Afgelopen weekend was een onprettig weekend voor Odido en op zijn minst 6,2 miljoen Nederlanders die klant zijn of waren bij Odido en BEN. De grootste digitale diefstal van persoonsgegevens van zijn soort werd vastgesteld. Niet alleen huidige klanten, maar ook sommige voormalige klanten zijn hierdoor kwetsbaarder geworden voor identiteitsfraude. Diverse gegevens, van voor en achternaam tot soms IBAN bankrekeningnummers en zelfs scans van identiteitsbewijzen, zijn naar alle waarschijnlijkheid buitgemaakt.
Hoe is er toegang verkregen door de inbrekers?
Vanuit ons perspectief, namelijk informatiebeveiliging, is het belangrijk te begrijpen hoe dit kon gebeuren. Zoals wij al eerder hebben gewaarschuwd verschuift de focus van criminelen steeds vaker naar mensen. Waar jaren geleden vooral IT systemen werden aangevallen, zien we dat organisaties die hun technische beveiliging beter op orde hebben nu vaker geconfronteerd worden met aanvallen op medewerkers.
Ook in dit incident lijkt het erop dat de criminelen konden inloggen op accounts van medewerkers van de klantenservice. De wachtwoorden van deze medewerkers werden buitgemaakt via phishing. Dat bespraken we vorig jaar in een vergelijkbaar geval ook al eens.
Phishing houdt in dat er overtuigende e-mails worden gestuurd waarin bijvoorbeeld wordt gesuggereerd dat een wachtwoord bijna verloopt en onmiddellijk moet worden vernieuwd. De e-mails zijn meestal zeer geloofwaardig opgesteld. Na het klikken op een link komt de medewerker op een nagemaakte website terecht waar het huidige wachtwoord moet worden ingevoerd. Het nieuwe wachtwoord doet er voor de aanvaller niet eens toe, want met het oude wachtwoord hebben zij toegang tot de systemen van Odido.
Het inloggen op de systemen, in dit geval op het platform van Salesforce, was echter dubbel beveiligd met twee-staps-verificatie. Om ook deze beveiliging te omzeilen hebben de inbrekers gebeld met de medewerkers van wie zij al een wachtwoord hadden gestolen. Tijdens het gesprek deden zij zich voor als medewerkers van de ICT afdeling van Odido en vroegen zij bijvoorbeeld de medewerker om een aanmeldpoging goed te keuren omdat zij een test uitvoerden.
Hoe konden er zoveel gegevens worden gestolen?
Eenmaal ingelogd konden de inbrekers de gegevens van miljoenen klanten binnensluizen. Daarbij is bekend dat zij niet één maar meerdere accounts hebben gebruikt. Dat maakt het eenvoudiger om grote hoeveelheden data minder opvallend uit een systeem te halen.
Het gebruik van meerdere accounts verkleint de kans dat ongebruikelijke datastromen direct opvallen bij de beveiligingsafdelingen. Het vergroot echter wel het risico dat één van de betrokken medewerkers alarm slaat. Dat is niet gebeurd, wat erop wijst dat zowel de phishing e-mails als de telefoongesprekken zeer professioneel waren voorbereid en uitgevoerd.
Hoewel Salesforce een veelgebruikte clouddienst is, kan toezicht op grote datastromen in cloudomgevingen lastiger zijn dan bij systemen die volledig binnen de eigen organisatie draaien. Zeker wanneer meerdere accounts over meerdere dagen kleinere hoeveelheden data exporteren.
Wat wordt er met de gestolen gegevens gedaan?
Dit is op dit moment nog niet duidelijk. Odido heeft niet gecommuniceerd of er contact is geweest met de aanvallers of dat er losgeld is geëist. Een ander doel kan zijn om de persoonsgegevens te verkopen op digitale zwarte markten. Met die gegevens kunnen criminelen slachtoffers geloofwaardiger benaderen en proberen op te lichten.
Een andere mogelijkheid is identiteitsfraude, bijvoorbeeld bij het aanvragen van leningen, het openen van accounts of het bestellen van producten met achteraf betalen. Ook bestaat de kans dat het ging om een gerichte aanval waarbij de massa aan gegevens minder relevant was, maar specifieke personen of functies binnen organisaties wel doelwit waren, zoals bestuurders, ambtenaren of politici.
Wie heeft Odido in de arm genomen om te helpen?
De naam van de externe informatiebeveiligingspartij die Odido ondersteunt bij het onderzoek is door Odido niet bekend gemaakt.
Wanneer een organisatie wordt getroffen door een cyberincident wordt regelmatig externe ondersteuning ingeschakeld, bijvoorbeeld voor forensisch onderzoek, containment en herstel. Toch maken getroffen bedrijven zelden bekend welke specialist hen daarbij helpt. Daar zijn meerdere redenen voor.
Allereerst kan het delen van deze informatie het lopende onderzoek verstoren, doordat aanvallers inzicht krijgen in de partijen die ingeschakeld worden, de gebruikte analysemethoden of specifieke werkwijze. Daarnaast kan openbaarmaking leiden tot extra druk op de betrokken externe partij of leiden tot ongewenste speculatie over de voortgang van het onderzoek.
Tot slot kan de naam van de partner juridische of contractuele implicaties hebben, bijvoorbeeld wanneer er afspraken zijn gemaakt over vertrouwelijkheid of wanneer nog niet vaststaat welke gegevens precies zijn geraakt. Om deze redenen kiezen organisaties er vaak voor om pas na afronding van het onderzoek meer details te delen, of soms helemaal niet.
De stand van zaken nu
Hoeveel data er precies gestolen is, is nog niet publiek gemaakt en mogelijk nog niet volledig inzichtelijk bij Odido en de professionals die hen ondersteunen. Odido gaf aan dat het in elk geval om gegevens van 6,2 miljoen klanten gaat. De hoeveelheid en soort gegevens verschillen per klant. In het systeem stonden ook gegevens van BEN, maar volgens Odido zijn er geen gegevens van Simpel buitgemaakt. Beide merken vallen onder de paraplu van Odido.
Ook de identiteit van de groep die verantwoordelijk is voor de inbraak is niet naar buiten gebracht, tot op heden.
De inbraak zou in het weekend van 7 en 8 februari 2026 zijn opgemerkt. Volgens persbureau Reuters stelde Odido op 9 februari dat hun geplande beursgang mogelijk wordt uitgesteld, al hoeft dat niet direct verband te houden met het incident.
Odido geeft aan verder te blijven informeren over het incident via deze pagina.