Drie lezers van ccinfo.nl stuurden ons dezelfde vraag. Ze zijn klant bij Odido, ze hebben de berichten over het datalek gelezen, en ze kunnen er niet van slapen. "Odido zegt 'wees alert', maar waarvoor dan?" schreef een van hen. "Ik weet toch niet wat ze allemaal kunnen." Die angst is begrijpelijk. En terecht. Want dit datalek is ernstiger dan veel mensen denken.
Wat er is gebeurd
In het weekend van 7 en 8 februari 2026 wisten cybercriminelen binnen te dringen in het klantsysteem van Odido. Ze kregen toegang tot de Salesforce omgeving, het systeem waarin Odido alle klantgegevens beheert. De aanval begon met phishing, medewerkers van de klantenservice ontvingen valse berichten waarmee hun inloggegevens werden gestolen. Vervolgens belden de criminelen diezelfde medewerkers op en deden zich voor als de afdeling IT. Ze vroegen de medewerkers om een inlogpoging goed te keuren, waarmee de tweefactorauthenticatie werd omzeild.
Eenmaal binnen downloadden ze geautomatiseerd klantgegevens. Het gaat mogelijk om 6,2 miljoen accounts, zowel van huidige als voormalige klanten. Ook klanten van Ben, dat onder Odido valt, zijn getroffen.
Wat er precies is gestolen
De lijst met buitgemaakte gegevens is uitzonderlijk lang. Namen, adressen, e-mailadressen, telefoonnummers en klantnummers werden gestolen. Maar het gaat verder dan dat. Ook IBAN nummers, geboortedatums en nummers van paspoorten of rijbewijzen zijn in handen van de criminelen. Wachtwoorden, belgegevens en factuurhistorie zijn volgens Odido niet buitgemaakt.
Ethisch hacker Sijmen Ruwhof noemde dit een van de ergste scenario's die je kunt bedenken. De combinatie van een IBAN nummer met een geboortedatum en een paspoortnummer is volgens hem vrij uniek en heel veel geld waard op het darkweb.
Wie zit erachter: ShinyHunters
De hackersgroep ShinyHunters heeft de verantwoordelijkheid opgeëist. Het is een internationale groep die eerder verantwoordelijk was voor aanvallen op onder meer Ticketmaster, waarbij honderden miljoenen klantgegevens werden gestolen. Ook Microsoft, Jaguar en Louis Vuitton stonden eerder op hun lijst met slachtoffers.
ShinyHunters eist meer dan een miljoen euro losgeld van Odido. Als het bedrijf niet betaalt voor donderdagochtend 27 februari, dreigen de hackers alle gestolen gegevens te publiceren op het darkweb. "Dit is een laatste waarschuwing," schreven ze op hun eigen website. Of Odido overweegt te betalen is niet bekend. Experts adviseren nadrukkelijk om niet te betalen, omdat er geen garantie is dat de data na betaling daadwerkelijk wordt vernietigd. Na de hack bij de KNVB dook gestolen data zes maanden later alsnog op, ondanks betaling van losgeld.
Waarom je dit niet moet negeren
Veel mensen halen hun schouders op bij een datalek. "Ik heb toch niets te verbergen." Maar die houding is gevaarlijk. Met de gegevens uit deze hack kunnen criminelen vrijwel alles doen wat normaal alleen jijzelf kunt.
Het meest directe risico is gerichte phishing. Criminelen weten nu je naam, adres, telefoonnummer en welke provider je hebt. Een sms of e-mail die van Odido lijkt te komen, met jouw naam en klantnummer erin, is vrijwel niet te onderscheiden van een echt bericht. Ze kunnen ook bellen namens je bank, want ze kennen je IBAN nummer. Of namens de Belastingdienst, want ze hebben je geboortedatum.
Maar het grootste gevaar zit in de combinatie met andere datalekken. Criminelen verzamelen gegevens uit verschillende bronnen en voegen die samen tot complete digitale profielen. Op het darkweb worden deze pakketten verhandeld, soms voor slechts enkele tientallen euro's. Een koper kan zich vervolgens voordoen als jou en abonnementen afsluiten, leningen aanvragen of fraude plegen op jouw naam. Het Centraal Meldpunt Identiteitsfraude ontvangt al meldingen naar aanleiding van dit datalek.
Een van onze lezers werkt bij de politie en was eerder ook slachtoffer van het datalek bij het bevolkingsonderzoek. Voor mensen in gevoelige functies, bij de politie, gemeente, defensie of andere overheidsinstanties, is het risico nog groter. Ethisch hacker Matthijs Koot waarschuwde dat vijandige inlichtingendiensten dit soort gegevens gebruiken om politici en medewerkers van energiebedrijven en havens te traceren en te profileren.
Is dit een Russische aanval?
Meerdere lezers vroegen of dit onderdeel is van een digitale oorlog met Rusland. Dat lijkt niet het geval. De aanwijzingen duiden op georganiseerde cybercriminaliteit met een financieel motief. IP adressen die werden gedetecteerd in de firewall wezen naar Europese locaties. ShinyHunters opereert internationaal en ten minste één lid is eerder gearresteerd in Frankrijk. Het gaat hier om criminelen die geld willen verdienen, niet om een staatshack. Wel is het zo dat buitenlandse inlichtingendiensten gelekte databases op het darkweb opkopen voor spionagedoeleinden, maar dat is een apart risico dat vooral speelt voor specifieke doelgroepen.
Wat je nu kunt doen
De angst van onze lezers is begrijpelijk, maar je staat niet machteloos. Er zijn concrete stappen die je vandaag kunt nemen om jezelf te beschermen.
Controleer allereerst je BKR registratie via mijnbkr.nl. Daar kun je zien of er leningen of kredieten op jouw naam zijn aangevraagd die je niet herkent. Activeer meldingen bij je bank zodat je direct een bericht ontvangt bij elke transactie of wijziging. Controleer en beveilig je DigiD via mijndigid.nl en schakel tweefactorauthenticatie in als dat nog niet is gebeurd.
Registreer je bij het Centraal Meldpunt Identiteitsfraude via rvig.nl/cmi. Zij houden bij welke meldingen er binnenkomen en kunnen je adviseren bij verdachte activiteiten. Vraag een fraudewaarschuwing aan bij Experian of Focum, zodat bedrijven extra controles uitvoeren voordat er iets op jouw naam wordt afgesloten. Check je e-mailadres via haveibeenpwned.com om te zien in welke datalekken je gegevens eerder zijn opgedoken.
En misschien wel het belangrijkste, ga nooit in op onverwachte telefoontjes, smsberichten of e-mails die om actie vragen. Niet als ze van Odido lijken te komen, niet als ze van je bank lijken te komen, niet als ze van de overheid lijken te komen. Bel zelf het officiële nummer als je twijfelt. Gebruik een sterke, unieke wachtwoordmanager zoals MindYourPass om al je accounts te beveiligen met unieke wachtwoorden.
Als je vermoedt dat er al fraude is gepleegd, meld dit dan bij de Fraudehelpdesk via fraudehelpdesk.nl en doe aangifte bij de politie.
Schouders ophalen is het echte gevaar
Een van onze lezers schreef het treffend, "Mensen trekken altijd hun schouders op bij zo'n hack, maar volgens mij is dit levensgevaarlijk." Die lezer heeft gelijk. Niet omdat je direct in gevaar bent, maar omdat de schade van een datalek vaak pas maanden later zichtbaar wordt. De gegevens circuleren, worden gecombineerd met andere lekken en uiteindelijk verkocht aan de hoogste bieder. Op het moment dat iemand op jouw naam een lening afsluit of je identiteit overneemt, is het te laat om nog iets te doen.
Neem dit datalek serieus. Loop de stappen hierboven door. En deel dit artikel met mensen die het nog niet weten. Want wie nu handelt, voorkomt de problemen van straks.
► Lees ook: Wat is identiteitsfraude?
► Lees ook: Wat is phishing en hoe herken je het?
► Lees ook: Tips om jezelf te beschermen