Odido-hackers publiceren alle resterende klantdata: meer dan 5 miljoen ID-nummers gelekt

Odido-hackers publiceren alle resterende klantdata: meer dan 5 miljoen ID-nummers gelekt

De hackersgroep Shinyhunters heeft alle resterende klantgegevens van telecomprovider Odido in één keer gepubliceerd. De criminelen zien af van hun eerdere plan om de gegevens gefaseerd vrij te geven. De reden voor deze koerswijziging blijft onduidelijk.

Omvang van het datalek

Uit een analyse door de NOS blijkt dat de gepubliceerde dataset de gegevens bevat van minstens 6,5 miljoen personen en 600.000 bedrijven. Daarin zijn ruim vijf miljoen nummers van unieke identiteitsdocumenten opgenomen, waaronder rijbewijzen, paspoorten en verblijfspapieren van diplomaten.

Daarnaast zijn geboortedata, bankrekeningnummers, telefoonnummers en e-mailadressen van klanten naar buiten gebracht. Bij 71.000 personen staat bovendien het e-mailadres van een bewindvoerder of andere zorgverlener vermeld. Bij meer dan 44.000 klanten bevatten de gelekte gegevens notities van de klantenservice, met vaak gevoelige informatie over bijvoorbeeld misdragingen of fraude.

De hackers beweren niet de volledige dataset van Odido te hebben gepubliceerd. Een deel van de gegevens houden zij achter, naar eigen zeggen omdat deze 'niet relevant' zouden zijn — en omdat zij de data voor 'eigen gebruik' willen inzetten.

Losgeld geweigerd

Shinyhunters brak begin februari 2026 in bij Odido en wist in één actie de gegevens van miljoenen klanten te stelen. Vorige week eiste de groep een losgeldbedrag om publicatie van de data te voorkomen. Aanvankelijk bedroeg de eis circa één miljoen euro; later werd dit verlaagd naar 500.000 euro.

Odido weigerde te betalen en liet weten zich 'niet te laten chanteren', mede op advies van de politie en gespecialiseerde securitybedrijven. Die beslissing leidde tot gemengde reacties: enerzijds werd het bedrijf bekritiseerd omdat de weigering de hackers ertoe aanzette de data daadwerkelijk te publiceren, anderzijds kreeg Odido ook steun voor het niet ingaan op de chantage.

Toegang via social engineering

Vrijdag meldde de NOS al dat een toeleverancier van Odido het bedrijf had gewaarschuwd voor de aanvalsmethode die de hackers gebruikten. De criminelen verschaften zich toegang door de klantenservice te bellen en zich voor te doen als medewerkers van de ICT-afdeling. Medewerkers van de klantenservice gaven de hackers vervolgens onbewust toegang tot de systemen — een techniek die bekendstaat als social engineering.

'Recente ontwikkelingen'

Op hun darkwebsite verwijzen de hackers naar niet nader omschreven 'recente ontwikkelingen' als reden voor het in één keer vrijgeven van alle resterende data. Wat deze ontwikkelingen precies inhouden, willen de criminelen desgevraagd niet toelichten aan de NOS.

Voor gedupeerde klanten van Odido is het sterk aan te raden waakzaam te zijn voor phishing, identiteitsfraude en verdachte activiteiten op bankrekeningen. Het Nationaal Cyber Security Centrum (NCSC) adviseert bij twijfel contact op te nemen met de betreffende instanties.