De eerste analyses van de hack bij Odido bevestigen wat we vaker zien: phishing en social engineering leidden tot het compromitteren van een medewerkersaccount. Multifactor authenticatie (MFA) werd omzeild. Het resultaat? Gegevens van 6,2 miljoen klanten op straat.
Maar laten we eerlijk zijn: de kern van het probleem was niet dat iemand binnenkwam.
Het probleem was wat diegene vervolgens kon doen.
– De voordeur op slot, de gehele kluis open
– MFA is vandaag de dag een basismaatregel. Maar MFA beschermt alleen de toegang – niet de impact.
– Als één account miljoenen klantgegevens kan exporteren zonder aanvullende controles, dan is er meer aan de hand.
De Odido-casus legt drie structurele zwaktes bloot:
– Geen Least Privilege: Waarom had dit account überhaupt de rechten om miljoenen records te exporteren?
– Geen actieve monitoring op afwijkend gedrag: Waarom werd een bulkexport niet direct gedetecteerd en geblokkeerd?
– Gebrekkige Identity Governance: Waarom werd dit exportrecht niet behandeld als hoog-risico privilege dat periodiek herbeoordeeld moet worden?
– Laatste stand van identiteitscontrole: Waarom werd niet gebruikt van KYC op privacy-vriendelijke wijze?
We hebben jarenlang gefocust op de vraag: “Wie komt er binnen?”
Maar de echte vragen zijn: “Wat kan iemand aanrichten zodra hij binnen is?” en “Hoe kan ik de identiteit verifieren van iemand die inlogt?”
Wat als we dit anders organiseren?
De EUDI-wallet (European Digital Identity Wallet) is interessant voor organisaties als middel om klanten zich online te identificeren maar ook sterk te authenticeren.
Stel je voor dat:
– Een paspoort, rijbewijs of identiteitsbewijs wordt digitaal geverifieerd in je eigen kluis en niet (deels) achtergelaten.
– Exportrechten niet permanent op een account staan, maar als tijdgebonden, verifieerbare bevoegdheid worden uitgegeven.
– Een bulkdownload van miljoenen records altijd een extra, cryptografisch ondertekende goedkeuring vereist.
– Hoog-risico-acties standaard worden gekoppeld aan context, logging en herbevestiging.
– Privileges automatisch verlopen en periodiek expliciet opnieuw moeten worden toegekend.
Dan verandert identiteit van een statische sleutel in een dynamisch controlemechanisme.
We kunnen dus niet langer zeggen: “We hebben MFA, dus we zitten goed.”
De grootste kwetsbaarheid zit niet in authenticatie, maar in autorisatie en privilegebeheer. Zolang één gecompromitteerd account miljoenen records kan exporteren, is het niet de vraag óf het misgaat — maar wanneer.
Misschien moeten we stoppen met het bouwen van dikkere voordeuren
en beginnen met het beveiligen van de kluis, of beter nog jouw kluis.
Is jouw organisatie al klaar voor contextgebonden, tijdelijke privileges in plaats van permanente toegangsrechten?
Wat leert de Odido-hack ons écht over digitale identiteit?
