Odido-datalek dreigt nu deadline van hackers verstrijkt
Telecombedrijf Odido staat vandaag voor een kritieke deadline nu hackers dreigen miljoenen gestolen klantgegevens te lekken.
Published on February 26, 2026
© Odido
Team IO+ selecteert en brengt de belangrijkste nieuwsverhalen over innovatie en technologie, zorgvuldig samengesteld door onze redactie.
Telecomprovider Odido is de afgelopen weken getroffen door een groot datalek, waarbij cybercriminelen van de beruchte groep ‘ShinyHunters’ persoonlijke gegevens hebben gestolen van maar liefst 8 miljoen klanten – meer dan een derde van de Nederlandse bevolking. De hackers hebben een losgeld van meer dan € 1 miljoen geëist en dreigen de gegevens te lekken als hun eisen niet voor donderdag 26 februari worden ingewilligd.
Odido werd in het weekend van 7 en 8 februari 2026 getroffen door de aanval, waarbij een enorme hoeveelheid persoonlijke gegevens werd gestolen. Het ging onder meer om namen, adressen, telefoonnummers, e-mailadressen, geboortedata, klantnummers, bankrekeningnummers en zelfs paspoort- en rijbewijsgegevens.
Veel gevoelige informatie van klanten van Odido blootgesteld
Hoewel het bedrijf aanvankelijk meldde dat 6,2 miljoen klantrecords waren getroffen, beweert het collectief ShinyHunters toegang te hebben gehad tot gegevens van maar liefst 8 miljoen klanten, goed voor 21 miljoen regels aan gegevens.
Wat de inbreuk nog verontrustender maakt, is dat de NOS onthulde dat ook gevoelige klantnotities, waaronder details over betalingsregelingen en of klanten een voogd hebben, waren gestolen. Sommige notities bevatten zelfs waarschuwingen over mogelijke fraude, zoals ex-partners die zich voordoen als contracthouders. Met dit specifieke type gegevens kunnen cybercriminelen hypergerichte ‘spear phishing’-campagnes opzetten. Een oplichter die op de hoogte is van een specifiek financieel geschil of de voogdijstatus van een klant kan het gebruikelijke wantrouwen omzeilen.
Odido beweert niet op de hoogte te zijn geweest van het feit dat deze aanvullende informatie was gelekt.
Het ultimatum van de hackers
ShinyHunters heeft Odido een ultimatum gesteld en eist dat er vandaag, 26 februari, een losgeld van meer dan 1 miljoen euro wordt betaald. Ze hebben gedreigd om vanaf morgen, 27 februari, elke dag 1 miljoen klantgegevens vrij te geven als niet aan hun eisen wordt voldaan. De hackers verklaarden: “Dit is je laatste waarschuwing. Anders zullen we de gegevens lekken.”
De hackersgroep heeft een reputatie op het gebied van spraakmakende inbreuken, waaronder Ticketmaster en Microsoft, en heeft gedreigd de gegevens onmiddellijk als wapen in te zetten, waarmee ze druk uitoefenen op Odido. Bovendien beweren de hackers 21 miljoen records in hun bezit te hebben, een aantal dat aanzienlijk hoger ligt dan de door Odido bevestigde 6,2 miljoen. Dit verschil suggereert dat de aanvallers mogelijk toegang hebben gekregen tot oude databases of back-uparchieven die het bedrijf nog niet volledig heeft gecontroleerd. Als de hackers hun dreigement uitvoeren, staat het Nederlandse digitale ecosysteem een langdurige periode van instabiliteit te wachten, met dagelijkse golven van gevoelige gegevens die op het dark web terechtkomen.
De gevolgen van het Odido-datalek
Het Openbaar Ministerie heeft een strafrechtelijk onderzoek ingesteld naar de cyberaanval en erkent de ernst van de situatie gezien de enorme omvang van het datalek. Dit onderzoek kan leiden tot juridische stappen tegen Odido als blijkt dat zij nalatig zijn geweest in het beschermen van klantgegevens.
De tastbare gevolgen van het datalek zijn al zichtbaar in heel Nederland. Het aantal meldingen bij het Centraal Meldpunt Identiteitsfraude (CMI) is de afgelopen week meer dan verdubbeld, tot 590 bevestigde gevallen die verband houden met Odido. Deze piek wijst erop dat criminelen waarschijnlijk al gebruikmaken van voorlopige datasets om pogingen tot fraude te ondernemen. Klanten lopen een verhoogd risico op sim-swapping, spookfacturen en WhatsApp-fraude.
Als reactie hierop heeft Odido een tweejarig abonnement op F-Secure-beveiligingssoftware aangeboden, inclusief wachtwoordbeheer en phishingdetectie. Hoewel dit een standaardmaatregel is van bedrijven, stellen beveiligingsexperts dat dit weinig uithaalt om de blootstelling van onveranderlijke gegevens, zoals geboortedata of de onlangs onthulde klantnotities, te beperken. Zodra intieme details over het privéleven van een klant openbaar zijn, kan software de kwetsbaarheid niet meer ‘repareren’. De last van de verdediging is in feite verschoven naar de consument, die nu elke digitale interactie met verhoogde argwaan moet controleren.