Die niederländische Nationalpolizei (Politie) hat in einer Mitteilung vom Donnerstag erklärt, sie habe im Fall des Angriffs auf Odido „starke Hinweise“ auf die Beteiligung niederländischer Hacker gefunden. Konkret verweist die Polizei auf ein Telefonat mit dem Kundenservice des Telekommunikationsanbieters kurz vor dem Hack. In diesem Gespräch habe sich ein niederländisch sprechender Mann als IT-Mitarbeiter von Odido ausgegeben. Anschließend sei das Unternehmen per Phishing getäuscht worden; danach kam es laut Polizei zum Datendiebstahl.

Stan Duijf, Leiter des operativen Geschäfts der Nationalen Einheit für Ermittlungen und Interventionen, bezeichnete solche Untersuchungen als oft komplex und zeitaufwendig. Zugleich betonte er, dass Cyberkriminelle Spuren hinterließen. Im Zuge der Ermittlungen zum Angriff auf Odido seien zu mehreren Zeitpunkten Spuren gesichert worden, an denen das Ermittlungsteam weitergearbeitet habe.

Odido zählt zu den größten Telekommunikationsunternehmen der Niederlande und bietet Mobilfunk-, Breitband- und Fernsehdienste für Millionen Kunden im Land an. Als das Unternehmen den Vorfall am 12. Februar öffentlich machte, teilte es mit, dass Angreifer am 7. Februar auf das Kundenkontaktsystem zugegriffen hätten. Von dort seien personenbezogene Daten vieler Nutzer heruntergeladen worden.

Gegenüber lokalen Medien erklärte Odido zudem, dass das daraus resultierende Datenleck 6,2 Millionen Kunden betreffe. Die Angreifer hätten sich gemeldet und angegeben, Millionen von Nutzerdatensätzen entwendet zu haben. Welche Informationen offengelegt wurden, variiere laut Unternehmen je nach Kunde. Dazu könnten eine Kombination aus vollständigem Namen, Adresse und Wohnort, Mobilfunknummer, Kundennummer, E-Mail-Adresse, IBAN, Geburtsdatum sowie einzelne Identitätsangaben wie Pass- oder Führerscheinnummer und deren Gültigkeit gehören.

Nicht betroffen waren nach Angaben von Odido hingegen Gesprächsdaten, Standortdaten, sonstige Datennutzungsdaten, Abrechnungsdaten, Scans von Ausweisdokumenten oder Passwörter für „Mijn Odido“.

Eine eigene Zuschreibung des Angriffs hat Odido bislang nicht vorgenommen. Allerdings reklamierte die Erpressergruppe ShinyHunters den Vorfall auf ihrer Leak-Seite im Darknet für sich. Dort veröffentlichte die Gruppe ein 88-Gigabyte großes Archiv mit mehr als 15 Millionen Datensätzen, darunter Daten, die das Unternehmen bereits als bei dem Angriff offengelegt beschrieben hatte.

ShinyHunters wurde mit breit angelegten Vishing-Kampagnen gegen Konten mit Single Sign-on bei Okta, Microsoft und Google in Verbindung gebracht. Dabei gaben sich die Täter als Mitarbeiter des IT-Supports aus, um Beschäftigte dazu zu bringen, Anmeldedaten und Codes für die Mehrfaktor-Authentifizierung auf Phishing-Seiten einzugeben.

Nach erfolgreichen Zugriffen auf Unternehmenskonten für Single Sign-on stehlen die Angreifer laut Quelle Daten aus angebundenen SaaS-Anwendungen. Genannt werden unter anderem Microsoft 365, Google Workspace, Salesforce, SAP, Slack, Zendesk, Dropbox, Adobe und Atlassian. Die Gruppe wurde außerdem mit einer wachsenden Zahl von Sicherheitsverletzungen bei Unternehmen und Organisationen wie Google, Cisco, PornHub, Match Group, der Europäischen Kommission, Rockstar Games und McGraw-Hill in Verbindung gebracht. Ebenso soll sie hinter Sicherheitsvorfällen bei mehr als einem Dutzend Snowflake-Kunden, weiteren Drittanbieter-Integrationsdiensten und zuletzt einer neuen Serie von Angriffen auf mehr als 100 Organisationen gestanden haben, darunter die University of Nottingham, nachdem Datendiebstähle eine Zero-Day-Schwachstelle in Oracle PeopleSoft ausnutzten.