4 uren geleden
1
In de wereld van de game Pokémon is een ‘shiny’ zeldzaam. Het is bijvoorbeeld een Pikachu die niet geel is, maar goud glinstert. Spelers moeten urenlang jagen en zoeken voordat ze zo’n shiny gevonden hebben. De cybercriminelen met de naam ShinyHunters (vernoemd naar die Pokémon-praktijk) jagen ook, maar dan op databases om in te ruilen voor losgeld. Zes jaar geleden dook het internationale hackerscollectief voor het eerst op en sindsdien bouwden ze aan een flink portfolio van grote bedrijven die het hackte en afperste.
Op 7 en 8 februari hadden de hackers van ShinyHunters toegang tot het klantcontactsysteem van Odido, een van de grootste telecombedrijven van Nederland, en dochteronderneming Ben. De gegevens van 6,2 miljoen klanten bleken te zijn gestolen, aldus het bedrijf. ShinyHunters zelf zegt dat het om data van 8 miljoen huidige en voormalige klanten gaat.
Het gaat om paspoort- of rijbewijsnummers en tot wanneer die geldig zijn, volledige namen, adressen, mobiele nummers, klantnummers, e-mailadressen, bankrekeningnummers en geboortedata. Volgens Odido zijn geen wachtwoorden, belgegevens, scans van identiteitsbewijzen of factuurgegevens gestolen.
„Een klein bedrag van zeven cijfers”: dat is de prijs van minstens 1 miljoen euro die de cybercriminelen voor aanstaande donderdagochtend van Odido eisen, zo maakte de hackersgroep dinsdagochtend bekend. Als het telecombedrijf daar niet mee akkoord gaat, dreigen de hackers alle data te lekken naar een al bekendgemaakt adres op het darkweb (het anonieme gedeelte van het internet, waar je niet zomaar via zoekmachines terechtkomt). Dat blijkt uit berichtgeving van RTL Nieuws, dat contact heeft gehad met ShinyHunters en een klein deel van de gestolen persoonsgegevens heeft ontvangen en geverifieerd.
„Odido staat met het mes tegen de keel en de rug tegen de muur”, zegt beveiligingsonderzoeker en ethisch hacker Sijmen Ruwhof. „Als ze betalen, worden de gegevens niet gelekt, als ze niet betalen wordt alles gelekt. Er is geen grijs gebied.” ShinyHunters is, zegt hij, een „topspeler” in deze niche van bedrijven hacken. „Als ze na het verkrijgen van het losgeld alsnog de buitgemaakte data verkopen, zouden ze behoorlijke reputatieschade oplopen. Toekomstige slachtoffers zouden dan niet meer betalen.”
Dat ShinyHunters nu naar buiten treedt is een soort laatste waarschuwing voor Odido, zegt de expert. „Zoals het er nu naar uitziet wil de directie niet die euro per klant betalen om de buitgemaakte data van het internet te houden. Als donderdag de gegevens online worden gezet, dan blijft dat voor altijd te downloaden. Dat betekent dat Nederland weer een telefoongids krijgt, een heel uitgebreide, met paspoort- en bankrekeningnummers en mailadressen. Dat gaat allemaal nare situaties opleveren, denk aan doelgerichte phishing-aanvallen en identiteitsfraude.”
Psychologische manipulatie
Om binnen te dringen maakten de hackers gebruik van ‘social engineering‘, een verzamelnaam voor technieken waarbij cybercriminelen mensen met psychologische manipulatie verleiden om gevoelige informatie te delen. In het geval van Odido werden klantenservicemedewerkers misleid door phishingmails, waarin ze werden gevraagd om hun inloggegevens. De hackers belden vervolgens klantenservicemedewerkers en deden zich voor als collega’s van de ict-afdeling van het bedrijf. Dit wordt ook wel ‘vishing’ genoemd. Zo wisten ze hen ervan te overtuigen de inlogpogingen goed te keuren en omzeilden ze de extra beveiligingsstappen.
Het is niet de eerste keer dat ShinyHunters hard toeslaat. Een paar maanden geleden dreigden de hackers nog om 200 miljoen klantgegevens van (voormalige) abonnees van pornosite PornHub te publiceren. In 2024 zeiden de criminelen 560 miljoen klantgegevens van online ticketmarktplaats Ticketmaster te hebben ontfutseld. Maar ook de grote Amerikaanse telecomprovider AT&T, Google, Adidas, Air France-KLM, Louis Vuitton en veel andere grote bedrijven vielen de afgelopen jaren ten prooi aan de hackers. Bedrijven zullen niet gauw toegeven dat ze betaald hebben, omdat zakendoen met criminelen publicitair, ethisch en juridisch gezien niet handig is, maar volgens Ruwhof doen ze het vaak wel.
Criminele hackers zoals ShinyHunters laten een soort digitaal briefje in de gehackte systemen achter. Daarin delen ze hun contactgegevens met de uitnodiging om te onderhandelen via het darkweb. „Daar wordt een soort servicedesk met een tussenpersoon opgezet, zo kunnen bedrijven met de hackers onderhandelen”, zegt Ruwhof. „Het is dan belangrijk voor de bedrijven om eerst bewijzen [van de inbraak] te krijgen en te verifiëren. Zo laten de hackers zien hoe diep ze in het systeem zaten.”
‘Pure hebzucht’
In 2023 werd een 22-jarige Franse student en lid van ShinyHunters in de Verenigde Staten veroordeeld tot drie jaar gevangenisstraf en het betalen van een schadevergoeding van meer dan 5 miljoen dollar. Hij bekende betrokken te zijn bij grootschalige datadiefstal en cyberfraude, de aanklager omschreef zijn motief als „pure hebzucht”.
„In Oost-Europa opereren veel van dit soort criminele netwerken en met name Rusland is heel berucht”, zegt Ruwhof. „Zij treden niet echt op tegen dit soort groepen omdat ze ook veel schade aan het Westen kunnen berokkenen. Dat past bij de hybride oorlogsvoering.” Maar, legt Ruwhof uit, als een persoon uit zo’n crimineel netwerk wordt opgepakt, gaat de rest van de groep vaak gewoon door. Het portfolio van ShinyHunters is dusdanig indrukwekkend dat het volgens hem om een omvangrijk netwerk moet gaan.
„Ze zijn inmiddels dusdanig berucht dat ik vermoed dat ze hun reputatie ook wel eens uitlenen. Dat andere hackers onder de naam ShinyHunters bedrijven afpersen in ruil voor een deel van het losgeld.” In zo’n netwerk zelf opereren de hackers vaak op basis van anonimiteit met elkaar. Volgens de expert doen groepen die met gijzelvirussen computersystemen op slot zetten dat op een soortgelijke manier. Zij bieden software aan als een soort franchise naar andere criminelen.
Een woordvoerder van Odido zegt dat de zaak wordt onderzocht. Het telecombedrijf wil geen mededelingen doen over het verdere proces, de aard van het datalek en of ze van plan zijn een „klein bedrag van zeven cijfers” te gaan betalen. Het bedrijf heeft het incident gemeld bij de Autoriteit Persoonsgegevens.
/s3/static.nrc.nl/wp-content/uploads/2026/02/24144057/240226ECO_2031824499_.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/24095444/Trump-procentenman.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/21235831/ANP-550886295.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/21174227/220226SPO_2031758667_IJshockey.jpg)
English (US) ·