Miljoenen Odido-klanten kunnen slachtoffer worden van identiteitsfraude na het grote datalek bij de telecomprovider. Met gestolen gegevens zoals namen, adressen en IBAN-nummers kunnen hackers leningen afsluiten of gerichte phishingaanvallen uitvoeren, waarschuwt online beveiligingsexpert Zahier Madhar. Tegelijk staat Odido voor een lastige keuze: ingaan op de eis van een miljoen euro van hackersgroep Shinyhunters, of riskeren dat de data openbaar wordt gemaakt.
Wie zijn de hackers?
Shinyhunters is een hackersgroep die cloudsystemen binnendringt om data te stelen en bedrijven af te persen. Grote namen als Microsoft, Ticketmaster, Jaguar, Pornhub en Louis Vuitton gingen hen al voor als slachtoffer. In Nederland kreeg de groep bekendheid na de Ticketmaster-hack in 2024, waarbij gegevens van honderden miljoenen gebruikers werden gestolen. Wie er precies achter Shinyhunters zit, is nog onduidelijk.
Gevolgen voor klanten
Online beveiligingsexpert Zahier Madhar legt uit wat dit betekent voor klanten: “Dit is een typisch voorbeeld van hoe social engineering, oftewel mensen misleiden om toegang te geven tot systemen, kan leiden tot een enorm datalek. Met namen, adressen en IBAN-nummers kan een hacker van alles doen: leningen afsluiten, persoonlijke phishingcampagnes starten, abonnementen op jouw naam regelen. De gegevens zijn heel nauwkeurig en dus veel waard voor hackers.”
Madhar benadrukt dat het niet alleen een technisch probleem is: “Vaak gaat het mis doordat medewerkers op een phishinglink klikken. Het voorkomen vereist zowel techniek als bewustwording: medewerkers trainen en systemen inzetten die verdachte e-mails blokkeren.”
Hij adviseert klanten alert te blijven op verdachte e-mails, incasso’s of verdachte abonnementen. “Gebruik sterke, unieke wachtwoorden en zet waar mogelijk tweestapsverificatie aan. Zelfs nu wachtwoorden wijzigen helpt nog om verdere toegang door hackers te voorkomen.”
Betalen of niet betalen
Volgens universitair hoofddocent Rolf van Wegberg van de TU Delft, die onderzoek doet naar cybercriminaliteit, heeft Odido na het dreigement van Shinyhunters feitelijk twee keuzes: betalen of niet betalen. “Bij vergelijkbare incidenten wordt er eerst één-op-één onderhandeld, zonder publiek. Als dat niets oplevert, is de volgende stap dat er publieke druk wordt uitgeoefend,” zegt Van Wegberg tegen ANP. Hij benadrukt dat de beslissing complex is. “Het is een ontzettend ingewikkelde keuze. Moreel heel lastig en bovendien heeft het bedrijf verantwoordelijkheid voor klanten.’’
Is het gevaar geweken als Odido het geld betaalt? Volgens Van Wegberg houden dit soort groepen zich vaak aan hun woord. Dat heeft ermee te maken dat het anders hun geloofwaardigheid bij een volgende hack aantast. Kiest Odido ervoor niet te betalen, dan bestaat de kans dat Shinyhunters de druk opvoert: een deel van de data lekken of het geldbedrag verhogen.
