Wat is er gebeurd bij Odido?
De hackersgroep “ShinyHunters” heeft toegang verkregen tot miljoenen gegevens van Odido. Zij hebben gedreigd om deze gevoelige gegevens te lekken/openbaar te publiceren als Odido geen losgeld betaald. Dit noem je een ransomware-aanval. Odido heeft in samenspraak met o.a. de politie besloten om geen losgeld te betalen. De cybercriminelen hebben dan ook op 1 maart 2026 alle miljoenen klantgegevens online gezet. De politie en Odido doen (strafrechtelijk) onderzoek naar hoe dit heeft kunnen gebeuren.
Waarom Odido geen losgeld betaald? Omdat ze niet het verdienmodel van cybercriminelen willen stimuleren. Als niemand meer betaald, zal deze vorm van criminaliteit hopelijk niet meer lonen. Daarnaast weet je nooit of ze zich houden aan de afspraken, vaak wordt de data alsnog gelekt of doorverkocht, nu, of over een paar jaar.
Welke gegevens kunnen zijn gelekt?
De gegevens van ruim 6,5 miljoen personen en 600.000 bedrijven zijn online gelekt. Het gaat onder meer om namen, adressen, geboortedata, e-mailadressen, telefoonnummers, wachtwoorden, rekeningnummers en nummers van ID-bewijzen, zoals paspoortnummers en rijbewijsnummers.
Ook nog gevoeligere gegevens zijn gelekt zoals: identiteitsbewijzen van diplomaten en ambassadepersoneel. Van sommige mensen is ook hun burgerservicenummer (BSN) gelekt. Daarnaast zijn aantekeningen van medewerkers over klanten buitgemaakt, bijvoorbeeld over stalking, huiselijk geweld of schulden.
Daarnaast zijn ook oud-klanten getroffen die al jaren geen abonnement meer hebben bij Odido óf dochterbedrijf Ben. De Autoriteit Persoonsgegevens (AP) doet ook onderzoek waarom de telecomprovider persoonsgegevens van (voormalige) klanten langer bewaart dan noodzakelijk is, wat in strijd kan zijn met de Algemene Verordening Gegevensbescherming (AVG).
Wat betekent dit voor jou als klant?
Het belangrijkste als klant of oud-klant van Odido of dochterbedrijf Ben is dat kwaadwillenden aan de haal kunnen gaan met deze gelekte data. Hoe meer informatie cybercriminelen hebben, hoe gerichter zij een cyberaanval kunnen uitvoeren. Bijvoorbeeld een phishing-aanval via e-mail, maar ook telefoon. Denk aan cybercriminelen die zich voordoen als jouw bank of zich zelfs voordoen als de Odido-klantenservice met een smoes over schadevergoeding. Zo proberen ze toegang te krijgen tot jouw bankrekening of computer. Als (oud)-klant van Odido kun je dus de komende tijd meer frauduleuze e-mails, tekstberichten en telefoontjes verwachten. Wees dus extra alert.
Wat moet je nu direct doen?
1. Check of jouw gegevens in de Odido-datalek of andere datalekken voorkomen via: haveibeenpwned.com of via de politie.nl/checkjehack.
2. Als jouw wachtwoord is gelekt, zou ik zo snel mogelijk het wachwoord van jouw Odido-account veranderen. Maar ook alle andere accounts waar jij dit wachtwoord gebruikte. Gebruik unieke wachtwoorden voor elk account, onthoud je wachtwoorden met behulp van een wachtwoordmanager.
3. Zet twee-factor authenticatie aan op accounts waar dit mogelijk is. Als een cybercrimineel jouw wachtwoord heeft, hebben ze in ieder geval nog een tweede vorm van verificatie nodig om in te loggen op jouw account. Deel je verificatiecode nooit met anderen.
Hoe ontstaan dit soort hacks?
Dit is een ransomware-aanval, waarbij cybercriminelen proberen toegang te krijgen tot bedrijfssystemen. Soms via medewerkers die op een phishing-link hebben geklikt en daarmee een stukje kwaadaardige software heeft binnengehaald. Of via een verouderde systemen, die slechter zijn beveiligd. Of via een wachtwoord van een account van een medewerker, die door een eerdere datalek op straat ligt en die ook wordt gebruikt voor een Odido-bedrijfsaccount.
Wat kunnen organisaties hiervan leren?
Cybersecurity moet een vast onderdeel zijn van de bedrijfsvoering. Niet alleen een technisch onderwerp voor de IT-afdeling, maar een verantwoordelijkheid van de hele organisatie.
Dat begint bij de basis: weten welke data je opslaat, hoe lang je deze bewaart en waar je meest gevoelige informatie – je ‘kroonjuwelen’ – zich bevindt. Denk aan persoonsgegevens, klantdata of interne bedrijfsinformatie. Daarnaast is het belangrijk om goed te regelen wie toegang heeft tot deze gegevens en welke beveiligingsmaatregelen daarvoor gelden.
Maar technologie alleen is niet genoeg. Veel cyberaanvallen beginnen bij menselijk gedrag, bijvoorbeeld door een phishingmail of een zwak wachtwoord. Daarom is het cruciaal om medewerkers structureel bewust te maken van cyberrisico’s en hen te trainen in hoe zij verdachte situaties kunnen herkennen en melden.
Een eenmalige campagne of training is daarbij niet voldoende. Digitale dreigingen veranderen continu en vragen om blijvende aandacht. Organisaties die cyberveiligheid serieus nemen, zorgen daarom voor een doorlopend awarenessprogramma waarin kennis, gedrag en alertheid van medewerkers regelmatig worden versterkt.
Cybersecurity wordt daarmee geen los project, maar een vast onderdeel van de bedrijfscultuur.
Waarom we moeten stoppen met verbaasd zijn over hacks.
Iedereen is in de ban van de Odido-hack. Veel burgers die dit nooit eerder zo dichtbij hebben meegemaakt zijn erg geschrokken. Voor velen was dit dus nog steeds een 'ver-van-je-bedshow'. Toch ben ik blij, dat de wereld/Nederland wordt wakker geschud.
Waarschijnlijk gaan veel mensen voor het eerst hun e-mailadres invoeren in checkjehack, en komen ze erachter dat ze al in veel meer datalekken voorkomen. Het is dus altijd zaak om alert te blijven op cyberaanvallen! Ze hebben waarschijnlijk al meer data van je dan je denkt, al is het via een datalek of informatie die je zelf online post.
Voor bedrijven geldt dit hetzelfde, het is een wake-up call! Ben jij de volgende? En hoe ga je hier dan mee om? Iedereen wordt uiteindelijk slachtoffer van cybercriminaliteit. Laten we hier open over praten en steun vinden bij elkaar.
