Wat is er gebeurd?

Odido werd begin februari 2026 slachtoffer van een cyberaanval waarbij toegang werd verkregen tot een klantcontactsysteem. In dit systeem stonden persoonsgegevens van miljoenen klanten opgeslagen, variërend van basisgegevens tot meer gevoelige informatie uit klantdossiers.

Hoewel de primaire dienstverlening van Odido niet werd verstoord, lag de echte impact bij het verlies van data. Nadat het bedrijf weigerde losgeld te betalen, besloten de aanvallers de buitgemaakte gegevens gefaseerd openbaar te maken. Daarmee groeide het incident uit tot een reputatie- en vertrouwenskwestie met grote gevolgen.

Hoe zijn de hackers binnengekomen?

De aanval begon niet met techniek, maar met misleiding. Aanvallers stuurden phishingmails naar medewerkers om inloggegevens te verkrijgen. Vervolgens namen zij telefonisch contact op en deden zich voor als interne IT-medewerkers. Onder deze druk werden medewerkers ertoe gebracht een inlogpoging goed te keuren.

Hierdoor werd multifactor-authenticatie (MFA) effectief omzeild, niet door een technische kwetsbaarheid, maar doordat een medewerker de toegang zelf bevestigde. Met deze toegang konden de aanvallers inloggen op het klantcontactsysteem en daar op geautomatiseerde wijze grote hoeveelheden data verzamelen.

Dit type aanval, waarbij phishing wordt gecombineerd met telefonische misleiding (vishing), zien we steeds vaker. Het succes zit in de geloofwaardigheid en timing, niet in technische complexiteit.

Tijdlijn van de aanval

Om het verloop inzichtelijk te maken, volgt hieronder een beknopte tijdslijn:

• Eind januari 2026: er circuleren waarschuwingen over deze aanvalsmethode (phishing + vishing).
• Rond 6 februari 2026: de aanval vindt plaats.
• Weekend 7–8 februari: ongeautoriseerde toegang wordt ontdekt.
• 12 februari 2026: Odido maakt het incident publiek.
• Eind februari 2026: aanvallers proberen het bedrijf af te persen.
• Daarna: datasets worden gefaseerd openbaar gemaakt.

Waarom werkte deze aanval?

Ondanks aanwezige beveiligingsmaatregelen slaagden de aanvallers erin om diep in het systeem door te dringen. Dat komt doordat de aanval zich richtte op de interactie tussen mens en systeem.

De belangrijkste tekortkomingen die zichtbaar worden in deze casus:

• MFA was niet phishing-resistent
  Goedkeuringsverzoeken kunnen onder druk worden bevestigd.
• Onvoldoende verificatie van interne verzoeken
  Medewerkers konden niet eenvoudig controleren of een IT-verzoek legitiem was.
• Te ruime toegangsrechten
  Eén account gaf toegang tot grote hoeveelheden klantdata.
• Beperkte detectie op afwijkend gedrag
  Grootschalige data-extractie werd niet tijdig gesignaleerd.
• Onvoldoende focus op vishing in awareness
  Training richt zich vaak op e-mail, minder op telefonische aanvallen.
• Dataretentie niet strak genoeg ingericht
  Hoe meer data beschikbaar is, hoe groter de impact bij een lek.

Wat kunnen organisaties hiervan leren?

De Odido-casus onderstreept dat cybersecurity niet alleen een technisch vraagstuk is. Het draait om de samenhang tussen technologie, processen en menselijk gedrag.

Sterke authenticatie is belangrijk, maar moet ook bestand zijn tegen misleiding. Medewerkers moeten weten hoe zij verzoeken kunnen verifiëren en wanneer zij moeten twijfelen. Tegelijkertijd moet toegang tot systemen zo beperkt mogelijk zijn en moet afwijkend gedrag direct zichtbaar worden.

Met andere woorden: weerbaarheid zit niet alleen in systemen, maar juist in hoe mensen en processen daarop aansluiten.

Tot slot

De hack bij Odido laat zien dat een aanval niet complex hoeft te zijn om effectief te zijn. Door slim gebruik te maken van vertrouwen en routine kunnen aanvallers bestaande beveiligingsmaatregelen omzeilen.

De vraag voor organisaties is daarom niet alleen: zijn onze systemen veilig?
Maar vooral: zijn onze mensen en processen hiertegen bestand?

Wat betekent dit voor jouw organisatie?

Wil je weten hoe weerbaar jouw organisatie is tegen dit soort aanvallen? Of ben je benieuwd of jouw huidige maatregelen voldoende bescherming bieden tegen phishing en social engineering?

Neem gerust contact met ons op. Wij helpen je graag met een praktische analyse en concrete verbeterstappen, zodat je  niet alleen technisch, maar ook organisatorisch beter beschermd bent.