Kun je checken of je Odido-data gelekt zijn en drie andere vragen

In dit artikel:

Telecombedrijf Odido weigerde deze week losgeld te betalen aan hackersgroep ShinyHunters. Uit wraak publiceerde die groep een deel van de gestolen bestanden; eerder eiste zij een hoog bedrag om verdere openbaarmaking te voorkomen. Het lek speelt sinds de afgelopen dagen en heeft veel media-aandacht gekregen.

Welke data zijn nu openbaar?
Het vrijgegeven deel bevat gegevens van ongeveer 430.000 consumenten en 290.000 bedrijven, vooral namen, adressen en interne aantekeningen van Odido (zoals opmerkingen over betalingsachterstanden). Gevoeligere informatie — paspoortkopieën, e‑mailadressen, telefoonnummers en geboortedata — houden de hackers nog achter en worden mogelijk later gelekt als er niet betaald wordt.

Hoe kun je controleren of jouw gegevens erbij zitten?
Voor de meeste mensen is het praktisch onmogelijk zelf te verifiëren: de bestanden staan op het dark web in een technisch formaat (ruim 10 GB) en het downloaden ervan is volgens de politie strafbaar. De politie beheert de site “Check Je Hack”; de informatie uit deze hack zal daar op termijn te raadplegen zijn, maar een datum is nog niet bekend. Odido zegt ook direct contact op te nemen met klanten van wie data nu openbaar zijn.

Welke risico’s brengt dit mee?
Met de nu gelekte gegevens kunnen oplichters gerichter phishing- en telefonische scams opzetten; volledige identiteitsfraude wordt lastiger naarmate instanties strengere verificatie (bijv. via DigiD of internetbankieren) hanteren, maar blijft niet onmogelijk. In de bestanden zitten ook enkele tientallen btw‑nummers; bij oudere eenmanszaken kan dat nog samenhangen met het vroegere bs‑nummer (sofinummer), wat extra risico’s geeft. Gebruik van bsns in btw‑nummers is sinds 2018 verboden.

Moest Odido betalen? En wat zeggen experts/politie?
ShinyHunters vroeg aanvankelijk een zevencijferig bedrag; later lieten leden weten dat ook circa 500.000 euro bespreekbaar was. Politie en veel cybersecurity‑instanties raden betalen af: het houdt het afpersingsmodel in stand en biedt geen garantie dat data niet alsnog verspreid of verhandeld worden. Tegelijkertijd wijzen sommige experts en cijfers erop dat bedrijven soms toch betalen na een kosten‑batenafweging; volgens één specialist betaalde vorig jaar meer dan een kwart van vergelijkbare Nederlandse slachtoffers.

Kun je schadevergoeding krijgen?
Niet automatisch. Odido stelt dat een datalek niet per definitie recht geeft op compensatie. De Autoriteit Persoonsgegevens bevestigt dat vergoeding mogelijk is, maar alleen als je aantoonbare schade kunt bewijzen, met een oorzakelijk verband en fouten in de beveiliging van het bedrijf.

Advies voor consumenten
Wees extra waakzaam voor onverwachte e‑mails, sms’jes of telefoontjes, klik niet op verdachte links en controleer financiële transacties. Wacht op officiële berichtgeving via Check Je Hack of van Odido als je verwacht getroffen te zijn.