ShinyHunters

ShinyHunters is een internationale hackergroep die sinds mei 2020 publiek actief is. De groep is verantwoordelijk voor enkele van de grootste datalekken van de afgelopen jaren, waaronder grootschalige aanvallen via cloud-platforms zoals Snowflake en Salesforce. In februari 2026 publiceerde ShinyHunters gestolen klantgegevens van het Nederlandse telecombedrijf Odido op het darkweb, waarmee miljoenen Nederlanders en kleine bedrijven werden geraakt.

Wie zijn ShinyHunters?

ShinyHunters dook in mei 2020 voor het eerst op met de verkoop van ongeveer 200 miljoen gestolen records van onder meer Tokopedia (Indonesië), Wattpad en Mathway. De groep richt zich op het stelen van grote hoeveelheden klantgegevens uit databases van bedrijven en overheden, waarna deze data te koop wordt aangeboden of gepubliceerd op het darkweb wanneer organisaties weigeren losgeld te betalen.

De groep handelt zowel uit financieel motief (afpersing en verkoop) als uit reputatieschade voor slachtoffers. ShinyHunters opereert vooral via gespecialiseerde forums, waarvan BreachForums het bekendste is. Na de arrestatie van BreachForums-oprichter Conor Brian Fitzpatrick (alias Pompompurin) in maart 2023 nam ShinyHunters de leiding van het forum over. Het forum werd daarna meerdere keren door de FBI in beslag genomen, maar steeds heropgericht.

Aanvalsmethode

ShinyHunters maakt gebruik van verschillende aanvalsroutes:

Cloud-platform misbruik via gestolen credentials. In de Snowflake-campagne van 2024 werden ongeveer 165 klantomgevingen getroffen. Mandiant trackt deze actor als UNC5537; ShinyHunters claimde publiek verantwoordelijkheid voor de data. Toegang verliep via gestolen infostealer-credentials op accounts zonder tweestapsverificatie. Het ging niet om een lek in Snowflake zelf.

Vishing en malafide OAuth-apps. In 2025 voerde een groep die Mandiant trackt als UNC6040 een vishing-campagne tegen Salesforce-klanten. Medewerkers werden telefonisch gemanipuleerd om een malafide OAuth-app te autoriseren, een aangepaste versie van de Salesforce Data Loader. Bij het Odido-incident in 2026 werd een vergelijkbare techniek toegepast, na het binnendringen via phishing belden de criminelen dezelfde medewerkers terug en deden zich voor als interne IT, om hen te bewegen een MFA-push goed te keuren. Afpersing volgde vaak maanden later, waarbij de daders zich als ShinyHunters presenteerden.

BreachForums als marktplaats. Gestolen data wordt ter verkoop aangeboden of, bij weigering om losgeld te betalen, gepubliceerd op BreachForums of vergelijkbare darkweb-fora. ShinyHunters publiceert vaak in batches met dramatische mappenstructuren als "DAY 1" om druk op te voeren.

Het Odido datalek (februari-maart 2026)

Het weekend van 7-8 februari 2026 wisten ShinyHunters-leden binnen te dringen bij Odido. Eerst via phishing, daarna via een MFA-bypass waarbij criminelen zich telefonisch voordeden als IT-medewerkers. De groep eiste vervolgens een losgeld tussen 1 en 10 miljoen euro met als deadline donderdag 27 februari 2026.

Odido weigerde te betalen. Het Openbaar Ministerie startte een strafrechtelijk onderzoek en de politie adviseerde nadrukkelijk geen losgeld te betalen. ShinyHunters reageerde op 26 februari 2026 met de eerste publicatie op een leaksite, voorzien van het bericht "Dit is jullie schuld", met directe verwijzing naar het besluit van Odido om niet te betalen.

De cijfers liepen uiteen. Odido sprak over 6,2 miljoen getroffen klantaccounts. Onafhankelijke onderzoeker Troy Hunt bevestigde 6,1 miljoen unieke gebruikers in de gepubliceerde dataset. ShinyHunters zelf claimde 8 miljoen klanten en in totaal 21 miljoen records over circa 60 GB. In de tweede batch werden ook gegevens van ongeveer 600.000 bedrijven gepubliceerd, naast circa 5 miljoen identiteits- en BSN-gegevens.

Odido ontkende aanvankelijk dat BSN-nummers waren opgeslagen. RTL Nieuws toonde echter aan dat oude OB-nummers (voormalige BTW-identificatienummers van zzp'ers) wel degelijk in de set zaten en feitelijk als BSN herleidbaar waren. Ook gegevens van Ben-klanten, die onder Odido vallen, bleken getroffen.

Bijzonder gevoelige inhoud

Een tweede batch onthulde klantnotities die wezen op situaties als stalking door ex-partners, mensen onder bewindvoering en personen met een geheim adres. Veilig Thuis sprak van een "bizar en enorm zorgwekkend" incident. Onderzoekers identificeerden ook 41 Nederlandse parlementariërs in eerdere darkweb-bestanden. Cybersecurity-expert Sijmen Ruwhof wees erop dat de combinatie van IBAN, geboortedatum en paspoort- of identiteitsnummer "vrij uniek en heel veel geld waard is". OSINT-onderzoeker Matthijs Koot waarschuwde dat buitenlandse inlichtingendiensten dit type datasets gebruiken om politici, havenmedewerkers en personeel van energiebedrijven te profileren.

Reactie Nederlandse autoriteiten

De Autoriteit Persoonsgegevens (AP) startte samen met de Rijksinspectie Digitale Infrastructuur (RDI) een gezamenlijk onderzoek naar Odido, met name gericht op de bewaartermijn van de gegevens en de beveiliging. De AP publiceerde een eigen informatiepagina voor getroffen consumenten. Het Openbaar Ministerie en de politie startten een strafrechtelijk onderzoek naar de hack zelf.

In de Tweede Kamer stelden Kathmann en Mutluer (beiden GroenLinks-PvdA) Kamervragen aan minister Van Weel over een mogelijk wettelijk verbod op het betalen van losgeld bij ransomware en datadiefstal.

Andere bekende slachtoffers

Internationaal (selectie):

Ticketmaster (mei 2024). ShinyHunters bood een dataset van naar eigen zeggen 560 miljoen klanten te koop voor 500.000 dollar. Live Nation bevestigde de inbraak in een SEC-melding op 31 mei 2024. De data kwam uit een Snowflake-omgeving
AT&T (juli 2024). Via de Snowflake-campagne werden gegevens van ongeveer 110 miljoen draadloze klanten getroffen, met name call- en text-metadata uit mei tot oktober 2022
CarGurus. Circa 12,5 miljoen accounts gestolen
Snowflake-klanten 2024. Ongeveer 165 organisaties potentieel blootgesteld, waaronder Santander en Neiman Marcus
Salesforce-campagne 2025. Onder meer Google, Cisco, Adidas, Qantas, Allianz Life, LVMH, Microsoft, Jaguar Land Rover, Louis Vuitton en PornHub
Salesloft toeleveringsketen-aanval 2025. Meer dan 700 Salesforce-omgevingen geraakt via een gecompromitteerde toeleverancier

Nederland en België:

Odido en Ben (februari-maart 2026). Minimaal 6,2 miljoen klanten, in totaal ruim 21 miljoen records, waaronder ongeveer 5 miljoen identiteits- en BSN-gegevens en 600.000 bedrijven
Air France-KLM (augustus 2025). Getroffen via Salesforce-vishing. Naam-, adres- en e-mailgegevens en e-mailonderwerpen werden gelekt; geen paspoorten, FlyingBlue-data of creditcardgegevens

Arrestaties en strafrechtelijke vervolging

In 2022 werd het in Frankrijk geboren ShinyHunters-lid Sebastien Raoult (alias "Sezyo Kaizen") in Marokko gearresteerd en in januari 2023 uitgeleverd aan de Verenigde Staten. Hij werd in januari 2024 in Seattle veroordeeld tot 3 jaar gevangenisstraf en 5 miljoen dollar restitutie. Raoult bouwde phishing-sites voor de groep maar wordt niet als leider beschouwd; ShinyHunters bleef na zijn arrestatie actief.

In juni 2025 arresteerde de Franse cybercrime-brigade vier beheerders van BreachForums, onder wie iemand die actief was onder de handle ShinyHunters.

Wat te doen als je slachtoffer bent

Als jouw gegevens mogelijk in handen zijn van ShinyHunters via een datalek bij een organisatie waar je klant bent:

Wijzig direct je wachtwoord bij de getroffen organisatie en bij andere accounts waar je hetzelfde wachtwoord gebruikte
Schakel tweestapsverificatie in waar mogelijk en wees alert op nep-IT die belt om een MFA-push goed te keuren
Controleer rekeningafschriften op verdachte transacties
Wees alert op gerichte phishing. Gestolen e-mailadressen worden vaak gebruikt voor zeer gerichte oplichting met persoonlijke gegevens
Meld identiteitsfraude bij de politie wanneer er misbruik plaatsvindt
Vraag bij grote lekken een nieuw identiteitsbewijs aan als BSN of paspoortnummer is gelekt

Cybercrimeinfo publiceert hulpgidsen voor slachtoffers van datalekken, zie de hulptools op deze website.