Föreställ dig att du en morgon vaknar och hittar ditt IBAN-nummer, passnummer och hemadress publicerade på dark webben. Det är verkligheten för miljontals kunder hos den nederländska telekomoperatören Odido och dess budgetmärke Ben.

Hackergruppen ShinyHunters har nu läkt ut hela datasetet - över 15 miljoner Salesforce-poster med fullständiga namn, adresser, e-post, telefonnummer, IBAN-nummer, passnummer, körkortsnummer och - trots Odidos tidigare förnekanden - klartext-lösenord.

Hur gick det till?

Intrånget upptäcktes den 7 februari. ShinyHunters krävde över en miljon euro för att hålla datan privat. När Odido vägrade inledde gruppen en daglig läckningskampanj - en miljon rader data per dag - för att pressa företaget tillbaka till förhandlingsbordet.

Odido uppgav initialt att 6,2 miljoner kunder var berörda. ShinyHunters hävdar att det verkliga antalet är närmare 21 miljoner. Dataintrångstjänsten Have I Been Pwned har nu lagt till datasetet i sitt arkiv.

Vad innebär det här för dig?

Med hemadresser, bankuppgifter och ID-handlingar ute på dark webben är risken för identitetsbedrägerier påtaglig. Angripare kan använda informationen för att öppna krediter, genomföra bankbedrägerier eller rikta sofistikerade phishing-attacker mot de drabbade.

Odidos VD har sagt att företaget inte förhandlar med kriminella - ett principfast ställningstagande, men ett som inte skyddar de miljoner kunder vars data redan är ute.

Lärdomarna för svenska företag

Det här är inte ett isolerat fall. Ransomware-grupper som ShinyHunters riktar sig systematiskt mot företag med stora kunddatabaser. Tre saker sticker ut i det här fallet: datan lagrades i klartext, intrånget gick oupptäckt under lång tid och företaget saknade en tydlig plan för hur man hanterar ett offentligt utpressningsförfarande.

Vill du veta hur väl skyddad din organisation är mot liknande attacker? Kontakta BlckIT för en säkerhetsgenomgång.