Odido stuurde jarenlang ongemerkt routergegevens van klanten door

Onlangs kwam Odido groot in het nieuws vanwege een enorme cyberaanval. Gegevens van miljoenen klanten kwamen daarmee op straat te liggen. Nu blijkt dat er al langer data vanuit de provider gelekt werd. En dat zou niet geheel onbewust zijn geweest.

Internetprovider Odido heeft blijkbaar al jaren gegevens van haar klanten gedeeld met anderen. Het gaat daarbij niet om legitimatiebewijzen, bankpassen of betaalinformatie, maar over gegevens die in de Odido routers vastgelegd is.

Het gaat om informatie die rechtstreeks uit de modems van gebruikers werd verzameld. Dit zijn onder andere de MAC-adressen van apparaten in het thuisnetwerk zoals een smartphone, smart apparaten, een laptop of een televisie.

Daarnaast werden ook de namen van apparaten verzonden. Dat kunnen bijvoorbeeld herkenbare namen zijn zoals ‘iPhone van XGN’ of ‘Televisie Game Room’. Hiermee kunnen andere makkelijk vaststellen wat voor apparaten er in huis zijn en waar ze staan.

Daarnaast is ook informatie over omliggende wifi-netwerken doorgestuurd. Routers verzamelden bijvoorbeeld de namen en MAC-adressen van wifi-netwerken van buren of andere netwerken in de buurt. Zelfs hotspots die gebruikers tijdelijk inschakelden op hun eigen telefoon konden in de verzamelde gegevens terechtkomen.

In het privacybeleid van Odido wordt vermeld dat MAC-adressen en apparaatgegevens uit modems kunnen worden verzameld. Wat daar alleen niet duidelijk in staat, is dat deze informatie ook met een externe partij in de Verenigde Staten werd gedeeld. In dit geval is dat het AI-bedrijf Lifemote.

Pas nadat er vragen werden gesteld door journalisten heeft de provider de software aangepast en is het doorsturen van deze gegevens gestopt.

Privacy-expertsvertellen dat ert met deze informatie niets gekocht worden of iets in die richting, maar er kan wel een profiel opgebouwd worden over de gebruiker. Daarmee kunnen weer gerichte advertenties getoond worden.

De Autoriteit Persoonsgegevens benadrukt dat MAC-adressen als persoonsgegevens worden gezien. Dat betekent dat organisaties zorgvuldig moeten omgaan met deze gegevens en ze niet zomaar mogen verzamelen of delen met andere partijen.

Of Odido moet staken met het verzamelen van de gegevens is niet duidelijk.