Odido-hack was resultaat van phishing: mens is zwakke schakel

vrijdag, 13 februari 2026 (16:40) - Techzine

In dit artikel:

Criminelen wisten bij telecombedrijf Odido binnen te dringen door een combinatie van phishing en social engineering: ze roofden wachtwoorden van klantenservicemedewerkers en belden daarna zelf die werknemers op, zich voordoend als de IT-afdeling om goedkeuring te krijgen voor frauduleuze inlogpogingen. Zo werd een extra beveiligingslaag rond multifactorauthenticatie omzeild, melden bronnen aan de NOS.

De aanvallers richtten zich specifiek op Odido’s Salesforce-omgeving. Na toegang hebben ze geautomatiseerd klantgegevens uit het systeem gescraped. Odido waarschuwt dat mogelijk gegevens van 6,2 miljoen huidige en voormalige klanten zijn buitgemaakt; ook klanten van dochtermerk Ben lijken getroffen. Het bedrijf meldde het datalek gisteren en heeft het incident aangegeven bij de Autoriteit Persoonsgegevens. Getroffen klanten worden nog geïnformeerd; dat proces kan tot 48 uur duren.

Volgens een securityonderzoeker (Sijmen Ruwhof) hangt het exacte volume van de buit af van hoe lang de aanvallers onopgemerkt binnen waren: het volledig uitlezen van alle data kost tijd en vergt dat langdurig toegang blijft bestaan. Bronnen zeggen dat het niet per se waarschijnlijk is dat álle klantgegevens zijn gedownload, maar Odido houdt die mogelijkheid open.

Er zijn aanwijzingen dat medewerkers van ingeschakelde buitenlandse callcenters betrokken kunnen zijn geweest. Odido wilde niet inhoudelijk reageren op de bevindingen van de NOS.

De zaak zet opnieuw de discussie over de menselijke factor in security op scherp: hoewel slachtoffers vaak onbedoeld worden gezien als “zwakke schakels”, blijft het belangrijk om bij defensie rekening te houden met social engineering. Experts noemen ook technische beleidsmaatregelen die schade kunnen beperken, zoals het minimaliseren of afschermen van zeer gevoelige velden (paspoortnummers, bankgegevens, adressen) en het tonen van zulke gegevens alleen met expliciete klanttoestemming of extra controles.

Hoe praktisch en effectief zulke aanvullende maatregelen zijn, is niet altijd duidelijk. Wel illustreert deze aanval dat, zodra servicedeskaccounts gecompromitteerd zijn, grootschalige scraping van persoonlijke data mogelijk wordt — beperkt alleen door de tijd die aanvallers ongezien krijgen.