Odido is gehackt. Wat kun je nu doen?

Als je (oud-)klant bent van Odido, dan is de kans groot dat dit nieuws vooral verwarring, zorgen en stress oproept. Niet alleen omdat “je gegevens mogelijk op straat liggen”, maar omdat je meteen gaat malen: Krijg ik straks nepberichten? Kan iemand iets op mijn naam afsluiten? Moet ik nu iets veranderen?

Bij dit soort datalekken helpt het om twee dingen tegelijk te doen: rust bewaren én gericht handelen. Paniek helpt niet, maar niets doen is ook niet verstandig. Hieronder zetten we op een rij wat er (in grote lijnen) speelt, waar het echte risico zit en welke stappen je vandaag al kunt zetten.

In het kort

  • Dit datalek zorgt vooral voor risico op gerichte phishing en (pogingen tot) identiteitsfraude.
  • Odido geeft aan dat wachtwoorden, belgegevens en factuurgegevens niet betrokken zijn, maar dat neemt het risico op oplichting niet weg.
  • De beste aanpak is: check via een officiële route, wees extra scherp op berichten, en versterk je basisbeveiliging.

Wat is er gebeurd?

Odido heeft gemeld dat er sprake was van een cyberaanval waarbij persoonsgegevens uit een klantcontactsysteem zijn buitgemaakt. Volgens Odido is de ongeautoriseerde toegang beëindigd en zijn externe cybersecurity-experts ingeschakeld.

Daarna werd het incident groter in de berichtgeving: er kwam aandacht voor het publiceren/verspreiden van gegevens door criminelen en het Openbaar Ministerie startte een onderzoek. Dat is ook precies waarom dit zoveel onrust geeft: het voelt niet als “een incident dat voorbij is”, maar als iets dat nog kan doorwerken, omdat gegevens kunnen circuleren en misbruikt kunnen worden.

Welke gegevens zijn gelekt (en welke niet)?

Belangrijk: het verschilt per persoon welke gegevens precies in de buit zitten. In de berichtgeving komen in elk geval combinaties terug van:

Mogelijk gelekte gegevens (afhankelijk van jouw situatie):

  • Naam-, adres- en contactgegevens (telefoonnummer, e-mail)
  • Klantnummer en/of accountgegevens die bij klantcontact horen
  • Geboortedatum
  • IBAN / rekeningnummer
  • In sommige gevallen identificatiegegevens (bijvoorbeeld documentnummer/geldigheid)
  • Mogelijk ook klantnotities (informatie uit contactmomenten met de klantenservice)

Wat Odido zelf aangeeft dat niet betrokken is (op basis van wat zij nu weten):

  • Wachtwoorden
  • Belgegevens
  • Factuurgegevens

Dat laatste is goed nieuws, maar het kernrisico blijft: met voldoende persoonlijke gegevens kunnen criminelen heel geloofwaardig overkomen.

Waarom dit lek extra risicovol is

Veel mensen denken bij een datalek: “dan kunnen ze vast inloggen.” Dat is lang niet altijd waar. Het gevaar zit hier vooral in social engineering: misbruik via vertrouwen, druk, en geloofwaardige details.

1) Gerichte phishing die “echt” lijkt

Als iemand jouw naam, provider, e-mailadres, telefoonnummer (en soms IBAN of geboortedatum) heeft, kan die berichten sturen die bijna niet te onderscheiden zijn van legitieme communicatie. Denk aan:

  • “We hebben een probleem met je abonnement, bevestig je gegevens”
  • “Je betaling is mislukt, klik hier”
  • “Je sim wordt overgezet, verifieer nu”

Het lijkt dan alsof Odido je écht kent. Dat maakt het psychologisch lastiger om “nee” te zeggen of te twijfelen.

2) Identiteitsfraude (of pogingen daartoe)

Identiteitsfraude gebeurt vaak niet in één klap, maar in stappen. Criminelen proberen bijvoorbeeld een account te openen, een dienst te activeren, of gegevens bij elkaar te puzzelen. Zelfs als een organisatie controles heeft, betekent dat niet dat elke poging stopt. Daarom is het slim om signalen serieus te nemen en snel te handelen als er iets niet klopt.

3) Dataverrijking: combineren met andere lekken

Losse gegevens zijn één ding. Maar criminelen combineren datasets vaak met andere bronnen (oude lekken, social media, handelsplatformen). Daardoor worden profielen completer en aanvallen gerichter. Dat is ook waarom je soms pas weken of maanden later last krijgt van extra phishingpogingen.

Wat kan je nu doen?

Je hoeft niet alles om te gooien. Maar deze stappen verlagen direct het risico.

Stap 1: Controleer via een officiële route of jouw e-mailadres voorkomt

Gebruik bij voorkeur een officiële check (zoals de politie-route of informatiekanalen van Odido) en ga niet zelf “zoeken” in gelekte lijsten. Dat voorkomt dat je onbedoeld bijdraagt aan verspreiding of zelf extra risico loopt.

Check Je Hack (Politie.nl)
Odido Hack Politie foto

Stap 2: Ga uit van meer (en betere) phishing

Maak het jezelf eenvoudig: hanteer één vaste regel.

Regel: niet klikken vanuit een bericht dat druk zet of onverwacht komt.

En als je twijfelt:

  • Typ zelf het website-adres in (of gebruik een app die je al had)
  • Bel zelf een officieel nummer (niet het nummer uit het bericht)
  • Laat je niet opjagen door “nu” / “laatste kans” / “anders wordt je account afgesloten”

Stap 3: Houd je bankzaken extra scherp in de gaten

Als IBAN-gegevens mogelijk betrokken zijn, is het verstandig om de komende periode actiever te monitoren. Dat betekent niet dat er direct geld van je rekening verdwijnt, maar wél dat je sneller kunt reageren als er iets geks gebeurt.

Punten om op te letten zijn:

  • Zet meldingen aan voor af- en bijschrijvingen
  • Controleer onbekende incasso’s
  • Neem meteen contact op met je bank bij twijfel

Stap 4: Neem verdachte signalen serieus en handel snel

Let bijvoorbeeld op:

  • Aanmaningen of bevestigingen voor aankopen die je niet deed
  • “Welkom bij…” mails van diensten waar je je niet voor inschreef
  • Berichten over abonnementen/leningen die je niet herkent

Zie je dit soort signalen? Leg alles vast (screenshots, e-mails, nummers) en meld het bij de juiste instantie (bank/bedrijf/politie).

Stap 5: Download geen gelekte datasets “om het zelf te checken”

Hoe logisch die reflex ook is: het vergroot je risico en kan juridisch/problematisch zijn. Gebruik liever officiële kanalen en focus op maatregelen die je écht beschermen.

Hoe voorkom je dit als organisatie?

Dit incident is voor veel organisaties een reality check: het gaat niet alleen om “een firewall” of “een virusscanner”, maar om hoe je omgaat met identiteit, toegang en klantdata. Juist systemen waar veel klantinformatie samenkomt (CRM, ticketing, klantcontactplatformen) zijn aantrekkelijk, omdat één succesvolle aanval direct veel waarde oplevert.

En wat je vaak ziet: organisaties investeren wél in techniek, maar processen groeien eromheen organisch. Toegang wordt uitgebreid “omdat het handig is”, leveranciers krijgen accounts “voor beheer” en klantdata blijft langer bewaard “voor het geval dat”. Dat is menselijk, maar het vergroot de impact als het misgaat. Daarom draait preventie in de praktijk meestal om: data beperken, toegang verscherpen en sneller kunnen ingrijpen als er iets afwijkends gebeurt.

1) Behandel CRM/klantcontactsystemen als kroonjuweel

Beperk toegang, log wie wat doet en monitor vooral export/raadpleging van grote hoeveelheden data. Als je klantdata je kern is, moet de beveiliging daar ook “zwaarder” zijn dan gemiddeld.

2) Maak toegang moeilijker te misbruiken

Zorg dat accounts met veel rechten extra goed beschermd zijn (sterke MFA, goede procedures, geen snelle “omwegen” via support). Social engineering werkt juist omdat processen soms te soepel zijn.

3) Oefen je incidentrespons

De eerste 48 uur zijn cruciaal. Kun je snel bepalen wat geraakt is, klanten duidelijk informeren en phishing-waarschuwingen concreet maken? Heldere communicatie haalt onrust weg en beperkt schade.

4) Minimaliseer wat je bewaart en hoe lang je het bewaart

Minder data = minder impact bij een incident. Dataminimalisatie en strakke bewaartermijnen zijn niet alleen “compliance”, maar vooral risicoreductie. vervanging bieden, maken ze het wel mogelijk om delen van je infrastructuur los te trekken uit het Big Tech-ecosysteem.

Hoe zorg je dat je eigen gegevens hierna veilig(er) zijn?

Het is natuurlijk ook om ook je eigen gegevens zo veilig mogelijk te maken. Het lek kun je niet terugdraaien. Wat je wél kunt doen, is zorgen dat de buitgemaakte gegevens minder bruikbaar worden voor criminelen en dat jij minder gevoelig bent voor de trucs die hier vaak op volgen.

Beveilig je e-mail alsof het je hoofddeur is

E-mail is vaak de sleutel tot wachtwoord-resets. Als iemand jouw mailbox overneemt, kan die in korte tijd meerdere accounts “doorrollen”. Daarom is dit een van de beste stappen die je kunt zetten, los van wat er precies gelekt is.

  • Zet sterke tweestapsverificatie aan (bij voorkeur met een authenticator-app)
  • Controleer je herstelmail/herstelnummer
  • Gebruik een uniek, sterk wachtwoord (liefst via een wachtwoordmanager)

Versterk je “herkenning” van nepberichten

De beste technische beveiliging helpt weinig als iemand je via een overtuigend verhaal toch laat klikken. Na een groot datalek zie je vaak een golf aan berichten die slim inspelen op emotie: urgentie, schaamte, angst om geld kwijt te raken of de drang om “het meteen op te lossen”.

Een simpele routine helpt:

  • Komt het bericht onverwacht en zit er druk achter? Stop.
  • Staat er een link of bijlage in? Niet openen vanuit het bericht.
  • Twijfel je? Ga zelf naar de website/app die je al kende, of bel zelf een officieel nummer.

Houd je digitale basis schoon

Hoe minder losse eindjes, hoe minder kansen voor hackers. Zeker in de periode na een datalek is het slim om je digitale “hygiëne” op orde te brengen.

  • Sluit accounts die je niet meer gebruikt
  • Gebruik unieke wachtwoorden (geen hergebruik)
  • Controleer welke apps/diensten toegang hebben tot jouw gegevens

Wil je weten waar jouw organisatie nu kwetsbaar is? Met onze gratis cyber securityscan brengen we de belangrijkste risico’s in kaart en krijg je direct praktische verbeterpunten. Neem contact met ons op via de volgende pagina!

Meer informatie over de securityscan

Blijf op de hoogte!