DEN HAAG, 23 MAART 2026 – Telecomaanbieder Odido is het slachtoffer geworden van een grootschalige cyberaanval door de hackersgroep ShinyHunters. Bij de inbraak zijn de persoonlijke gegevens van 6,2 miljoen klanten buitgemaakt, waaronder adressen, bankrekeningnummers en in sommige gevallen burgerservicenummers (BSN). Dat meldt de Autoriteit Persoonsgegevens (AP) na bevestiging door het bedrijf.
De aanval vond plaats in de tweede week van februari. De hackers wisten via een klantcontactsysteem van de provider binnen te dringen. Naast klantgegevens kwamen ook interne notities van medewerkers en contactgegevens van 71.000 verzorgers en andere derden in handen van de criminelen.
AFPERSING EN LOSGELD
ShinyHunters zette na de inbraak de tactiek van dubbele afpersing in. De groep eiste aanvankelijk 1 miljoen euro, een bedrag dat later werd verlaagd naar 500.000 euro. Odido besloot in overleg met overheidsinstanties, waaronder de politie, niet tot betaling over te gaan. “We laten ons niet chanteren”, aldus een woordvoerder van het bedrijf.
De politie ondersteunde deze lijn openlijk en waarschuwde dat betaling van losgeld het criminele verdienmodel alleen maar verder stimuleert.
DATA GEPUBLICEERD OP DARKWEB
Toen duidelijk werd dat er geen losgeld zou worden betaald, voerden de hackers hun dreigement uit. Eind februari begonnen zij met de publicatie van de gestolen gegevens op het darkweb. De groep kondigde aan dagelijks 1 miljoen records vrij te geven, maar besloot uiteindelijk de volledige dataset in één keer online te zetten.
De dump bevat niet alleen gegevens van huidige Odido-klanten, maar ook van voormalige klanten. Ook zijn 44.000 interne klantenserviceregels openbaar gemaakt, waarin soms zeer gevoelige informatie staat over onder meer fraude en grensoverschrijdend gedrag.
MASSALE PHISHINGGOLF VERWACHT
Volgens cybersecurity-experts leidt de hack naar verwachting tot een golf van phishing, smishing en vishing. De combinatie van namen, adressen, telefoonnummers en bankrekeningnummers is voor criminelen een ideale basis om overtuigende oplichtingspogingen te doen.
De Autoriteit Persoonsgegevens heeft een onderzoek ingesteld naar de beveiliging van Odido. Het bedrijf riskeert een boete van maximaal 4 procent van de wereldwijde jaaromzet. Daarnaast worden massaschadeclaims verwacht van belangenorganisaties.
ODIDO: ‘DIEP BEDROEFD’
Odido zegt in een reactie “diep bedroefd” te zijn over het incident. Het bedrijf stelt dat wachtwoorden, gespreksgegevens en factuurinformatie niet zijn buitgemaakt. Klanten worden geadviseerd alert te zijn op ongebruikelijke berichten en waar mogelijk tweefactorauthenticatie (2FA) in te schakelen.
De politie heeft een aparte website ingericht waar burgers kunnen controleren of hun gegevens zijn gelekt. Voor vragen over de hack heeft Odido een speciaal klantenteam ingesteld.
REPUTATIESCHADE EN JURIDISCHE STRIJD
De aanval komt op een kritiek moment voor Odido. Het bedrijf verkeert al langer in zwaar weer na een eerdere juridische nederlaag rond de verwijdering van Chinese netwerkapparatuur. Een rechter oordeelde onlangs dat de overheid gelijk had om Huawei- en ZTE-apparatuur uit het kernnetwerk te weren.
Analisten verwachten dat de reputatieschade voor de telecomaanbieder aanzienlijk zal zijn. De directe financiële schade loopt naar verwachting in de miljoenen euro’s, maar het vertrouwen van klanten is volgens deskundigen moeilijker te herstellen.
