Odido heeft een video gepubliceerd waarin ceo Soren Abildgaard uitlegt waarom het telecombedrijf geen losgeld betaalde aan de criminelen die dreigden om de gestolen gegevens van meer dan zes miljoen mensen te publiceren, wat uiteindelijk ook gebeurde. Volgens Abildgaard wist de criminele groepering ShinyHunters door middel van voice phishing een grote hoeveelheid persoonlijke data bij het telecombedrijf te stelen. De aanvallers eisten vervolgens losgeld, anders zouden ze de gegevens publiceren, maar Odido besloot niet te betalen.

"Ik ben ervan overtuigd dat je criminele organisaties niet moet belonen voor illegale activiteiten. Het betalen van losgeld kan er bovendien voor zorgen dat ook andere Nederlandse bedrijven doelwit worden", aldus Abildgaard. "Op basis van duidelijke richtlijnen van de autoriteiten hebben we daarom besloten geen losgeld te betalen. We wisten dat dit kon betekenen dat de gestolen data openbaar zou worden. Toch vond ik dit uiteindelijk de enige verantwoorde keuze. Tegelijk begrijp ik heel goed wat de impact van deze beslissing is voor onze klanten."

Op de informatiepagina over het incident meldt Odido dat de aanvaller begin februari contact op nam met het Odido Service team en zich voordeed als medewerker van de IT-afdeling. Na de eerste telefonische phishingaanval op 5 februari volgde op 6 februari een tweede aanval. Odido zegt dat het in beide gevallen de ongeautoriseerde toegang van de aanvaller ontdekte, het incident onderzocht en de toegang van de aanvaller introk.

"Dit soort phishingaanvallen komt vaker voor en onze medewerkers zijn getraind om ze te herkennen. Maar de specifieke aanval die leidde tot het buitmaken van data, was zeer geavanceerd", zo stelt het telecombedrijf. Odido laat niet weten wat de aanval zeer geavanceerd maakte. Wel meldt de provider dat het incident 6,39 miljoen mensen raakte.