Odido betaalde niet na megahack en staat daar achter: 'Gaat niet om het geld'

In dit artikel:

In februari werden de gegevens van 6,39 miljoen klanten van telecomprovider Odido gelekt na een van de grootste hacks in Nederland. Volgens CCO Tisha van Lammeren begonnen aanvallen op 5 en 6 februari met social-engineering‑gesprekken waarbij iemand zich voordeed als IT‑helpdeskmedewerker. De eerste inlogpogingen werden snel gedetecteerd en afgesloten, maar op 7 februari ontdekte Odido dat er toch data waren buitgemaakt nadat de afpersersgroep ShinyHunters een chantagemail stuurde. Op 26 februari publiceerde die groep miljoenen klantgegevens op het darkweb.

Van Lammeren zegt dat de inbraak een combinatie was van menselijke fouten en de hoge snelheid waarmee de criminelen te werk gingen. Odido wil geen technische details naar buiten brengen om niet andere kwaadwillenden op ideeën te brengen. De organisatie stelt dat Nederland nog niet was voorbereid op een aanval van deze schaal en dat er daarom geen kant-en-klare draaiboeken bestonden.

Klanten bekritiseerden Odido om het trage en beperkte contact na de ontdekking. Pas vanaf 12 februari werden klanten per e-mail geïnformeerd, terwijl intern een groot onderzoek naar welke bestanden precies waren gestolen liep. Van Lammeren erkent dat tussenberichten en meer transparantie wenselijk waren en noemt dit een leerpunt: vaker updates geven en ook melden wat nog onduidelijk is.

Odido weigerde te betalen aan de afpersers. Het bedrijf handelde op advies van Justitie, politie en externe cybersecurityexperts en noemde betalen riskant omdat het geen garanties biedt dat gegevens echt verdwijnen. Cybersecurityspecialisten bevestigen dat betaalde afkoops vaak geen blijvende oplossing zijn: gelekte data blijven opduiken of worden elders verhandeld.

Odido kondigt geen algemene financiële compensatie aan voor gedupeerden. Het bedrijf geeft aan alleen te vergoeden bij aantoonbare schade of langdurige storingen waarvoor wettelijke compensatie geldt. Dat beleid leidde tot verontwaardiging en droeg bij aan een vertrouwensbreuk; Van Lammeren benadrukt dat terugwinnen van vertrouwen prioriteit heeft en dat technische en communicatieve maatregelen nodig zijn om klanten beter te beschermen.

Ruim 350.000 gedupeerden sloten zich aan bij een massaclaim van Consumers United in Court, en toezichthouders zoals de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur zijn onderzoeken gestart naar onder meer de bewaartermijnen van Odido. Experts opperen aanvullende verdedigingsmaatregelen, zoals automatische waarschuwingen bij abnormaal klantenverkeer door medewerkers, om toekomstige incidenten te beperken.