Netwerkrouters van het Nederlands telecombedrijf Odido bevatten een stukje firmware waarmee routergegevens werden verzonden naar een Turks bedrijf voor analyse en AI-training.
Het zijn niet de beste maanden voor de Nederlandse telecomprovider Odido. Terwijl het bedrijf kampt met de nasleep van een datalek in februari, hangt al een nieuw privacyschandaal boven het hoofd. Een Nederlandse pentester ontdekte dat routers van het bedrijf netwerk- en apparaatgegevens verzamelt en doorstuurt naar Lifemote, een Turks bedrijf dat netwerkanalyses uitvoert en AI inzet om netwerkprestaties te verbeteren.
Pentester Sipke Mellema kwam tot de ontdekking door zijn eigen router, gefabriceerd door Zyxel, te rooten. In een LinkedIn-post schrijft hij dat hij door de ‘slechte beveiliging’ van de router, een vaak terugkerend probleem bij Zyxel-apparaten, tot in de mitm-logs te geraken. Daar ontdekte dat voor bepaalde gegevens TLS-certificaatvalidatie niet ingeschakeld was.
Die gegevens werden rechtstreeks naar Lifemote verzonden. Het gaat naast gegevens over het netwerkgebruik over persoonlijke data als namen van routers en interne netwerken, wifi-netwerken in de buurt, SSID’s en mac-adressen. Het doorsturen van de data leek niet het gevolg van een ongekende kwetsbaarheid, maar een stukje firmware dat om die specifieke reden op de router geïnstalleerd was.
Persoonsgegevens
Odido heeft inmiddels gereageerd en geeft toe ervan op de hoogte te zijn. “De data wordt gebruikt om problemen die de dienstverlening beïnvloeden te signaleren en op te lossen. We beperken de dataverzameling tot een minimum en gebruiken de data niet voor andere doeleinden dan het waarborgen van de servicekwaliteit”, zegt het Nederlandse bedrijf in een reactie aan Tweakers. Lifemote werd inmiddels van de routers verwijderd ‘voor verder onderzoek’.
Het nieuw brengt Odido opnieuw in nauwe schoenen. Vorige maand kreeg het bedrijf ongewenst bezoek van hackers, die gegevens van miljoenen klanten van het bedrijf publiek maakte. De Autoriteit Persoonsgegevens reageert via De Telegraaf dat het niet opgezet is met het doorspelen van routergegevens zonder medeweten van klanten. Mac-adressen vallen volgens de waakhond onder ‘identificeerbare persoonsgegevens’ omdat ze tot een bepaald persoon terug te brengen zijn.