S02E57
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Odido: Salesforce geleegd, CEO weigert compensatie
Na maanden van beperkte communicatie heeft Odido op 13 mei 2026 voor het eerst openhartig gesproken over de aanval van ShinyHunters. Commercieel directeur Tisha van Lammeren bood haar excuses aan en legde uit hoe een medewerker van de klantenservice telefonisch werd benaderd door een hacker die zich voordeed als iemand van de IT afdeling. De medewerker werd overgehaald in te loggen op een valse werkomgeving, waarna de inloggegevens werden gestolen. Hoewel Odido het gecompromitteerde account binnen een uur blokkeerde, waren de gegevens van 6,2 miljoen klanten van Odido en Ben al geëxfiltreerd vanuit Salesforce.
Opvallend is dat Odido de aanval aanvankelijk niet herkende als datadiefstal. De inbraak werd op 5 februari wel opgemerkt, maar er ging geen alarm af over het downloaden van de gegevens. Zowel Odido als een ingeschakeld cybersecuritybedrijf concludeerden op die dag dat er niets was ontvreemd. Pas nadat ShinyHunters op 7 februari een bericht stuurde met de claim dat zij klantgegevens hadden gestolen, werd de omvang duidelijk. Begin maart, nadat de groep alle gegevens op het darkweb had gepubliceerd, ontdekte Odido dat ook zakelijke klantgegevens en aantekeningen over kwetsbare klanten waren buitgemaakt.
CEO Søren Abildgaard heeft laten weten dat Odido geen compensatie aan de gedupeerden zal betalen. Een organisatie die massaclaims initieert bereidt een vordering voor waarbij naar verluidt bijna een half miljoen mensen compensatie eisen. Het Openbaar Ministerie en de Autoriteit Persoonsgegevens voeren parallel onderzoek naar de beveiliging van het klantsysteem en de naleving van bewaartermijnen. Het clearnet domein van ShinyHunters is inmiddels opgeschort door de Servische domeinbeheerder. De groep kondigt aan voortaan uitsluitend via haar dienst op het Tor netwerk te opereren.
TeamPCP compromitteert Jenkins, npm en Mistral
De dreigingsgroep TeamPCP heeft in korte tijd meerdere aanvallen uitgevoerd op de software supply chain van ontwikkelaars. Op 9 mei werd een kwaadaardige versie van de officiële Application Security Testing plugin van Checkmarx voor Jenkins geüpload naar de Jenkins Marketplace. De versie 2026.5.09 bevat een achterdeur die inloggegevens steelt uit CI/CD omgevingen. TeamPCP verkreeg toegang via gestolen inloggegevens uit een eerdere aanval op kwetsbaarheidsscanner Trivy in maart. In het about veld van de plugin lieten de aanvallers een bericht achter aan Checkmarx over het niet roteren van secrets. Alle inloggegevens die in betrokken Jenkins omgevingen zijn gebruikt moeten als gecompromitteerd worden beschouwd. Checkmarx adviseert te controleren of versie 2.0.13-829.vc72453fa_1c16 van december 2025 actief is.
In dezelfde periode richtte TeamPCP zich via de Shai-Hulud campagne op de pakketbeheerder npm en de Python Package Index. De groep compromitteerde pakketten van onder andere TanStack, Mistral en SAP door gebruik te maken van gekaapte tokens voor CI/CD omgevingen. Beveiligingsbedrijf Socket registreerde 416 kwaadaardige pakketversies op npm en PyPI. De gecompromitteerde pakketten droegen geldige digitale handtekeningen, waardoor zij voor ontwikkelaars authentiek leken. De malware steelt inloggegevens uit ontwikkelomgevingen, waaronder tokens voor GitHub Actions, AWS, Kubernetes en andere diensten. RubyGems zette nieuwe aanmeldingen tijdelijk stop nadat honderden kwaadaardige pakketten werden geüpload in een aanval die verband houdt met dezelfde campagne.
Instituut voor de Nederlandse Taal offline, OM noemt Citrix gevolgen
Het Instituut voor de Nederlandse Taal werd op 5 mei 2026 getroffen door een cyberaanval en heeft sindsdien alle websites offline gehaald. De offline gebrachte domeinen omvatten taaldiensten zoals taaladvies.net, etymologiebank.nl, overtaal.be en neerlandistiek.nl. Het instituut werkt aan herstel via beschikbare reservekopieën en heeft melding gedaan bij de Autoriteit Persoonsgegevens. E-mail en alle diensten blijven offline totdat het onderzoek volledig is afgerond en de systemen zijn hersteld.
Het Openbaar Ministerie beschreef in zijn Jaarbericht 2025 de operationele gevolgen van de aanval op Citrix van juli 2025. De beslissing om systemen los te koppelen van het internet leidde tot een terugval naar werkwijzen van dertig jaar geleden, waarbij medewerkers dossiers moesten uitprinten en informatie via post of koerier moesten uitwisselen. Het jaar 2025 werd afgesloten met een resterende achterstand van circa 9.000 lichtere misdrijfzaken. Het ziekteverzuim bij het OM steeg van gemiddeld 5,4 procent in de eerste helft van 2025 naar percentages tussen 6 en 7,7 procent in de periode na de aanval. Voorzitter Rinus Otte van het College van procureurs-generaal beschreef de situatie als een terugval naar dertig jaar geleden.
De belangrijkste punten
- Odido CEO weigert compensatie na 6,2 miljoen gedupeerden: ShinyHunters stal via telefonische social engineering inloggegevens en leegde Salesforce binnen één uur, massaclaim van bijna een half miljoen mensen in voorbereiding
- Odido erkent dat diefstal twee dagen onopgemerkt bleef: pas na melding van ShinyHunters zelf werd de omvang duidelijk, directeur Van Lammeren biedt excuses aan
- Checkmarx Jenkins plugin gecompromitteerd door TeamPCP op 9 mei: versie 2026.5.09 steelt inloggegevens uit CI/CD omgevingen, veilige versie is 2.0.13-829.vc72453fa_1c16
- TeamPCP compromitteert ook npm, PyPI en Mistral Python client: 416 kwaadaardige pakketversies met geldige handtekeningen, RubyGems zet aanmeldingen stop
- Instituut voor de Nederlandse Taal offline na hack op 5 mei: taaladvies.net, etymologiebank.nl en overtaal.be onbereikbaar, melding bij de AP gedaan, herstel via reservekopieën
- Aanval op OM Citrix omgeving veroorzaakte 9.000 zaken achterstand: ziekteverzuim steeg tot 7,7 procent, gevolgen pas nu volledig beschreven in Jaarbericht 2025
Lees ook
- ► S02E56: Universiteiten en ShinyHunters, Crimenetwork en TCLBanker, universiteiten in gesprek met ShinyHunters voor deadline 12 mei en BKA sluit herrezen Crimenetwork
- ► S02E55: ShinyHunters Canvas 12 mei, 7 NL universiteiten bevestigd en Animo IBAN, achtergrond bij de ShinyHunters werkwijze en bevestigde Nederlandse instellingen
- ► S02E53: cPanel 44.000 installaties, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge, eerdere ShinyHunters darkweb lekken als context bij de huidige situatie
Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.
Bron: Cybercrimeinfo, ondezoeksteam
Categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.