Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

De cybercriminele groep achter de datadiefstal bij Odido publiceerde zondagochtend vroeg alle klantinformatie die ze in handen hebben. Naast geboortedata, telefoonnummers en mailadressen omvat dit voor sommige Odido-klanten ook ID-bewijzen en gevoelige privéinformatie.

De hackersgroep publiceert niet langer elke dag een deel van de set met gestolen klantinformatie. Het is niet bekend waarom ShinyHunters afstapt van deze afpersingsstrategie. Alle resterende gegevens staan nu online. Het betreft de gegevens van ruim 6,5 miljoen personen en 600.000 bedrijven, meldt de NOS op basis van een analyse van de dataset.

De nu geopenbaarde informatie bevat ook 'iets meer dan 5 miljoen unieke ID-bewijzen' zoals rijbewijzen en paspoorten, maar ook verblijfspapieren van diplomaten. Verder zijn geboortedata van Odido-klanten nu gepubliceerd, plus hun telefoonnummers en e-mailadressen. Naast die informatie is er van 71.000 mensen het e-mailadres van een bewindvoerder of andere hulpverlener aanwezig in de gestolen Odido-dataset.

'Niet onze schuld'

ShinyHunters beschuldigt de telecomprovider van slechte databewaarpraktijken en stelt dat Odido niet tot een losgeldovereenkomst wilde komen. In de verklaring bij de hele dataverzameling van Odido-klanten stellen de aanvallers dat het niet hun schuld is dat Nederlandse klanten nu angst en terreur ervaren. De boodschap van de afpersers is dat hun slachtoffers altijd moeten reageren op hun eisen, moeten onderhandelen en dan betalen.

Odido stock (bron: Pixelbizz/Getty Images) — Odido-winkel met klanten (bron: Pixelbizz/Getty Images)

IT-banen

Reacties (845)

845

813

353

370

Wijzig sortering

Meg

1 maart 2026 10:16

Weet iemand of je ook ergens kan zien of je mobiele nummer gelekt is?

jamesbond007uk @Meg • 1 maart 2026 10:34

Via datagelekt.nl

Mijn nummer staat helaas erin.

Meg

@jamesbond007uk • 1 maart 2026 10:39

Zelf zit ik niet bij Odido, maar een vriendin van me wel; haar nummer is helaas ook gelekt.

Polini1490 1 maart 2026 10:16

Vrij bijzonder. Ik ben 3 dagen geleden lid geworden van odido en ook ik zit bij het datalek.. is dit lek nou nog niet gedicht?

SCS2 @Polini1490 • 1 maart 2026 11:15

En nooit eerder? Dat is raar.

Polini1490 @SCS2 • 1 maart 2026 17:21

Nee nooit eerder lid geweest. Al 15 jaar trouwe klant bij de grote groene provider

king006 @Polini1490 • 1 maart 2026 13:13

Maar je hebt het wellicht aangevraagd toen het lek speelde? 😃

Polini1490 @king006 • 1 maart 2026 17:22

Nee 3 dagen geleden. Toen was het lek al gedicht (was de veronderstelling)

king006 @Polini1490 • 1 maart 2026 18:49

Die was toen al dicht inderdaad. Vreemd dat je e-mailadres dan toch erin zit!

R4gnax

Datalek
Privacy
Politiek en recht

@Polini1490 • 2 maart 2026 00:17

Misschien in een verleden bij Tele 2, Orange, of het oude Ben gezeten? Die zijn allemaal in T-Mobile opgegaan en toen naar Odido.

Of misschien heb je ooit jezelf ingeschreven om glasvezel aan te laten leggen via, destijds nog, T-Mobile?
Dat zit je nl. ook in het systeem - schijnt.

[Reactie gewijzigd door R4gnax op 2 maart 2026 00:17]

MissMe NL @Polini1490 • 1 maart 2026 14:33

Neem aan je abbo stop gezet?

Basxt @Polini1490 • 1 maart 2026 14:54

Dit lijkt me niet mogelijk

Appeltjeeitje 1 maart 2026 10:17

Ik lees enkele malen dat je je bankrekening goed in de gaten moet houden.

Waarom?

SCS2 @Appeltjeeitje • 1 maart 2026 11:13

Dat criminelen dingen op rekening kopen, met een account met jouw gegevens en jouw rekening.

Ze doen klinken alsof dat alleen tijdelijk is.
Maar dat risico is niet over een paar weken of maanden voorbij.

[Reactie gewijzigd door SCS2 op 1 maart 2026 13:40]

Appeltjeeitje @SCS2 • 1 maart 2026 11:58

Helder. Zo had ik het nog niet bekeken. $_/-\o_$

R4gnax

Datalek
Privacy
Politiek en recht

@SCS2 • 2 maart 2026 00:18

Ze doen klinken alsof dat alleen tijdelijk is.
Maar dat risico is niet over een paar weken of maanden voorbij.

Sterker nog - dat risico wordt alleen maar groter. Omdat de algemene paraatheid die we nu na dit lek kennen, mettertijd weg-ebt. Criminelen wachten vaak even af voordat ze hun slag slaan in de hoop dat je op dat moment al minder oplettend bent.

ChillinR

1 maart 2026 10:19

Odido had getroffenen geïnformeerd toch? Ik ben oud-klant, heb niks van ze gehoord, maar volgens haveibeenpwnd ben ik wel getroffen in de Odido-hack

KC Boutiette @ChillinR • 1 maart 2026 13:29

Hier hetzelfde helaas. Ben ooit vast internet klant geweest bij T-Mobile en kom nu voor in de lijst van HIBP. Ik ben nu geen klant meer bij Odido of een van de gelieerde merken. Ik zou graag weten welke informatie er (nog meer) van mij gelekt is. Heb nu alleen een positieve bevestiging op mijn email adres. Heeft iemand tips hoe dat via de legale weg te doen? Bij https://www.odido.nl/privacy kun je als oude klant alleen je gegevens laten verwijderen voor zover ik het zie. HIBP / Mozilla monitor / Check je hack van de politie bevestigd alleen of het mailadres getroffen is, niet de eventuele andere gegevens.

ChillinR

@KC Boutiette • 1 maart 2026 21:00

Op https://datagelekt.nl/odido/ staat inmiddels ook alles van vanochtend. Daar kan je een voor een je emailadres, telefoonnummer, IBAN, etc invullen om te kijken of die ook allemaal buitgemaakt zijn.

Ik kreeg op alles een hit helaas.

KC Boutiette @ChillinR • 2 maart 2026 16:58

Hey, dank. Om onduidelijke redenen staan alleen mijn naam + email in de dump. Geluk deze keer...

R4gnax

Datalek
Privacy
Politiek en recht

@KC Boutiette • 2 maart 2026 00:19

Heeft iemand tips hoe dat via de legale weg te doen?

Naar een winkel gaan en botweg eisen dat ze het oplossen en niet weggaan zonder.
Dat is ongemakkelijk voor het winkelpersoneel en de andere klanten, maar dat is dan maar zo.

[Reactie gewijzigd door R4gnax op 2 maart 2026 00:20]

GertMenkel

Politiek en recht

@ChillinR • 1 maart 2026 13:34

Odido is onvolledig in hun berichtgeving geweest vanaf het begin. Dat ze mensen als jou niet hebben geïnformeerd, komt voor mij niet als verassing. Vooral oud-klanten wiens gegevens lang voorbij de wettelijke bewaartermijn zijn bewaard en klanten wiens gegevens in de database stonden van overgenomen providers lijken in veel gevallen niet op de hoogte te zijn gebracht.

Als klant heb ik een mailtje gehad waar "maar" onvolledige informatie in stond.

Je zou kunnen proberen of je in aanmerking komt voor die twee jaar gratis antivirus die ze aanbieden. Als je een mailtje van HIBP hebt, kun je er van uitgaan dat je in de dataset staat.

R4gnax

Datalek
Privacy
Politiek en recht

@GertMenkel • 2 maart 2026 00:23

Ik heb als bestaande klant geen berichtgeving gehad, maar ik neem aan dat ik er ook gewoon in zit.
Ik heb ze nooit een email adres gegeven. Maar ik heb ook geen SMS gehad. (Het was zogenaamd primair e-mail; en als ze die niet hebben, SMS.)

Ik ben zelf uit eigen initiatief langs het lokale winkelfiliaal gegaan en stond met een prepaid toch wel gewoon met NAW gegevens, geboortedatum, en uiteraard telefoonnummer in hun CRM systeem. Gelukkig geen andere gegevens voor zover ze daar konden zien. Klein geluk bij een ongeluk: wat ze niet hebben, kan ook zeker niet gelekt zijn.

Terzijde:
Zou het niet tof zijn als banken wegwerprekeningen als aliases zouden ondersteunen, net zoals sommige email diensten 'relay' addressen ondersteunen? Kun je fijn een rekeningnummer per abonnement hanteren en als het ooit met dat rekening nummer fout gaat, een nieuwe genereren.

[Reactie gewijzigd door R4gnax op 2 maart 2026 00:25]

GertMenkel

Politiek en recht

@R4gnax • 2 maart 2026 09:11

Aliassen/wegwerprekeningen bestaan bij partijen als Bunq en andere "nieuwe" banken. Die zijn meestal alleen maar digitaal en je moet je vaak wel je naam correct invullen (maar die heeft Odido toch, want zonder ID willen ze je geen SIM geven in mijn ervaring), maar je kunt een tiental kaarten klaarzetten en per direct stopzetten.

nnndoh 1 maart 2026 10:19

grappig, ik heb geen eens een passport , nooit gehad ,en toch is dat gelekt

en dat van bank account numbers, die geef je aan iedereen als je bijvoorbeeld spulletjes via marktplaats verkoopt, of betaald via tikkie

Een oud tiscali email adres was al een keer in 2016 via unreal engine gehackt. ook nooit last van gehad, tegenwoordig word spam prima weg gefilterd

[Reactie gewijzigd door nnndoh op 1 maart 2026 10:22]

donny007 1 maart 2026 10:22

Tot zover de droom dat ShinyHunters een betrouwbare partij zou zijn om mee te dealen.

Dit is niet een doorsnee ransomwaregroep die enige reputatie hoog heeft te houden om serieus genomen te worden, dit is een boevenbende die gewoon doet waar ze zin in hebben.

Niet betalen was hier de juiste keuze.

floriszz 1 maart 2026 10:29

Ik was al een jaar weg bij Odido. Maar volgens hun richtlijnen mogen ze je data 2 jaar bewaren zeiden ze tegen mij.

Ik kreeg wel zo’n e-mail van Odido dat mijn gegevens ook gelekt waren.

Op datagelekt.nl op basis van PC+huisnummer krijg ik dat mijn gegevens NIET gelekt zijn, maar op ‘have I been powned’(op basis van e-mail adres) staat dat zo’n beetje al mijn persoonlijke gegevens gelekt zijn… Wazige informatie!

Wat ik ook wel zou willen weten is hoe die data dan gelekt is!? Hulp van binnenuit!?

Frozen @floriszz • 1 maart 2026 10:43

datagelekt.nl is nog niet bijgewerkt, dus dan ook logisch dat het kan zijn dat daar staat dat je gegevens NIET gelekt zijn.

Keypunchie

Odido

1 maart 2026 11:01

ShinyHunters beschuldigt de telecomprovider van slechte databewaarpraktijken en stelt dat Odido niet tot een losgeldovereenkomst wilde komen. In de verklaring bij de hele dataverzameling van Odido-klanten stellen de aanvallers dat het niet hun schuld is dat Nederlandse klanten nu angst en terreur ervaren.

Lol. Met een uitgestreken smoel opgeschreven vast ook.

Ze zijn gewoon strak verantwoordelijk, in een praktische, morele en juridische zin. Odido is schuldig aan slechte beveiliging, Shinyhunters is verantwoordelijk voor de rest.

Rogers 1 maart 2026 11:07

Het lijkt wel alsof Odido hier in de comments zit als ik zie hoe sommige de gelekte data bagatelliseren en Odido verdedigen, of zijn mensen nu zo naïef.

Ze hebben alle data gelekt om identiteit fraude te plegen, naar instanties te bellen om informatie op te vragen (bijv zorg instellingen), abonnementen aan te passen/opzeggen, producten te bestellen op jou naam, realistische phishing te plegen, etc.

Odido heeft totaal schijt aan zijn klanten, ze informeren niet eens fatsoenlijk. En 1 miljoen om dit te stoppen was niks voor hun op miljarden omzet.

[Reactie gewijzigd door Rogers op 1 maart 2026 11:10]

SCS2 1 maart 2026 11:17

We zijn met z'n ca. 18 miljoen in Nederland
Nu data van 6 miljoen gelekt.

Nog 2x zoiets en we hoeven ons gelukkig helemaal niet meer druk te maken over al die vervelende veiligheidssystemen, omdat toch alles al op straat ligt