Al jaren berucht en gevreesd: dit zijn Shinyhunters, de Odido-hackers

donderdag, 26 februari 2026 (10:31) - RTL Nieuws

In dit artikel:

Telecombedrijf Odido meldt dat bij een recente cyberinbraak de persoonsgegevens van ongeveer 6,2 miljoen klanten zijn buitgemaakt — niet alleen namen, adressen, e-mails en telefoonnummers, maar ook IBAN’s en identificatiegegevens. Dat maakt deze zaak in Nederland uitzonderlijk groot en gevoelig.

De hackersgroep Shinyhunters heeft de aanval opgeëist en eist een losgeld van een zevencijferig bedrag (minstens één miljoen euro), maar zegt bereid te zijn te onderhandelen. RTL Nieuws heeft via een beveiligde chatcontact met leden van de groep gevoerd en bevestigd dat Shinyhunters bewijs heeft geleverd dat de claim ondersteunt. Odido zelf geeft voorlopig geen inhoudelijke reactie zolang het onderzoek loopt.

Shinyhunters heeft een lange staat van dienst: in 2020 werd Tokopedia (91 miljoen accounts) getroffen en datzelfde jaar was ook Microsoft een doelwit. Recente Nederlandse voorbeelden zijn de hacks op Ticketmaster (2024) en Pornhub (2025), waarbij van dat laatste project gegevens van naar schatting 1,5 miljoen Nederlandse accounts buitgemaakt werden — die data zijn echter niet openbaar gemaakt. De groep bestaat naar verluidt uit een kleine kern van enkele personen, met leden uit onder meer Canada en Frankrijk. Sommige betrokkenen zijn eerder aangehouden; een Franse verdachte (Sébastien Raoult) kreeg in 2022 een straf voor gerelateerde cyberdelicten.

Als werkwijze gebruikt Shinyhunters vaak vishing: telefonisch contact waarbij de aanvallers zich voordoen als interne IT-medewerkers. Daarbij maken ze ook gebruik van met AI gegenereerde stemmen om personeel te misleiden en toegang te krijgen tot klantenserviceaccounts. Shinyhunters claimt daardoor bij Odido tot 8 miljoen accounts te hebben bereikt — meer dan Odido officieel rapporteert — en wijst op zwakke detectie bij bedrijven en kwetsbaarheden in systemen zoals Salesforce.

Over betalingen bestaan meerdere signalen: soms worden gestolen datasets niet publiek gemaakt, wat kan duiden op betaling. Cybersecurity-expert Floris de Koning, die eerder met de groep onderhandelde, zegt dat Shinyhunters vaak hun woord houdt en zich als een ‘bedrijf’ opstelt dat zijn reputatie wil bewaren. Als er niet betaald wordt, dreigt de groep met publicatie om druk op doelwitten te houden.

De combinatie van gevoelige financiële en identificatiegegevens, slimme vishing-technieken en het internationale profiel van de hackers maakt de Odido-zaak bijzonder zorgwekkend voor klanten en bedrijven die met soortgelijke systemen werken.