Wat veel Odido klanten vreesden, is vandaag werkelijkheid geworden. De hackersgroep ShinyHunters heeft de eerste lading gestolen klantgegevens gepubliceerd op het darkweb. Op hun eigen website verscheen vandaag een map met de naam "pay_or_leak" waarin een bestand met de titel "Information.txt" en een map "day1" staan. De boodschap van de criminelen is even kort als dreigend: Odido heeft geweigerd te betalen, dus nu betalen de klanten de prijs.
Wat de hackers zeggen
In het gepubliceerde bericht richten ShinyHunters zich rechtstreeks tot Odido. "We approached you privately with terms that no longer exist," schrijven ze. "We gave you the opportunity to resolve this quietly and within days. Instead, you chose delay and disclosure." De hackers beweren dat ze Odido herhaaldelijk de kans hebben gegeven om tot een overeenkomst te komen, maar dat het telecombedrijf die kans niet heeft gegrepen.
De toon van het bericht laat weinig aan de verbeelding over. De criminelen noemen het letterlijk "the purest form of Fuck Around, Find Out" en stellen dat elke poging om de situatie anders op te lossen dan door te betalen zal leiden tot "maximum public and reputational embarrassment." Ze richten zich niet alleen tot Odido zelf, maar ook tot klanten, partners, stakeholders en investeerders.
21 miljoen records, 60 gigabyte aan data
Op de leak site van ShinyHunters staat Odido nu bovenaan, gemarkeerd met een rode rand en de tekst "DAY 1". Volgens de hackers gaat het om bijna 21 miljoen records in een gecomprimeerd bestand van 60 gigabyte. Ter vergelijking: Odido zelf sprak eerder over 6,2 miljoen getroffen accounts. Het verschil wordt deels verklaard doordat de groep naar eigen zeggen ook gegevens van voormalige klanten en interne bedrijfsinformatie heeft buitgemaakt.
De lijst met gestolen gegevens is alarmerend. Volgens de hackers bevat de dataset volledige namen, fysieke adressen, e-mailadressen, telefoonnummers, wachtwoorden in leesbare tekst, IBAN nummers, paspoortnummers en rijbewijsnummers. Odido heeft eerder ontkend dat wachtwoorden zijn buitgemaakt, maar ShinyHunters claimt nadrukkelijk van wel. Of de gepubliceerde dataset daadwerkelijk al deze gegevens bevat, is op dit moment niet onafhankelijk geverifieerd.
Salesforce als zwakke plek
Opvallend in het bericht van de hackers is de beschuldiging aan het adres van Odido over hun gebruik van Salesforce. "They store highly sensitive data in third party platforms for more than 10 years," schrijven ShinyHunters. "That in and of itself is multiple violations." De groep verwijt Odido dat het bedrijf uiterst gevoelige klantgegevens jarenlang heeft opgeslagen in een extern systeem zonder adequate beveiliging.
Dit past in een breder patroon. Beveiligingsbedrijf Mandiant, onderdeel van Google Cloud, publiceerde eerder dit jaar een uitgebreide analyse van aanvallen op Salesforce omgevingen. ShinyHunters gebruiken gerichte telefonische social engineering om medewerkers te misleiden en zo toegang te krijgen tot bedrijfssystemen. Daarnaast troffen aan ShinyHunters gelieerde groepen in 2025 meer dan 700 Salesforce omgevingen via een supply chain aanval op het platform Salesloft. Het maakt duidelijk dat Salesforce een aantrekkelijk doelwit is voor cybercriminelen.
Odido betaalt niet
Odido heeft op advies van overheidsinstanties en externe adviseurs besloten niet te betalen. "Onze focus ligt bij klanten," liet het bedrijf eerder weten via de NOS. Het Openbaar Ministerie heeft een strafrechtelijk onderzoek gestart naar de aanval. De Autoriteit Persoonsgegevens volgt de situatie actief en heeft een eigen informatiepagina aangemaakt.
De beslissing om niet te betalen is in lijn met wat beveiligingsexperts adviseren. Er is geen garantie dat criminelen data na betaling daadwerkelijk vernietigen. Toen de politie in 2024 de servers van LockBit in beslag nam, bleek dat de groep gestolen data had bewaard ondanks betaling van losgeld door slachtoffers zoals de KNVB. Tegelijkertijd betekent het niet betalen wel dat de gestolen gegevens nu daadwerkelijk openbaar worden gemaakt.
Wat dit voor jou betekent
Als je klant bent of was bij Odido of Ben, is de situatie nu concreter geworden. De gegevens zijn niet langer alleen in handen van de hackers, ze worden nu actief verspreid. Dat vergroot het risico op identiteitsfraude, gerichte phishing en financieel misbruik aanzienlijk.
De stappen die we eerder beschreven in ons artikel "Gehackt bij Odido: wat criminelen nu over jou weten en wat je moet doen" zijn nu nog urgenter. Controleer je BKR registratie, activeer meldingen bij je bank, beveilig je DigiD en registreer je bij het Centraal Meldpunt Identiteitsfraude via cmidatalek.nl. Gebruik een sterke wachtwoordmanager zoals MindYourPass om al je accounts te beveiligen met unieke wachtwoorden. En ga nooit in op onverwachte berichten die om actie vragen, hoe overtuigend ze ook lijken.
"Day 1" suggereert meer publicaties
De aanduiding "DAY 1" op de leak site suggereert dat dit nog maar het begin is. ShinyHunters dreigde eerder dagelijks een miljoen records te publiceren zolang Odido niet zou betalen. Of ze dat dreigement daadwerkelijk waarmaken, zal de komende dagen duidelijk worden. De directorystructuur op de leak site met een aparte "day1" map wijst erop dat er meer publicaties zullen volgen.
Voor de miljoenen getroffen klanten maakt het uiteindelijk weinig uit of de data in een keer of in dagelijkse porties wordt gepubliceerd. Het resultaat is hetzelfde: persoonlijke gegevens die nooit meer teruggehaald kunnen worden. Wie nu nog geen beschermende maatregelen heeft genomen, doet er goed aan dat vandaag nog te doen. De tijd van afwachten is voorbij.
► Lees ook: Gehackt bij Odido: wat criminelen nu over jou weten en wat je moet doen
► Lees ook: Wat is identiteitsfraude?
► Lees ook: Ben je slachtoffer van een datalek?
Reactie plaatsen
Reacties
Oei oei.. wat een duivels dillema