Het recente datalek bij telecomprovider Odido laat opnieuw zien hoe aantrekkelijk CRM-systemen zijn voor cybercriminelen. Het gaat daarbij niet om een op zichzelf staand incident. De afgelopen jaren zien beveiligingsonderzoekers wereldwijd een duidelijke trend: aanvallers richten zich steeds vaker op grote SaaS-platformen, zoals CRM-systemen, om in één keer grote hoeveelheden data buit te maken.
De aantrekkingskracht van CRM-platformen
Customer Relationship Management (CRM)-systemen vormen het hart van veel organisaties. Hier worden klantgegevens, contactinformatie, supportverzoeken en soms ook interne notities opgeslagen. Voor bedrijven is het een cruciaal hulpmiddel om klantrelaties te beheren, maar voor cybercriminelen is het vooral een centrale plek waar waardevolle data samenkomt.
Dat maakt een CRM-platform tot een bijzonder aantrekkelijk doelwit. Wie eenmaal toegang krijgt, kan vaak direct bij grote datasets met klantinformatie.
Niet het platform zelf, maar de toegang ernaartoe
Opvallend is dat veel recente incidenten niet ontstaan doordat het gebruikte CRM-platform zelf wordt gehackt. In plaats daarvan maken aanvallers gebruik van toegangsmiddelen zoals accounts, integraties of API-tokens.
Veel bedrijven koppelen hun CRM-systemen namelijk aan andere diensten, zoals marketingsoftware, analytics-tools of AI-toepassingen. Deze integraties werken vaak met zogenaamde OAuth-tokens of API-sleutels. Als zo’n token wordt buitgemaakt, kan een aanvaller soms data opvragen zonder opnieuw te hoeven inloggen met een wachtwoord.
Dat maakt deze integraties een aantrekkelijk aanvalspunt.
Identity is het nieuwe aanvalsoppervlak
Waar cyberaanvallen vroeger vaak gericht waren op servers en netwerken, verschuift de focus steeds meer naar digitale identiteiten. Accounts, tokens en API-sleutels zijn tegenwoordig vaak de sleutel tot systemen en data.
Volgens securityonderzoekers is dit een van de belangrijkste ontwikkelingen in de huidige cyberdreigingsomgeving. Als een aanvaller toegang krijgt tot een account met voldoende rechten, kan die soms ongemerkt grote hoeveelheden data exporteren via legitieme systemen.
Omdat dat verkeer op normaal gebruik kan lijken, kan het lastig zijn om zulke activiteiten snel te detecteren.
Een bredere trend sinds 2024
Incidenten rond grote SaaS-platformen zijn de afgelopen jaren vaker in het nieuws gekomen. Daarbij gaat het regelmatig om dataverzameling via gestolen accounts of misbruik van integraties, in plaats van klassieke hacks.
Die trend wordt versterkt doordat organisaties steeds meer bedrijfsprocessen naar cloudplatformen verplaatsen. Door deze gevaarlijke combinatie groeit ook het belang van goede beveiliging van identiteiten, toegangsrechten en externe koppelingen.
Wat organisaties kunnen doen
Volgens securityexperts ligt de sleutel tot betere bescherming vooral in het beter beheren en monitoren van digitale toegang.
Belangrijke maatregelen zijn onder meer:
- strengere controle op gekoppelde applicaties en integraties
- het beperken van toegangsrechten voor accounts en tokens
- betere monitoring van ongebruikelijke data-export of API-activiteit
- het regelmatig controleren en intrekken van ongebruikte integraties
Daarnaast wordt het steeds belangrijker om cyberdreigingen proactief te volgen via threat intelligence. Daarmee kunnen organisaties sneller reageren op nieuwe aanvalsmethoden die specifiek gericht zijn op cloudplatformen en SaaS-diensten.
De les: beveilig niet alleen systemen, maar ook toegang
Het incident bij Odido benadrukt dat moderne cyberaanvallen vaak draaien om toegang en identiteiten. In een wereld waarin bedrijfsdata steeds vaker in cloudplatformen staat, is het niet alleen belangrijk om systemen te beveiligen, maar ook om goed te controleren wie, én wat, er toegang toe heeft.
Voor organisaties betekent dat een verschuiving in cybersecurity: van het beschermen van infrastructuur naar het beschermen van digitale toegang.