Het datalek bij Odido begon met phishing-mails naar klantenservicemedewerkers en eindigde met meer dan zeven miljoen records die uit Salesforce werden gehaald. Aanvallers verzamelden wachtwoorden en belden vervolgens medewerkers op met het verhaal dat ze van IT waren, waarna ze hen zover kregen om de tweede factor goed te keuren. Dat gaf toegang tot een systeem waarvan de schaal serieuze vragen opriep over hoe de toegangsrechten waren ingericht.
Zoals bij de meeste grote datalekken ging het niet om één ding dat misging. Het was een keten van fouten: authenticatie die met een telefoontje omzeild kon worden, toegang die mogelijk te breed was opgezet voor de betreffende rol en scraping die zo'n 48 uur doorliep voordat er werd ingegrepen. Dit artikel richt zich op het authenticatieproces, maar de Odido-zaak is een herinnering dat beveiligingsarchitectuur zo sterk is als de zwakste schakel.
Het begon met phishing. Aanvallers stuurden e-mails naar klantenservicemedewerkers die eruitzagen als interne communicatie. Die mails waren gericht op het binnenhalen van inloggegevens, zodat de aanvallers over geldige wachtwoorden beschikten voor de volgende stap.
Daarna volgden de telefoontjes. Aanvallers belden medewerkers en deden zich voor als de IT-afdeling van Odido. Een routinematig klinkend verzoek, kunstmatige urgentie en een simpele vraag: keur deze login goed of deel de verificatiecode.
Met geldige inloggegevens en een goedgekeurde tweede factor kregen de aanvallers toegang tot Odido's Salesforce CRM. Van daaruit konden ze gegevens van meer dan 7 miljoen records scrapen: 6,5 miljoen particulieren en ongeveer 600.000 bedrijven. Een volume dat vragen oproept over hoe breed de toegang was ingericht en hoe lang de scraping onopgemerkt bleef. De gestolen dataset, met daarin namen, adressen, IBAN-nummers en nummers van identiteitsbewijzen, werd door de ShinyHunters-groep in oplopende batches gepubliceerd nadat Odido weigerde losgeld te betalen.
Een veel voorkomende reactie is nóg een awareness-campagne. Herinner mensen eraan dat ze nooit codes mogen delen, nooit onverwachte login-prompts mogen goedkeuren, niet op verdachte links moeten klikken. Stuur een keer per kwartaal een test-phishingmail en houd bij wie erin trapt. Dat is verstandig, en het helpt.
Dit gaat niet over het beschuldigen van individuele medewerkers. Het diepere probleem is een model dat de last van een beveiligingsbeslissing bij mensen legt, en hen vervolgens in situaties plaatst die ontworpen zijn om vertrouwen en routine uit te buiten. Aanvallers hebben maar één persoon nodig die één keer niet oplet.
Of het nu een SMS-code is, een authenticator-app of een push notification: het onderliggende probleem is hetzelfde. Alles wat ingetypt, voorgelezen of onder druk ingedrukt kan worden, kan ook in handen van een aanvaller belanden. De factor zelf kan worden doorgegeven, en daar zit het probleem.
De vraag die het stellen waard is: hangt jouw authenticatie nog steeds af van iets dat een mens kan doorgeven?
Phishing-resistente MFA haalt het overdraagbare element er volledig uit. Geen code om voor te lezen, geen push notification om onder sociale druk goed te keuren. Authenticatie vindt plaats tussen het apparaat en de identity provider via een cryptografische uitwisseling die niet onderschept, doorgestuurd of gedicteerd kan worden via de telefoon.
Oplossingen zoals Okta FastPass gebruiken public-key cryptografie met origin verification. De authenticator controleert het domein van het verzoek en reageert niet op proxysites of nagemaakte pagina's. In een scenario zoals dat van Odido zou een phishing-pagina geen geldige authenticatie hebben getriggerd, hoe overtuigend die er ook uitzag.
Dat dekt de voordeur af. Device trust dekt het apparaat zelf: toegang kan worden beperkt tot beheerde hardware met cryptografische attestation via de TPM- of T2-chip. Credentials kunnen niet worden geëxporteerd of opnieuw worden afgespeeld vanaf een onbeheerde machine.
Dan is er nog wat er na het inloggen gebeurt. Session hijacking, waarbij een aanvaller een geldig session token steelt en opnieuw afspeelt, is een groeiende aanvalscategorie. In de meeste organisaties geeft één session token toegang tot e-mail, bestandsopslag, communicatietools en bedrijfskritische SaaS-platformen. Een gestolen token is daardoor meer waard dan een gestolen wachtwoord. Doorlopende session monitoring (Okta noemt dit Identity Threat Protection) houdt contextveranderingen in de gaten na authenticatie. Als een token plotseling opduikt op een onbeheerd apparaat, kan het systeem de toegang intrekken over alle gekoppelde applicaties voordat lateral movement begint.
Deze lagen versterken elkaar over de hele aanvalsketen. Social engineering faalt, omdat er niets overdraagbaars is om naar te vragen. Een gestolen credential is nutteloos zonder de juiste hardware. Een gekaapte sessie wordt opgemerkt en afgesloten.
Als het Odido-datalek je ertoe aanzet om je eigen setup te beoordelen, begin dan hier.
Controleer op welk type 2FA je organisatie daadwerkelijk vertrouwt.
Als het SMS-codes zijn, OTP's via een authenticator-app of push notifications die gebruikers zonder context kunnen goedkeuren, heb je hetzelfde structurele risico dat deze aanval mogelijk maakte. De factor zelf is de kwetsbaarheid.
Kijk vervolgens naar het device-beleid.
Zijn je kritieke applicaties toegankelijk vanaf elk apparaat, of alleen vanaf beheerde hardware met attestation? Als iemand zou kunnen inloggen vanaf een privélaptop, wordt device trust niet afgedwongen.
Controleer tot slot wat er na authenticatie gebeurt.
Als een session token geldig is totdat hij verloopt, zonder doorlopende contextcontroles, geeft een gestolen token een aanvaller een lang, onbewaakt tijdvenster.
Geen van deze punten is een snelle fix, maar het zijn de juiste vragen. De meeste organisaties van deze omvang weten dat hun authenticatie sterker kan. De uitdaging is meestal niet kennis maar prioritering, en dat verandert op het moment dat een datalek een geaccepteerd risico omzet in een voorpagina-incident. Deze vragen maken het verschil tussen hopen dat je medewerkers niet in de val trappen en een omgeving bouwen waarin het niet uitmaakt als dat wél gebeurt.