De massale lek van klantgegevens bij Odido past in een bredere, structurele ontwikkeling dat bedrijven kwetsbaar zijn voor identiteitsmisbruik. De meeste grote incidenten ontstaan doordat criminelen met iemands identiteit aan de haal gaan in combinatie met gebrekkige basismaatregelen.

Het type aanval dat Odido trof, staat centraal in het aankomende Hunt & Hackett Trend Report 2026. Volgens Ronald Prins, medeoprichter van dit Nederlandse cybersecurity-bedrijf, laat dit ernstige incident bij Odido zien waarom organisaties hun focus moeten verleggen van traditionele perimeterbeveiliging naar identiteitscontrole, monitoring en logging. Niet de firewall, maar de identiteit is vandaag de belangrijkste aanvalsvector.

De geruchtmakende aanval op Odido oogt als een geavanceerde hack, maar draait in de kern om iets veel fundamentelers: medewerkers die zijn misleid en inloggegevens die zijn buitgemaakt.

Social engineering

Volgens Hunt & Hackett kregen aanvallers toegang tot een customer relationship management (crm)-omgeving via phishing en het social engineeren van 2FA (two-factor-authentication)-codes. Bij phishing sturen criminelen nepmails om te proberen informatie te achterhalen, zoals inloggegevens, en daarmee toegang te krijgen tot een netwerk of systeem. Social engineering betekent dat het een aanvaller kennelijk is gelukt een medewerker van Odido ervan te overtuigen dat het legitiem is om een 2FA‑code te delen. Dit kan bijvoorbeeld door zich voor te doen als een collega van de it-helpdesk of een leidinggevende.

Door zowel de inloggegevens als de 2FA-code te bemachtigen kunnen aanvallers in het klantcontactsysteem binnendringen, waarna klantgegevens zijn te downloaden. Dit soort aanvallen, waarbij criminelen simpelweg inloggen met geldige accounts in plaats van technisch ‘in te breken’, ziet Hunt & Hackett steeds vaker bij grote organisaties.

Geen bevredigend antwoord

Medio vorige week meldde Odido dat de ongeautoriseerde toegang tot het klantcontactsysteem is geblokkeerd. Het lek, waarbij 6,2 miljoen accounts werden gekraakt, vond plaats in het weekeinde van 7 en 8 februari. Nu meer dan een week later heeft Odido nog maar weinig feiten hierover naar buiten gebracht.

Zo is nog geen bevredigend antwoord gegeven op de vraag hoe de aanvallers alle gegevens van 6,2 miljoen klanten konden wegsluizen zonder dat de monitoring tijdig alarm sloeg. Normaal zou er een soort automatische noodrem op het systeem moeten zitten.  Volgens Tom Moester, cybersecurity consultancy Lead bij Hunt & Hackett, is afwijkend gedrag in software-as-a-service (saas)-omgevingen goed detecteerbaar.
Maar bij veel organisaties zitten nog blinde vlekken, met name rond logging, correlatie en gedragsanalyse.

Juridisch staartje?

Overigens is niet duidelijk of het lek inderdaad in het klantcontactsysteem zat dan wel in de onderliggende database. Evenmin is helder of het bij Odido om Salesforce dan wel Netcracker gaat.

Deze versturen we 3-4x per jaar.