Nieuws
image

Odido: hackers lieten medewerker klantenservice inloggen op phishingsite

woensdag 13 mei 2026, 09:43 door Redactie, 18 reacties

De hackers die bij Odido de gegevens van ruim zes miljoen mensen wisten te stelen konden toegang krijgen omdat ze een medewerker van de klantenservice lieten inloggen op een phishingsite, waardoor de inloggegevens van het account konden worden gestolen. Het gehackte account, dat toegang gaf tot de werkomgeving, werd binnen een uur geblokkeerd. De klantgegevens waren toen al gedownload, zo laat Odido tegenover de NOS weten.

Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren. Na ontdekking van het gehackte account voerde Odido samen met een cybersecuritybedrijf een onderzoek uit. Beide partijen concludeerden dat er geen data was gestolen. Toen de criminele groepering ShinyHunters op 7 februari meldde dat het klantgegevens had buitgemaakt kwam dat volgens Van Lammeren als een verrassing.

Hoe het kwam dat Odido de datadiefstal niet opmerkte wil Van Lammeren niet tegenover de NOS zeggen. "De hackers hebben daar goede technieken voor. Dat vindt op de achtergrond plaats. En dat hebben we niet gezien." Ook had Odido lange tijd geen zicht op de volledige omvang van de gestolen dataset. Pas nadat de aanvallers de gestolen data op internet publiceerden ontdekte Odido dat er ook gegevens van zakelijke klanten waren buitgemaakt.

Geen details over aanval

Informatie over de aanval zelf wil Odido niet geven. "De details kan ik niet delen. Als er bij jou wordt ingebroken, zet je dat ook niet op Instagram om anderen op ideeën te brengen. Maar ze zijn binnengekomen, dat is een feit", laat Van Lammeren aan NU.nl weten. "Het is een combinatie geweest van een menselijke schakel en de snelheid van criminelen. Het gebeurde zo snel, dat we het niet eens doorhadden."

Volgens Van Lammeren is Odido de eerste in Nederland die op deze grote schaal is aangevallen. "Hier lagen geen draaiboeken voor klaar. Deze aanval was ongekend en gebeurde onder hoge druk." Op de eigen website publiceerde Odido gisteren een video waarin de ceo vertelt waarom er geen losgeld is betaald om publicatie van de gestolen persoonsgegevens te voorkomen.

Reacties (18)
Reageer met quote
Vandaag, 09:55 door Anoniem
Het punt is dat hier ook weer blijkt dat bedrijven die soms gehackt zijn als eerste roepen wat er wel en niet buit gemaakt is. Iets waarvan je kunt zeggen dat je dat op zo'n moment helemaal niet kan bepalen en een mensen een vals gevoel geeft. Hier wordt dat gezegt dat later bleek dat veel buitgemaakt is. Ik snap de reaktie dat bedrijven dat doen, want je wilt geen paniekgolf veroorzaken. Anderzijds.... er is duidelijk (gezien de berichtgevingen eromheen) duidelijk op bepaalde punten dingen niet goed gegaan, zoals te lang bewaren van persoonsgegevens enzo. We worden allemaal massaal aangevallen, de aivd heeft zijn handen er vol aan, maar soms kan je ook zelf iets doen. helemaal voorkomen kan niet, maar er ligt wel een taak voor odido.
Reageer met quote
Vandaag, 10:11 door Anoniem
Punt is dat Odido veel te veel gegevens vroeg van klanten en die ook te lang bewaarde.
Men moet echt stoppen met alles van een klant te willen weten, inclusief ID-gegevens. Niet nodig voor een internetabonnement.

Daarnaast belachelijk dat via een support account van een medewerker in India binnen een uur miljoenen records kunnen worden gedownload. Dan is er echt iets heel erg mis met je databeveiliging.

Sowieso hoort een medewerker in India die je nauwelijks kent niet zoveel toegang te hebben (waarom moeten ze al je gegevens inclusief ID-info kunnen zien om support vragen te beantwoorden?)
Daarnaast zat er totaal geen automatische stop in het systeem. Bij het 10e records binnen een paar minuten had er al een alarm af moeten gaan.

Odido is de grote schuldige in dit verhaal. En ik hoop dat er een keer dingen gaan verbeteren in plaats van loze beloftes “Wij respecteren je privacy, daarom willen we alles van je weten en delen we het met 150 advertentiepartners”.
Reageer met quote
Vandaag, 10:18 door Anoniem
Ik zou weleens willen weten welk cybersecurity bedrijf hierbij betrokken was en concludeerde dat er geen data was gelekt.
Zijn alle betreffende logs en systemen wel voldoende nagekeken, ook gegevensstromen? Want het zou op zijn minst moeten opvallen dat een aantal gigabytes qua data ineens je organisatie verlaat...

Dat Odido zaken niet heeft gezien omdat het op de achtergrond gebeurde vind ik een zwak verhaal. Met een goede inrichting van maatregelen, logs, monitoring en detectie was dit wel opgevallen. Zeker wanneer je een goed monitoring en detectie systeem in huis hebt die deze dingen op de achtergrond ziet en kan correleren tot iets wat niet pluis is.
Reageer met quote
Vandaag, 10:28 door Bitje-scheef
Dus een helpdesk medewerker heeft kennelijk teveel rechten gehad?
Reageer met quote
Vandaag, 10:49 door Anoniem
Kijk.. mooi media-offiensief:

- Tijdens een crisis faal je
- Je wacht een tijdje tot de soep wat afgekoeld is
- Je gaat huillies doen omdat de meeste mensen allang weer vergeten zijn dat je voldoende signalen bewust niet hebt opgepakt
- Je snapt nogsteeds niet dat je de data van ruim 6 miljoen mensen te grabbel hebt gegooit
- Je maakt een hoop losse beloftes dat je vanaf nu alles veel beter gaat doen.

En de wereld gaat verder.. weltrusten.
Reageer met quote
Vandaag, 10:54 door Anoniem
Het is niet de combinatie.... die phishing site had niet mogen werken, zero trust beleid - whitelisting.
Een account dat al ingelogd is, moet niet 2x kunnen inloggen en zeker niet vanuit een andere GEO, etc.

Dit is gewoon slecht beleid / slechte hardening.
Reageer met quote
Vandaag, 11:12 door Anoniem
Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren.
Misschien toch maar een goede firewall aanschaffen...
Reageer met quote
Vandaag, 11:21 door Anoniem
Door Anoniem: Punt is dat Odido veel te veel gegevens vroeg van klanten en die ook te lang bewaarde.
Men moet echt stoppen met alles van een klant te willen weten, inclusief ID-gegevens. Niet nodig voor een internetabonnement.

Zo simpel ligt het meestal niet. Bewaartermijnen zijn vaak gekoppeld aan fiscale wetgeving. Daarnaast ligt er vanuit de telecomwet ook een bewaarplicht voor bepaalde data. De standaard fiscale termijn is al 7 jaar maar voor telecomproviders ligt die voor veel gegevens al op 10 jaar.

Kan je dan data beter archiveren en minder beschikbaar maken, ja natuurlijk maar dit is meestal niet eenvoudig en kostbaar. Juist ook vanwege de eisen die vanuit diezelfde fiscale wetgeving gesteld worden.

Overigens is er ook steeds meer wetgeving die eist dat er meer gecontroleerd wordt op de identiteit van een klant. In de energiesector zijn leveranciers inmiddels bijvoorbeeld wettelijk verplicht om de te valideren dat de contractant en de eigenaar van de bankrekening van de betaler overeenkomt. Daar is meer data voor nodig en het zorgt voor allemaal afhankelijkheden die je niet wilt hebben. Die data is uiteindelijk niet eens voor de leveranciers maar voor de netbeheerders die zelf niet aan klantcontact willen doen.
Reageer met quote
Vandaag, 11:49 door Anoniem
Binnen een uur alles gedownload? Valt het niet op dat er opeens zoveel extra uitgaand verkeer is?
Reageer met quote
Vandaag, 12:16 door Anoniem
Geen details delen om anderen niet op ideeën te brengen is natuurlijk een drogreden. Details worden niet gedeeld uit schaamte.
Details moet je juist delen om anderen op de hoogte te stellen van deze methode zodat anderen zich ertegen kunnen wapenen.
Reageer met quote
Vandaag, 12:16 door Anoniem
Door Anoniem:
Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren.
Misschien toch maar een goede firewall aanschaffen...
En wat schiet je daar in deze situatie mee op? Inderdaad, helemaal niets.
Goed ingerichte Use cases daarentegen helpen wel bij dit scenario!
Reageer met quote
Vandaag, 12:20 door Anoniem
Volgens Van Lammeren is Odido de eerste in Nederland die op deze grote schaal is aangevallen. "Hier lagen geen draaiboeken voor klaar. Deze aanval was ongekend en gebeurde onder hoge druk

Wat een complete onzin!

Een draaiboek die gebruikt moet worden tijdens een aanval heeft niets te maken met de omvang van de aanval.
Feit is dus dat Odido *nooit* maar dan ook *nooit* een draaiboek heeft gehad.

Daarnaast hebben ze flinke missers gemaakt. Ik hoop dat de AP terecht met een flinke boete komt voor het niet voldoen aan data minimalisatie en de wettelijke bewaartermijn zwaar voorbij gaat.
Reageer met quote
Vandaag, 12:37 door Anoniem
Waarom weten ze niet wie de mensen achter
de hackgroep shinyhunters zijn?

Zolang het niet opgelost is zullen we altijd onze data op straat vinden
of worden criminelen gewoon beloont wat niet juist is natuurlijk.

Het is voor regeringen nu mogelijk
een dictatuur te ontwikkelen met een verplicht ID
gebruik voor het internet zelf.

Zomaar vanuit een lokatie of thuis achter je laptop,pc of phone
is het niet meer mogelijk om het internet op te mogen zonder
gebruik te maken van je persoonlijke ID voor internet gebruik

Testen worden nu gedaan met leeftijdsverificatie,maar het gaat straks
om het internet zelf.

Het is straks legaal internet gebruik of illigaal internet gebruik wat je zult lezen.

Voor europa:

Ook wel het"Europese internet van de toekomst genoemd.

EUNL2026
Reageer met quote
Vandaag, 12:37 door Anoniem
De details kan ik niet delen
Want wiij mogen er niet van leren ivm concurrentiepositie of ze zetten zich voor lul door de eenvoud.
Reageer met quote
Vandaag, 12:42 door Anoniem
Door Anoniem:
Door Anoniem:
Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren.
Misschien toch maar een goede firewall aanschaffen...
En wat schiet je daar in deze situatie mee op? Inderdaad, helemaal niets.
Goed ingerichte Use cases daarentegen helpen wel bij dit scenario!

Precies dit. Wat helpt een Palo Alto FW in dit geval, als ... zeg... een Fortinet wordt gebruikt? Niets. Daarnaast, voor hetzelfde geld beheert Odido die firewall helemaal niet, waardoor een andere firewall ook 0.0 verschil maakt. Of kan die firewall al wat door deze persoon wordt gesuggereerd. Een opmerking van een IT'er die een probleem reduceert tot een IT-probleem, terwijl het geen IT-probleem is.

Ik ben benieuwd welke security.nl lezers in een bedrijf werken waar on the fly data-analyses worden uitgevoerd op firewall traffic om zo te detecteren dat meer data dan normaal wordt verstuurd of ontvangen. Dat aantal zal op 1 hand te tellen zijn. Nog waarschijnlijker is dat niemand zijn hand opsteekt.
Reageer met quote
Vandaag, 12:47 door Anoniem
Meerdere vragen die in mijn hoofd gaan springen tijdens het lezen van deze artikel en over de hack in het algemeen. Ten eerst, waarom heeft een klantenservice account zoveel macht? Gegevens van miljoen records downloaden is niet opgemerkt tijdens de aanval is wel begrijpelijk, maar dat het gedurende de digitale forensisch onderzoek niet achterhaald wordt, ligt aan hoe onderzoek uitgevoerd is, waar er gekeken is en hoeveel budget er toegekend wordt aan dit soort ongevallen?

Tweede ding, hoe de infrastructuur van odido zelf in elkaar zit. Wordt netwerkverkeer überhaupt gemonitord? Worden dit soort aanvallen gesimuleerd? Krijgen medewerkers genoeg trainingen over dit soort aanvallen?

Al met al dit soort nieuws laat zien hoe grote organisaties slap zijn met het beveiligen van onze gegevens. Hier is echt serieus aandacht voor nodig.
Reageer met quote
Vandaag, 12:54 door Anoniem
Eerst volle stilte en als de storm is gaan liggen vol voor de slachtofferrol kiezen om de schade te beperken en het kader neer te zetten dat de kans op aansprakelijkheid moet verkleinen.

Met "Deze aanval was ongekend en gebeurde onder hoge druk" moeten we geloven dat Odido hier het slachtoffer was van superslimme uberhackers waar je je eigenlijk niet tegen kunt wapenen.

Maar feit is dat ze voor zo'n belangrijk systeem de basisbeveiliging niet op orde hadden.
- De medewerker had enorm hoge rechten
- De medewerker mocht in korte tijd een (voor zijn taak) onrealistisch grote hoeveelheid data downloaden
- Als de medewerker dit zoals gesteld binnen een uur kon was er OF een export functie voor die medewerker (waarom) OF (bij enumeratie) er was geen rate limitting geactiveerd
- Als er geen rate limitting was, was er geen WAF of de WAF was niet goed afgesteld
- Er was blijkbaar geen IP filter om te borgen dat alleen het bedrijfsnetwerk en de VPN's bij de applicatie kan
- Als Odido een losstaand financieel systeem had (aanname aangezien die data niet is gelekt), was er vanuit compliancy geen reden om zeer oude klanten in dit systeem te behouden. Rekeningen, facturatie, enz. staan elder geregistreerd

Er is bij Odido bij de inrichting gewoon gekozen voor gemak boven veiligheid. En verschillende best-practises die al decennia in de boekjes staan zijn niet toegepast.
Reageer met quote
Vandaag, 12:59 door Anoniem
Voor elke tweede inlog had er een nieuwe code nodig moeten zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components