7 uren geleden
1
Hoe zorgvuldig gaat telecomgigant Odido eigenlijk om met de gegevens van zijn miljoenen klanten? Die vraag kwam deze week centraal te staan, nadat was gebleken dat hackers bij een digitale inbraak niet alleen privégegevens van huidige en recente klanten hadden buitgemaakt, maar ook gevoelige data van mensen die al jaren geleden hun contract bij de merkvoorgangers van Odido (met name T-Mobile) hadden opgezegd.
Ook deze voormalige klanten kregen mails waarin Odido – de grootste aanbieder van mobiele telefonie in Nederland – waarschuwde dat de hackers „mogelijk” beschikken over hun naam, adres, geboortedatum, mailadres, bankrekeningnummer en gegevens van hun identiteitsbewijs.
Blijkbaar stonden hun gegevens nog ergens in het systeem, in strijd met de belofte dat Odido klantgegevens na beëindiging van iemands contract „maximaal twee jaar” bewaart „voor het geval je op een later moment weer klant bij ons wilt worden”. Volgens de Algemene verordening gegevensbescherming (AVG) mogen bedrijven persoonsgegevens van hun klanten „niet langer dan noodzakelijk” bewaren.
Het aantal overstappers van Odido naar een andere provider is verdrievoudigd sinds het datalek
Van sommige oud-klanten bewaarde Odido de gegevens wel erg lang. Een vrouw van rond de vijftig uit Amsterdam, die al in 2011 haar contract met T-Mobile opzegde, ontving van Odido een mail waarin staat dat haar gegevens mogelijk zijn gelekt (NRC heeft de mail ingezien, uit privacyoverwegingen wil zij niet met haar naam in de krant). Volgens Het Financieele Dagblad stonden ook gegevens van klanten die vijf tot tien jaar geleden vertrokken nog in de computersystemen bij Odido. Het telecombedrijf kon niet zeggen hoeveel oud-klanten er precies in de systemen staan, en zei meer tijd nodig te hebben om uit te zoeken hoe dit heeft kunnen gebeuren.
Zonder er veel ruchtbaarheid aan te geven voegde Odido ook extra uitleg toe aan de vorige week gelanceerde webpagina waarop het de 6,2 miljoen getroffen klanten informeert over het datalek. Van klanten die ooit een toestel op afbetaling kochten bewaart Odido „het nummer van het identiteitsbewijs” tot vijf jaar nadat het mobieltje is afbetaald. Volgens het bedrijf komt die verplichting voort uit de Wet ter voorkoming van witwassen en terrorisme (Wwft).
Die wet schrijft echter voor dat bedrijven ook een kopie van het identiteitsbewijs zélf vijf jaar bewaren. Na vragen van NRC bevestigt Odido dat dit gebeurt. „Belangrijk om te vermelden is wel dat hierbij het bsn-nummer en de pasfoto worden afgeschermd en niet zijn opgeslagen”, aldus een woordvoerder. Bij het datalek zijn voor zover bekend overigens geen kopieën van identiteitsbewijzen gestolen.
De onrust onder Odido-klanten blijft groot. Volgens sites die telefoonabonnementen verkopen is het aantal overstappers naar een andere provider verdrievoudigd sinds het datalek. Het Centraal Meldpunt Identiteitsfraude werd overspoeld met vragen van verontruste klanten. Veel daarvan kunnen nog altijd niet worden beantwoord. Zo is nog onduidelijk welke informatie er per klant precies is buitgemaakt en hoe de hackers precies bij Odido binnenkwamen.
Het bedrijf had daar deze week weinig nieuws over te melden. „Deze situatie is voor iedereen heel impactvol”, zegt een Odido-woordvoerder aan de telefoon. „Er liggen gevoelige data van klanten op straat. Op dit moment zijn we als gevolg van het datalek ons hele systeem aan het onderzoeken, we moeten afwachten wat daaruit komt.” Op welke termijn Odido met meer details naar buiten kan komen, kon de woordvoerder niet zeggen.
Inloggegevens buitgemaakt
Cybersecurity-experts hebben inmiddels wel een beeld van wat er gebeurd kan zijn. De hackers kwamen, zoals de NOS eerder beschreef, hoogstwaarschijnlijk via phishing in het bezit van de inloggegevens van een of meerdere medewerkers van Odido’s klantenservice, die werkzaam zijn in callcenters in Nederland en het buitenland. Door zich voor te doen als collega’s van de ict-afdeling, wisten ze die medewerkers zover te krijgen een inlog met hun personalia in het systeem goed te keuren – waarna de hackers ‘binnen’ waren, vermomd als klantenservicemedewerker, en konden beginnen met het kopiëren van data.
„Het is goed mogelijk dat het op deze manier is gebeurd”, zegt Tom Moester, adviseur cybersecurity bij Hunt & Hackett. „Wij noemen dat social engineering: mensen telefonisch bewegen om bijvoorbeeld een inlogpoging voor je te bevestigen. Hiermee kun je als hacker met hun account het systeem in en dan kun je je gang gaan, alsof je zelf een medewerker van de klantenservice bent.” Andere experts die NRC sprak bevestigen die lezing.
Dat het zo lang duurt voordat Odido meer duidelijkheid geeft, is een slecht teken
Wie de hackers waren, is nog onbekend. Volgens Moester doet de handelwijze van de Odido-hackers sterk denken aan recente hacks bij onder meer Google, verzekeraar Allianz en Coca-Cola, uitgevoerd door een groep met de naam Scattered LAPSUS$ Hunters. „We zagen de afgelopen jaren een aantal spraakmakende hacks volgens hetzelfde playbook”, zegt Moester. „Het is voorstelbaar dat het hier om dezelfde groep gaat.”
Een belangrijke overeenkomst: ook bij die andere digitale inbraken richtten de hackers zich expliciet op het softwareplatform Salesforce, dat veel grote bedrijven gebruiken om de gegevens van hun klanten te registreren. Odido bevestigt desgevraagd dat de gestolen gegevens „verband hielden met het Salesforce-platform”.
Ook een woordvoerder van Salesforce bevestigt aanvankelijk per mail aan NRC dat de bij Odido gestolen klantgegevens op het Salesforce-platform stonden. Even later wordt zij door haar leidinggevenden gecorrigeerd: volgens Salesforce is het „voorbarig” om nu al te concluderen dat hun platform betrokken is bij het Odido-lek. Het tekent de gevoeligheid en de onrust die het datalek heeft veroorzaakt.
6,2 miljoen klanten getroffen
Odido ontving naar eigen zeggen in het weekend van 7 en 8 februari „de eerste signalen dat er sprake is van een datalek”. Op dat moment hadden de hackers mogelijk al gegevens van 6,2 miljoen klanten weten te kopiëren. Dat roept de vraag op: hoe scherp controleert Odido door wie, vanaf waar en wanneer de gegevens van klanten worden geraadpleegd?
Het ‘loggen’ – vastleggen – van de activiteit van medewerkers in de computersystemen, evenals toezicht houden daarop (‘monitoring’), zijn belangrijke methodes om diefstal van data te voorkomen. Gebrekkig toezicht kan volgens experts neerkomen op een schending van privacywet AVG.
„Dat het zo lang duurt voordat Odido meer duidelijkheid geeft, is een slecht teken”, zegt ict-expert René Veldwijk van Ockham Groep. „Als ze het op orde hadden, zouden ze heel snel kunnen zien via de accounts van welke medewerkers grote aantallen klantgegevens zijn bekeken. Het is een fluitje van een cent om je systemen zó in te richten dat er alarmbellen afgaan wanneer een medewerker ineens tienduizenden pagina’s met klantgegevens opent. Het lijkt erop dat Odido dit heel slecht had geregeld.”
Cybersecurity-expert Joost Wijnings: „Als je op een volwassen manier aan logging doet, merk je het snel wanneer iemand ongebruikelijk veel gegevens raadpleegt. Al kan het ook zo zijn dat de hackers gedurende lange tijd kleine hoeveelheden data hebben geraadpleegd, dat valt een stuk minder op. Odido zegt nog steeds tegen klanten dat hun gegevens ‘mogelijk’ zijn gestolen, dat wekt bij mij de indruk dat ze het eigenlijk niet precies weten. Dat is misschien nog veel erger dan de hack zelf.” Odido ging niet in op vragen over hoe en in welke mate het aan logging en monitoring doet.
Lees ook
Twee dagen lang hadden cybercriminelen toegang tot gegevens van miljoenen odidoklanten
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2026/02/12184939/120226VER_2031551739_Odido.jpg)
Expert Tom Moester ziet verzachtende omstandigheden. „De praktijk is weerbarstig. Ja, je zou ongewenst gedrag moeten kunnen zien. Maar je kunt je voorstellen dat bij een bedrijf als Odido op dagelijkse basis een enorme hoeveelheid gegevens wordt geraadpleegd en aangepast. De vraag is dus: wat is afwijkend gedrag dat de alarmbellen doet afgaan? Het raadplegen van klantgegevens door hackers die ingelogd zijn als medewerkers, kan volgens de detectiesystemen lang overkomen als legitiem gedrag.”
Zelf zegt Odido naar aanleiding van het lek „de monitoring van ongebruikelijke activiteiten verder opgeschaald” te hebben. Ook zijn er externe beveiligingsexperts ingehuurd om de digitale veiligheid te verbeteren en zullen medewerkers scherper worden getraind op het herkennen van mogelijke hackpogingen. „We werken voortdurend aan verbeteringen en gebruiken dit incident als aanleiding voor een grondige evaluatie.”
/s3/static.nrc.nl/wp-content/uploads/2026/02/20150756/200226ECO_2031743130_Babyvoeding.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/19145901/200226BUI_2031708343_1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/17104129/200226ECO_2026872262_flex2.jpg)
:format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/bvhw/wp-content/blogs.dir/114/files/2019/07/roosmalen-marcel-van-online-homepage.png)
/s3/static.nrc.nl/wp-content/uploads/2026/02/18151808/180226VER_2031682823_irak.jpg)
English (US) ·