6 uren geleden
1
Via een server in het Russische Sint-Petersburg verspreidde de criminele hackgroep ShinyHunters afgelopen weekend de data van miljoenen klanten van Odido (voorheen T-Mobile), het door Odido overgenomen Tele2 en dochterbedrijf Ben. De data bevonden zich eerder in beveiligde systemen van de telecomprovider, maar stroomden na de hack openlijk het internet op en zijn daar vrijelijk te downloaden nadat de telecomprovider had geweigerd ‘losgeld’ te betalen.
De gegevens van klanten van Odido zijn zo onlosmakelijk onderdeel geworden van de schaduwadministratie van cybercriminelen: verzamelingen gestolen data waaruit nieuwe doelwitten voor phishing, spam en andere vormen van onlinecriminaliteit geselecteerd worden.
NRC downloadde de gestolen gegevens ook, en analyseerde ze op een gecontroleerde manier (zie kader). Het lek is groot. „In Nederland is dit een van de grootste en ernstigste publieke leaks ooit”, zegt cybersecuritydeskundige Matthijs Koot.
Vijf miljoen documentnummers
Het gelekte bestand is 90 gigabyte groot en telt ruim 15 miljoen rijen met informatie. De gestolen data zijn daarbij privacygevoelig. De gegevens komen uit Odido’s Salesforce-systeem, zeggen de hackers. Dat blijkt ook uit enkele kenmerkende velden in de gelekte bestanden.
Salesforce is een softwareplatform van het gelijknamige Amerikaanse bedrijf (verwachte omzet dit jaar: 36 miljard euro). Organisaties gebruiken het voor hun klantenbeheer. Het is in feite een grote, centrale database waarin medewerkers klantinformatie kunnen opzoeken en bijwerken, en notities kunnen maken. De database kan gekoppeld worden aan andere systemen, om bijvoorbeeld automatisch mails naar groepen klanten te sturen kort voordat hun abonnementen aflopen.
Het lek bevat daardoor allerlei gegevens over klanten van Odido – van namen, e-mailadressen, telefoonnummers en woonadressen tot bankrekeningnummers, geboortedata en documentnummers van identificatiebewijzen. Er zitten bijna vijf miljoen unieke documentnummers in van rijbewijzen, identiteitskaarten, paspoorten en verblijfsvergunningen, blijkt uit de analyse van NRC. De data bevatten verder zo’n 1,8 miljoen unieke rekeningnummers, vijf miljoen unieke telefoonnummers en zeker twee miljoen adressen.
Voor cybercriminelen zijn bepaalde combinaties van klantendata waardevoller dan andere. Een kopie van een paspoort in combinatie met andere personalia vergroot bijvoorbeeld het risico op identiteitsdiefstal. Op basis van de data in het Odido-lek, dat alleen een documentnummer bevat, is zoiets echter niet zo waarschijnlijk, zegt cybersecuritydeskundige Earth Grob. „Voor het afsluiten van allerlei contracten en leningen heb je in Nederland toch vaak een kopie van een paspoort nodig.”
Ook het Centraal Meldpunt Identiteitsfraude (CMI) zegt dat het datalek bij Odido „niet automatisch” tot identiteitsfraude zal leiden. Daar komt bij, blijkt uit onderzoek van NRC, dat meer dan de helft van de documentnummers bij identiteitsbewijzen hoort die inmiddels verlopen zijn.
Grob denkt daarom dat social engineering de voornaamste manier zal zijn waarop de gelekte data misbruikt zullen worden. Een vorm daarvan is ‘helpdeskfraude’. Daarbij doen oplichters zich voor als medewerker van bijvoorbeeld een bank: de gestolen data gebruiken ze dan om kwetsbare doelwitten te identificeren én zichzelf te legitimeren.
Ook zonder bankrekening- of documentnummer zijn de data van waarde voor zulke digitale criminaliteit, zegt Koot. „Met de geboortedatum en een woonadres kun je bijvoorbeeld snel inzoomen op senioren die in welvarende wijken wonen. Met een e-mailadres en een telefoonnummer kunnen fraudeurs heel gericht hun criminele belscripts afdraaien.”
‘Leegtrekken van SalesForce is simpel’
Hackgroepen als ShinyHunters hebben zich de afgelopen tijd bekwaamd in het kapen van de toegang tot SalesForce. Het platform is een gewild doelwit: zijn hackers daar eenmaal binnen, dan kunnen ze hoogstwaarschijnlijk veel klantendata stelen om losgeld voor te eisen. Testen van de toegang tot SalesForce en de mogelijkheden om daar snel veel data weg te halen, is dan ook standaardwerk voor IT-beveiligers, zegt Grob. „Daar bewaren bedrijven nu eenmaal deze gegevens. Met de juiste rechten is leegtrekken van Salesforce relatief simpel.”
In reactie op vragen van NRC wil ShinyHunters best uitleggen hoe het Odido hackte. „We gebruikten een goed gedocumenteerde methodologie”, schrijft de hackgroep met een verwijzing naar een blog van beveiligingsonderzoekers van Google. In de blogpost wordt een geavanceerde aanval beschreven, die zich richt op medewerkers met toegang tot SalesForce.
Hackers bellen zulke medewerkers gericht op (voice phishing of vishing) en doen zich voor als een collega. Ze bouwen realistisch ogende inlogportalen na en vangen daar onder valse voorwendselen aanvullende inlogvereisten af, zoals sms-codes die de medewerker daar op hun verzoek invult. Met die gegevens dringen ze de systemen binnen en zetten die dan naar hun hand. Downloaden van de gegevens duurt vervolgens, in het geval van Odido, een enkel weekend.
SalesForce zegt desgevraagd niet te reageren op „specifieke klantaangelegenheden”. Het bedrijf waarschuwde al eerder, zoals afgelopen voorjaar, voor steeds geavanceerdere social-engineering-aanvallen. SalesForce verwijst naar een blogpost waarin het digitale veiligheid „een gedeelde verantwoordelijkheid” noemt, van zowel het platform als de gebruikers van de software, zoals Odido. Die bedrijven spelen volgens SalesForce „een cruciale rol” in het beschermen van data. „Zeker tijdens deze recente stijging in geavanceerde social-engineering- en phishing-aanvallen die zich richten op Salesforce-klanten.”
Odido schrijft in een speciale sectie op zijn website dat digitale veiligheid „onze topprioriteit” is. „Cybercriminelen gaan echter op een zeer geavanceerde en gerichte manier te werk, en helaas is geen enkele organisatie immuun. We werken voortdurend aan verbeteringen en gebruiken dit incident als aanleiding voor een grondige evaluatie.”
Risico’s voor politie, defensie en politici
Inmiddels gaan op sociale media de eerste schermafbeeldingen van phishingmails rond, waarin Odido zogenaamd een compensatieregeling opende. „In deze mail word je onder druk gezet om via een link een (verplicht) ‘compensatie-aanvraagformulier’ in te vullen”, waarschuwde de telecomprovider maandag. „Dit géén Odido-mail.”
Behalve voor zulke opportunistische phishingpogingen waarschuwt Koot ook voor risico’s die niet meteen duidelijk worden. In het gelekte veld waar medewerkers aantekeningen maken over klanten, zit soms informatie over schuldhulpverlening en stalking – informatie die in verkeerde handen grote persoonlijke schade kan aanrichten.
Onder de Odido-klanten bevinden zich enkele tientallen buitenlandse ambtenaren. „Als ik door die bril naar de gelekte gegevens kijk, zie ik ook risico’s voor politie, defensie en politici”, zegt Koot. „Vijandige inlichtingendiensten kunnen de data gebruiken om verder in te zoomen op potentiële targets, om nieuwe doelwitten te vinden of bevestiging te vinden van al bestaande data.”
/s3/static.nrc.nl/wp-content/uploads/2026/03/04115935/040326BUI_2031969458_pentagon.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/04084129/040326ECO_2031990227_-1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/04144942/web-040326ECO_2032036065_.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/25154921/020326WET_2031784411_Antartica.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/02134137/020326VER_2031966120_zuidsoedan.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/02144516/020326VER_2031952031_Pettit.jpg)
English (US) ·