4 uren geleden
1
Telecombedrijf Odido is afgelopen weekend getroffen door een cyberaanval, waarbij gegevens van miljoenen klanten zijn buitgemaakt. Hoe konden cybercriminelen doordringen tot klantgegevens? Wat kunnen zij ermee? En was de beveiliging van het bedrijf op orde? Vijf vragen over het datalek.
1Wat is er gebeurd?
Cybercriminelen verschaften zich op 7 en 8 februari toegang tot het klantcontactsysteem van telecombedrijf Odido. Daaronder vallen ook de providers Ben en Simpel. De hackers kregen zicht op de gegevens van 6,2 miljoen van de ongeveer 8 miljoen klanten.
Het systeem bevat de gegevens van allerlei Odido-klanten: mobiele bellers, afnemers van vast internet en abonnees op de digitale tv‑dienst. Met name particuliere klanten lijken het slachtoffer. Ook beheerders van zakelijke klanten zijn gewaarschuwd dat gegevens gelekt zijn; data van individuele werknemers die ‘via de zaak’ het netwerk van Odido gebruiken echter niet. Operationele gegevens – wie met wie belt en wanneer – zijn volgens het bedrijf evenmin buitgemaakt.
In de tijd dat zij ‘binnen’ waren, konden de criminelen contactgegevens van Odido-klanten zien, zoals naam, adres of telefoonnummer, geboortedatum, e-mailadres, bankrekeningnummer en gegevens van identiteitsbewijzen. Volgens het bedrijf zijn geen scans van identiteitsbewijzen gedownload, en geen wachtwoorden, belgegevens of facturen buitgemaakt.
Odido, de grootste provider van Nederland, onthoudt zich van commentaar op al te specifieke vragen over de oorzaak.
2Wat kunnen criminelen met deze gegevens?
In een mail aan de klanten van wie gegevens „mogelijk zijn geraakt”, maant Odido zijn gebruikers „extra alert op verdachte en ongebruikelijke activiteiten” te zijn. „Met jouw naam, adres, telefoonnummer, e-mailadres en rekeningnummer kunnen cybercriminelen je proberen te benaderen waarbij zij zich kunnen voordoen als iemand van Odido, je bank of een andere organisatie. Blijf daarom altijd alert op dit soort telefoontjes, sms’jes, appjes of e-mails.”
Volgens Odido hebben de criminelen gestolen gegevens (nog) niet op het internet gepubliceerd. Op de vraag of zij het bedrijf om ‘losgeld’ hebben gevraagd om dit te voorkomen, wilde de woordvoerder van Odido geen commentaar geven.
3Was de beveiliging van Odido op orde?
Twee dagen lang hadden criminelen toegang tot klantgegevens, en hebben ze die kunnen downloaden. Odido zegt na het lek „aanvullende beveiligingsmaatregelen” te hebben genomen en ziet in het incident „aanleiding voor een grondige evaluatie”. Aan mogelijk getroffen klanten schrijft Odido: „Na de ontdekking van de aanval is de onbevoegde toegang tot ons systeem direct afgesloten. Ben heeft direct extra beveiligingsmaatregelen genomen.”
Nederland krijgt dit jaar een nieuwe Cyberbeveiligingswet, waarbij verleners van kritische diensten, zoals de telecomsector, aan extra strenge voorwaarden moeten voldoen. Het bestuur van betrokken bedrijven is aansprakelijk voor onvoldoende beveiligingsmaatregelen. Bedrijven kunnen boetes krijgen als ze cyberrisico’s niet serieus genoeg nemen.
Paspoorten, bankrekeningnummers, geboortedata, adressen én telefoonnummers: telecombedrijven verzamelen een schat aan data en zijn dus een aantrekkelijk doelwit voor hackers. Odido is dan ook niet het eerste slachtoffer. Vermaard is de datadiefstal bij de Franse provider Free, waarbij in 2024 gegevens van 24 miljoen gebruikers uitlekten. Dat leidde tot een boete van 42 miljoen euro, omdat Free niet alle klanten op tijd waarschuwde. De verbinding waarmee medewerkers toegang tot de klantendatabase kregen, was bovendien niet voldoende beveiligd.
Klantcontactsystemen kunnen van buitenaf benaderd worden; zo stuitte T‑Mobile in 2021 op een interne fraude, waarbij via een datalek in een Limburgse telefoonwinkel mensen toegang kregen tot persoonsgegevens en telefoonnummers van anderen.
Odido veranderde in september 2023 van naam en voegde de klantgegevens van providers T‑Mobile en Tele2 samen. Daarbij werden tientallen IT‑systemen aangepast. Gevolg: een reeks klachten die de klantenservice overspoelde.
4Is dit de grootste hack in Nederland?
De diefstal van gegevens van 6,2 miljoen klanten is voor Nederlandse begrippen uitzonderlijk, maar niet uniek. De NOS ontdekte in 2021 dat de database van RDC lek was , een leverancier van digitale diensten die gegevens van ruim 7 miljoen autobezitters in Nederland bijhoudt. Tijdens de coronacrisis bleek ook de database van de GGD lek en werd levendig gehandeld in daaruit gestolen persoonsgegevens, meldde RTL Nieuws destijds.
De impact van een datalek laat zich niet alleen vangen in de omvang; het hangt er ook vanaf welk soort gegevens gestolen is. Zo liggen medische data zeer gevoelig, bleek toen vorig jaar gegevens uitlekten van bijna een half miljoen deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker.
5Wat gebeurt er nu?
Odido heeft melding gedaan van het incident bij de Autoriteit Persoonsgegevens (AP), zoals wettelijk verplicht is. Een woordvoerder van de AP wil geen mededelingen doen over de aard van de vertrouwelijke melding en zegt dat de toezichthouder bekijkt of de betrokken klanten snel en goed genoeg worden geïnformeerd over wat er met hun gegevens is gebeurd.
Odido onderstreept dat „klanten kunnen gewoon blijven bellen, internetten, tv kijken en gebruikmaken van alle andere diensten”.
Lees ook
‘Honderd procent beveiliging tegen cyberaanvallen is niet alleen onmogelijk, het is ook onwenselijk’
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2025/08/20085432/data136234390-99ecf5.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/12135612/120226ECO_2031538787_.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/12164901/120226ECO_2031539023_netcongestie.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/12153700/120226ECO_2031453244_.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/11103636/100226ECO_2031450801_boekholt2.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/11131853/web-110226ECO_2031508057_.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/10144454/100226VER_2031473449_terugroep.jpg)
:format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/wp-content/uploads/2019/07/fritshome.png)
English (US) ·