Odido‑hack toont: niet de firewall, maar de identiteit ligt onder vuur

dinsdag, 17 februari 2026 (07:17) - Computable

In dit artikel:

Telecomaanbieder Odido raakte in het weekend van 7 en 8 februari het slachtoffer van een groot datalek waarbij ongeveer 6,2 miljoen klantaccounts werden gekopieerd. Onderzoek door het Nederlandse cybersecuritybedrijf Hunt & Hackett wijst erop dat de aanvallers niet zozeer technisch “inbraken”, maar via phishing en social engineering inloggegevens en 2FA‑codes buitmaakten en zo toegang kregen tot een crm-omgeving of de onderliggende database. Volgens Ronald Prins en Tom Moester illustreert deze zaak een bredere trend: de identiteit van gebruikers is tegenwoordig de belangrijkste aanvalsvector, en veel organisaties hebben blinde vlekken in logging, correlatie en gedragsanalyse van SaaS‑systemen.

Odido meldde medio vorige week dat de ongeautoriseerde toegang is geblokkeerd, maar gaf weinig concrete details over hoe de datastroom van miljoenen records onopgemerkt kon verlopen. Het is nog onduidelijk of de data uit het klantcontactsysteem zelf of uit de achterliggende database komt, en of het om systemen van Salesforce of Netcracker gaat. Wel is zeker dat gevoelige gegevens zijn buitgemaakt, waaronder paspoortnummers en vervaldatums — categorieën die grote risico’s met zich meebrengen en mogelijk niet in een crm thuishoren, tenzij wettelijk verplicht.

De repercussies voor klanten zijn breed: e‑mailadressen, IBAN‑nummers en ID‑gegevens maken gerichte fraude mogelijk zoals helpdesk‑ en ceo‑fraude, geloofwaardige phishingcampagnes en (in het ergste geval) chantage of verkoop op het dark web. Passguard‑ceo Tom Leijte waarschuwt dat het verschil in schade afhangt van de actualiteit van de gegevens: recente, actuele paspoortdata zijn veel schadelijker dan verouderde records. Ook bestaat zorg dat statelijke actoren de informatie kunnen combineren met andere datasets.

Praktische adviezen: klanten moeten alert zijn op valse facturen, phishingmails en verdachte telefoontjes; rekeningtransacties actief monitoren (onrechtmatige incasso’s zijn binnen 56 dagen terug te boeken); dossiers bij het BKR controleren; en misbruik melden via de Fraudehelpdesk of het Centraal Meldpunt Identiteitsfraude. Voor organisaties zelf ligt de opdracht in het verschuiven van perimeter‑denken naar sterke identiteitscontrole, uitgebreide monitoring en betere logging om dit type massale data‑exfiltratie te voorkomen of sneller te detecteren.