Gigantisch datalek bij Odido: hackers gooien 5 miljoen ID-bewijzen op straat na gênante blunder van klantenservice

dinsdag, 3 maart 2026 (08:06) - Dagelijkse Standaard

In dit artikel:

Telecombedrijf Odido is slachtoffer geworden van een grootschalige datalek nadat hackersgroep Shinyhunters de volledige klantenbestand op het dark web publiceerde. Het gelekte materiaal betreft naar verluidt persoonsgegevens van minstens 6,5 miljoen particulieren en ongeveer 600.000 bedrijven in Nederland. Onder de gegevens zitten meer dan vijf miljoen unieke identificatienummers (paspoort- en rijbewijsnummers), geboortedata, bankrekeningnummers, telefoonnummers, e-mailadressen en interne klantenservicenotities van ruim 44.000 klanten met gevoelige informatie.

De inbraak was geen technisch hoogstandje maar social engineering: criminelen belden de klantenservice en deden zich voor als de interne ICT-afdeling, waarna werknemers toegang gaven tot systemen. De hackers vroegen aanvankelijk losgeld (eerste miljoen, later 500.000 euro). Odido weigerde te betalen; daarop zijn de data in één keer vrijgegeven. Een deel van de dataset wordt volgens de daders nog achtergehouden voor eigen gebruik.

Gevolgen en risico’s: de omvang en aard van de gegevens maken grootschalige identiteitsfraude, phishing en financieel misbruik waarschijnlijk. De openbaarmaking van interne notities kan persoonlijke en reputatieschade veroorzaken voor betrokkenen.

Wat betrokkenen kunnen doen (praktische stappen):
- Direct bankrekeningen en betaalverkeer controleren; verdachte transacties meteen melden bij de bank.
- Wachtwoorden wijzigen en waar mogelijk twee-factor-authenticatie inschakelen.
- Alert zijn op phishingpogingen via e-mail, sms en telefoon; onbekende links niet openen.
- Overweeg fraude- of identiteitsbewakingsdiensten en zet bij verdachte identiteitsfraude zo snel mogelijk een melding bij de politie.
- Een melding doen bij de Autoriteit Persoonsgegevens (AP) en navragen welke maatregelen Odido neemt voor bescherming en compensatie.

Context: het incident werpt vragen op over de informatiebeveiliging en training van medewerkers bij grote bedrijven en kan gevolgen hebben in het kader van de AVG/GDPR, waaronder boetes of verplichtingen tot schadebeperkende maatregelen. Klanten en toezichthouders zullen aandacht houden voor verdere details van het lek, welke data precies beschikbaar zijn gesteld en welke herstel- en communicatieacties Odido onderneemt.