Odido hack treft miljoenen, AI als wapen en supply chain

Odido hack legt gegevens van miljoenen bloot

Telecomprovider Odido is getroffen door een omvangrijke cyberaanval waarbij criminelen toegang kregen tot een bestand met gegevens van 6,2 miljoen accounts. Het gaat om klanten van zowel Odido als dochtermerk Ben. De buitgemaakte informatie omvat namen, adressen, telefoonnummers, e-mailadressen, geboortedatums, rekeningnummers en zelfs nummers en geldigheidsdata van paspoorten of rijbewijzen. Per klant verschilt welke specifieke gegevens zijn gestolen.

De inbraak werd afgelopen weekend ontdekt, waarna direct een onderzoek is gestart met externe cyberbeveiligingsexperts. Volgens de eerste bevindingen zijn er geen wachtwoorden, factuurgegevens of belgegevens buitgemaakt. De Autoriteit Persoonsgegevens is geinformeerd en houdt toezicht op de afwikkeling. Getroffen klanten worden binnen 48 uur per e-mail geinformeerd door de provider.

Wat is het risico voor getroffen klanten? De gestolen combinatie van persoonsgegevens en identiteitsdocumenten maakt slachtoffers kwetsbaar voor gerichte phishing, identiteitsfraude en social engineering. Odido adviseert klanten om extra alert te zijn op onverwachte contactpogingen via e-mail, telefoon of berichtenapps. De identiteit van de aanvallers is nog niet bekendgemaakt en de data zijn voor zover bekend nog niet online gepubliceerd, maar toekomstige openbaarmaking kan niet worden uitgesloten.

Dit datalek onderstreept opnieuw hoe kwetsbaar grote organisaties zijn voor gerichte aanvallen. Met 6,2 miljoen getroffen accounts behoort dit tot de grootste datalekken in de Nederlandse telecomsector. Eerder zagen we vergelijkbare incidenten bij zorginstellingen en gemeenten die eveneens grote hoeveelheden persoonsgegevens verloren.

AI wordt ingezet als cyberwapen

Google's Threat Intelligence Group onthulde deze week dat door de staat gesteunde hackers uit China, Iran, Noord-Korea en Rusland het AI model Gemini actief misbruiken voor cyberaanvallen. De dreigingsactoren gebruiken Gemini voor alle fasen van een aanval, van verkenning en het opstellen van phishinglokmiddelen tot het ontwikkelen van command and control infrastructuur en het exfiltreren van data. Chinese groepen zoals APT31 gebruikten Gemini zelfs om kwetsbaarheidsanalyses te automatiseren, terwijl de Iraanse APT42 het platform inzette als ontwikkelomgeving voor op maat gemaakte malware.

Maar het zijn niet alleen staatsactoren die AI misbruiken. Onderzoekers van LayerX ontdekten een campagne waarbij meer dan 300.000 gebruikers slachtoffer werden van kwaadaardige Chrome extensies die zich voordeden als AI assistenten. Deze extensies, vermomd als tools zoals "Gemini AI Sidebar" en "AI Assistant", stalen inloggegevens, e-mailinhoud en browseinformatie. De meest populaire extensie had 80.000 installaties voordat deze werd verwijderd.

Daarnaast werden ChatGPT en Grok misbruikt om de Atomic macOS Stealer (AMOS) te verspreiden. Cybercriminelen plaatsten kwaadaardige instructies op officiele ChatGPT chatpagina's en in betaalde Google advertenties. Nietsvermoedende Mac gebruikers die zochten naar oplossingen voor veelvoorkomende problemen, werden verleid om terminalcommando's uit te voeren die malware installeerden. Een vergelijkbare aanpak werd gezien bij het ClawHavoc ecosysteem, waar aanvallers de skill marketplace van een populaire AI assistent vergiftigden met malware vermomd als legitieme tools.

De opmars van AI als aanvalsinstrument vormt een fundamentele verschuiving in het dreigingslandschap. Waar cybercriminelen eerder technische kennis nodig hadden, verlagen AI tools de drempel om overtuigende phishing te genereren, malware te ontwikkelen en detectie te omzeilen. Het rapport van Google benadrukt dat proactieve detectietechnieken en bewustwording bij gebruikers essentieel zijn om deze groeiende dreiging het hoofd te bieden.

Supply chain vergiftigd via vertrouwde kanalen

Onderzoekers van Palo Alto's Unit 42 onthulden een geavanceerde supply chain aanval via het updatemechanisme van Notepad++, een van de meest gebruikte teksteditors ter wereld. De dreigingsgroep misbruikte onvoldoende verificatiecontroles in de updater om verkeer om te leiden naar servers van de aanvallers. Gebruikers die hun software probeerden bij te werken, downloaden in plaats daarvan de Chrysalis malware, een backdoor die antivirusdetectie omzeilde door het Microsoft Warbird framework te misbruiken. De aanval trof organisaties in de cloud hosting, energiesector, financiele sector en overheid in Zuid-Amerika, de VS, Europa en Zuidoost-Azie. Notepad++ adviseert dringend om versie 8.9.1 te downloaden.

Op het NPM ecosysteem werd het kwaadaardige pakket "duer-js" ontdekt, vermomd als een legitieme tool voor consolezichtbaarheid. Na installatie steelt de malware, die zichzelf identificeert als "Bada Stealer", niet alleen gegevens maar kaapt ook de Discord desktopapplicatie. Gestolen informatie, waaronder wachtwoorden, creditcardgegevens en cryptocurrency wallet data, wordt via Discord webhooks naar de aanvallers gestuurd.

De Noord-Koreaanse Lazarus Group lanceerde ondertussen de "Graphalgo" campagne, gericht op cryptocurrency ontwikkelaars. Via nepvacatures op LinkedIn en Reddit werden ontwikkelaars verleid om codeertests uit te voeren met verborgen kwaadaardige dependencies op GitHub, npm en PyPI. Deze aanpak zet vertrouwde development workflows om in infectievectoren. In een ander geval werd de verlopen Vercel deployment van de Outlook add-in AgreeTo overgenomen door aanvallers, die vervolgens een phishingpagina laadden via de nog steeds actieve add-in in de Microsoft Marketplace. Meer dan vierduizend mensen vulden hun Microsoft inloggegevens in.

Supply chain aanvallen vormen een groeiend probleem omdat ze het vertrouwen misbruiken dat gebruikers en ontwikkelaars stellen in officiele kanalen. Of het nu gaat om softwareupdates, package managers of browserextensies, aanvallers zoeken voortdurend naar manieren om zich te nestelen in de tools die we dagelijks gebruiken. Dit thema zagen we eerder bij de Ivanti kwetsbaarheden waarmee de Autoriteit Persoonsgegevens werd gehackt.

Nederland worstelt met digitale afhankelijkheid

De discussie over digitale soevereiniteit laaide deze week opnieuw op. Demissionair minister Karremans stelde tijdens een Kamerdebat dat volledige onafhankelijkheid van Amerikaanse technologie "een illusie" is. Hij wees erop dat negentig procent van alle data in handen is van drie Amerikaanse cloudpartijen en dat de Europese interne markt onvoldoende alternatieven biedt. Het debat ging over de dreigende overname van Solvinity, de beheerder van onder andere DigiD. In het vorige journaal berichtten we al over de politieke zorgen rond deze overname. Het kabinet heeft inmiddels besloten nog geen besluit te nemen en de zaak verder te onderzoeken.

De Belastingdienst voegde daar een concreet voorbeeld aan toe, er is volgens de dienst geen Europees alternatief beschikbaar voor Microsoft 365. Zelfs als dat er zou zijn, zou de implementatie enkele jaren duren. De Belastingdienst koos in 2021 voor M365, toen de geopolitieke situatie anders was en digitale soevereiniteit minder zwaar woog. Kamerleden van GroenLinks-PvdA, D66 en Volt stelden kritische vragen over het feit dat fiscale informatie en rulings straks onder Amerikaanse surveillancewetgeving vallen. Ook de NS besloot automatisering deels uit te besteden aan een Amerikaans bedrijf, wat tot Kamervragen leidde.

Ondertussen waarschuwden Europese privacytoezichthouders voor plannen van de Europese Commissie om de AVG op meerdere punten af te zwakken. Brussel wil onder meer de definitie van persoonsgegevens aanpassen en verwerking van bijzondere persoonsgegevens toestaan voor AI training. Privacyactivist Max Schrems noemde de voorstellen geen "vereenvoudiging" maar een beperking van het recht op privacy voor EU burgers. In Nederland rees ook kritiek op Mitz, het nieuwe elektronisch patientendossier, waar brede toestemmingen en beperkte keuzevrijheid voor zorgen zorgen.

De spanning tussen digitale afhankelijkheid en nationale veiligheid groeit. Waar andere landen, zoals Rusland, radicaal kiezen voor controle (deze week blokkeerde Rusland WhatsApp door domeinrecords te verwijderen uit het nationale DNS), worstelt Nederland met een complexer dilemma, hoe bescherm je kritieke overheidsinfrastructuur zonder de operationele realiteit van Amerikaanse technologiedominantie te negeren?

De belangrijkste punten

- Odido hack, Gegevens van 6,2 miljoen klantaccounts gestolen, inclusief paspoort- en rijbewijsnummers
- AI als wapen, Google onthult dat staatsactoren uit vier landen Gemini misbruiken voor cyberaanvallen
- Nep AI extensies, Meer dan 300.000 Chrome gebruikers slachtoffer van malafide AI extensies die data stelen
- Notepad++ supply chain, Updatemechanisme misbruikt om Chrysalis malware te verspreiden in zes sectoren
- Digitale soevereiniteit, Minister noemt onafhankelijkheid van Amerikaanse tech "een illusie", Belastingdienst ziet geen M365 alternatief
- AVG onder druk, Europese privacytoezichthouders verzetten zich tegen plannen om definitie persoonsgegevens te wijzigen

Lees ook

► S02E18: 6 zero-days gedicht, Fancy Bear valt aan en strijd om DigiD - Achtergrond bij de Solvinity/DigiD discussie en de Microsoft Patch Tuesday zero-days
► S02E17: AP gehackt via Ivanti, meldkamers uit en Chinese spionage onthuld - Ook over supply chain kwetsbaarheden via Ivanti en Chinese spionage
► S02E16: Privacyboetes bij Nederlandse gemeenten en medische vertraging door datalek - Vergelijkbare datalekken bij overheidsinstanties
► S02E08: Fraude uit naam van Belgische koning en ransomwareclaim tegen KPMG - Eerder over AI beveiligingslekken en ransomware

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Bron: Cybercrimeinfo, ondezoeksteam