Hackers dumpen alle gestolen Odido-klantdata na weigering losgeld
Eindhoven, dinsdag, 3 maart 2026.
De hacker-groep ShinyHunters heeft zondag alle resterende klantgegevens van 6,5 miljoen Odido-klanten online gezet na de weigering van het telecombedrijf om 500.000 euro losgeld te betalen. De gelekte data bevat namen, adressen, geboortedatums, bankrekeningnummers en ruim 5 miljoen unieke identiteitsdocumenten zoals paspoorten en rijbewijzen. Sinds de hack bekend werd op 12 februari zijn nieuwe klanten massaal weggebleven bij Odido, met een daling van 75 procent in nieuwe internetabonnementen. Het gaat om een van de grootste datalekken ooit in Nederland waarbij hackers via phishing toegang kregen tot de Salesforce-omgeving van het bedrijf.
Volledige dataset nu online na vier dagen gedeeltelijke publicaties
De cybercriminelen hebben zondag 1 maart alle resterende klantgegevens in één keer online gezet, na drie dagen van gedeeltelijke publicaties [6]. Dit volgt op het eerder gemelde datalek waarbij hackers dagelijks gestolen gegevens publiceerden nadat Odido weigerde losgeld te betalen. De nieuwe dataset bevat informatie van meer dan 6,5 miljoen individuen en ongeveer 600.000 bedrijven [6]. Het bestand bevat iets meer dan 5 miljoen unieke identificatiedocumenten, waaronder rijbewijzen, paspoorten en verblijfsvergunningen van diplomaten [6]. De hackers zeiden dat ‘recente ontwikkelingen’ hen ertoe brachten alle data in één keer te publiceren in plaats van geleidelijk [6]. Ze weigerden uit te leggen wat die ontwikkelingen waren toen NOS hierom vroeg [6].
Gevoelige bankgegevens bewust achtergehouden door criminelen
Opvallend is dat de hackers bepaalde gevoelige informatie bewust hebben weggelaten uit de laatste publicatie [6]. Bankrekeningnummers en interne klantenservice-aantekeningen die wel in de eerste twee datasets stonden, ontbreken in de nieuwste release [6]. Deze aantekeningen bevatten details zoals of klanten schulden hadden of wangedrag hadden vertoond [6]. De hackers zeiden dat deze gegevens ‘niet relevant’ zijn, maar beweren tegelijkertijd de data ‘voor eigen gebruik’ te bewaren [6]. De gepubliceerde bestanden bevatten wel geboortedatums, telefoonnummers en e-mailadressen [6]. Voor ongeveer 71.000 mensen bevat de dataset het e-mailadres van een door de rechtbank aangestelde beheerder of andere zorgverlener [6].
Downloaden van gelekte data illegaal, ook voor slachtoffers
Slachtoffers die willen weten welke gegevens van hen zijn gestolen, mogen de data niet downloaden omdat dit strafbaar is [1]. ICT-jurist Arnoud Engelfriet legt uit: ‘Het overnemen van niet-openbare gegevens is strafbaar als je weet of redelijkerwijs kon vermoeden dat ze uit misdrijf verkregen zijn’ [1]. Voor gegevensheling onder artikel 138c en 139 van het Wetboek van Strafrecht is misbruik van de gegevens niet eens vereist [1]. De datasets zijn inmiddels vrij gemakkelijk te vinden via Google en directe URL’s naar downloadpagina’s worden op fora gedeeld [1]. Het Openbaar Ministerie richt zich hoofdzakelijk op de criminelen die verantwoordelijk zijn voor de hack [1]. Het is onwaarschijnlijk dat individuele downloaders van de dataset bestraft worden [1].
Vertrouwensbreuk leidt tot massale klantvlucht
Het datalek heeft geleid tot een drastische daling in nieuwe klanten voor Odido [3]. Overstappen.nl noteert sinds 27 februari een daling van 75 procent in nieuwe internetklanten voor Odido [3]. Sinds de hack op 12 februari bekend werd, daalde het aantal nieuwe internetklanten al met 85 procent [3]. Internetten.nl meldt dat slechts 12,5 procent van de nieuwe internetklanten nog voor Odido kiest, een daling van ruim een derde sinds 27 februari [3]. Voor de hack koos bijna 30 procent van de overstappers voor Odido-internet [3]. ‘Na het openbaar maken van de gegevens door de hackers is deze twijfel omgeslagen in een vertrouwensbreuk’, zegt Jean-Paul Würsten van Overstappen.nl [3].
Lokale impact voor Eindhoven en omgeving verwacht
Het datalek heeft mogelijk grote gevolgen voor inwoners van Eindhoven en de randgemeenten, een regio met veel hoogwaardige technologiebedrijven die afhankelijk zijn van digitale communicatie [GPT]. Het landelijke marktaandeel van Odido-internet werd in 2025 geschat op 10 tot 15 procent [3]. Met ongeveer 235.000 inwoners in Eindhoven zou dit betekenen dat duizenden lokale inwoners mogelijk getroffen zijn [GPT]. De impact op mobiele abonnementen is nog onduidelijk omdat veel klanten vastzitten aan meerjarige contracten [3]. In de eerste vier dagen na de hack stapten honderden Odido-internetklanten al over naar concurrenten [3]. Ben Woldring van Internetten.nl zegt: ‘Men dacht dat de soep niet zo heet zou worden gegeten als deze werd opgediend’ [3].
Hackers gebruikten phishing om Salesforce-toegang te krijgen
De hackers gebruikten social engineering om inloggegevens te verkrijgen door zich voor te doen als IT-collega’s [4]. Ze koppelden een kwaadaardige ‘connected app’ aan Odido’s Salesforce-omgeving, waardoor ze directe toegang kregen tot de database [4]. De FBI en Salesforce hadden maanden geleden gewaarschuwd voor deze social engineering-methode die gebruikt wordt door groepen zoals UNC6040 [4]. Salesforce stelde dat hun platform niet was gecompromitteerd, maar dat de setup en het beheer door Odido de zwakke punten waren [4]. Het probleem lag in de te grote ‘Blast Radius’ bij Odido, waarbij één gecompromitteerd account uitgebreide schade kon veroorzaken [4]. Klantenservicemedewerkers hadden toegang tot veel te gevoelige klantgegevens zoals paspoortnummers en IBAN’s [4].
Slachtoffers krijgen beperkte hulp en geen schadevergoeding
Het Odido-datalek is toegevoegd aan Have I Been Pwned, zodat mensen kunnen controleren of hun e-mailadres betrokken is [2]. De Nederlandse politie geeft aan dat de gegevens ‘op korte termijn’ verwerkt worden in de tool Check je hack [1]. Getroffenen van het datalek krijgen geen schadevergoeding en een massaclaim is onwaarschijnlijk [1]. Odido biedt een softwarepakket aan slachtoffers, maar dit draait de diefstal van onveranderlijke gegevens zoals geboortedatums niet terug [4]. RTL-techjournalist Daniël Verlaan adviseert: ‘Je kunt alleen alert zijn’ [2]. Door de combinatie van IBAN’s en identificatienummers kunnen criminelen gerichter te werk gaan bij fraude [2]. Verlaan waarschuwt: ‘Ook een persoon die bijvoorbeeld zogenaamd namens je bank belt, kan het juiste bankrekeningnummer noemen, in combinatie met je paspoortnummer’ [2].