Odido-hack was resultaat van phishing: mens is zwakke schakel

6,2 miljoen klantdossiers zijn mogelijk buitgemaakt via geautomatiseerd scrapen. Het is het zoveelste voorbeeld van een datalek dat op papier sterk securitybeleid omzeilt. Hoe nu verder?

De aanvallers kwamen binnen door in te loggen op accounts van klantenservicemedewerkers. Het wachtwoord bemachtigden ze via succesvolle phishingpogingen. Bronnen melden dit aan de NOS.

Maar ze stopten niet bij die eerste stap. Nadat criminelen het wachtwoord hadden, belden ze de medewerkers op. Ze deden zich voor als de IT-afdeling van Odido en manipuleerden hen om de frauduleuze inlogpoging goed te keuren. Zo werd een extra beveiligingsstap omzeild die normaal ongeautoriseerde toegang blokkeert. Aangezien organisaties van een zeker formaat vaak de basis op orde hebben, moeten aanvallers listig zijn.

[....]