Nieuws
image

Odido: hackers lieten medewerker klantenservice inloggen op phishingsite

woensdag 13 mei 2026, 09:43 door Redactie, 12 reacties

De hackers die bij Odido de gegevens van ruim zes miljoen mensen wisten te stelen konden toegang krijgen omdat ze een medewerker van de klantenservice lieten inloggen op een phishingsite, waardoor de inloggegevens van het account konden worden gestolen. Het gehackte account, dat toegang gaf tot de werkomgeving, werd binnen een uur geblokkeerd. De klantgegevens waren toen al gedownload, zo laat Odido tegenover de NOS weten.

Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren. Na ontdekking van het gehackte account voerde Odido samen met een cybersecuritybedrijf een onderzoek uit. Beide partijen concludeerden dat er geen data was gestolen. Toen de criminele groepering ShinyHunters op 7 februari meldde dat het klantgegevens had buitgemaakt kwam dat volgens Van Lammeren als een verrassing.

Hoe het kwam dat Odido de datadiefstal niet opmerkte wil Van Lammeren niet tegenover de NOS zeggen. "De hackers hebben daar goede technieken voor. Dat vindt op de achtergrond plaats. En dat hebben we niet gezien." Ook had Odido lange tijd geen zicht op de volledige omvang van de gestolen dataset. Pas nadat de aanvallers de gestolen data op internet publiceerden ontdekte Odido dat er ook gegevens van zakelijke klanten waren buitgemaakt.

Geen details over aanval

Informatie over de aanval zelf wil Odido niet geven. "De details kan ik niet delen. Als er bij jou wordt ingebroken, zet je dat ook niet op Instagram om anderen op ideeën te brengen. Maar ze zijn binnengekomen, dat is een feit", laat Van Lammeren aan NU.nl weten. "Het is een combinatie geweest van een menselijke schakel en de snelheid van criminelen. Het gebeurde zo snel, dat we het niet eens doorhadden."

Volgens Van Lammeren is Odido de eerste in Nederland die op deze grote schaal is aangevallen. "Hier lagen geen draaiboeken voor klaar. Deze aanval was ongekend en gebeurde onder hoge druk." Op de eigen website publiceerde Odido gisteren een video waarin de ceo vertelt waarom er geen losgeld is betaald om publicatie van de gestolen persoonsgegevens te voorkomen.

Reacties (12)
Reageer met quote
Vandaag, 09:55 door Anoniem
Het punt is dat hier ook weer blijkt dat bedrijven die soms gehackt zijn als eerste roepen wat er wel en niet buit gemaakt is. Iets waarvan je kunt zeggen dat je dat op zo'n moment helemaal niet kan bepalen en een mensen een vals gevoel geeft. Hier wordt dat gezegt dat later bleek dat veel buitgemaakt is. Ik snap de reaktie dat bedrijven dat doen, want je wilt geen paniekgolf veroorzaken. Anderzijds.... er is duidelijk (gezien de berichtgevingen eromheen) duidelijk op bepaalde punten dingen niet goed gegaan, zoals te lang bewaren van persoonsgegevens enzo. We worden allemaal massaal aangevallen, de aivd heeft zijn handen er vol aan, maar soms kan je ook zelf iets doen. helemaal voorkomen kan niet, maar er ligt wel een taak voor odido.
Reageer met quote
Vandaag, 10:11 door Anoniem
Punt is dat Odido veel te veel gegevens vroeg van klanten en die ook te lang bewaarde.
Men moet echt stoppen met alles van een klant te willen weten, inclusief ID-gegevens. Niet nodig voor een internetabonnement.

Daarnaast belachelijk dat via een support account van een medewerker in India binnen een uur miljoenen records kunnen worden gedownload. Dan is er echt iets heel erg mis met je databeveiliging.

Sowieso hoort een medewerker in India die je nauwelijks kent niet zoveel toegang te hebben (waarom moeten ze al je gegevens inclusief ID-info kunnen zien om support vragen te beantwoorden?)
Daarnaast zat er totaal geen automatische stop in het systeem. Bij het 10e records binnen een paar minuten had er al een alarm af moeten gaan.

Odido is de grote schuldige in dit verhaal. En ik hoop dat er een keer dingen gaan verbeteren in plaats van loze beloftes “Wij respecteren je privacy, daarom willen we alles van je weten en delen we het met 150 advertentiepartners”.
Reageer met quote
Vandaag, 10:18 door Anoniem
Ik zou weleens willen weten welk cybersecurity bedrijf hierbij betrokken was en concludeerde dat er geen data was gelekt.
Zijn alle betreffende logs en systemen wel voldoende nagekeken, ook gegevensstromen? Want het zou op zijn minst moeten opvallen dat een aantal gigabytes qua data ineens je organisatie verlaat...

Dat Odido zaken niet heeft gezien omdat het op de achtergrond gebeurde vind ik een zwak verhaal. Met een goede inrichting van maatregelen, logs, monitoring en detectie was dit wel opgevallen. Zeker wanneer je een goed monitoring en detectie systeem in huis hebt die deze dingen op de achtergrond ziet en kan correleren tot iets wat niet pluis is.
Reageer met quote
Vandaag, 10:28 door Bitje-scheef
Dus een helpdesk medewerker heeft kennelijk teveel rechten gehad?
Reageer met quote
Vandaag, 10:49 door Anoniem
Kijk.. mooi media-offiensief:

- Tijdens een crisis faal je
- Je wacht een tijdje tot de soep wat afgekoeld is
- Je gaat huillies doen omdat de meeste mensen allang weer vergeten zijn dat je voldoende signalen bewust niet hebt opgepakt
- Je snapt nogsteeds niet dat je de data van ruim 6 miljoen mensen te grabbel hebt gegooit
- Je maakt een hoop losse beloftes dat je vanaf nu alles veel beter gaat doen.

En de wereld gaat verder.. weltrusten.
Reageer met quote
Vandaag, 10:54 door Anoniem
Het is niet de combinatie.... die phishing site had niet mogen werken, zero trust beleid - whitelisting.
Een account dat al ingelogd is, moet niet 2x kunnen inloggen en zeker niet vanuit een andere GEO, etc.

Dit is gewoon slecht beleid / slechte hardening.
Reageer met quote
Vandaag, 11:12 door Anoniem
Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren.
Misschien toch maar een goede firewall aanschaffen...
Reageer met quote
Vandaag, 11:21 door Anoniem
Door Anoniem: Punt is dat Odido veel te veel gegevens vroeg van klanten en die ook te lang bewaarde.
Men moet echt stoppen met alles van een klant te willen weten, inclusief ID-gegevens. Niet nodig voor een internetabonnement.

Zo simpel ligt het meestal niet. Bewaartermijnen zijn vaak gekoppeld aan fiscale wetgeving. Daarnaast ligt er vanuit de telecomwet ook een bewaarplicht voor bepaalde data. De standaard fiscale termijn is al 7 jaar maar voor telecomproviders ligt die voor veel gegevens al op 10 jaar.

Kan je dan data beter archiveren en minder beschikbaar maken, ja natuurlijk maar dit is meestal niet eenvoudig en kostbaar. Juist ook vanwege de eisen die vanuit diezelfde fiscale wetgeving gesteld worden.

Overigens is er ook steeds meer wetgeving die eist dat er meer gecontroleerd wordt op de identiteit van een klant. In de energiesector zijn leveranciers inmiddels bijvoorbeeld wettelijk verplicht om de te valideren dat de contractant en de eigenaar van de bankrekening van de betaler overeenkomt. Daar is meer data voor nodig en het zorgt voor allemaal afhankelijkheden die je niet wilt hebben. Die data is uiteindelijk niet eens voor de leveranciers maar voor de netbeheerders die zelf niet aan klantcontact willen doen.
Reageer met quote
Vandaag, 11:49 door Anoniem
Binnen een uur alles gedownload? Valt het niet op dat er opeens zoveel extra uitgaand verkeer is?
Reageer met quote
Vandaag, 12:16 door Anoniem
Geen details delen om anderen niet op ideeën te brengen is natuurlijk een drogreden. Details worden niet gedeeld uit schaamte.
Details moet je juist delen om anderen op de hoogte te stellen van deze methode zodat anderen zich ertegen kunnen wapenen.
Reageer met quote
Vandaag, 12:16 door Anoniem
Door Anoniem:
Het telecombedrijf had niet door dat de persoonsgegevens door de aanvallers waren gedownload, zegt chief commercial officer Tisha van Lammeren.
Misschien toch maar een goede firewall aanschaffen...
En wat schiet je daar in deze situatie mee op? Inderdaad, helemaal niets.
Goed ingerichte Use cases daarentegen helpen wel bij dit scenario!
Reageer met quote
Vandaag, 12:20 door Anoniem
Volgens Van Lammeren is Odido de eerste in Nederland die op deze grote schaal is aangevallen. "Hier lagen geen draaiboeken voor klaar. Deze aanval was ongekend en gebeurde onder hoge druk

Wat een complete onzin!

Een draaiboek die gebruikt moet worden tijdens een aanval heeft niets te maken met de omvang van de aanval.
Feit is dus dat Odido *nooit* maar dan ook *nooit* een draaiboek heeft gehad.

Daarnaast hebben ze flinke missers gemaakt. Ik hoop dat de AP terecht met een flinke boete komt voor het niet voldoen aan data minimalisatie en de wettelijke bewaartermijn zwaar voorbij gaat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components