Terug naar Voor slachtoffers van online fraude

#informatief - De Odido Hack

12 februari 2026 115 Weergaven Openbare groep
Profielafbeelding voor Henk | Ambassadeur
Henk | Ambassadeur

Wat we moeten leren van het datalek dat 6,2 miljoen Nederlanders raakt

De schok van een digitale inbraak

Het weekend van 7 en 8 februari markeert een pijnlijk dieptepunt in de Nederlandse cybersecuritygeschiedenis. Terwijl miljoenen Nederlanders genoten van hun vrije tijd, voltrok zich bij telecomprovider Odido een digitale kaalslag die de privacy van bijna een derde van de Nederlandse bevolking raakt. De centrale, prangende vraag is hoe een gecentraliseerd systeem waarin de gevoelige gegevens van nagenoeg de volledige klantenbase zijn opgeslagen, zo kwetsbaar kon zijn voor cybercriminelen. Dit incident legt een fundamenteel probleem bloot in de manier waarop grote organisaties onze meest persoonlijke data beheren: we creëren digitale 'honeypots' die simpelweg te aantrekkelijk zijn voor aanvallers om te negeren.

Bijna elke klant is een mogelijk doelwit

De omvang van dit datalek is voor Nederlandse begrippen ongekend. Cybercriminelen kregen toegang tot een intern klantcontactsysteem dat de administratie van maar liefst 6,2 miljoen mensen beheert. Dit aantal is nagenoeg gelijk aan het volledige klantenbestand van Odido. Hoewel de provider aangeeft dat het nog onduidelijk is of álle records in het gedownloade bestand stonden, moeten we uitgaan van het ergste scenario. Voor de Nederlandse telecomsector is dit een beveiligingsdebacle van een schaal die we niet eerder hebben gezien; vrijwel iedereen met een Odido-abonnement is nu een potentieel doelwit.

Meer dan alleen een e-mailadres – Je identiteit ligt op straat

De aard van de gestolen data zorgwekkender dan de kwantiteit. Dit is geen simpel lek van e-mailadressen en wachtwoorden; dit is een blauwdruk voor identiteitsfraude. De buitgemaakte informatie bevat:

• Volledige namen en adresgegevens
• Mobiele telefoonnummers en e-mailadressen
• Klantnummers en IBAN-rekeningnummers
• Geboortedata
• Identificatiegegevens (zoals paspoort- of rijbewijsnummers)

Juist de combinatie van IBAN-gegevens met paspoortnummers is giftig. Dit stelt criminelen in staat om zeer geloofwaardige vormen van bankhelpdeskfraude of bewindvoeringsfraude te plegen. Wanneer een oplichter niet alleen uw naam en rekeningnummer weet, maar ook uw paspoortnummer kan citeren, wordt het voor een gemiddelde consument nagenoeg onmogelijk om echt van vals te onderscheiden.

De digitale kluis bleef deels gesloten

Er is een klein lichtpuntje in deze digitale duisternis. Volgens Odido zijn bepaalde kritieke datapunten buiten schot gebleven:

• Wachtwoorden
• Belgegevens en locatiegegevens
• Factuurgegevens

Vanuit technisch oogpunt is dit relevant omdat het een directe 'Account Takeover' (ATO) van de Odido-omgeving zelf bemoeilijkt. Criminelen kunnen niet direct inloggen om abonnementen te wijzigen of simkaarten te dupliceren via de webomgeving. Echter, als IT'er moet ik benadrukken dat de wél gestolen data meer dan voldoende is voor geavanceerde social engineering. Met de buitgemaakte info kunnen aanvallers via de helpdesk proberen alsnog wachtwoorden te laten resetten of toegang te forceren tot andere accounts van het slachtoffer.

De nieuwe golf van 'hyper-gepersonaliseerde' phishing

We gaan een fase in van hyper-gepersonaliseerde phishing. Criminelen hoeven niet meer te gokken; ze weten wie u bent, wat uw klantnummer is en bij welke bank u zit. Odido waarschuwt zelf expliciet voor dit gevaar:

"Criminelen zouden de gestolen informatie kunnen gebruiken om zich voor te doen als bank, telecomprovider of andere organisatie (phishing), bijvoorbeeld via frauduleuze e-mails, sms’jes of telefoontjes."

Tip: Wees uiterst waakzaam. 
Besef dat een legitieme bank of provider u nooit zal vragen om uw volledige paspoortnummer ter verificatie te geven via een link of aan de telefoon, en ze zullen u nooit vragen om via een sms-link uw IBAN te 'bevestigen'. Krijgt u een dergelijk verzoek? Hang op en bel zelf het officiële nummer van de instantie.

Snel handelen en de rol van de Autoriteit Persoonsgegevens

Odido heeft na de ontdekking volgens het boekje gehandeld: de toegang is direct gedicht, klanten zijn geïnformeerd en er is een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Hoewel deze transparantie en het opvolgen van de wettelijke plichten prijzenswaardig zijn, lost het de kern van het probleem niet op. De data is "buiten" en kan nooit meer worden ingetrokken. De rol van de AP zal in de nabije toekomst cruciaal zijn om te beoordelen of Odido wel voldaan heeft aan de beveiligingseisen die de AVG stelt aan het opslaan van zulke risicovolle ID-documenten in een systeem dat blijkbaar relatief eenvoudig toegankelijk was.

De nasleep van een weekend in februari

De hack bij Odido is een pijnlijke herinnering aan de kwetsbaarheid van onze gecentraliseerde digitale samenleving. De technische gaten mogen dan gedicht zijn, de maatschappelijke schade begint nu pas. Dit incident dwingt ons tot een fundamentele discussie: waarom staan paspoortnummers en IBAN-gegevens in hetzelfde systeem als de aantekeningen van een klantenservice? 

Zolang we dergelijke enorme 'honeypots' blijven bouwen, blijven we dweilen met de kraan open. De vraag is niet óf uw gegevens morgen op straat liggen, maar wanneer organisaties eindelijk inzien dat minder data-opslag de enige échte vorm van beveiliging is. 

Hoe veilig voelt u zich nog als uw meest gevoelige documenten slechts één hack verwijderd zijn van de hoogste bieder?

Henk
SHN community ambassadeur

Bezig met laden...