S02E26
Het datalek bij Odido heeft zijn definitieve omvang bereikt. Beveiligingsonderzoeker Troy Hunt bevestigt dat de gegevens van 6,1 miljoen klanten inmiddels op het darkweb staan, inclusief burgerservicenummers van zelfstandigen. In Den Haag stapelen de zorgen zich op, de Dienst Justitiële Inrichtingen werd vijf maanden lang bespioneerd via een kwetsbaarheid in Ivanti, de Belastingdienst vertrouwt het systeem voor de omzetbelasting toe aan een Amerikaans bedrijf en duizenden applicaties op het Mendix platform lekken wereldwijd gevoelige data. Het IBM X-Force rapport onthult dat een kwart van alle cyberaanvallen op Europa is gericht, terwijl het Nederlandse Jaarbeeld Ransomware laat zien dat gehackte accounts de belangrijkste aanvalsmethode zijn geworden. Dit journaal bestrijkt het nieuws van 28 februari tot en met 2 maart 2026.
Odido datalek bereikt definitief eindpunt
In het vorige journaal meldden we dat ShinyHunters de eerste klantgegevens van Odido had gepubliceerd. Inmiddels is alle gestolen data vrijgegeven. Troy Hunt van datalekzoekmachine Have I Been Pwned bevestigt dat het om 6,1 miljoen unieke klantgegevens gaat. De data bevat namen, adressen, telefoonnummers, rekeningnummers, geboortedata en identificatiegegevens waaronder paspoort- en rijbewijsnummers. De criminelen publiceerden de gegevens in minstens vier batches tussen 26 februari en 1 maart.
Opvallend is dat in de gelekte data ook burgerservicenummers van zelfstandigen zijn aangetroffen. In het verleden werden deze nummers van zzp'ers als nummer voor de omzetbelasting gebruikt, waardoor Odido ze onbedoeld in haar systemen had opgeslagen. Odido ontkende aanvankelijk dat het burgerservicenummers opsloeg, maar RTL Nieuws bewees het tegendeel. De vondst maakt het datalek aanzienlijk ernstiger, omdat burgerservicenummers zich lenen voor identiteitsfraude.
Naar aanleiding van de publicatie stelden Kamerleden Kathmann en Mutluer van GroenLinks-PvdA vragen aan minister Van Weel over een mogelijk wettelijk verbod op het betalen van losgeld bij ransomware. De kernvraag is of zo'n verbod de samenleving ten goede komt, aangezien betalen het verdienmodel van cybercriminelen in stand houdt. Stan Duijf van de Nationale Politie benadrukte eerder dat criminelen na betaling niet altijd data verwijderen. Uit het Chainalysis jaarrapport blijkt dat het aandeel bedrijven dat losgeld betaalt in 2025 is gedaald naar 28 procent.
Nederlandse overheid digitaal op de proef gesteld
De Dienst Justitiële Inrichtingen (DJI) heeft een datalek gemeld na een hack van haar EPMM server van Ivanti. Volgens onderzoeksprogramma Argos hadden aanvallers minstens vijf maanden toegang tot het systeem. De gelekte gegevens omvatten contactgegevens en beveiligingscertificaten van medewerkers. Eerder werd al bekend dat ook de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak via dezelfde kwetsbaarheid in Ivanti zijn gecompromitteerd.
De Belastingdienst ligt onder vuur vanwege de beslissing om het beheer van het systeem voor de omzetbelasting uit te besteden aan het Amerikaanse bedrijf FAST Enterprises voor 190 miljoen euro. GroenLinks-PvdA Kamerlid Barbara Kathmann noemde de uitbesteding "onbestaanbaar". Beveiligingsexpert Bert Hubert waarschuwde op zijn blog dat FAST Enterprises niet alleen de software levert, maar ook het volledige beheer en onderhoud gaat verzorgen, met toegang tot twintig tot vijfentwintig andere systemen van de Belastingdienst. Bij politieke spanningen met de Verenigde Staten zou de toegang tot een systeem dat wekelijks anderhalf miljard euro verwerkt, op het spel kunnen staan.
Het Dutch Institute for Vulnerability Disclosure (DIVD) sloeg alarm over meer dan tweeduizend verkeerd geconfigureerde applicaties op het Mendix platform wereldwijd. In een geval kregen onderzoekers toegang tot kopieën van 650.000 identiteitsbewijzen. Het probleem zit niet in Mendix zelf, maar in configuratiefouten bij overheden, gemeenten, banken en zorginstellingen. Ondertussen onthulde een analyse op Bluesky dat bijna alle Tweede Kamerleden gebruikmaken van e-mailadressen van Amerikaanse bedrijven zoals iCloud, Gmail en Outlook, wat de afhankelijkheid van buitenlandse diensten onderstreept.
Als tegenwicht kondigde het NCSC het House of Cyber aan. Defensie, politie, het NFI en het NCSC gaan samenwerken in het voormalige hoofdkantoor van Aegon in Den Haag. De Haagse gemeenteraad keurde de aankoop goed. Het centrum moet de digitale weerbaarheid van Nederland versterken door kennis, expertise en opleidingen te bundelen op een locatie.
Europa in de vuurlinie
Het IBM X-Force Threat Intelligence Index 2026 onthult dat 25 procent van alle cyberaanvallen wereldwijd op Europa was gericht, na Noord-Amerika met 29 procent. Aanvallen via publiek toegankelijke applicaties zijn met 44 procent gestegen, mede door ontbrekende authenticatiecontroles en door AI aangedreven kwetsbaarhedendetectie. Mark Hughes van IBM stelt dat cybercriminelen hun werkwijzen niet opnieuw bedenken, maar versnellen met AI. Het aantal actieve ransomwaregroepen steeg met 49 procent.
Het Jaarbeeld Ransomware 2025 van de politie en het NCSC bevestigt de trend voor Nederland. In 2025 werden 92 unieke incidenten geregistreerd, minder dan de 121 in 2024, maar de impact blijft groot. Opvallend is dat 55 procent van de aanvallen begon met gehackte accounts, een stijging ten opzichte van 38 procent in 2024. Kwetsbaarheden waren verantwoordelijk voor 30 procent. Bij 43 procent van de getroffen organisaties duurde het herstel langer dan drie dagen. Slechts een derde van de slachtoffers deed aangifte, waardoor het werkelijke aantal incidenten hoger ligt.
Europese bedrijfsnetwerken worden ook specifiek geviseerd via een techniek die Windows Verkenner en het verouderde WebDAV protocol misbruikt. Volgens beveiligingsbedrijf Cofense is 50 procent van de bijbehorende phishing e-mails in het Duits geschreven en 30 procent in het Engels. De aanvallers omzeilen browserbeveiliging volledig, waardoor slachtoffers geen waarschuwingen ontvangen. In 87 procent van de gevallen wordt remote access malware afgeleverd. In positief opsporingsnieuws maakte het Belgische federaal parket bekend dat het onderzoek naar de versleutelde berichtendienst Sky ECC heeft geleid tot meer dan 1.200 veroordelingen en de inbeslagname van 224 miljoen euro.
De belangrijkste punten
- Odido datalek compleet: alle 6,1 miljoen klantgegevens staan op het darkweb, inclusief burgerservicenummers van zelfstandigen
- DJI vijf maanden gehackt: aanvallers hadden langdurig toegang via een kwetsbaarheid in Ivanti, die ook de Autoriteit Persoonsgegevens trof
- Omzetbelasting naar Amerika: de Belastingdienst besteedt voor 190 miljoen euro het beheer uit aan FAST Enterprises
- Mendix lekt wereldwijd data: DIVD ontdekt meer dan tweeduizend verkeerd geconfigureerde systemen, waaronder 650.000 identiteitsdocumenten
- Gehackte accounts nu grootste risico: 55 procent van de ransomware in Nederland begint met gecompromitteerde inloggegevens
- Sky ECC levert resultaat: meer dan 1.200 veroordelingen en 224 miljoen euro in beslag genomen na vijf jaar onderzoek
Lees ook
- S02E25: Odido data op darkweb, AI als hackerstool en Chinese spionage - De eerste publicatie van Odido klantgegevens en het ultimatum van ShinyHunters
- S02E24: ShinyHunters eist miljoenen, AI breekt door in 27 seconden - Het begin van de afpersing door ShinyHunters
- S02E21: AI vergiftigt geheugen, Odido soap groeit en LockBit 5.0 - Eerdere escalatie van het Odido datalek
- S02E23: AI kraakt 600 firewalls, beurzen dalen en Odido escaleert - Europa onder druk en de groeiende Odido saga
Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.