De massale lek van klantgegevens bij Odido past in een bredere, structurele ontwikkeling dat bedrijven kwetsbaar zijn voor identiteitsmisbruik. De meeste grote incidenten ontstaan doordat criminelen met iemands identiteit aan de haal gaan in combinatie met gebrekkige basismaatregelen.
Het type aanval dat Odido trof, staat centraal in het aankomende Hunt & Hackett Trend Report 2026. Volgens Ronald Prins, medeoprichter van dit Nederlandse cybersecurity-bedrijf, laat dit ernstige incident bij Odido zien waarom organisaties hun focus moeten verleggen van traditionele perimeterbeveiliging naar identiteitscontrole, monitoring en logging. Niet de firewall, maar de identiteit is vandaag de belangrijkste aanvalsvector.
De geruchtmakende aanval op Odido oogt als een geavanceerde hack, maar draait in de kern om iets veel fundamentelers: medewerkers die zijn misleid en inloggegevens die zijn buitgemaakt.
Social engineering
Volgens Hunt & Hackett kregen aanvallers toegang tot een customer relationship management (crm)-omgeving via phishing en het social engineeren van 2FA (two-factor-authentication)-codes. Bij phishing sturen criminelen nepmails om te proberen informatie te achterhalen, zoals inloggegevens, en daarmee toegang te krijgen tot een netwerk of systeem. Social engineering betekent dat het een aanvaller kennelijk is gelukt een medewerker van Odido ervan te overtuigen dat het legitiem is om een 2FA‑code te delen. Dit kan bijvoorbeeld door zich voor te doen als een collega van de it-helpdesk of een leidinggevende.
Door zowel de inloggegevens als de 2FA-code te bemachtigen kunnen aanvallers in het klantcontactsysteem binnendringen, waarna klantgegevens zijn te downloaden. Dit soort aanvallen, waarbij criminelen simpelweg inloggen met geldige accounts in plaats van technisch ‘in te breken’, ziet Hunt & Hackett steeds vaker bij grote organisaties.
Geen bevredigend antwoord
Medio vorige week meldde Odido dat de ongeautoriseerde toegang tot het klantcontactsysteem is geblokkeerd. Het lek, waarbij 6,2 miljoen accounts werden gekraakt, vond plaats in het weekeinde van 7 en 8 februari. Nu meer dan een week later heeft Odido nog maar weinig feiten hierover naar buiten gebracht.
Zo is nog geen bevredigend antwoord gegeven op de vraag hoe de aanvallers alle gegevens van 6,2 miljoen klanten konden wegsluizen zonder dat de monitoring tijdig alarm sloeg. Normaal zou er een soort automatische noodrem op het systeem moeten zitten. Volgens Tom Moester, cybersecurity consultancy Lead bij Hunt & Hackett, is afwijkend gedrag in software-as-a-service (saas)-omgevingen goed detecteerbaar.
Maar bij veel organisaties zitten nog blinde vlekken, met name rond logging, correlatie en gedragsanalyse.
Juridisch staartje?
Overigens is niet duidelijk of het lek inderdaad in het klantcontactsysteem zat dan wel in de onderliggende database. Evenmin is helder of het bij Odido om Salesforce dan wel Netcracker gaat. Zeker is dat de gestolen ID-documenten zoals paspoortnummers en geldigheidsdata van de hoogste risicoklasse zijn. Onderzoek moet uitwijzen of die in een klantcontactsysteem mogen zitten. Een mogelijke verklaring voor de aanwezigheid van bepaalde paspoortgegevens in het crm-systeem is een wettelijke verplichting. Maar als bepaalde persoonsgegevens onnodig zijn opgeslagen en bewaard, kan daar een juridisch staartje aan vast zitten.
De ongerustheid bij klanten is enorm groot, zo bevestigt het Centraal Meldpunt Identiteitsfraude (CMI) dat veel vragen van Odido-klanten over het datalek heeft ontvangen.
Schatkisten aan data
Tom Leijte, ceo bij darkweb-monitoringbedrijf Passguard, vindt dat Odido haar klanten snel inzicht moet geven welke persoonlijke gegevens precies zijn ontvreemd. Gaat het om bijvoorbeeld recente paspoortgegevens en adresgegevens, of een adres van jaren geleden en een paspoort dat allang verlopen is? Komen de data uit een actueel systeem, dan zal de schade groter zijn dan als de gegevens afkomstig zijn uit een niet meer actueel legacysysteem. Als mensen exact weten welke gegevens gelekt zijn, kunnen zij zich volgens Leijte beter wapenen tegen criminelen die hier misbruik van maken.
Leijte ziet dat meer cybercriminelen hun werkterrein verplaatsen van ransomware naar massale data-exfiltratie, waarvan nu bij Odido ogenschijnlijk ook sprake is. Het doel van het ongeoorloofd buitmaken en grootschalig wegsluizen van data is meestal chantage van de gehackte organisatie. Wordt er niet betaald, dan komt de informatie op straat te liggen.
Er zijn legio mogelijkheden om dergelijke ‘schatkisten aan data’ te benutten, waarbij het vooral de combinatie van relevante gegevens is die deze dataset interessant maakt. Leijte denkt aan helpdesk-fraude, ceo-fraude en meerdere vormen van phishing. In het ai-tijdperk zijn gigantische databases interessant voor allerlei soorten fraudeurs en cybercriminelen: geloofwaardige phishingmails met echte informatie zijn zo op schaal mogelijk.
“Klanten moeten daarom voorbereid zijn op valse facturen, phishingmails en telefoontjes van oplichters”
Het zou Leijte niet verbazen als deze data op criminele marktplaatsen terechtkomen. Het publiceren van dergelijke grote datasets is volgens hem schering en inslag op het dark web. Hij maakt zich specifiek zorgen over statelijke actoren, die deze gegevens kunnen combineren met andere gestolen data om gedetailleerde profielen op te bouwen van personen werkzaam in de nationale veiligheid.
Omdat zeer weinig bekend is over de aard en afkomst van de aanvallers, is momenteel nog niet aan te geven waar de risico’s precies liggen. Maar vaststaat dat criminelen met persoonsgegevens, e-mailadressen en IBAN-nummers overtuigende phishingberichten kunnen sturen. Klanten moeten daarom voorbereid zijn op valse facturen, phishingmails en telefoontjes van oplichters die zich voordoen als betrouwbare partijen.
Actief monitoren
Dr. Martin Krämer, CISO Advisor bij KnowBe4, wijst op het gevaar dat oplichters met de buitgemaakte gegevens kredietaanvragen doen. ‘Het is daarom verstandig dat klanten dossiers bij het BKR – Bureau Krediet Registratie – controleren. Daarnaast helpt registratie bij de Fraudehelpdesk om identiteitsmisbruik sneller te signaleren.
Omdat ook IBAN-nummers zijn buitgemaakt, is het belangrijk bankrekeningen actief te monitoren op ongeautoriseerde incasso’s. Mensen kunnen ongeautoriseerde automatische incasso’s binnen acht weken (56 dagen) via de bank laten terugboeken’, aldus Krämer.
