

Als ze zwakheden zien waartegen ze menen te moeten waarschuwen, konden ze misschien beter ook e.e.a. in hun software aanpassen.
Nog even hierover: ik begrijp wat je bedoelt, maar een aantal van de beveiligingen die SalesForce zelf adviseerde aan hun klanten zijn volgens mij geen vinkjes in de software van SalesForce. Dat heeft meer met netwerkinstellingen en andere zaken te maken die een zichzelf respecterende IT afdeling gewoon op orde had moeten hebben. Zéker als je weet (zie link puk1980 in reactie #186) dat SalesForce al vaker gehackt was. Onbegrijpelijk dat je dan niet de eerder genoemde maatregelen hebt genomen en adviezen opgevolgd. Je zou denken dat dat de core business is van een IT afdeling bij een groot bedrijf. Blijkbaar niet bij Odido.

Tegen social engineering is het lastig verdedigen zoals puk1980 hierboven zegt. Vroeg of laat heb je beet. Maar er waren wel allerlei technische mogelijkheden en andere beveiligingen om het downloaden van de miljoenen gegevens te voorkomen. Als dat was gebeurd was er niets aan de hand geweest, zelfs na het ompraten van de medewerker.
Bewerkt: 21 maart 2026 - 17:29 door boiing
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
21 maart 2026 - 14:36    reactie #190
geplaatst door: sdequack
Zijn die adviezen niet softwarematig af te dwingen? B.v. die multifactor autorisatie?
geen onderschrift
Vragen over de Odido hack
21 maart 2026 - 15:17    reactie #191
geplaatst door: boiing
Wellicht, maar ik zie een eventueel verwijt aan SalesForce toch anders. SalesForce levert een tool, een stuk software. Daar zit een handleiding bij en er worden adviezen en veiligheidswaarschuwingen gegeven. Net als bij macOS en heel veel vergelijkbare zaken is het aan de klant of gebruiker om daar verstandig mee om te gaan. Misschien gebruiken sommige klanten SalesForce alleen intern, misschien zijn er wel andere redenen te noemen waarom in bepaalde gevallen bepaalde beveiligingen niet nodig zijn.

Waar het hier om gaat is dat dát toch de verantwoordelijkheid van een IT afdeling is? Die horen toch elke ochtend als eerste te checken of er nog nieuwe adviezen of waarschuwingen van toepassing zijn voor de software die ze gebruiken? Dat is toch hun vak om zich daar mee bezig te houden?! Ik kan er werkelijk met mijn verstand niet bij dat ze allerlei zaken hebben nagelaten te implementeren. Eén enkel account van één klantenservicemedewerker mag natuurlijk nooit de bevoegdheid hebben om alle data van alle Nederlanders in korte tijd uit het systeem te trekken. Dat kan een 10-jarige nog bedenken.. Maar ik val in herhaling geloof ik :sigh:.
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
21 maart 2026 - 15:21    reactie #192
geplaatst door: puk1980
Zijn die adviezen niet softwarematig af te dwingen? B.v. die multifactor autorisatie?
Zoals eerder gequote uit het Salesforce artikel:

Het advies is om hardwarematige (phishing-resistant) oplossingen te gebruiken.

Citaat
Examples of phishing-resistant standards include:

(*) FIDO2/WebAuthn hardware keys (e.g., YubiKey, Google Titan)
(*) Platform authenticators (e.g., Windows Hello, Apple FaceID/TouchID)
(*) Certificate-based authentication (e.g., Smart Cards)
Vragen over de Odido hack
21 maart 2026 - 15:26    reactie #193
geplaatst door: puk1980
Eén enkel account van één klantenservicemedewerker mag natuurlijk nooit de bevoegdheid hebben om alle data van alle Nederlanders in korte tijd uit het systeem te trekken.
Net als anderen hier op het forum waarschijnlijk worden de laatste jaren bij mij op het werk hoe langer hoe meer IAM ("Identity and Access Management") sloten geplaatst op informatie waar ik voorheen zonder probleem bij kon. Dat is soms irritant en tijdrovend, maar als je dit soort topics leest snap je weer waarom dat helaas nodig is.
Vragen over de Odido hack
21 maart 2026 - 22:10    reactie #194
geplaatst door: sdequack
Het advies is om hardwarematige (phishing-resistant) oplossingen te gebruiken.
Precies. En het gebruik ervan is m.i. softwarematig af te dwingen.

@boiing, ik ga ervan uit dat bij de IT afdeling niet alleen sukkels werken zoals jij dat nu doet voorkomen. In een grote organisatie verloop alles wat trager dan bij een eenmanszaak en is het ook een kwestie van middelen.
geen onderschrift
Vragen over de Odido hack
21 maart 2026 - 22:15    reactie #195
geplaatst door: boiing
.. ik ga ervan uit dat bij de IT afdeling niet alleen sukkels* werken zoals jij dat nu doet voorkomen.
Vooralsnog hebben ze de schijn tegen bij Odido. Maar als jij feiten hebt die het tegendeel bewijzen hoor ik het graag :biggrin:.

De basic maatregelen qua bevoegdheden van accounts, voorkomen van downloaden van grote hoeveelheden data, IP range checks bij inloggen en monitoren van uitgaand netwerkverkeer hebben niets met traagheid in een grote organisatie te maken. Die technieken bestaan al tientallen jaren.


* EDIT: En voor de goede orde: het woord 'sukkels' kwam niet van mij. Ik ga er altijd vanuit dat iedereen in een groot bedrijf zijn/haar best doet en niet met opzet slecht werk levert. Dat de IT afdeling van Odido hier gefaald heeft ligt aan de organisatie, de prioriteiten, personeelstekort, bedrijfscultuur, de focus vanuit het management of wat voor reden dan ook. Niet omdat er sukkels werken.
Bewerkt: 22 maart 2026 - 07:46 door boiing
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
25 maart 2026 - 17:37    reactie #196
geplaatst door: boiing
Citaat
Het Centraal Justitieel Incassobureau meldt dat er de afgelopen weken duizenden meldingen van nepverkeersboetes zijn binnengekomen. Mensen ontvingen die valse boetes via e-mail of sms. Mogelijk is er een link met de recente hack van Odido, waarbij veel klantgegevens op straat zijn beland.
https://www.nu.nl/binnenland/6390422/duizenden-neppe-verkeersboetes-in-omloop-mogelijk-verband-met-odido-hack.html
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
25 maart 2026 - 17:59    reactie #197
geplaatst door: Flix
Kan een verband zijn, hoeft niet.
Want het is ook niks nieuws, of bijzonders, deze manier van scammen.

Nog even over Salesforce; ik heb er zelf een tijdje mee mogen werken, en vond het behoorlijk prettige, werkbare software.. Juist zo prettig omdat er voor mijn gevoel niet al te veel veiligheidsobstakels waren ingebouwd.
Dus ik ben niet overtuigd van alleen maar goede wil aan hun kant, en dommigheid aan de Odido kant.
Vragen over de Odido hack
25 maart 2026 - 18:04    reactie #198
geplaatst door: boiing
Kan een verband zijn, hoeft niet.
Zeker, mee eens. Ik werd getriggerd door:

Citaat
NU.nl-economieredacteur Tim Wijkman van Aalst ontving een nepboete op zijn e-mailadres dat hij uitsluitend gebruikte voor zijn klantaccount bij Odido.
Dat is nog steeds slechts 1 feit maar als het echt waar is wel relevant.
The amount of energy needed to refute bullshit is an order of magnitude bigger than that needed to produce it (Brandolini's Law)
Vragen over de Odido hack
25 maart 2026 - 18:14    reactie #199
geplaatst door: Ome Kor
Tel er nog maar één bij. Hier ook bij het e-mailadres dat ik bij Odido gebruik en waar nu na de hack allerlei phishing mails binnenkomen, waaronder die van het CJIB.