Odido data op straat, AI hackt overheden en Chinese spionage

Odido klantgegevens staan op straat

In het vorige journaal meldden we dat ShinyHunters miljoenen euro's losgeld eiste van Odido. Inmiddels is het ultimatum verlopen en zijn de gegevens daadwerkelijk gepubliceerd. Volgens de NOS gaat het in de eerste publicatie om data van 430.000 particuliere klanten en 290.000 zakelijke klanten. Een dag later publiceerde de groep opnieuw een deel van de gestolen gegevens. De data bevat persoonsgegevens, contactinformatie, IBAN nummers en contractdetails die nu vrij toegankelijk zijn op het darkweb.

Daarbovenop onthulde de NOS dat de hackers ook gevoelige klantnotities hebben buitgemaakt. Het gaat om interne aantekeningen die Odido medewerkers maakten tijdens klantcontact, met details over persoonlijke situaties en klachten. Odido was hiervan niet op de hoogte totdat de NOS contact opnam. Dit maakt het datalek aanzienlijk ernstiger dan aanvankelijk werd aangenomen, omdat deze informatie zich leent voor gerichte social engineering aanvallen.

Stan Duijf van de Nationale Politie adviseerde bedrijven publiekelijk om niet te betalen bij afpersing door cybercriminelen. De weigering van Odido past in een bredere trend. Uit het jaarrapport van Chainalysis blijkt dat het aandeel bedrijven dat ransomware losgeld betaalt in 2025 is gedaald naar 28 procent. Het betalen van losgeld stimuleert het verdienmodel van criminele groepen en biedt geen garantie dat de data daadwerkelijk wordt verwijderd.

Ondertussen blijkt ShinyHunters onderdeel van een grotere structuur. De supergroep SLH, een samenwerkingsverband van ShinyHunters, LAPSUS$ en Scattered Spider, rekruteert actief vrouwen voor phishing via de telefoon. Volgens Dataminr worden per telefoontje bedragen van 500 tot 1.000 dollar betaald. De vrouwen worden ingezet voor voice phishing, waarbij slachtoffers worden overtuigd om inloggegevens of verificatiecodes te delen. Het toont aan dat cybercrime steeds meer georganiseerd opereert als een bedrijfstak.

AI wordt het favoriete gereedschap van hackers

Een hacker heeft het AI model Claude van Anthropic misbruikt om 150 gigabyte aan gegevens van de Mexicaanse overheid te stelen. Beveiligingsbedrijf Gambit Security onthulde dat de aanvaller het taalmodel inzette om kwetsbaarheden te vinden in overheidssystemen zoals de Mexicaanse belastingdienst SAT en het kiesinstituut INE. De campagne liep van december 2025 tot januari 2026. De hacker gebruikte Claude om systematisch beveiligingslekken op te sporen, exploits te genereren en de gestolen data te organiseren.

Kali Linux, de meest gebruikte distributie voor penetratietesten, heeft Claude AI via het Model Context Protocol (MCP) geintegreerd. Beveiligingsonderzoekers kunnen nu tijdens het testen direct vragen stellen aan het AI model over kwetsbaarheden en aanvalsvectoren. Hoewel bedoeld voor legitieme beveiligingsaudits, verlaagt de integratie ook de drempel voor minder ervaren aanvallers om geavanceerde technieken toe te passen.

Onderzoekers van Orca Security ontdekten een kwetsbaarheid in GitHub Copilot genaamd RoguePilot. Via een techniek die passive prompt injection wordt genoemd, kan een kwaadaardig GitHub issue de AI assistent manipuleren wanneer een ontwikkelaar een Codespace opent. De aanvaller kan zo een bevoorrecht GITHUB_TOKEN laten lekken en de volledige repository overnemen, zonder dat het slachtoffer iets hoeft te klikken of te bevestigen. Het onderzoek toont aan dat AI assistenten voor softwareontwikkeling een nieuw aanvalsoppervlak vormen.

Check Point Research publiceerde bevindingen over twee kwetsbaarheden in Claude Code, de programmeertool van Anthropic. CVE-2025-59536 en CVE-2026-21852 maakten het mogelijk om via gemanipuleerde projectbestanden ongeautoriseerde opdrachten uit te voeren. Anthropic heeft beide kwetsbaarheden inmiddels verholpen. De ontdekkingen benadrukken dat ook AI hulpmiddelen voor ontwikkelaars kwetsbaar zijn voor misbruik.

Chinese spionage bedreigt digitale soevereiniteit

Google onthulde een Chinese cyberspionagecampagne die bijna tien jaar onopgemerkt bleef. De dreigingsgroep UNC2814 compromitteerde 53 organisaties, waaronder telecombedrijven en overheidsinstellingen, in 42 landen. De aanvallers gebruikten een backdoor genaamd GRIDTIDE die via Google Sheets communiceerde, waardoor kwaadaardig verkeer eruitzag als normaal cloudgebruik. Het Threat Intelligence team van Google beschrijft de operatie als een van de meest verstrekkende spionagecampagnes die ooit is ontdekt.

De Autoriteit Consument en Markt (ACM) keurde de overname goed van Solvinity door het Amerikaanse Kyndryl. Solvinity beheert kritieke overheidsdiensten waaronder DigiD en MijnOverheid. Ondanks eerdere zorgen in de Tweede Kamer over de afhankelijkheid van buitenlandse partijen voor deze diensten, oordeelde de ACM dat de overname geen mededingingsproblemen oplevert. De kwestie raakt direct aan de digitale soevereiniteit van Nederland.

Kamerlid Van den Berg van JA21 stelde vragen over een mogelijke killswitch in Chinese bussen van fabrikant Yutong die door Arriva in het openbaar vervoer worden ingezet. De vrees is dat de fabrikant op afstand de voertuigelektronica kan beinvloeden. Soortgelijke zorgen bestaan in meerdere Europese landen over Chinese technologie in kritieke infrastructuur. De vragen sluiten aan bij een bredere discussie over de risico's van Chinese hardware in Europese netwerken en transportsystemen.

Onderzoekers van Censys en Reporters Without Borders (RSF) brachten de Wit-Russische spyware ResidentBat in kaart, die wordt gelinkt aan de KGB van Wit-Rusland. Opvallend is dat vijf van de tien command and control servers in Nederland staan. De malware wordt ingezet voor het bespioneren van activisten en dissidenten. Dat een aanzienlijk deel van de infrastructuur via Nederlandse servers loopt, roept vragen op over de rol van Nederlandse datacenters bij buitenlandse inlichtingenoperaties.

De belangrijkste punten

- Odido klantgegevens gepubliceerd, data van honderdduizenden klanten staat op het darkweb na verlopen ultimatum van ShinyHunters

- Politie adviseert niet te betalen, Stan Duijf van de Nationale Politie waarschuwt bedrijven tegen losgeld bij cyberafpersing

- Claude AI misbruikt voor overheidshack, een hacker stal 150 gigabyte aan Mexicaanse overheidsdata met behulp van het taalmodel

- Chinese spionagegroep bespioneerde 53 organisaties, de campagne van UNC2814 bleef bijna tien jaar onopgemerkt in 42 landen

- ACM keurt Solvinity overname goed, de beheerder van DigiD en MijnOverheid komt in handen van het Amerikaanse Kyndryl

- SLH rekruteert vrouwen voor telefonische oplichting, het samenwerkingsverband van ShinyHunters, LAPSUS$ en Scattered Spider betaalt tot 1.000 dollar per telefoontje

Lees ook

- S02E24: ShinyHunters eist miljoenen, AI breekt door in 27 seconden - Het vorige hoofdstuk van de Odido saga en de AI doorbraak in 27 seconden

- S02E23: AI kraakt 600 firewalls, beurzen dalen en Odido escaleert - Hoe de Odido saga begon te escaleren en AI werd ingezet om honderden firewalls te compromitteren

- S02E21: AI vergiftigt geheugen, Odido soap groeit en LockBit 5.0 - De groei van het Odido datalek en AI als manipulatiewapen

- S02E19: Odido hack treft miljoenen, AI als wapen en supply chain - Het begin van het Odido datalek en de eerste signalen van AI als aanvalswapen

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn