Nieuws
image

Odido publiceert video over het niet betalen van losgeld na datadiefstal

dinsdag 12 mei 2026, 11:35 door Redactie, 15 reacties

Odido heeft een video gepubliceerd waarin ceo Soren Abildgaard uitlegt waarom het telecombedrijf geen losgeld betaalde aan de criminelen die dreigden om de gestolen gegevens van meer dan zes miljoen mensen te publiceren, wat uiteindelijk ook gebeurde. Volgens Abildgaard wist de criminele groepering ShinyHunters door middel van voice phishing een grote hoeveelheid persoonlijke data bij het telecombedrijf te stelen. De aanvallers eisten vervolgens losgeld, anders zouden ze de gegevens publiceren, maar Odido besloot niet te betalen.

"Ik ben ervan overtuigd dat je criminele organisaties niet moet belonen voor illegale activiteiten. Het betalen van losgeld kan er bovendien voor zorgen dat ook andere Nederlandse bedrijven doelwit worden", aldus Abildgaard. "Op basis van duidelijke richtlijnen van de autoriteiten hebben we daarom besloten geen losgeld te betalen. We wisten dat dit kon betekenen dat de gestolen data openbaar zou worden. Toch vond ik dit uiteindelijk de enige verantwoorde keuze. Tegelijk begrijp ik heel goed wat de impact van deze beslissing is voor onze klanten."

Op de informatiepagina over het incident meldt Odido dat de aanvaller begin februari contact op nam met het Odido Service team en zich voordeed als medewerker van de IT-afdeling. Na de eerste telefonische phishingaanval op 5 februari volgde op 6 februari een tweede aanval. Odido zegt dat het in beide gevallen de ongeautoriseerde toegang van de aanvaller ontdekte, het incident onderzocht en de toegang van de aanvaller introk.

"Dit soort phishingaanvallen komt vaker voor en onze medewerkers zijn getraind om ze te herkennen. Maar de specifieke aanval die leidde tot het buitmaken van data, was zeer geavanceerd", zo stelt het telecombedrijf. Odido laat niet weten wat de aanval zeer geavanceerd maakte. Wel meldt de provider dat het incident 6,39 miljoen mensen raakte.

Reacties (15)
Reageer met quote
Vandaag, 11:49 door Anoniem
Best practice is om niet te betalen en dat is vermoedelijk ook waarom niet betaald is. Het filmpje dat dit uitlegt (of zou moeten uitleggen) dekt wat mij betreft alleen niet echt de lading. Daarnaast dekt het filmpje over wat er precies gebeurd is ook niet echt de lading als je het mij vraagt. Daar wordt namelijk alleen voice phishing vermeld, maar dat is niet het enige dat er gebeurd is. Ik snap dat dit allemaal vanuit een flinke PR blik opgenomen filmpjes zijn, maar het is alsnog wel wat magertjes. De beste man heeft niks gezegd dat niet al online te lezen was.
Reageer met quote
Vandaag, 11:53 door Anoniem
Geen losgeld betaald? Prima, geef dat losgeld dan maar aan je gedupeerde klanten.
Reageer met quote
Vandaag, 11:54 door Anoniem
"Ik ben ervan overtuigd dat je criminele organisaties niet moet belonen voor illegale activiteiten. Het betalen van losgeld kan er bovendien voor zorgen dat ook andere Nederlandse bedrijven doelwit worden", aldus Abildgaard.

Dat is van geen enkel waarde omdat het om MIJN gegevens gaat beste CEo Abildgaard. Jouw overtuigingen zijn lucht ivm mijn belangen die hier zwaar geschaad zijn.

We zullen eens zien wat er van de overtuigingen van Abildgaard overblijft als we zijn persoonlijke details gaan publiceren.

En het is helemaal schofterig dat deze fluim nog geen excuses heeft aangeboden. Wat een zak hooi.
Reageer met quote
Vandaag, 11:57 door Anoniem
Hoezo verantwoorde keuze??? genoodzaakte keuze. Als hij het verantwoord vindt, dan is het blijkbaar niet erg dat er van 6,9 miljoen mensen op straat ligt. Met alle gevolgen van dien. Verder hoort het AP een fikse boete te eisen, voor het niet minimaliseren van persoonsdata.
Reageer met quote
Vandaag, 12:21 door linuxpro
Weinig verantwoordingsgevoel, geen enkele empathie maar zoals de achterliggende investeringsmaatschappijen het voorschrijven, downplayen en zo snel mogelijk door met de klant uitknijpen. Een grotere f*ck the customer ga je niet krijgen.
Reageer met quote
Vandaag, 13:01 door Anoniem
Ohh kijk, gevens van Canvas zijn niet gelekt...

Fix je security, train je mensen of betaal de boete aan of AP, of aan Shinyhunters. Zie het als een ongevraagde pentest met een grote prijs. Als een andere groep binnen was gekomen waren de gegevens al sneller vrijgekomen. Shiny hunters geven nog de optie om de gegevens te beschermen gezien hun reputatie. Odido koos bewust voor lekken in dit geval en is hier dan ook verantoordelijk.
Reageer met quote
Vandaag, 13:12 door Anoniem
Door Anoniem: "Ik ben ervan overtuigd dat je criminele organisaties niet moet belonen voor illegale activiteiten. Het betalen van losgeld kan er bovendien voor zorgen dat ook andere Nederlandse bedrijven doelwit worden", aldus Abildgaard.

Dat is van geen enkel waarde omdat het om MIJN gegevens gaat beste CEo Abildgaard. Jouw overtuigingen zijn lucht ivm mijn belangen die hier zwaar geschaad zijn.

We zullen eens zien wat er van de overtuigingen van Abildgaard overblijft als we zijn persoonlijke details gaan publiceren.

En het is helemaal schofterig dat deze fluim nog geen excuses heeft aangeboden. Wat een zak hooi.
Probeer eens een paar stapjes vooruit te denken.

Het probleem is dat door te betalen het verdienmodel van dit soort criminaliteit in stand wordt gehouden, er dan meer van dat soort aanvallen en slachtoffers te verwachten zijn in de toekomst dan wanneer je er een rem op zet, en dat ook jij dan weer slachtoffer kan worden van zo'n toekomstige aanval. De totale schade wordt groter als je dat kwaadaardige systeem met geld blijft voeden.

Dat neemt niet weg dat het tenenkrommend is dat dit soort toestanden ongeveer over elkaar heen rollen. De staat van IT is niet wat die zijn moet.
Reageer met quote
Vandaag, 13:34 door Anoniem
Door Anoniem:
Door Anoniem: "Ik ben ervan overtuigd dat je criminele organisaties niet moet belonen voor illegale activiteiten. Het betalen van losgeld kan er bovendien voor zorgen dat ook andere Nederlandse bedrijven doelwit worden", aldus Abildgaard.

Dat is van geen enkel waarde omdat het om MIJN gegevens gaat beste CEo Abildgaard. Jouw overtuigingen zijn lucht ivm mijn belangen die hier zwaar geschaad zijn.

We zullen eens zien wat er van de overtuigingen van Abildgaard overblijft als we zijn persoonlijke details gaan publiceren.

En het is helemaal schofterig dat deze fluim nog geen excuses heeft aangeboden. Wat een zak hooi.
Probeer eens een paar stapjes vooruit te denken.

Het probleem is dat door te betalen het verdienmodel van dit soort criminaliteit in stand wordt gehouden, er dan meer van dat soort aanvallen en slachtoffers te verwachten zijn in de toekomst dan wanneer je er een rem op zet, en dat ook jij dan weer slachtoffer kan worden van zo'n toekomstige aanval. De totale schade wordt groter als je dat kwaadaardige systeem met geld blijft voeden.

Dat neemt niet weg dat het tenenkrommend is dat dit soort toestanden ongeveer over elkaar heen rollen. De staat van IT is niet wat die zijn moet.
Even een paar andere stapjes doen:
Door te betalen worden de gegevens van 8 miljoen mensen niet op straat gegooid maar vernietigd. De Hackers hebben een betrouwbare reputatie en doen dat ook (gegevens vernietigen) 1 miljoen is peanuts. Odido kan er dan daarna van leren van en haar systemen beter beveiligen.Door niet te betalen is er vooral schade aangericht. En in de toekomst nog veel meer schade. Bovendien verliest Odido nu veel klanten en door de claim (rechtszaak) gaan ze mogelijk nog veel meer finaciële schade lijden.
Reageer met quote
Vandaag, 14:27 door Anoniem
Door Anoniem:
De Hackers hebben een betrouwbare reputatie en doen dat ook (gegevens vernietigen) 1 miljoen is peanuts.

Een reaguurder met daderkennis? Of iemand met een grenzeloze naiveteit?

Zelfs als de dataset niet integraal gepubliceerd wordt, kunnen de persoonsgegevens nog verkocht worden voor spamming, stalking, phishing of password spraying. Of om allerlei AI-modellen te trainen.

Achteraf is het moeilijk om dit terug te leiden tot de Canvas hack.
Reageer met quote
Vandaag, 14:44 door _R0N_
Hoe dan ook, ik sta nog steeds achter het besluit van Odido om niet te betalen (en ja ook mijn gegevens zaten in de dataset).

Betalen geeft geen enkele garantie dat de data uiteindelijk niet misbruikt gaat worden.
Reageer met quote
Vandaag, 14:47 door Anoniem
Door Anoniem: Ohh kijk, gevens van Canvas zijn niet gelekt...

Fix je security, train je mensen of betaal de boete aan of AP, of aan Shinyhunters. Zie het als een ongevraagde pentest met een grote prijs. Als een andere groep binnen was gekomen waren de gegevens al sneller vrijgekomen. Shiny hunters geven nog de optie om de gegevens te beschermen gezien hun reputatie. Odido koos bewust voor lekken in dit geval en is hier dan ook verantoordelijk.

Hear, hear !
Eindelijk een beetje verstand in deze discussie.

De security van veel organisaties en zeker die van Odido is zo slecht dat er van uitlokking gesproken kan worden.
Dat door een lulverhaaltje aan de telefoon uiteindelijk zeer persoonlijke gegevens van meer dan 6 miljoen klanten op straat komen te liggen is echt alleen Odido aan te rekenen.

Als ik mijn voordeur en achterdeur wijd open laat staan en vervolgens ga huilen dat er zaken ontvreemd zijn, geeft iedereen mij de schuld. En terecht.

Odido is hier geen slachtoffer, verre van dat. De klanten zijn het slachtoffer maar dat wil maar niet doordringen bij Odido.
Reageer met quote
Vandaag, 14:53 door Anoniem
Door _R0N_: Hoe dan ook, ik sta nog steeds achter het besluit van Odido om niet te betalen (en ja ook mijn gegevens zaten in de dataset).

Betalen geeft geen enkele garantie dat de data uiteindelijk niet misbruikt gaat worden.
Mee eens, ik heb helemaal niets met Odido, (ik heb zelfs een hekel aan ze) maar ben het wel eens met deze beslissing die ze hebben gemaakt.
Voor je het weet groeit deze vorm van criminaliteit uit tot een groots kartel waar zelfs justitie niets kan tegen beginnen en gaan ze zich moeien met de politiek zoals in Zuid Amerika al veelal gebeurd. Het is een gevaarlijke ontwikkeling als bedrijven blijven betalen en de politiek er nu niets aan doet en betalingen aan criminelen illegaliseert, straks mag iederen op de blaren gaan zitten inclusief de politici zelf.
Reageer met quote
Vandaag, 15:05 door Anoniem
Deze keuze is toch wel heel twijfelachtig.

Want de schade die hiermee wordt aangericht bij klanten is vrijwel onmetelijk. Identiteitsfraude kan je de rest van je leven achtervolgen. Daarnaast is het niet ondenkbaar dat er veel vervolghacks zullen plaatsvinden met de gelekte informatie, zoals via phishing.

Het feit dat het lekken van zoveel gegevens van zoveel klanten over zo’n lange periode is zo enorm schadelijk, dat je je kunt afvragen of het wel “moreel verantwoord” is om een standpunt in te nemen dat je uit principe hackers niet beloont.

Daarnaast gaat dit bericht van de CEO weer compleet voorbij aan het verhaal dat Odido totaal lak had aan klant data. Ze verzamelden veel te veel gegevens, bewaarden dat veel te lang en ook onveilig (te veel mensen konden bij te veel data).

Odido is degene die op het strafbankje zou moeten zitten. Stop met steeds de vinger wijzen naar de criminelen. Natuurlijk zij die fout, maar de deur stond ook op een kier.

Hoe Odido met klantgegevens is om gesproken zou reden moeten zijn om bestuurders te vervolgen en zwaar te straffen.

We moeten afstappen van het idee dat je voor een internetabonnement je paspoort moet overleggen (blijkbaar normaal bij Odido). Om telecomdiensten aan te bieden heb je vrij weinig nodig van een klant.

Ik zie de CEO graag achter de tralies. Samen met de hackers.
Reageer met quote
Vandaag, 15:07 door Anoniem
Misschien moeten ze eens kappen met de praktijk waarbij elke klant voor niets zijn ID moet tonen die vervolgens in een shady systeem van Odido terecht komt waar elke medewerker van shady belwinkels bij kan alsmede hun IT-ers in India.

What could possibly go wrong.

Zwaar straffen dat bedrijf en hun CEO zwendelaar.
Reageer met quote
Vandaag, 15:47 door Anoniem
CEO zag zijn jaar bonus te niet worden gedaan en daarom wilden ze niet betalen. Het draait bij dit soort bedrijven toch nooit om iets anders dan geld. En we trappen er met z'n allen weer in en vervolgens gaat we weer vrolijk door als of er niets gebeurt is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components