Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

De melding vanmiddag van Odido dat bij de recente hack 'aanvullende gegevens zijn getroffen' betreft gevoelige informatie over kwetsbare klanten. Die gegevens zijn in handen van afpersers, die dit toonden aan de NOS. Odido wist van niets en werd door de NOS hierover geïnformeerd.

De NOS kreeg van hackersgroep Shinyhunters een dataset met gestolen gegevens van 10.000 Odido-klanten. Daaruit blijkt dat de uitvoerders van de aanval begin deze maand meer in handen hebben dan eerst bekend én dat het om zeer gevoelige informatie gaat. Zo bevatten de 'aanvullende gegevens', waar Odido geen details over geeft, recente e-mails aan klanten en ook privacygevoelige aantekeningen over klanten.

Die aantekeningen in het gehackte klantcontactsysteem lopen uiteen van instructies om extra op te letten omdat de ex van een klant zich voordeed als die klant, tot notities als 'gaat door een moeilijke periode' en 'Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (...) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan'. Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.

In de dataset van 10.000 klanten die de NOS inzag, staat bij zeker 266 mensen een aantekening en bij 128 mensen is er sprake van een bewindvoerder. Dit betekent dat die klanten ernstige financiële problemen hebben.

Odido onwetend

Odido geeft tegenover de NOS toe dat het niet wist dat deze extra informatie in handen was van de aanvallers. Daarom liet de provider dit niet weten. Na de melding door de NOS plaatste Odido vanmiddag een melding op zijn informatiepagina: dat er 'aanvullende gegevens zijn getroffen'. "Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen", aldus de korte boodschap. Het onderzoek van Odido naar de hackaanval loopt nog en het Nederlandse Openbaar Ministerie stelt ook een onderzoek in.

Odido-datalek

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 25-02-2026 18:22 156

25-02-2026 • 18:22

Lees meer

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Bedrijfsnieuws Politiek en recht Privacy Betaling Cybercrime Cybersecurity Klantenservice NOS Odido problemen Telecom

IT-banen

Meer vacatures

Reacties (156)

156

151

57

6

0

79

Wijzig sortering

gezoutenpinda 25 februari 2026 18:32

Toch bijzonder allemaal....

Dat er van uit gaande dat ze binnenkwam met medewerkers accounts, uit ervaring bij KPN weet ik dat er trigger afgaat wanneer je klantenprofielen opent waar je niets te zoeken hebt en dit meerdere keren gebeurd. Werd direct in mijn training aangesproken hierop toen ik mijn ouders hun account erbij pakte en op de gevolgen. Ook waren er regelmatig neppe mails om te checken of we op linkjes zouden drukken.

Ook kun je in het gebruikte crm van odido gewoon limieten aangeven en een boel dichtkaderen.... dit klinkt echt als mismanagement door mensen met de verkeerde ervaring op de verkeerde plekken.

Persoonlijk maak ik me er niet zo druk om, is het niet via odido dan is het wel via andere partijen waarbij mijn data uitlekt of uitgelekt is.

hiostu @gezoutenpinda • 25 februari 2026 18:46

Het kan natuurlijk zijn dat ze initieel binnen zijn gekomen via medewerker account, maar dat ze daarna op andere manieren hun rechten hebben kunnen verhogen en zo met meer permissies exports konden draaien. Als dit niet het geval is, dan moet ik je wel gelijk geven en lijkt het erop dat medewerkers al teveel en makkelijk kunnen zien.

Calypso @hiostu • 25 februari 2026 18:56

Theoretisch heb je gelijk. Echter, als via een klantenservice medewerker dat soort rechten te verkrijgen/uit te delen zijn, dan heb je nog steeds een flink probleem...

PdeBie @Calypso • 25 februari 2026 19:02

Misschien zat er wel een bug in het systeem dat het niet uitmaakte welke rol je had, zolang het maar een account betrof. Allemaal speculaties. Security was niet op orde en daarmee is er een hoop data gestolen.

marco-ruijter @Calypso • 25 februari 2026 19:05

Ik denk dat er zelfs een nog groter probleem is: als iemand zonder security officer- of engineer-rechten toch rechten kan aanpassen. Ik vind het echt absurd dat er geen alarm is afgegaan toen er onder één account zoveel data werd ingelezen of opgevraagd. Ik heb bij genoeg, zelfs veel kleinere bedrijven gezeten waar het opvragen van meer dan vijf klantgegevens al tot een blokkade leidde en er direct een alert naar de betreffende managers werd gestuurd.

Natuurlijk kan het voorkomen dat een agent meerdere klantgegevens per dag moet inzien, maar alsnog geen honderden, laat staan 6,5 miljoen.

Als er bepaalde data verzameld moest worden, dan moest daar echt een officiële opdracht voor worden ingediend. Bovendien was het slechts gedurende een zeer beperkte periode mogelijk om een uitdraai te maken. Zulke aanvragen konden alleen worden gedaan namens specifieke personen binnen de organisatie en met de juiste autorisatie.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 19:08]

@marco-ruijter • 25 februari 2026 19:55

kan ook zijn dat ze een database backup hebben weten te bemachtigen. Heb je weinig permissies meer nodig om alle data in te zien...

marco-ruijter @YGDRASSIL • 25 februari 2026 20:08

Als je te maken hebt met een database waarin gevoelige data staat, en het betreft zelfs meer dan 6,5 miljoen klanten, dan is het maken van unencrypted backups op zijn minst zeer zorgwekkend te noemen. Daarnaast zorg je er als fatsoenlijke IT-afdeling voor dat je in het ontwerp van de data en databases Tokenization of Pseudonimisering toepast.

De database waarin de daadwerkelijke persoonsgegevens staan, zou nooit zomaar gekopieerd moeten kunnen worden, laat staan in de vorm van unencrypted backups.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 20:09]

PixelPionier @Calypso • 25 februari 2026 19:04

Tel daarbij op dat ze zich ook gewoon niet aan zo iets simpels als bewaartermijnen hebben gehouden en je weet dat het 1 groot mismanagement verhaal is.

hiostu @Calypso • 25 februari 2026 19:09

Stap 1 is binnen komen in een omgeving en daarna mogelijk via exploits in systemen hogere permissies krijgen. Dat is een vrij normale gang van zaken voor hackers. Dat is dus ook niet volgens de normale gang van zaken.

latka @hiostu • 25 februari 2026 19:53

Aangezien odido niet wist wat er gestolen was is de logging al ondermaats. Zou me niets verbazen als iedere gebruik admin rechten heeft in een dergelijke security unaware omgeving.

Robbierut4 25 februari 2026 18:26

Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.

Dit klinkt heel erg voor de leek, maar hier is uberhaupt al gewoon een openbaar register voor online, namelijk op de site van de rechtspraak.

Dat gedeelte is dus geen probleem.

De rest is natuurlijk wel schadelijk dat dat ook gelekt is, maar ook niet verrassend gezien ze een inlog hadden via de klantenservice systemen.

snaggyheadshot @Robbierut4 • 25 februari 2026 18:43

Dat gaat wel heel kort door de bocht. Om te zien of iemand onder curatele staat heb je op de website van de rechtspraak al toegang nodig tot diegene zijn of haar achternaam + bijbehorende geboortedatum. Je hebt dus geen toegang tot het volledige register zonder alle matchende achternamen en geboortedatums.

Dat is heel wat anders dan in één opslag een CSV'tje kunnen filteren.

Robbierut4 @snaggyheadshot • 25 februari 2026 18:45

Het was al eerder bekend dat de volledige naam en geboortedatum was gelekt.

Tuurlijk, ff een csv filteren is makkelijker/sneller, maar ik kan me niet voorstellen dat de rechtspraak nou de meest geweldige rate limiting heeft op hun systemen, dus je kunt daar vast de 8 miljoen gebruikers in een week doorheen halen, zeker met wat proxies.

snaggyheadshot @Robbierut4 • 25 februari 2026 18:52

Je gaat voorbij aan het punt: namelijk dat deze informatie direct in een CRM/ticketsysteem in relatie tot een klant is opgeslagen en ook te exporteren is geweest voor een klantenservice-medewerker.

Vanuit governance-perspectief is het idioot dat dit soort informatie voor klaarblijkelijk zoveel medewerkers inzichtelijk is.

Robbierut4 @snaggyheadshot • 25 februari 2026 18:55

Nee, de realiteit is dat deze data voor elke medewerker inzichtelijk hoort te zijn. Tenminste, als iemand onder bewind belt om hun abbo aan te passen dan mag dat niet. De klantenservice moet dus wel weten wie ze nee moeten verkopen aan de telefoon.

Enige manier om dit af te vangen is een speciale kleine afdeling van de klantenservice te maken die rechten heeft om een abbo te veranderen. Wat veel doorschakelen en tijd kost voor zowel de klantenservice als alle klanten die niet onder bewind staan.

snaggyheadshot @Robbierut4 • 25 februari 2026 19:08

Nee, de realiteit is dat deze data voor elke medewerker inzichtelijk hoort te zijn.

Ik hoop dat dit een grap is. Ooit gehoord van Principle of Least Privilege (PoLP)?

Eerste-lijn support hoeft géén toegang te hebben tot de juridische status van iemand. Dit mag prima voorbehouden zijn aan de financiële afdeling (dat is immers ook de enige afdeling waar deze informatie voor van belang is).

Overigens is jouw 'het kost veel tijd'-argument ronduit flauwe kul. Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu. Bovendien zou een klein beetje extra tijd geen argument mogen zijn om de privacy van kwetsbare mensen te beperken. Een medewerker die je helpt met het instellen van je router hoeft niet te weten of je wel of niet onder curatele staat.

Robbierut4 @snaggyheadshot • 25 februari 2026 19:14

Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu.

Ah top, laten we ff een voorbeeld pakken. Pietje staat onder bewind want is niet verstandig met zijn geld. Pietje wil graag de nieuwste iphone.
Pietje belt Odido en hoort, sta je onder bewind toets 1, zo niet, toets 2.

Pietje staat onder bewind, maar wil toch graag die iphone, dus toetst 2. Besteld nieuw abbo, want medewerker kan dat niet inzien.
Maand later komt de bewindvoerder erachter, maar de iphone is al een paar keer gevallen, scherm kapot, etc.

Odido de sjaak, want die zitten met een kapotte iphone en geen geld, want het abbo was niet rechtsgeldig.

Maar goed idee hoor, zo'n keuzemenu.
Overigens als "computer says no" gebeurt bij optie 2 bij het afsluiten (want die weet wel van het bewind), dan weet de desbetreffende medewerker alsnog gewoon dat iemand onder bewind staat, want dat is de enige logische reden waarom het geblokkeerd wordt dat iemand een abbo mag afsluiten.

TweakerCarlo @Robbierut4 • 25 februari 2026 19:33

Zo werkt het dus echt niet he!

Robbierut4 @TweakerCarlo • 25 februari 2026 20:04

Correctie, zo zou het niet mogen werken.

Ik heb een buurman die onder bewind staat, en op de een of andere manier toch telkens dingen af weet te sluiten of voor elkaar krijgt om dingen op krediet te kopen etc.
Onder bewind staat niet altijd gelijk aan dom, maar soms juist aan erg gehaaid.

Caelorum @Robbierut4 • 25 februari 2026 19:36

Er zijn heel veel redenen om iemand te blokkeren van bestellen: onder bewind, negatieve kredietcheck, juridisch conflict met het bedrijf, verdacht van fraude, eerder poging tot idemlntiteitsdiefstal van de betreffende persoon die iets wil bestellen en zo nog een aantal redenen. De medewerker weet dus niet de exacte reden en dat is ook gewoon niet relevant.

Dst er ergens staat opgeslagen wat de werkelijke reden is is logisch, maar een servicedesk medewerker, zeker de eerstelijn, hoeft dat niet te weten of überhaupt te kunnen inzien.

latka @Robbierut4 • 25 februari 2026 19:56

In de verzekerings wereld is zon gebruiker geflagged voor de 1e lijn: die zien niet waarom maar weten wel dat zij het niet mogen afhandelen en door moeten zetten naar een andere afdeling. Die afdeling kan dan wel de gegevens opvragen (als: zijn niet allemaal lokaal beschikbaar) om de zaak verder af te handelen. De 1e lijns voorzien van dit soort info is dwaas.

@Robbierut4 • 25 februari 2026 20:10

Of als de computer-says-no foutmelding te vaag is, krijgt de IT-afdeling een ticket voor elke gefaalde order 😬

marco-ruijter @Robbierut4 • 25 februari 2026 20:19

Maar je vergeet even dat wanneer je telefonisch een abonnement afsluit, de medewerker die je spreekt de aanvraag in de basis gewoon kan voltooien. Vervolgens gaat de aanvraag echter alsnog door een financieel checksysteem, waarbij bijvoorbeeld de BKR wordt gecontroleerd. Het komt vaak genoeg voor dat er dan alsnog een afwijzing volgt, nog voordat de telefoon überhaupt is verzonden.

Over het algemeen hoeft een medewerker bij een provider zoals Odido geen uitgebreide financiële checks uit te voeren. Die voert simpelweg in wat je telefonisch doorgeeft, vaak exact hetzelfde als wat je online zelf zou invullen.

Je ontvangt daarna netjes een e-mail met de bevestiging: bedankt voor het kiezen van ons als provider, en dat ze aan de slag gaan met het verwerken van je aanvraag.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 20:20]

DdeM @snaggyheadshot • 25 februari 2026 19:19

Overigens is jouw 'het kost veel tijd'-argument ronduit flauwe kul. Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu.

Alleen meestal is dat alleen een soort filter zodat de medewerker die je aan de telefoon krijgt alvast de juiste gegevens er zo veel mogelijk bij kan pakken, maar krijg je gewoon dezelfde medewerker te spreken als die je krijgt als je een storing hebt.

fender89 @snaggyheadshot • 25 februari 2026 19:45

Zonder verder waardeoordeel, kan uit eigen ervaring vertellen, dat dit ook het geval is bij een van de bekende grootbanken. (En ongetwijfeld nog bij meer organisaties).

In het CRM systeem van de betreffende grootbanken staan jaaaaren aan 'klantnotities" in het individuele klant dossier. Inzichtelijk voor iedere gebruiker van dat systeem. Van KCC medewerker tot private banker en alles daartussen.
En in het kader van een 'integraal klantbeeld' werd (wordt?) daar vanalles genoteerd: klant is ziek, klant ligt in scheiding, klant was onbeschoft toen ik hem belde, meneer stonk heel erg in de spreekkamer,... De voorbeelden zijn eindeloos.

Ofwel, goed om te beseffen dat Odido echt niet 'uniek' is in deze...

latka @fender89 • 25 februari 2026 19:57

Had die bank ook een mantra over een 'vloeiende kanaalbeleving'?

fender89 @latka • 25 februari 2026 19:58

Correct.

@Robbierut4 • 25 februari 2026 18:59

Ik heb zojuist mijn halve familie erdoorheen geramd. Nul hits, maar ook geen limiting, terwijl ik toch binnen enkele minuten meerdere requests deed (zo snel als ik op touchscreen kon tikken in m'n midlife crisis leeftijd).

Met een CSV van een leak kun je dit met curl en HTTP POST vast automatiseren. Daar heb je niet per definitie dit Odido lek voor nodig. Bijvoorbeeld het lek van Facebook rond 2017 volstaat ook. Daar stonden ook allerlei BN'ers in.

mrtl @Robbierut4 • 25 februari 2026 18:33

Niet iedereen met een bewindvoerder staat onder curatele toch? Dus niet iedereen zal daarin online staan.

edit:
Jezus... ik zie nu dat het voor iedereen "onder bewind" geldt. Dat vind ik erg ver gaan...

[Reactie gewijzigd door mrtl op 25 februari 2026 18:34]

Robbierut4 @mrtl • 25 februari 2026 18:34

Het is het curatele en bewind register, dus ja, in principe kun je daar iedereen vinden die onder bewind staat.

Het is juist bedoeld voor bedrijven om even snel te checken of iemand wel zelf een contract etc mag afsluiten.

tweakerbee @mrtl • 25 februari 2026 18:39

Wie staan niet in het register?

Personen van wie de geldzaken al vóór 1 januari 2014 onder bewind staan, staan meestal niet in het register.

Personen van wie de geldzaken onder bewind zijn geplaatst vanwege lichamelijke of geestelijke omstandigheden, waarvan de rechter heeft besloten dat publicatie niet noodzakelijk is.

Ook onder bewind staat erin, maar meestal alleen wanneer dit na 2014 gestart is.

Tomatoman @Robbierut4 • 25 februari 2026 18:51

Dat is natuurlijk geen geldige vergelijking. Je kunt in dat register echt niet eventjes downloaden welke mensen in een dataset van 6 miljoen Nederlandse inwoners onder curatele staan.

Als we die 128 mensen uit een set van 10.000 als maatgevend beschouwen, staat/stond 1,28% van de Odido-klanten onder curatele. Met gelekte data van 6,5 miljoen klanten gaat het om een lijst van meer dan 80.000 mensen die onder curatele staan. Dat is ongekend heftig datalek, want die lijst is nergens anders verkrijgbaar.

Robbierut4 @Tomatoman • 25 februari 2026 18:53

In de gelekte data zitten volledige namen en geboortedata. Dan is het vrij eenvoudig op daarmee de lijst van de rechtbank te scrapen.

SilentSimon 25 februari 2026 18:26

Wat een shitshow, en dan vooral de communicatie van Odido richting de klanten.

Je wordt compleet gebagatelliseerd. Ik ben in elk geval overgestapt van telefoon abbo en internet abbo. Mijn geld krijgen ze niet meer

asing @SilentSimon • 25 februari 2026 18:34

Vergeet niet even van je recht om vergeten te worden gebruik te maken. Anders bewaren ze het gewoon.

asset185 @asing • 25 februari 2026 19:18

Vergeet niet even van je recht om vergeten te worden gebruik te maken. Anders bewaren ze het gewoon.

Je kunt je nu serieus af vragen. In hoeverre ze zich daar daadwerkelijk aan houden en jouw gegevens daadwerkelijk verwijderen.

asing @asset185 • 25 februari 2026 19:33

In dit geval is het een wet. De GDPR, hier de AVG, Als je zwart op wit gevraagd hebt om verwijdering en ze hebben ingestemd.... dan zijn ze bij wet strafbaar als ze later mailen dat je gegevens zijn gestolen.

Overigens ook een leuke, je hebt het recht om alles op te vragen wat ze van je weten.

Upr0ar @asing • 25 februari 2026 20:08

Oeh, zeer nuttige info dit.. Effe noteren. Thanks!

asset185 @asing • 25 februari 2026 20:10

En dan lees je opeens terug dat je volgens een medewerker onder invloed was. Of iets anders wat je tegen die te joviale medewerker hebt gezegd.

Het blijkt maar weer. Dat je het gewoon bij het onderwerp moet laten en verder geen woord extra.

@asing • 25 februari 2026 19:14

Daar heeft Odido ook weer een aardige drempel opgeworpen. Ik moet een compleet formulier invullen met handtekening en dat kan voor mobiel abonnement, abonnement voor Internet + TV en zakelijk abonnement.

Ooit iets met Ben gehad en vaste telefonie van Tele2, beide langer dan 7 jaar geleden maar toch zijn er gegevens gelekt volgens Odido. Geen idee hoe ik erachter moet gaan komen want er is geen ander contact dan via de formulieren opvragaen of laten verwijderen.

Artz @SilentSimon • 25 februari 2026 18:33

Ik was net een nieuw glasvezelabbo van 2 jaar aangegaan. Dit lek zal wel geen reden zijn om het contract op te kunnen heffen? Of is er sprake van een wanprestatie waardoor ik de boel kan ontbinden? @Arnoud Engelfriet

Ik ben een keer geïnformeerd. En daarna nooit meer. Bizar dit bedrijf.

[Reactie gewijzigd door Artz op 25 februari 2026 18:33]

The Chosen One @Artz • 25 februari 2026 19:07

Zit er ook net 4-6 maanden in een 2 jaar abo...

FiberSam 25 februari 2026 18:29

ok, wat vinden jullie?

- Betalen, want de klanten en hun privacy moet beschermd worden.
- Niet betalen, want dit zijn criminelen en het wordt dan alleen maar erger.

66JustMe819 @FiberSam • 25 februari 2026 18:44

Als Odido klant zeg ik betalen. Risico voor de klanten minimaliseren zou prioriteit moeten hebben.

asset185 @66JustMe819 • 25 februari 2026 19:05

Ik denk dat de directie eerder gevoelig is voor de balangen van hun investeerders dan van hun klanten.

Mizgala28 @66JustMe819 • 25 februari 2026 18:51

Ik snap de mensen die zeggen "niet betalen" deels wel... maar 8 miljoen mensen hun gegevens is extreem.

Betalen, zo'n hack groep wil geld verdienen en je niet aan de afspraken houden bijt hun op ten duur terug (want waarom betalen als ze niks wissen)

En ja ik snap dat meeste mensen dan zeggen "en wie houdt ze tegen om het niet te wissen na een betaling?", antwoord is niemand behalve hunzelf intern.

En dan is zo'n lid die de fout maakte waarschijnlijk het ergst mogelijk vanaf.

hbvdh @Mizgala28 • 25 februari 2026 19:51

Ook bij betalen word er meestal niet gewist. Vaak verspreiden (verkopen) ze dan toch nog wat data wat niet rechtstreeks aan de hack zelf te linken is.

Wat mijzelf betreft hb ik een dubbel gevoel, aan de ene kant misdaad moet niet lonen, aan de andere kan ook mijn gegevens zijn gelekt. Gelukkig voor mij heb ik mijn ID en Rijbewijs vorig jaar vernieuwd maar mijn bank niet. Ik zou ook niet weten welke ik gebruikt heb bij het aanvragen van mijn abonnement.
Het zou mijn inziens ook mogelijk moeten zijn dat je dat terug kan zien bij je mijn odido gegevens.

@66JustMe819 • 25 februari 2026 18:58

Nee, hackers groepen financieren zodat ze hierna bv kon kunnen gaan aanvallen. Dat klinkt als een goed idee. De data ligt op straat. Betalen heeft geen zin.
Als odido risico wilt minimaliseren dan moeten ze verzekeringen voor hun klanten afsluiten.

marco-ruijter @SunnieNL • 25 februari 2026 19:53

Zo een verzekering vereist echt wel bepaalde security en infrastructurele maatregelen waarbij de kans vrij groot was geweest dat de omvang van nu nooit had plaatsgevonden.

Russel88 @FiberSam • 25 februari 2026 18:34

Wat denk jezelf?

Als jij de dief bent en Odido betaalt je. Wat weerhoudt je dan om de gegevens alsnog te verkopen?

MennoE @Russel88 • 25 februari 2026 18:36

Dat je bij de volgende diefstal je niet betaald krijgt.

phYzar @MennoE • 25 februari 2026 19:00

Alsof ze een langlopende reputatie hebben. Had jij al eens van de Shinyhunters gehoord? Volgende keer noemen ze zichzelf de GreasyFarmers en betaalt de volgende sukkel weer het volle pond.

StroopP @phYzar • 25 februari 2026 19:03

Heeft u ook een vertaling?

FiberSam @phYzar • 25 februari 2026 19:30

eeuh... dit is een bekende en al lang bestaande hackerscollectief die juist heel hard heeft gewerkt aan een 'goede' (ahum) reputatie. Als je betaalt, vernietigen ze alles. Juist precies omdat door deze reputatie men eerder geneigd is te betalen. Dit net zo goed een zakelijk verdienmodel als crimineel.

MaikVeritas @Russel88 • 25 februari 2026 18:39

Ik heb wel eens gelezen dat dit soort hackers groepen zich juist houden aan de afspraken omdat anders hun verdienmodel verwijnt.

@MaikVeritas • 25 februari 2026 18:56

Niets weerhoud dit soort hackers groepen de data te bewaren of onder water door te verkopen aan een andere groep. Niet te bewijzen, niet terug te tracen.

Dat ze het niet openbaar maken wilt niet zeggen dat bv een ander onderdeel van diezelfde groep gewoon de mensen in de dataset gaat benaderen met phishing berichten.

@MaikVeritas • 25 februari 2026 19:03

Yep, maar de vraag is welke groep erachter zit, en onder welke jurisdictie ze vallen. Bij een bekende groep geldt jouw stelling. Een onbekende groep heeft geen naam hoog te houden, en een Russische groep kan het ook verkopen aan Russische diensten. Qua Rusland is alle data zo'n beetje te koop op darknet, ook van FSB medewerkers, en dat is te betalen met cryptocurrency. Zo kun je van nagenoeg iedere Rus privégegevens verkrijgen.

Dus de vraag moet je 'betalen ja of nee' kun je niet eenvoudig beantwoorden. Wat is het geëiste bedrag, hebben ze een legacy, waar zitten de hackers, hoe willen ze de betaling ontvangen, is het systeem nu dicht of krijg je copycats? Hoe dan ook wil je tijd kopen. Tijd om een en ander uit te vogelen want van eerdergenoemde vragen zal men niet per definitie openheid geven. Dus zul je dat moeten onderzoeken.

[Reactie gewijzigd door Jerie op 25 februari 2026 19:06]

Mizgala28 @Russel88 • 25 februari 2026 18:41

Niks

Maar als je geld wil verdienen als een hackgroep ben je er beter van af als je alles wel verwijdert na een betaling, dan zijn bedrijven eerder geneigd om te betalen omdat "die hackgroep het dan echt gaat verwijderen".

Liegen levert zo'n hackgroep sowieso niks op.

Robbierut4 @FiberSam • 25 februari 2026 18:35

Als Odido klant, niet betalen maar dat geld investeren in betere beveiliging. Beetje mosterd na de maaltijd maar toch.

familyman @Robbierut4 • 25 februari 2026 18:54

Als niet odido klant wiens gegevens al heel lang geleden verwijderd hadden moeten zijn, haalt het me niks uit.

Die club moet opgeheven worden.

R_Zwart @familyman • 25 februari 2026 18:59

Dat laatste klinkt altijd stoer maar hie ga jij reageren als er iets goed fout gaat bij jouw werkgever en de boel miet worden opgeheven en jij zonder iets op straat staat? Er werken duizenden mensen bij Odido die hun baan kwijtraken als je de boel naar gewoon gaat sluiten.

familyman @R_Zwart • 25 februari 2026 19:09

Opbreken en verplaatsen naar bedrijven die de data bescherming wel op orde hebben.

En er is best een berg mensen bij odido die een berg boter op hun hoofd hebben, voor een deel zelfs randje crimineel wat mij betreft.

Verder, er zijn banen zat. Dus mensen die niet crimineel zijn, en niet boter hun hoofd hebben, komt het wel gled.

[Reactie gewijzigd door familyman op 25 februari 2026 19:10]

PixelPionier @FiberSam • 25 februari 2026 19:02

Er zou gevangenisstraf voor de directie op moeten staan als ze betalen. Dan zou Nederland een stuk veiliger worden voor dit soort criminelen.

brammerd21 @PixelPionier • 25 februari 2026 19:36

Eens, als je als hackers groep vooraf weet dat een afpersing niet gaat lukken, hoef je daarvoor ook niet je best te gaan doen.

Data via andere middelen verkopen blijft natuurlijk een oplossing, maar kennelijk is dat de makkelijkste of meest winstgevende.

MaltheseFalcon @FiberSam • 25 februari 2026 19:06

Wat mij betreft moet het wettelijk verboden worden om te betalen bij afpersing. Dit gaat niet meer om alleen Odido, maar ook om de langetermijngevolgen wanneer je als maatschappij bereid bent om criminelen te belonen voor hun activiteiten.

hbvdh @MaltheseFalcon • 25 februari 2026 20:04

Zie het als een onvoering, niet een mens maar dan met data. Als de onvoerder zegt, deze persoon komt alleen heel terug als je x betaald, zal je dat toch ook uiteindelijk doen? Ja toch?
Ik zie het als de plicht voor Odido dat ze de eventuele last voor de klant maximaal minimaliseren, en als betalen daar de beste methode voor is...

Upr0ar @FiberSam • 25 februari 2026 19:59

Inmiddels is bekend dat het 'losgeld' om een half miljoen euro gaat.

Voor de omvang van deze hack vind ik dat een 'steal'. Verbaast me zelfs dat ze zo relatief weinig vragen.

Niet dat ik zoveel geld heb.

Maar voor een bedrijf als Odido is dat peanuts. Dus ik zeg betaleng - de mogelijke schade die eruit kan voortvloeien als alle gegevens op het darkweb gemieterd worden, ligt vele malen hoger.

Maar iets zegt mij dat Odido dat niet gaat/wil ophoesten.

[Reactie gewijzigd door Upr0ar op 25 februari 2026 20:00]

MartijnVFF 25 februari 2026 18:29

Hoe kan er zo ongelooflijk veel verschillende data gescraped/gedownload zijn in die korte tijd via de login van 1 of hooguit een handjevol logins van medewerkers? Waarom zat er geen blokade op bij zulke verdachte scrapes/downloads van data?

Bij de eerstvolgende mogelijkheid in augustus gaan we inmiddels zeker weten overstappen.

Martinez- @MartijnVFF • 25 februari 2026 18:38

Ze zijn er pas in het weekend van 7 op 8 februari achter gekomen dat er kwaadwillende in het systeem zitten (nadat ze zichzelf gemeld hebben...).

Het kan dus zomaar zijn dat ze al enkele maanden toegang hadden zonder dat Odido het doorhad. En dat ze pas zichzelf kenbaar hadden gemaakt nadat ze langzaam maar zeker alle records hadden.

[Reactie gewijzigd door Martinez- op 25 februari 2026 18:39]

AmateurVinoloog @MartijnVFF • 25 februari 2026 18:45

Mja, het kan natuurlijk ook zijn dat ze ergens een parquet file of csv hebben opgerakeld. Je wilt niet weten hoeveel er in de download mappen staat van sommige medewerkers. Als dat je DBA of BI engineer is die wat slordig omgaat met ... gegevens, dan zijn de rapen natuurlijk gaar.

IOm je een voorbeeld te geven: best veel bedrijven hebben Dynamics CRM; ik werk er inmiddels niet meer mee, maar tot voor kort kon je via PowerQuery gewoon de hele db waar je toegang toe hebt leegtrekken. Sommige medewerkers, bijvoorbeeld administrators in een organisatie hebben toegang tot alles. Daarom beperk je die rechten ook zoveel mogelijk, maar er zijn altijd medewerkers met God mode. Als je jezelf daar toegang toe verschaft; God beware je.

Bedrijfsnieuws

@MartijnVFF • 25 februari 2026 18:38

Hangt er wat vanaf over welk type medewerker het gaat, maar bij bijvoorbeeld helpdesk of iets dergelijks kan ik me wel voorstellen dat ze heel wat kunnen inzien. Daar zullen weinig beperkingen zitten op die persoon enkel die set aan klanten.

adje123 25 februari 2026 18:37

en bij 128 mensen is er sprake van een bewindvoerder. Dit betekent dat die klanten ernstige financiële problemen hebben.

Als je een bewindvoerder hebt betekent het niet meteen dat je ernstige financiële problemen hebt.

Hans1990 @adje123 • 25 februari 2026 19:11

Klopt, ook mensen met bijvoorbeeld dementie kunnen hier onder vallen. Deze mensen zijn wel extra kwetsbaar, net zoals mensen met schulden of problematische uitgavepatronen. Misschien wel meer zelfs omdat bewind nog geen curatele is, dus mensen hebben nog wel bepaalde vrijheden over hun geld. En hoewel je met een partij als Odido nog wel kan praten over het terugdraaien van een abonnement, valt dat met criminelen een stuk lastiger te doen.

mugenmarco 25 februari 2026 18:38

Ik heb inmiddels een pest hekel gekregen aan Odido, ze gaan zo laks om met deze hele situatie!

Mizgala28 25 februari 2026 18:38

Odido geeft tegenover de NOS toe dat het niet wist dat deze extra informatie in handen was van de aanvallers

Ervan uitgaande dat dit de waarheid is, hoe kan het zo zijn dat ze dit niet wisten?

_{de common sense in mij zegt dat ze de boel bij elkaar liegen en dat Odido wel degelijk hiervan wist, of kon weten}

Hans1990 @Mizgala28 • 25 februari 2026 19:16

Wellicht omdat ze in hun backend enkel kunnen waarheen requests zijn gedaan, maar niet wat daar in zat en/of wat er van opgeslagen of verwerkt is.

Net zoals dat als ik de pagina van dit nieuwsartikel laad, dan kan Tweakers niet weten of ik ver genoeg heb gescrolld om jouw comment wel of niet te lezen. Het is dus niet zo simpel te zeggen: ik heb artikel 245096 opgevraagd, dus ik heb alles daarvan gelezen.
Misschien was jouw comment nog niet eens gepost? Dan moet je ook al timestamps in je logs gaan vergelijken. Nou zal dat bij een databank zoals Odido niet zo'n probleem zijn, maar er zitten veel meer haken en ogen aan dan eventjes oppervlakkig door de logs scrollen.

Voor een CSV export zou men natuurlijk wel kunnen bijhouden welke kolommen van de databank zijn geexporteerd. Maar dat kan ook net zo goed niet gebeurd zijn, en dan blijft het gissen of ze dus wel/niet document nr's hebben, wel/niet aantekeningen, enzovoort.

Gwaihir @Mizgala28 • 25 februari 2026 19:59

Ze zouden er vanaf hebben moeten weten, dat is duidelijk.

Ze zijn sowieso verplicht de volle omvang van het datalek te rapporteren en communiceren. Je mag niet expliciet zeggen dat er niet meer gelekt is dan [wat ze eerst zeiden] als het wel degelijk heel wat meer kan zijn.

Hoop dat de AP hier nu met gestrekt been in komt.

toro 25 februari 2026 18:43

Zo gaat het nu bijna altijd bij een hack.

Dag 1: wij zijn gehacked. Het betreft maar een klein groepje klanten.
Dag 2: er zijn maar een paar gegevens van de klanten gelekt.
Dag 3: het valt wel mee allemaal.
Dag 4: de groep klanten om wie het gaat is groter.
Dag 5: het is meer dan een paar gegevens van de klanten wat er gelekt is.
Dag 6: alle data is in handen van criminelen en ligt op straat.

Dag 14: Het gehackte bedrijf betuigd openlijk spijt en belooft beterschap in de toekomst. Hun verzekering dekt alle financiële schade wat hier uit voortvloeit.

Dag 15: business als gewoonlijk voor het gehackte bedrijf en gaat gewoon verder met alles zoals men voorheen deed.

De getroffen klanten krijgen misschien maximaal €50 compensatie en hún privé gegevens liggen permanent op straat.

Dit gebeurt keer op keer weer en bedrijven blijven er mee wegkomen. Dit was de tweede keer voor mij dat mijn gegevens op straat terecht waren gekomen

ep667 @toro • 25 februari 2026 20:05

Alleen zitten we nu op dag 12 na bekend worden hiervan en zit Odido nog steeds op de lijn "oepsiefloepsie, kan gebeuren, jammer joh, volgende keer een beetje opletten als je iets verdachts krijgt, nou ons niet bellen he, doei".

Bundin 25 februari 2026 18:44

Tuurlijk wisten ze dat wel. Ze hoopten alleen dat anderen dat niet wisten.

Om te kunnen reageren moet je ingelogd zijn