Odido gehackt: 6,5M personen – dit is het echte risico

UPDATE 26 februari: nadat Odido officieel heeft besloten niet te betalen, zijn op 26 februari de eerste privégegevens van honderdduizenden Nederlanders op het dark web gepubliceerd. Terwijl het onderzoek van het Openbaar Ministerie (OM) loopt, is de dreiging van een 'lek' na een fase van actieve chantage inmiddels omgeslagen in een grootschalige, stapsgewijze datadump.

UPDATE 27 februari: de situatie escaleert verder. Hackersgroep ShinyHunters heeft een tweede datadump online gezet met de privégegevens van 649.000 (oud-)klanten en zo'n 340.000 bankrekeningnummers (IBAN). Ook is door onderzoekers bevestigd dat er, ondanks eerdere ontkenningen, wel degelijk BSN-gegevens in de dump zijn aangetroffen – zo ook schokkende data over kwetsbare groepen (zoals stalking-slachtoffers), wier fysieke veiligheid hiermee direct in het geding is. Gedupeerden kunnen inmiddels via Have I Been Pwned controleren of hun mailadres in de eerste dump zit. Tegelijkertijd is ethisch hacker Sijmen Ruwhof een crowdfunding gestart in een ultieme poging om het losgeld bij elkaar te krijgen en verdere publicaties te stoppen.

UPDATE 28 februari: de hackers hebben woord gehouden en vanochtend de derde batch van 1 miljoen records online gezet. Hiermee is de enorme schaal van het identiteitsrisico bevestigd: in deze nieuwe batch zijn inmiddels 365.000 documentnummers van rijbewijzen, 245.000 van Europese identiteitsbewijzen en 180.000 van paspoorten aangetroffen.

Update 1 maart (het eindspel): de chantagefase is voorbij. De hackers hebben de "salami-tactiek" gestaakt en de volledige dataset van naar schatting 21 miljoen regels (full_odido_shinyhunters) online gezet. Hiermee liggen de privégegevens van ruim 6,5 miljoen unieke personen en 600.000 bedrijven op straat. De dump bevat meer dan 5 miljoen unieke ID-nummers (paspoorten, rijbewijzen en zelfs diplomatieke papieren), 71.000 e-mailadressen van bewindvoerders en 44.000 interne klantnotities met zeer gevoelige informatie over o.a. gestalkt worden, fraude en gedrag. De totale database is hiermee definitief publiek bezit van het criminele circuit geworden.

TL;DR (Update 1 maart)

• Wat gebeurde er: in het weekend van 7–8 februari is er onbevoegde toegang geweest tot een door Odido gebruikt klantcontactsysteem/contactcenter-omgeving. Uit dat systeem is klantdata gedownload (data-exfiltratie). Odido meldde dat de operationele dienstverlening niet is geraakt: klanten konden en kunnen gewoon blijven bellen, internetten en tv-kijken.
  Update 25 februari: de hackersgroep ShinyHunters heeft de aanval inmiddels opgeëist en eist een bedrag van zeven cijfers (in de miljoen euro) losgeld.
  Update 26 februari: Odido weigert het geëiste bedrag echter te betalen, waarna de hackers zijn gestart met het stapsgewijs publiceren van de data op het dark web met 1 miljoen regels per dag.
  Update 27 februari (middag): de hackers hebben zich aan hun dreigement gehouden en inmiddels een tweede batch van 1 miljoen records gepubliceerdCrowdfunding: ethisch hacker Sijmen Ruwhof is een inzamelingsactie gestart om de hackers alsnog te betalen en verdere publicatie van privégegevens te stoppen.
  Update 28 februari: De hackers hebben de derde batch van 1 miljoen records gepubliceerd. Hiermee is de "salami-tactiek" definitief bewezen en staat de teller op 3 miljoen gelekte regels aan data; elke dag dat Odido niet betaalt, wordt een nieuw deel van de buitgemaakte data geëxposeerd.
  Update 1 maart (volledige dump): De chantagefase is voorbij. De hackers hebben de salami-tactiek gestaakt en de volledige dataset van naar schatting 21 miljoen regels online gezet. Hiermee liggen de privégegevens van ruim 6,5 miljoen unieke personen en 600.000 bedrijven definitief op straat; de volledige buit is nu publiek bezit van het criminele circuit.
• Wat werd er nog onderzocht: de exacte scope van wat is meegenomen en welke gegevens per account aanwezig waren (kan verschillen). Bronnen rond de hack noemen een volledige download van álle 6,2 miljoen records "niet waarschijnlijk", al is het niet uit te sluiten.
  Update 1 maart: de exacte scope is niet langer een vraagteken: de volledige gelekte database ligt op straat op het darkweb en betreft 21 miljoen records en ruim 6,5 miljoen unieke personen.
  Voortgaand onderzoek: de AP en het OM onderzoeken de ernstige overschrijding van de bewaartermijn, aangezien data van 10+ jaar oud nog aanwezig bleek. 
• Schaal: het gaat om 6,2 miljoen accounts – en accounts ≠ personen (dubbele accounts mogelijk). Dit betreft zowel huidige als voormalige klanten.
  Update 25 februari: de aanvallers claimen inmiddels data van 8 miljoen gebruikers te bezitten (incl. dochtermerk Ben).
  Update 26 februari: de hackers claimen inmiddels gegevens van meer dan 10 miljoen (oud-)klanten te bezitten. Een eerste dump bevat privégegevens (incl. IBAN en interne notities) van circa 430.000 personen en 290.000 bedrijven.
  Update 1 maart: met de definitieve dump is bevestigd dat het gaat om ruim 6,5 miljoen unieke personen en 600.000 bedrijven. Dit is aanzienlijk meer dan de aanvankelijke schatting van 6,2 miljoen accounts.
• Mogelijk gelekt (nu bevestigd): NAW/contactgegevens, klantnummer, IBAN en ID-nummer + geldigheid, burgerservicenummers (BSN) en notities over betaalgedrag of interne klantenservice-notities (zoals aantekeningen over mensen onder bewind of gegevens van slachtoffers over stalking en huiselijk geweld).
  Update 27 februari: hoewel Odido het lekken van BSN's eerst ontkende, zijn deze inmiddels door onderzoekers in de gepubliceerde data aangetroffen (o.a. bij ZZP'ers via het btw-nummer)
  Update 1 maart (bevestigd): in de volledige dump zijn inmiddels 5 miljoen unieke ID-nummers (paspoorten/rijbewijzen), 71.000 e-mailadressen van bewindvoerders en 44.000 interne klantnotities aangetroffen. Hiermee is de totale omvang van het identiteitsrisico definitief.
• Niet gelekt: wachtwoorden, belgegevens, locatiegegevens, factuurgegevens en scans van ID-bewijzen.  
• Wat je nú doet: klik niet, zet bankalerts aan, en hanteer de call-back rule (ophangen → zelf terugbellen via officieel nummer).
  Update: gedupeerden kunnen inmiddels gebruikmaken van een aanbod voor twee jaar gratis digitale bescherming (F-Secure Total) via Odido.
• Check je gegevens: de eerste gelekte dataset is inmiddels opgenomen in Have I Been Pwned, waar klanten kunnen controleren of hun e-mailadres in de eerste dump zit.
  Update 1 maart: de volledige dataset wordt momenteel verwerkt door Have I Been Pwned. Waarschuwing: de politie meldt dat het zelf downloaden of in bezit hebben van deze dataset strafbaar is als gegevensheling (art. 138c Wetboek van Strafrecht). Gebruik alleen officiële tools.
• Voor bedrijven: beschouw contactcenter/CRM als kroonjuweel – veel persoonlijke data, veel rollen, veel integraties betekenen een hoog risico.
  De bevestigde route (phishing + ICT-belletje) onderstreept dat phishing-resistente MFA essentieel is om de menselijke factor te beschermen.

Het incident in het kort: wat we nu weten

In het weekend van 7–8 februari is er onbevoegde toegang geweest tot een door Odido gebruikt klantcontactsysteem/contactcenter-omgeving. Uit dat systeem is klantdata gedownload (data-exfiltratie). Odido meldde dat de operationele dienstverlening niet is geraakt: klanten konden en kunnen blijven bellen, internetten en tv-kijken. Hoe groot de buitgemaakte set precies is en welke accounts daarin voorkomen, werd aanvankelijk nog onderzocht. Inmiddels is de chantagefase beëindigd: op 1 maart 2026 is de volledige dataset van naar schatting 21 miljoen regels gepubliceerd. Daarmee is een einde gekomen aan alle speculaties en onzekerheid over de schaal; de buit ligt definitief op straat.

Odido zegt de ongeautoriseerde toegang zo snel mogelijk te hebben beëindigd en werkt samen met externe cybersecurity-experts voor onderzoek en aanvullende maatregelen. Het incident is gemeld bij de Autoriteit Persoonsgegevens (AP); in berichtgeving wordt genoemd dat de AP ook toezicht houdt op de vervolgstappen van Odido en op de informatievoorziening.

Nieuwe aanwijzingen over het toegangspad

Figuur 1: De vermoedelijke aanvalsroute. Bronnen wijzen erop dat aanvallers via phishing van inloggegevens en vervolgens telefonische 'social engineering' bij een medewerker toegang kregen tot het klantensysteem.

Waar kort na de hack nog werd gesproken over vermoedens rond het toegangspad, is inmiddels door bronnen rond het incident bevestigd dat deze combinatie van phishing en social engineering inderdaad de route naar binnen was: aanvallers maakten eerst via phishing de inloggegevens van individuele klantenservicemedewerkers buit. Daarna zijn medewerkers telefonisch benaderd als “ICT-afdeling” om een frauduleuze inlogpoging goed te keuren, waardoor een extra beveiligingsstap – de multifactorauthenticatie (MFA) – werd omzeild.

Het toepassen van multifactorauthenticatie (MFA) is daarbij de standaard, maar deze geraffineerde methode laat zien dat ook technische barrières door menselijke manipulatie kunnen worden geslecht. De aanvallers gebruikten hoogstwaarschijnlijk een techniek bekend als de OAuth 2.0 Device Authorization Grant flow (ook wel Consent Phishing genoemd) om een legitiem toegangstoken te bemachtigen zonder fysieke toegang tot het apparaat van de medewerker nodig te hebben.

In dezelfde berichtgeving wordt genoemd dat de toegang uiteindelijk leidde tot een omgeving met klantdossiers (waarbij “scraping”, geautomatiseerd uitlezen, is gebruikt) – en dat juist dát verklaart waarom de dienstverlening door kon draaien terwijl de datalaag wel geraakt werd.

Betrokken klanten zijn inmiddels persoonlijk geïnformeerd via e-mail (afzender: info@mail.odido.nl) of per sms. Hoewel dit proces door de schaal tot 48 uur in beslag nam, is die termijn inmiddels verstreken. Zie een ontvangen bericht overigens als signaal, niet als bewijs: afzenders en nummers zijn makkelijk na te maken. Klik daarom nooit op links en verifieer altijd via de officiële app of site. Inmiddels is bevestigd dat de waarschuwing 6,2 miljoen accounts betreft, waaronder zowel huidige als voormalige klanten. 

Waarom ook oud-klanten (na 10 jaar) de dupe zijn

Een schokkend detail dat pas later naar buiten kwam, is de aanwezigheid van data van oud-klanten. Hoewel de wettelijke bewaartermijn voor dit soort gegevens doorgaans twee jaar is, kregen mensen die al meer dan een decennium weg zijn bij Odido toch een notificatie. Dat dit lek ook veel oud-klanten treft, komt volgens berichtgeving van o.a. het FD en Tweakers door een overschrijding van de bewaartermijn: klantdata die volgens de eigen regels na twee jaar verwijderd had moeten zijn, bleek toch nog aanwezig in de getroffen systemen. Dit verklaart waarom mensen die al vele jaren weg zijn toch een notificatie kregen. Dit wijst op een ernstig falen in de bewaartermijn-compliance; een feit dat inmiddels een centraal onderdeel vormt van het strafrechtelijk onderzoek door het Openbaar Ministerie en de Autoriteit Persoonsgegevens.

Diensten die doorlopen ≠ geen risico: de schade verschuift naar vertrouwen, fraude-pogingen en supportdruk. 

In berichtgeving staat ook dat de aanvallers zelf hebben aangegeven de gegevens in handen te hebben. De aanvallers eisten aanvankelijk een bedrag van "zeven cijfers" (in de miljoen euro's) om de gestolen gegevens geheim te houden. Odido heeft echter officieel besloten niet aan deze chantage toe te geven en betaalt niet. Als reactie hierop zijn de hackers op 26 februari gestart met het stapsgewijs publiceren van de buitgemaakte klantgegevens.

Strategische keuze: Geen losgeld, wel een datadump

Het besluit om niet te betalen is geen bluf, maar een bewuste strategie. Op advies van de politie en cybersecurity-experts kiest Odido ervoor om de chantage te negeren. Het bedrijf weigert hiermee het criminele verdienmodel te spekken, wetende dat een betaling aan groepen zoals ShinyHunters nooit een garantie is dat de data daadwerkelijk wordt gewist of niet op een later moment alsnog wordt misbruikt. Zelfs al betekent dit dat de data nu vooralsnog stapsgewijs wordt gepubliceerd.

Figuur 2: de principes boven afpersing. Door het advies van de politie te volgen en niet te betalen, kiest Odido voor een harde lijn tegen cybercriminaliteit, wat tegelijkertijd de directe katalysator vormde voor de huidige stapsgewijze datadump van miljoenen (oud-klanten) wiens data als directe vergelding stapsgewijs online wordt geplaatst.

Update 27 februari: Tweede dump en crowdfunding

De hackers hebben de daad inmiddels bij het woord gevoegd. Vanochtend (27 februari) is een tweede batch van klantgegevens gepubliceerd. Het gaat in dit tweede deel specifiek om de privégegevens van 649.000 klanten en zo'n 340.000 bankrekeningnummers (IBAN). De aanhoudende publicaties hebben geleid tot een opmerkelijke actie in de security-community: ethisch hacker Sijmen Ruwhof is vandaag een crowdfunding gestart. Hij hoopt 250.000 euro op te halen in een ultieme poging om de hackers zelf af te betalen en verdere verspreiding van privégegevens van Nederlanders te stoppen.

Update 28 februari: derde dump en bevestiging ID-nummers

De hackers hebben woord gehouden en vanochtend een derde batch van 1 miljoen records online gezet. Hiermee is de "salami-tactiek" – elke dag een miljoen regels publiceren als vergelding – voor de derde dag op rij een feit. In deze nieuwe batch is de enorme schaal van het identiteitsrisico definitief bevestigd: er zijn inmiddels 365.000 documentnummers van rijbewijzen, 245.000 van Europese identiteitsbewijzen en 180.000 van paspoorten in de gelekte data aangetroffen.

Update 1 maart: publicatie volledige dataset legt miljoenen gegevens, ID's en gevoelige notities bloot

De hackers zijn afgestapt van hun plan om de data in delen vrij te geven en hebben in één klap de resterende klantgegevens gepubliceerd, naar eigen zeggen vanwege ongespecificeerde "recente ontwikkelingen". Een analyse van de NOS maakt de exacte schade inzichtelijk: de set bevat gegevens van ruim 6,5 miljoen personen en 600.000 bedrijven, inclusief iets meer dan 5 miljoen nummers van unieke ID-bewijzen (rijbewijzen, paspoorten en verblijfspapieren van diplomaten). Daarnaast bevat de dump zeer specifieke en gevoelige informatie: bij 71.000 mensen staat het e-mailadres van een bewindvoerder of hulpverlener vermeld, en van ruim 44.000 klanten zijn interne klantenservicenotities (bijvoorbeeld over stalking, fraude of misdragingen) gelekt. Opvallend detail: de criminelen geven aan een deel van de data te hebben achtergehouden "voor eigen gebruik".

Nuance: 6,2 miljoen accounts ≠ 6,2 miljoen mensen

Die 6,2 miljoen is een bestand met accounts. Eén persoon kan vaker voorkomen (bijvoorbeeld meerdere diensten/contracten), waardoor er dubbelingen kunnen zitten in de dataset. Dat maakt de schaal niet “minder erg”, maar wel belangrijk voor hoe je cijfers interpreteert.
 

• Update 25 februari: belangrijk om hierbij te vermelden is dat de hackersgroep ShinyHunters inmiddels claimt data van 8 miljoen gebruikers te bezitten.
• Update 26 februari: De claim van de hackers is verder opgelopen; zij stellen nu gegevens van meer dan 10 miljoen (oud-)klanten in handen te hebben.
• Update 1 maart (definitieve schaal): met de publicatie van de volledige dataset van 21 miljoen regels is de onzekerheid over de schaal weggenomen. Uit analyse van de ruwe data blijkt dat het gaat om circa 6,5 miljoen unieke personen en 600.000 zakelijke accounts. Hiermee komt het aantal slachtoffers iets hoger uit dan de 6,2 miljoen die Odido aanvankelijk meldde, maar een stuk lager dan de 10 miljoen die de hackers claimden.

Of het nu gaat om de eerder geclaimde 6,2 miljoen accounts, de claim van 10 miljoen van de hackers of de nu bevestigde 6,5 miljoen unieke personen, feit blijft: óók als je de dubbele accounts eraf haalt, spreken we over miljoenen unieke gegevens van Nederlanders van wie de identiteits- en bankgegevens in de dataset zitten. Het risico op massale oplichting blijft dus ongekend groot.

Wat we nog níet weten (en waarom dat normaal is)

Een paar cruciale details zijn op dit moment nog niet publiek door Odido bevestigd – en dat is bij lopend onderzoek gebruikelijk. Tegelijk is er in berichtgeving nu wél meer context over de vermoedelijke route naar binnen: bronnen wijzen op phishing bij klantenservicemedewerkers en telefonische social engineering om een extra beveiligingsstap (MFA/2FA) te omzeilen; daarna zouden ze geautomatiseerd klantdata uit de klantomgeving hebben verzameld. Odido zelf heeft die route niet publiek bevestigd. Daarnaast blijft eigenlijk nog maar één ding echt “open”: de exacte impact per klant (welke specifieke velden bij wie gelekt zijn) Daarom zie je formuleringen als “mogelijk” en “per klant verschillend”. In incident response is dat vaak de eerlijkste vorm: liever nuance dan achteraf terugdraaien.

Die keten (phish → “ICT”-belletje → MFA-goedkeuring) verklaart ook de nasleep: daarna draait het minder om techniek, en meer om multi-channel druk (mail/sms/telefoon/WhatsApp) waarbij echte details worden gebruikt om jou sneller te laten handelen.

Wat nog open blijft:
 

• het precieze toegangspad zoals officieel bevestigd (versus wat bronnen/berichtgeving reconstrueren).
• Hoe lang aanvallers toegang hadden (dwell time) – en dus hoeveel tijd ze exact hadden om ongestoord data te scrapen/exporteren om aan de 21 miljoen gestolen regels te komen.
• De juridische en financiële afwikkeling: het lopende onderzoek van de AP en het OM naar de overschreden bewaartermijnen van 10+ jaar en de uiteindelijke hoogte van de boetes.
• De exacte impact per klant: hoewel de set op straat ligt, blijft de specifieke combinatie van de gelekte velden van gegevens per account verschillend.
• De compensatie en bescherming: hoe Odido de bewezen risico's voor kwetsbare groepen (zoals stalking-slachtoffers en personen onder bewind) gaat minimaliseren en of er eventueel compensaties komen nu hun data definitief publiek is.

Waarom dit lek vooral om vertrouwen draait (algemeen patroon)

Figuur 3: De realiteit van een systeem-inbreuk. Hoewel de technische inbraak op een contactsysteem plaatsvond, verschuift de werkelijke schade direct naar het vertrouwen van miljoenen klanten wiens data door aanvallers is buitgemaakt.

Je hoeft bij dit soort incidenten geen “Hollywood-hack” te zien om risico te lopen. Het begint vaak met iets dat verdacht normaal klinkt: een telefoontje dat voelt als klantenservice. Iemand die je naam en adres noemt, die terloops je klantnummer laat vallen. En die nét genoeg details heeft om jou te laten denken: oké, die zit echt in mijn dossier. 

En precies dát is het ongemakkelijke aan het Odido-incident. De dienstverlening kan gewoon blijven draaien – bellen, internetten, tv-kijken – terwijl het echte gevecht zich verplaatst naar iets menselijks: vertrouwen. Naar hoe snel je geneigd bent een link te openen, een betaling “even te fixen”, of een verificatie-stap te bevestigen omdat de ander zo overtuigend klinkt. 

Het begint, zoals het vaak begint bij grote datalekken, niet met “het netwerk ligt plat”, maar met iets dat stiller is – en juist daarom gevaarlijk: onbevoegde toegang tot een klantcontactsysteem/contactcenter-omgeving en vervolgens data-exfiltratie (downloaden van klantgegevens). De dienstverlening bleef draaien: klanten konden blijven bellen, internetten en tv-kijken. Dat klinkt geruststellend, maar zegt vooral iets over de operationele continuïteit – niet over de impact op vertrouwen, fraude-risico en supportdruk. 

Wat is gelekt (bevestigd) – en wat níet

Figuur 4: Wat is er wel en niet buitgemaakt? Een overzicht van de bevestigde datapunten. Let op: hoewel je bankrekening niet direct toegankelijk is, maakt de combinatie van de gegevens aan de linkerkant oplichting zeer geloofwaardig.

Dit lek is geen wachtwoord-lek. Het is eerder een identiteits-lek: genoeg “echte” gegevens om vertrouwen te faken. En dát bepaalt welk type fraude je de komende weken vooral ziet.

Zodra men hoort dat er geen wachtwoord is gelekt, is er vaak een punt waar veel mensen onbedoeld afhaken (“oké, er is wat data weg”), terwijl de andere data ook invloed heeft op wat criminelen ermee kunnen. De kern: er zijn géén wachtwoorden of bel-/locatiegegevens buitgemaakt, maar de set bevat wel genoeg identiteitssignalen om iemand heel geloofwaardig te benaderen.

A) Identiteits- en contactgegevens
 

• Volledige naam
• Adres/woonplaats
• Mobiel nummer
• E-mailadres
• Geboortedatum
• Klantnummer

B) Financiële gegevens
 

• IBAN (rekeningnummer)

C) Identificatiegegevens (bevestigd)
 

• ID-nummer (ID/paspoort/rijbewijs) + geldigheid/verloopdatum: de volledige dataset van ruim 5 miljoen unieke documentnummers ligt sinds 1 maart op straat (inclusief diplomatieke verblijfspapieren).
• BSN (Burgerservicenummer): ondanks eerdere ontkenningen van Odido staan er burgerservicenummers in de gelekte dataset. Dit treft in elk geval een grote groep (oud-)ZZP’ers bij wie het BSN nog in het btw-veld stond, maar de aanwezigheid van BSN-gegevens in de dump lijkt breder te zijn dan alleen deze groep. Dit verhoogt het risico op identiteitsfraude voor alle betrokkenen aanzienlijk.

D) Gedrags- en betaalinzicht
 

• Financiële notities: aantekeningen over betaalgedrag (bijv. achterstanden, schulden of BKR-status).
• Service- en gedragsaantekeningen: van ruim 44.000 klanten liggen interne notities op straat over o.a. fraude-onderzoeken of gedrag in winkels ("klant reageert agressief in de winkel") of bij de klantenservice online ("moeilijk gesprek").

E) Authenticatie en kwetsbare groepen
 

• Password_c: 'codewoorden' voor telefonische verificatie stonden onversleuteld (plaintext) in het systeem. Hoewel geblokkeerd door Odido, zijn ze voor oplichters goud waard om je vertrouwen te winnen.
• Hulpverlening: bij 71.000 accounts is het e-mailadres van een bewindvoerder of hulpverlener gelekt, wat een specifiek risico op gerichte bewindvoeringsfraude creëert.
• Veiligheidsdossiers: de dataset bevat zeer gevoelige informatie van personen van wie het adres om veiligheidsredenen geheim moest blijven, zoals bij stalking of huiselijk geweld.

Niet betrokken (expliciet genoemd)
 

• Wachtwoorden van ‘Mijn Odido’
• Belgegevens (wie/wanneer)
• Locatiegegevens
• Factuurgegevens
• Scans van identiteitsbewijzen

Die “per klant verschillend”-nuance is belangrijk: de exacte combinatie kan variëren. Maar juist daarom is een risicobenadering handig: hoe meer elementen uit A/B/C/D/E samenkomen, hoe overtuigender een oplichter kan klinken.

Redactionele hygiëne: er circuleren online ook bredere claims over “ID-bewijzen”. Op dit moment is in elk geval bevestigd: géén scans van identiteitsbewijzen. Waar in de eerste datadumps van 26 en 27 februari documentnummers van paspoorten of rijbewijzen vooralsnog leken te ontbreken, is in de dump van 28 februari definitief bevestigd dat de ID-nummers + geldigheid wel degelijk massaal op straat liggen. Dat verschil is essentieel, omdat het bepaalt of je moet denken aan “documentkopieën” (wat vooralsnog niet zo is) of aan “bewijsachtige kenmerken" (wat dus wél het geval is) die vooral social engineering versterken.

Update 27 februari (BSN-onthulling): waar Odido aanvankelijk expliciet meldde dat er géén burgerservicenummers (BSN) waren buitgemaakt, tonen analyses van de eerste datadumps door onder meer RTL Nieuws aan dat deze wel degelijk aanwezig zijn. Dit is een kritieke verandering in het dreigingsbeeld; een BSN in combinatie met bank- en adresgegevens is voor criminelen de 'heilige graal' voor identiteitsfraude. De BSN's zijn tot nu toe vooral aangetroffen bij (oud-)ZZP'ers, bij wie het BSN tot 2020 onderdeel was van het btw-nummer.

Merk-nuance: bronnen en updates lopen bij dit soort incidenten vaak niet gelijk op in timing en formulering. In berichtgeving wordt Ben expliciet genoemd als onderdeel van de getroffen set. Gezien de nieuwe claim van de hackers dat zij data van ruim 10 miljoen (oud-)klanten bezitten, lijkt de impact op Odido en dochtermerk Ben bovendien groter dan aanvankelijk gemeld.

Voor Simpel geldt op basis van de tot nu toe gedeelde informatie dat het niet lijkt te gaan om de (primaire) getroffen groep, maar dit is een lopend incident waarbij details nog kunnen worden aangescherpt – zeker bij een dataset van miljoenen accounts. Odido licht in de publieke informatievoorziening niet toe hoe de afbakening per merk en per klant precies is vastgesteld. De komende dagen/weken kan meer duidelijk worden over de scope per merk en per klant – waarbij Simpel in sommige berichtgeving wél wordt genoemd in de context van klanten die informatie krijgen.

Los daarvan geldt: oplichters liften vaak breed mee op groot nieuws – dus ook buiten de (momenteel) afgebakende groep kun je phishing, smishing en nephelpdesk-telefoontjes zien.

Waarom juist deze datamix zo’n probleem is (zonder paniek, wél helder)

Veel datalekken zijn vervelend omdat ze privacy raken. Deze is extra gevoelig omdat hij iets anders doet: hij verhoogt de geloofwaardigheid van social engineering.

Klantnummer + NAW: “ik zie je dossier” wordt écht geloofwaardig

 Als iemand jouw naam, adres en klantnummer heeft, kan diegene een gesprek voeren alsof hij al “in je account” zit. Dat is precies het soort detail waarmee mensen denken: oké, dit zal wel kloppen.

IBAN: geld-framing wordt plausibel

Met een IBAN wordt het makkelijker om een verhaal te bouwen rond “betaling”, “incasso”, “terugbetaling”, “administratieve check” of “factuur”. Niet omdat men direct je bank kan leegtrekken – maar omdat het gedrag stuurt: jij gaat sneller handelen als het over geld lijkt te gaan.

IBAN is geen sleutel – het is een geloofwaardigheidsversterker

Banken-nuance (NVB): een IBAN in zo’n dataset betekent niet dat iemand kan inloggen in je bankapp of internetbankieren. Je rekening staat dus niet “open” omdat je rekeningnummer bekend is. De echte winst voor criminelen zit in geloofwaardigheid: bankhelpdeskfraude, factuurfraude en betaaldruk worden overtuigender als ze jouw naam/adres/IBAN kunnen citeren.

En incasso dan? Ook daar zeggen banken: dat is meestal niet de snelle route. Voor SEPA-incasso’s kun je doorgaans tot 8 weken na afschrijving laten terugboeken, en bij een onterechte/ongeautoriseerde incasso zelfs tot 13 maanden. Daardoor kiezen criminelen in de praktijk vaker voor directe betaaltrucs en telefonische druk dan voor “stil” incasseren.

ID-nummer + geldigheid: “verificatie” klinkt ineens legitiem

Een ID-nummer met verloopdatum voelt voor veel mensen als iets dat alleen “echte instanties” zouden kennen. Criminelen gebruiken dat om druk te zetten: “we moeten je identiteit herbevestigen, anders…” Het risico zit hem in de volgende stap: jou laten klikken, laten inloggen op een nepportaal, of je laten instemmen met iets dat je niet wilde.

Gedragsnotities: de ultieme "inside information"

Dit is misschien wel het gevaarlijkste onderdeel van het lek. In het klantensysteem staan niet alleen NAW-gegevens, maar ook supergevoelige informatie over je betaalhistorie – zoals of rekeningen op tijd zijn voldaan en of er sprake is van schulden of een BKR-registratie. Ook bevat de set persoonlijke interne notities van de klantenservice, bijvoorbeeld of iemand agressief aan de telefoon is geweest of in de winkel voor overlast heeft gezorgd. Als een oplichter weet dat jij afgelopen maand een pittig gesprek voerde bij een Odido-punt, kan hij zich perfect voordoen als een medewerker die "jouw dossier en de gemaakte aantekeningen" wil doorspreken – waarna hij je 'gegevens' erbij pakt om te verifiëren. De drempel om zo iemand te geloven is nihil; hoe kan een wildvreemde immers weten wat er precies in de winkel is besproken? Dit maakt kwetsbare groepen (zoals mensen met schulden of ouderen) een extra aantrekkelijk doelwit voor chantage. Geef nooit je wachtwoord of inlog- of verificatiecode weg om ze geen toegang te geven.

Impact op kwetsbare groepen bevestigd

Sinds de start van de datadumps op 26 februari en de eerdere onthullingen van de gegeven dataset aan de NOS van 10.000 Odido-klanten op 25 februari is pijnlijk duidelijk geworden dat dit risico nog veel groter is dan gedacht; er zijn drie specifieke categorieën aan zeer gevoelige informatie aangetroffen (en het is niet uitgesloten dat dit er meer worden):
 

• Gegevens van slachtoffers van stalking en huiselijk geweld: in de tweede dump zijn gegevens aangetroffen van personen van wie het adres en telefoonnummer om veiligheidsredenen geheim moesten blijven, zoals vanwege stalking of huiselijk geweld. Nu deze informatie op straat ligt, is hun fysieke veiligheid direct in het geding. Daarmee overstijgt dit de definitie van een standaard datalek en verandert de hack voor deze groep in een acuut fysiek veiligheidsrisico.
• Aantekeningen over mensen onder bewind: uit onderzoek van de NOS blijkt dat bij een deel van de klanten genoteerd stond dat zij een bewindvoerder hebben en dus onder curatele staan, inclusief de naam van de bewindvoerder. Dit maakt deze kwetsbare groep een makkelijk doelwit voor zeer geloofwaardige oplichting.
• Persoonlijke omstandigheden: de notities bevatten ook details over "moeilijke periodes", betalingsachterstanden of incidenten waarbij klanten uit een winkel zijn verwijderd.

Belangrijk om dit goed te snappen: de nasleep is vaak multi-channel. Niet één phishingmail, maar een combinatie: mail + sms + WhatsApp + telefoon (ook wel smishing en vishing genoemd), waarbij elk bericht nét genoeg echte details bevat om het volgende kanaal geloofwaardig te maken. Dit soort datamix werkt dus vooral als voorwerk voor oplichting, niet als “direct je bank leegtrekken”.

Zie het als een credential-less account takeover poging: niet via wachtwoorden, maar via overtuiging en OTP-codes.

3 Phishing-routes die je de komende weken waarschijnlijk ziet

Figuur 5: Anatomie van een phishing-sms. Zo gebruiken oplichters de gelekte data (zoals je echte naam en klantnummer) in combinatie met psychologische druk en neplinks om je te laten klikken.

Geen kant-en-klare scripts (die wil je niet verspreiden), wél scenario’s + rode vlaggen:
 

1. “Betaling open / incasso mislukt”
   • Rode vlag: tijdsdruk (“vandaag”, “laatste kans”), linkje, dreiging (“afsluiting”, “kosten”).
2. “Terugbetaling / IBAN-check”
   • Rode vlag: je moet “even bevestigen” via link, of je moet je bankgegevens “verifiëren”.
3. “Identiteit verifiëren / beveiligingscontrole”
   • Rode vlag: vragen om ID-details, codes, of inloggen via een link buiten de officiële app/site.

Steeds dezelfde tegenzet: niet reageren in het kanaal dat zij kiezen. Jij kiest het kanaal, niet zij: zelf naar je app/site, zelf bellen via officieel nummer.

En nu de brug naar het praktische deel: als dit de aanvalsvector is (overtuiging + kanaalkeuze), dan is je verdediging óók gedrag: jij bepaalt het kanaal.

Wat je nú doet als klant (volgorde van impact)

Als je vandaag maar één ding doet: train één reflex in: niet klikken → zelf checken. Dat voorkomt het merendeel van de ellende, zelfs als je niet zeker weet of je data in een gelekte set zat.

Waarom die harde reflex juist nu zo cruciaal is? Uit recent onderzoek naar digitale weerbaarheid blijkt dat zelfoverschatting een groot risico vormt; zo herkent 9 op de 10 Nederlanders online oplichting niet altijd, hoe zeker ze ook zijn van hun eigen oplettendheid.

1) Klik nergens op – ga zélf naar de officiële omgeving

Krijg je mail/sms over dit incident, of over betalingen/controle? Open niet via de link. Ga zelf naar je provideromgeving of bankapp door die handmatig te openen.

2) Zet bankmeldingen (alerts) aan

Als je bank het ondersteunt: notificaties voor transacties, limieten, en (waar mogelijk) wijzigingen zoals nieuwe begunstigden. Het doel is niet “paniek”, maar snelle detectie als er iets geks gebeurt.

Bank check: IBAN gelekt ≠ iemand kan je bank in

Banken benadrukken dat de gelekte gegevens niet te gebruiken zijn om in te loggen in je bankapp of internetbankieren. Het “IBAN-risico” zit dus vooral in geloofwaardige oplichting (betalingsdruk, nephelpdesk), niet in directe banktoegang. Ook automatische incasso is doorgaans niet de snelle route voor criminelen – en als er tóch een afschrijving gebeurt, kun je een SEPA-incasso meestal tot 8 weken terugboeken; bij een onterechte incasso heb je zelfs tot 13 maanden om dit te melden en terug te laten draaien.

3) Let extra op “betalingsdruk” en “verificatiedruk”

De rode draad in succesvolle fraude is emotie: nu handelen. Alles dat je onder druk zet om “nu” te betalen of “nu” te verifiëren: extra wantrouwen.

4) Afzender checken mag, maar is nooit bewijs

Een mail kan er perfect uitzien. Afzender/domein-check is nuttig, maar criminelen kunnen ook via omwegen overtuigende afzenders gebruiken. Zie het als signaal, niet als bewijs. Odido noemt info@mail.odido.nl als afzender voor notificaties; beschouw dat dus als hint, niet als hard bewijs.

5) Wachtwoord aanpassen kan, maar niet omdat het gelekt is

In de gedeelde informatie staat dat wachtwoorden niet betrokken zijn. Toch kun je natuurlijk altijd je wachtwoord hygiënisch opschonen (zeker als je hergebruik hebt). Maar het is geen “noodmaatregel” vanwege dit lek.

6) Onverwacht telefoontje? Hanteer de call-back rule

Figuur 6: De 'Call-back rule' in actie. Je belangrijkste verdediging tegen telefonische oplichting. Vertrouw het inkomende gesprek niet als er om gegevens of actie wordt gevraagd, maar neem zelf het initiatief via een officieel kanaal.

Word je gebeld door “Odido” of “je bank”?
 

• Hang op.  
• Gebruik geen terugbelknop in sms’jes.
• Zoek het officiële nummer op via de site of app: Gebruik voor de zekerheid de bekende nummers: 0800-0092 (Particulier) of 0800-7112 (Zakelijk).
• Bel zélf via dat nummer terug.

Dit is één van de meest effectieve antifraude-gewoontes die er is.

7)  Controleer je BKR-registratie

Omdat ID-nummers en verloopdata zijn gelekt, kunnen oplichters proberen kredieten op jouw naam aan te vragen. Je kunt één keer per jaar gratis je BKR-overzicht opvragen om te controleren of er geen onbekende leningen op je naam staan.

8) Activeer je gratis beveiliging

Odido biedt gedupeerden inmiddels twee jaar gratis F-Secure Total aan. Dit pakket bevat identiteitsmonitoring die je waarschuwt als jouw gegevens op het darkweb opduiken. Gebruik de activatiecode uit de officiële mail (afzender: info@mail.odido.nl), maar ga voor de veiligheid direct naar de officiële Odido-site en klik niet op links in de mail zelf.

9) Check je gegevens via Have I Been Pwned

Update 1 maart: nadat de eerste gelekte dataset van 1 miljoen records al door security-onderzoekers verwerkt en veilig doorzoekbaar is gemaakt via de bekende waarschuwingssite Have I Been Pwned, wordt inmiddels door security-onderzoekers de volledige dataset van 21 miljoen records verwerkt. Het is sterk aan te raden om daar je e-mailadres in te vullen. Zo weet je direct of jouw data in de definitieve datadump zit, onafhankelijk van de communicatie van Odido zelf.

10) Download de data niet zelf

De politie waarschuwt dat het zelf opzoeken of downloaden van de datasets op het dark web strafbaar is als gegevensheling (art. 138c Wetboek van Strafrecht). Gebruik dus uitsluitend veilige, legale tools zoals Have I Been Pwned om je status te controleren.

11) Houd 'Check Je Hack' van de politie in de gaten

Naast Have I Been Pwned biedt de Nationale Politie het officiële platform 'Check Je Hack' aan. Dit is een veilige en legale tool waarmee burgers kunnen nagaan of hun gegevens in criminele handen zijn gevallen. De politie zal de buitgemaakte dataset van deze Odido-hack hier op termijn aan toevoegen. Wanneer de gelekte data precies doorzoekbaar is via deze politiedatabase, is op dit moment nog niet bekend.

Waar meld je verdachte berichten of schade?

Krijg je een verdacht sms’je/mail/WhatsApp/telefoontje: maak een screenshot (of noteer tijd/nummer), klik nergens op, zorg dat je direct deze spamberichten blokkeert op je telefoon en meld het bij de Fraudehelpdesk (zodat patronen zichtbaar worden). Zie je concrete schade (onbekende transacties, nieuwe begunstigden, accountwijzigingen): bel je bank via het officiële nummer en laat direct blokkeren/onderzoek starten. Gaat het om je telecomaccount: neem contact op met je provider via de officiële app/site.

Ben je onverhoopt toch slachtoffer van een datalek? Dit kun je doen volgens de Autoriteit Persoonsgegevens.

De 'Gouden Regel': wat je nooit geeft

Geen wachtwoorden, geen pincodes, geen inlogcodes (ook niet “om te annuleren”), en geen identiteitsdetails via telefoon of link.

Extra rode vlag: wegwerp-mailadressen in verificatie-sms

Krijg je een verificatiecode waarbij in het bericht een gebruikersnaam/e-mailadres staat dat je niet herkent (bijvoorbeeld een wegwerp- of “disposable” maildomein zoals denipl.com)? Ga er dan van uit dat iemand probeert een account te koppelen of in te loggen. Deel de code nooit, klik nergens op en controleer zélf via de officiële app/site of je accountgegevens kloppen.

Heb je in een moment van paniek toch op een verdachte link geklikt en vermoed je een besmetting op je telefoon? Grijp dan direct in en lees hier hoe je snel malware verwijdert.

Security reality check: waarom contactcenter/CRM een kroonjuweel is

Voor security-lezers is de setting bijna belangrijker dan het merk. Een klantcontactsysteem is vaak een perfecte storm:
 

• Het bevat veel PII (persoonlijke data) op één plek.  
• Het heeft veel gebruikers/rollen (klantenservice, supervisors, partners).  
• Het hangt aan veel integraties (CRM, ticketing, e-mail, marketing tooling, identity providers).  
• En het is gebouwd voor snelheid en service, niet voor “minimaal datatoegang”.

Figuur 7: CRM-systemen als digitale kroonjuwelen. Moderne klantcontact-omgevingen zijn een gewild doelwit omdat ze op één plek enorme hoeveelheden persoonlijke data combineren met diepe technische integraties.

Die “perfecte storm” is niet alleen technisch, maar ook menselijk: als aanvallers via phishing en een geloofwaardig telefoontje medewerkers zover krijgen om een extra beveiligingsstap goed te keuren, heb je in één klap toegang tot precies de plek waar service en snelheid belangrijker zijn dan frictie. Dat is ook waarom contactcenter-rollen, device-trust en phishing-resistente MFA (en vooral: géén goedkeur-flow via telefoon) zo bepalend zijn: je beschermt niet alleen een systeem, maar ook het beslismoment van de medewerker.

Die keten (phish + ‘ICT’-belletje + MFA-approve) laat precies zien waarom contactcenter-accounts zo’n aantrekkelijk doelwit zijn: één menselijk akkoord kan de technische drempel slopen, waarna scraping/export ineens schaalbaar wordt.

Dat maakt “draaien de diensten nog?” een te smalle vraag. De echte impact zit in: reputatie, phishinggolven, fraudepogingen, supportload, compliance en herstelkosten.

Wat “veel integraties” in de praktijk vaak betekent (zonder te speculeren over dit specifieke incident): meer accounts, meer permissiesets, meer tokens/sessies, en meer paden om data te exporteren (rapportages, API’s, bulk-queries). Elke extra koppeling is een extra plek waar identity & access management (IAM) fout kan aflopen – en elke extra rol is een extra kans op “te brede” rechten.

5 vragen die elke CISO nu stelt (zonder te speculeren)

1. Wat was het initiële toegangspad (credentials, phishing, third party, iets anders)?
2. Least privilege: wie kon exporteren/downloaden op schaal?
3. Detectie: hoe snel werd het gezien, en wat was de dwell time?  
4. Exfiltratie-detectie/logging: wat is er zichtbaar aan uitgaand verkeer en downloads?
5. Segmentatie/isolatie: waarom kon dit systeem zó veel klantdata in één klap prijsgeven?

Je hoeft als buitenstaander de antwoorden niet te raden – maar dit is wél de checklist waarmee je beoordeelt of een organisatie dit soort systemen als “kroonjuweel” behandelt.

Dat de menselijke factor bij dit soort aanvallen de zwakste schakel blijft, dwingt organisaties bovendien tot een actievere verdediging; zo is simulated phishing in 2026 uitgegroeid tot een onmisbare training om klantenservice en IT-personeel structureel te wapenen tegen AI-gedreven social engineering.

Directe actiepunten voor IT-teams en CISO's

• Check exportrechten en bulk-query permissies (wie kan “alles” zien?)  
• Verhoog monitoring op exfil-signalen (outbound spikes, ongebruikelijke exports, nieuwe API-tokens) 
• Draai een “least privilege” review op contactcenter/CRM-rollen + third-party accounts

Communicatie & incident response: wat werkt, wat schuurt

Wat sterk werkt in de informatievoorziening: één centrale plek met updates, een heldere “wel/niet”-lijst, en verwachtingsmanagement over de notificaties. Dat voorkomt dat klanten massaal gaan gokken of zelf scenario’s invullen.

Waar het voor veel lezers schuurt: “mogelijk” en “per klant verschillend” voelt vaag. Maar in incident response is dat vaak eerlijk: je kunt pas 100% hard zijn als je de impact per record goed hebt gevalideerd. Daarom helpt het om te denken in risiconiveaus (A/B/C): hoe meer categorieën samenkomen, hoe hoger de kans op overtuigende social engineering.

Brug naar het ‘menselijke’ gevolg: goede incidentcommunicatie is niet alleen “wat is er gelekt”, maar vooral “welke reflex moet ik als klant hebben”. En die reflex is in 2026 bijna altijd dezelfde: niet klikken, zelf checken, terugbellen.

Q&A over het datalek

Zijn wachtwoorden gelekt? Volgens de gedeelde informatie: nee – wachtwoorden van ‘Mijn Odido’ zijn niet betrokken. Hoewel inlogwachtwoorden veilig zijn, zijn bij sommige klanten 'codewoorden' onder het veld “password_c” gelekt. Dit is geen inlogwachtwoord, maar een codewoord dat werd gebruikt voor verificatie bij telefonisch contact. Het toont dat gevoelige authenticatiegegevens onversleuteld (in plaintext) in het systeem stonden; codewoorden die mensen bovendien minder vaak verwisselen dan een regulier wachtwoord. Odido heeft dit systeem inmiddels volledig geblokkeerd, waardoor de codes niet meer bruikbaar zijn voor wijzigingen bij de provider. Let echter op: een oplichter kan dit codewoord wél gebruiken om aan de telefoon jouw vertrouwen te winnen door het foutloos te citeren.

Kan ik veilig blijven internetten/bellen/tv-kijken? De dienstverlening liep door; dit incident gaat om klantdata uit een contactsysteem, niet om het platleggen van het netwerk.  

Wat als ik geen mail/sms krijg? Volgens Odido worden alleen klanten die geraakt zijn persoonlijk geïnformeerd via e-mail (afzender mail: info@mail.odido.nl – check ook je spam) óf per sms. Inmiddels is de termijn van 48 uur waarin Odido klanten informeerde verstreken. Heb je tot nu toe niets ontvangen, dan is dat een indicatie dat je niet tot de benaderde groep hoort. Blijf echter alert: 'meelifter-phishing' kan je alsnog bereiken nu het nieuws breed rondgaat en gedeeld is. Krijg je nu alsnog berichten die hierop inhaken? Behandel deze als zeer verdacht, klik nergens op en controleer altijd zelf de status in je account via de officiële app of site.

Staat de data al online? Ja. Nadat de hackersgroep Shinyhunters al gedreigd heeft om de data te publiceren en Odido vervolgens weigerde het losgeld te betalen, is hackersgroep ShinyHunters op 26 februari gestart met het stapsgewijs publiceren van de gestolen data op het dark web. Een eerste dump bevatte al privégegevens (namen, adressen, 275.000 IBAN's en interne klantenservice-notities, zo ook over bewindvoerders en ex-partners) van honderdduizenden consumenten en bedrijven. De hackers dreigden iedere dag 1 miljoen regels vrij te geven van de 21 miljoen die ze claimen te hebben en dit is in de dagen erna voortgezet. 

Update 1 maart: de chantagefase is nu definitief voorbij. De hackers hebben hun stapsgewijze aanpak gestaakt en de volledige dataset van 21 miljoen regels in één keer online gezet. Hiermee is het dreigement uit de "Final Warning" van 24 februari volledig en sneller dan verwacht ten uitvoer gebracht; de data is nu publiek bezit van het criminele circuit.

Figuur 8: De 'Final Warning' op de darkweb-site van ShinyHunters. De hackers dreigen de data van naar eigen zeggen "~21M Records" te publiceren. Bron: schermopname van darkweb-site van ShinyHunters platform.

Op hun platform op het darkweb hadden de hackers een "Final Warning" geplaatst (gedateerd 24 februari 2026) waarin ze Odido sommeerden terug te keren naar de virtuele onderhandelingstafel: "This is a final warning to come back to our chat and finish what we set out to do before we leak along with several annoying (digital) problems that’ll come your way. Make the right decision, don't be the next headline."

Klopt het aantal van 6,2 miljoen accounts wel? Dat wordt inmiddels in twijfel getrokken. Terwijl Odido officieel spreekt over 6,2 miljoen accounts, claimt ShinyHunters via RTL Nieuws dat zij data van 8 miljoen gebruikers in handen hebben, verdeeld over 21 miljoen regels aan data. Inmiddels claimen de hackers zelfs gegevens van meer dan 10 miljoen (oud-)klanten te bezitten. Dit zou betekenen dat de hack ook dieper in de systemen van dochtermerk Ben is gedrongen dan aanvankelijk gemeld.

Update 1 maart: de publicatie van de volledige dataset geeft eindelijk uitsluitsel over de werkelijke aantallen. Uit analyse van de data blijkt dat het gaat om circa 6,5 miljoen unieke personen en 600.000 zakelijke accounts. Hiermee komt het aantal slachtoffers iets hoger uit dan de 6,2 miljoen die Odido aanvankelijk meldde, maar een stuk lager dan de 10 miljoen die de hackers claimden.

Wie is ShinyHunters precies? Dit is geen groep amateurs. ShinyHunters kwam in 2024 groot in het nieuws door de enorme datadiefstal bij Ticketmaster, waarbij gegevens van honderden miljoenen klanten werden buitgemaakt. Eerder waren ook tech-reuzen en luxemerken zoals Microsoft, Jaguar en Louis Vuitton doelwit. De groep staat bekend om hun agressieve afpersingsmethoden: ze publiceren vaak samples van de data om de druk te verhogen. Wie er precies achter de groep zit, blijft tot op de dag van vandaag onduidelijk.

Moet ik mijn bank bellen? Niet standaard. Zet wél alerts aan en wees extra scherp op betaal- en verificatieverzoeken. Bel je bank als je concrete signalen ziet (onbekende transacties, rare verzoeken, dreigtelefoontjes).

Moet ik mijn rekeningnummer wijzigen of ben ik bang voor incasso’s? Banken benadrukken dat je met de gelekte gegevens niet kunt inloggen in je bankapp of internetbankieren, en dat het openen van de “incasso-route” voor criminelen omslachtig is. Het grootste risico blijft social engineering: jij die op het verkeerde moment iets bevestigt of betaalt. En als er tóch een ongewenste incasso plaatsvindt: je kunt SEPA-incasso’s meestal tot 8 weken terugboeken; bij onterechte incasso’s heb je tot 13 maanden om dit te laten corrigeren.

Moet ik mijn simkaart, rekeningnummer of ID vervangen? Meestal niet. Dit incident draait vooral om social engineering: overtuigende berichten/gesprekken die je naar een betaling, inlog of code moeten duwen. Een nieuw rekeningnummer of simkaart is zelden de eerste stap. Focus op: bankalerts, de call-back rule en nooit codes delen. Alleen bij concrete signalen (ongeautoriseerde transacties/incasso’s, zichtbare accountwijzigingen of herhaald misbruik) is opschalen logisch: bank/provider bellen via officiële kanalen. 

Wat is het grootste risico voor consumenten? Niet “direct hacken van je account”, maar phishing/oplichting die door deze datamix veel overtuigender wordt.

Ben/Simpel: val ik hieronder? Ben wordt in berichtgeving genoemd als onderdeel van de getroffen set. Voor Simpel geldt op basis van de huidige informatie dat het vooralsnog niet lijkt te gaan om de getroffen groep, maar bij een incident op deze schaal kunnen details nog worden bijgesteld naarmate onderzoek vordert. Toch is het van belang om op verdachte berichtjes te letten en ontwikkelingen in de gaten te houden. NU.nl schrijft dat Odido-klanten (waar ook Ben en Simpel onder vallen) informatie krijgen. Los van die merkafbakening geldt: nasleep (phishing/OTP-pogingen) kan breder uitwaaieren dan de bevestigde set, óók als je niet zeker weet of je in een gelekte lijst zit. Daarom blijft het advies hetzelfde: klik niet, check zélf via de officiële app/site en pas de call-back rule toe bij telefoontjes.

Update 1 maart (De Simpel-paradox): hoewel zowel Odido als Simpel op hun officiële kanalen blijven volhouden dat Simpel-klanten niet zijn geraakt, klopt die mededeling volgens gedupeerden op de community niet in alle gevallen. Klanten die rond de overname van T-mobile (nu Odido) in 2020 bij het bedrijf terechtkwamen, melden dat zij wel degelijk officiële meldingen krijgen van Have I Been Pwned dat hun gegevens in het Odido-lek voorkomen. Of dat is door de te lange bewaartermijn van Odido of hoe dochterondernemingen hun sets zijn opgeslagen, is niet duidelijk. De waarschuwing geldt nu voor het gehele portfolio: wees alert, óók bij een dochtermerk.

Ik krijg ineens verificatiecodes (Simpel/Odido), ben ik gehackt? Meestal betekent dit dat iemand probeert in te loggen of een account te koppelen – niet dat ze al “binnen” zijn. Deel de code nooit. Log zelf in via de officiële app/site, controleer of je e-mail/gegevens kloppen en neem bij herhaling contact op met de provider.

Bekijk voor de meest actuele status ook de officiële veiligheidspagina van Odido over dit incident.

Afsluiter over de hack van Odido

Als je één zin onthoudt: dit is een social-engineering accelerant. De schade zit niet alleen in wat er is buitgemaakt, maar in hoe geloofwaardig criminelen daarmee kunnen klinken – juist omdat er geen “harde” signalen zijn zoals gelekte wachtwoorden die iedereen meteen laten schrikken.

Figuur 9: Laat je niet nep-informeren. Een duidelijk voorbeeld van een phishing-poging die inhaakt op het nieuws. De boodschap is simpel: klik nooit op de link, maar ga zelf naar de officiële website of app.

De komende weken is de meest waarschijnlijke nasleep: een golf aan overtuigende berichten en telefoontjes. En de beste verdediging is saai, maar effectief: niet klikken, zelf naar de officiële omgeving, en call-back rule.

De dreiging van online criminaliteit is tot slot groter dan velen denken; zo blijkt uit onderzoek uit 2024 dat online criminaliteit jaarlijks al 2,4 miljoen Nederlanders treft, waarbij vooral jongeren en online shoppers een aanzienlijk risico lopen – en juist dat onderzoek toont hoe grote schaal deze hack bij Odido is geweest, in vergelijking met wat normaal is in een jaar.