Wat is er gebeurd?
Half februari 2026 bevestigde de Nederlandse telecomprovider Odido (voorheen T-Mobile Nederland) een grootschalig datalek dat circa 6,2 miljoen klanten treft — hoewel de aanvallers zelf beweren dat het om 8 miljoen klanten gaat. De aanval werd uitgevoerd door ShinyHunters, een bekende cybercriminele groep die eerder organisaties als TicketMaster en diverse luxe modemerken heeft aangevallen.
Hoe kwamen de hackers binnen?
De aanvalsvector was geen geavanceerde zero-day exploit of malware. In plaats daarvan gebruikte ShinyHunters een combinatie van phishing en social engineering — het manipuleren van mensen in plaats van het doorbreken van technische verdedigingen.
De aanvallers zetten overtuigende nep-inlogpagina's op die de interne systemen van Odido nabootsten en benaderden klantenservicemedewerkers via telefoontjes en berichten. Minstens twee medewerkers werden misleid om hun inloggegevens in te voeren op deze frauduleuze pagina's. Zodra de aanvallers geldige medewerkerscredentials hadden, kregen ze toegang tot de Salesforce-omgeving van Odido — het cloudgebaseerde CRM-platform waar klantgegevens werden opgeslagen en beheerd.
Van daaruit konden de aanvallers enorme hoeveelheden klantgegevens exfiltreren. Een cruciale factor was dat individuele klantenservice-accounts kennelijk veel te brede toegang hadden tot de database — een schending van het principe van least privilege dat elke medewerker had moeten beperken tot alleen de gegevens die nodig waren voor hun huidige taak.
Welke gegevens zijn gestolen?
De gestolen gegevens omvatten naar verluidt: volledige namen en adressen, telefoonnummers, e-mailadressen, geboortedata, paspoort- en ID-nummers, en plaintext wachtwoorden. Deze plaintext wachtwoorden lijken de mondelinge verificatiecodes te zijn die Odido-klanten gebruiken bij telefonisch contact met de klantenservice om accountwijzigingen goed te keuren — opgeslagen zonder fatsoenlijke hashing of versleuteling.
De losgeldeis en het datalek
Op 24 februari 2026 gaf ShinyHunters een publiek ultimatum: Odido had tot donderdagochtend om een zevencijferig losgeldbedrag in Bitcoin te betalen, anders zou alle gestolen klantdata worden gepubliceerd en vrij downloadbaar worden gemaakt. Meldingen wijzen erop dat sommige gegevens al circuleren, waarbij getroffen klanten een toename melden van gerichte spam- en phishingpogingen.
Wat doet Odido?
Odido heeft de Autoriteit Persoonsgegevens op de hoogte gesteld en getroffen klanten geïnformeerd. Het bedrijf heeft verklaard dat het "de beveiligingsmaatregelen aanscherpt" en biedt getroffen klanten gratis antivirusabonnementen en servicevouchers aan. Echter, Odido heeft ook controversieel verklaard dat klanten hun contracten niet vroegtijdig kunnen opzeggen vanwege het datalek — een standpunt dat veel publieke kritiek heeft geoogst.
Beveiligingsexperts en het publiek zijn kritisch over de reactie van Odido, met name wat betreft de opslag van plaintext wachtwoorden, de te brede datatoegang voor klantenservice-accounts en het schijnbaar bewaren van klantgegevens (waaronder paspoortnummers) langer dan juridisch noodzakelijk.
Hoe kun je jezelf beschermen als je getroffen bent?
Als je een (voormalige) Odido-klant bent, neem dan onmiddellijk de volgende stappen:
- Wijzig direct je Odido-accountwachtwoord en verander de mondelinge beveiligingscode die je gebruikt bij telefonisch contact met de klantenservice.
- Schakel SMS-gebaseerde multi-factor authenticatie (MFA) in op je Odido-account voor een extra beveiligingslaag.
- Als je hetzelfde wachtwoord elders hebt gebruikt, wijzig het daar ook — hergebruik nooit wachtwoorden.
- Wees extra alert op phishing-e-mails, telefoontjes en sms-berichten. Criminelen hebben nu je persoonlijke gegevens en zullen deze gebruiken om legitiem over te komen.
- Overweeg een nieuw paspoort of identiteitskaart aan te vragen, aangezien je documentnummers in handen van criminelen kunnen zijn. Dit kan worden gebruikt voor identiteitsfraude.
- Monitor je bankrekeningen en controleer je kredietrapportages op ongebruikelijke activiteit. Stel transactiemeldingen in bij je bank.
- Wees voorzichtig met iedereen die belt en beweert van Odido, je bank of een overheidsinstantie te zijn — verifieer hun identiteit onafhankelijk door terug te bellen op het officiële nummer.
- Meld verdachte activiteit bij de politie en bij de Fraudehelpdesk (fraudehelpdesk.nl).
Lessen voor organisaties
Het Odido-datalek is een schoolvoorbeeld van hoe menselijke fouten, gecombineerd met ontoereikende toegangscontroles en databeheer, tot catastrofale gevolgen kunnen leiden. Belangrijke lessen voor elke organisatie:
- Implementeer het principe van least privilege — medewerkers mogen alleen toegang hebben tot de gegevens die ze nodig hebben voor hun specifieke taak.
- Zet phishing-bestendige MFA in zoals hardware beveiligingssleutels (FIDO2/WebAuthn) in plaats van alleen te vertrouwen op wachtwoorden en SMS-codes.
- Voer regelmatig security awareness-trainingen uit met realistische phishingsimulaties.
- Sla wachtwoorden of beveiligingscodes nooit op in plaintext — gebruik altijd goede hashing-algoritmen zoals bcrypt of Argon2.
- Implementeer monitoring van datatoegang en anomaliedetectie om ongebruikelijke bulk-datatoegangspatronen te signaleren.
- Controleer en handhaaf dataretenitebeleid — bewaar gevoelige gegevens niet langer dan wettelijk vereist.
Dit datalek onderstreept een cruciale waarheid in cybersecurity: de meest geavanceerde verdedigingen betekenen niets als het menselijke element niet wordt aangepakt. Social engineering blijft een van de meest effectieve aanvalsvectoren, en organisaties moeten net zoveel investeren in hun mensen als in hun technologie.