Criminelen breken in bij Odido door phishingaanval op klantenservicemedewerkers

Gepubliceerd op 13/02/2026 17:00 in Binnenland

Criminelen zijn bij Odido binnengekomen door in te loggen op de accounts van individuele klantenservicemedewerkers. Dit deden ze door het wachtwoord te verkrijgen via phishing, het ontfutselen van inloggegevens. Vervolgens belden de criminelen de medewerkers op en deden zich voor als de ICT-afdeling van Odido. Op deze manier wisten ze de medewerkers te verleiden om hun frauduleuze inlogpoging goed te keuren en zo een extra beveiligingsstap te omzeilen.

Meerdere accounts van medewerkers werden op deze manier gehackt, waarna de criminelen geautomatiseerd data van klanten uit het systeem begonnen op te slaan. Volgens een bron bekend met de hack is het niet waarschijnlijk dat alle klantendata is gedownload, omdat dit veel tijd kost en onopgemerkt moet blijven.

Beveiligingsonderzoeker Sijmen Ruwhof geeft aan dat de criminelen met deze methode wel een aantal dagen binnen moeten zijn geweest om zoveel klantgegevens te bemachtigen. Odido waarschuwt 6,2 miljoen mensen, zowel huidige als voormalige klanten, van wie mogelijk gegevens zijn gestolen. Het bedrijf wil niet reageren op de bevindingen van de NOS.

Het is mogelijk dat de aanvallers medewerkers van buitenlandse callcenters waren die Odido inhuurt. Ze slaagden erin om in te loggen op Salesforce, een softwarepakket waarin klantgegevens worden bewaard. Door scraping wisten ze de klantgegevens te verkrijgen.

Odido heeft het incident gemeld bij de Autoriteit Persoonsgegevens en is bezig met het informeren van getroffen klanten, wat in totaal 48 uur kan duren. Het datalek werd gistermiddag openbaar gemaakt, waarbij ook klanten van dochterbedrijf Ben zijn getroffen.