In het weekend van 7 en 8 februari 2026 kregen criminelen toegang tot de klantsystemen van telecomprovider Odido. Niet via een geavanceerde technische kwetsbaarheid, maar via mensen. Eerst stuurden ze een phishingmail om de wachtwoorden van klantenservicemedewerkers te bemachtigen. Daarna belden ze, en deden zich voor als de interne IT-afdeling om de extra inlogstap te omzeilen. Het resultaat: gegevens van ongeveer 6,2 miljoen (oud-)klanten van Odido en Ben, bijna de volledige klantenbestand.
Wat er precies gebeurde
Odido maakte het datalek op 12 februari 2026 bekend. De aanval zelf vond plaats in het weekend daarvoor. Twee weken later, op 26 februari, publiceerden de criminelen een deel van de buit op het darkweb: gegevens van ongeveer 430.000 personen en 290.000 zakelijke klanten.
De gestolen gegevens waren uitzonderlijk gevoelig. Het ging niet alleen om naam, adres, telefoonnummer, e-mailadres en klantnummer, maar ook om IBAN-rekeningnummers, geboortedatums en identificatiegegevens. In sommige interne notities stonden zelfs aantekeningen over stalking, huiselijk geweld en geheime adressen. Die informatie kan in verkeerde handen levensgevaarlijk zijn.
De toegang liep via de Salesforce-omgeving die de klantenservice gebruikt. Er was dus geen inbraak op een server, maar misbruik van een geldig account dat een medewerker zelf had vrijgegeven. Onder de AVG geldt een meldplicht: zo'n datalek moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld.
Waarom juist de klantenservice het doelwit was
Aanvallers kiezen de weg van de minste weerstand. De klantenservice, die vaak deels is uitbesteed aan externe callcenters, heeft dagelijks toegang tot grote hoeveelheden klantgegevens. Toch krijgt deze afdeling doorgaans minder aandacht voor beveiliging dan de IT-beheerders of de ontwikkelaars.
Daar komt bij dat helpen het vak is van een servicemedewerker. Wie de hele dag wordt getraind om vriendelijk en oplossingsgericht te zijn, werkt van nature mee als 'een collega van IT' belt met een dringend verzoek. Die hulpvaardigheid is geen zwakte van het individu, maar een eigenschap die aanvallers bewust uitbuiten.
Voor wie awareness implementeert, is dit de kern. De mensen die de meeste klantgegevens onder handen hebben, zijn niet altijd de mensen die de meeste training krijgen. Dat gat moet je gericht dichten.
MFA is geen eindstation: zo werd de extra stap omzeild
Veel organisaties denken dat multifactor-authenticatie (MFA) hen beschermt tegen gestolen wachtwoorden. Dat klopt, totdat een mens de MFA-stap zelf goedkeurt. Bij Odido belde de aanvaller de medewerker nadat de phishingmail was verstuurd, deed zich voor als de IT-helpdesk en vroeg om de inlogpoging te bevestigen. De medewerker keurde de melding goed en gaf zo de tweede factor weg.
Dit heet MFA-moeheid, of het omzeilen van MFA via social engineering. De techniek werkt prima; het menselijke proces eromheen is de zwakke plek. Eén medewerker die op het verkeerde moment op 'goedkeuren' tikt, is voor een aanvaller genoeg.
MFA blijft een onmisbare basismaatregel, maar alleen als je het goed inricht. Wil je weten welke vormen van MFA bestand zijn tegen dit soort aanvallen en hoe je dat uitrolt? Lees dan hoe je MFA implementeert in jouw organisatie.
De vuistregel die elke medewerker moet kennen: de echte IT-afdeling vraagt nooit om je wachtwoord, je MFA-code of om het goedkeuren van een inlogpoging die je zelf niet startte. Krijg je zo'n verzoek? Hang op en bel terug naar een bekend, intern nummer.
De echte schade komt later: vervolg-phishing met echte gegevens
Een datalek is geen eindpunt, maar een beginpunt. Met echte klantgegevens kunnen criminelen berichten sturen die kloppen: ze kennen je naam, je klantnummer, je provider en soms je IBAN. Een phishingmail of phishing-sms die opent met correcte gegevens is veel geloofwaardiger dan de klassieke 'Beste klant'.
Na het Odido-datalek volgde dan ook een golf van vervolg-phishing. Denk aan nepberichten 'van Odido' over een mislukte betaling of een openstaande rekening, met een link naar een nagemaakte inlogpagina. Dat is het echte verdienmodel achter de diefstal.
Een datalek bij één organisatie verhoogt zo het risico voor alle organisaties. Jouw medewerkers en klanten kunnen gerichter worden benaderd, ook als jouw eigen systemen nooit zijn geraakt.
Zo verwerk je dit in je awarenessprogramma
Het Odido-incident is een herkenbare casus om in je programma te gebruiken, juist omdat er geen 'geniale hack' aan te pas kwam. Een telefoontje en een mailtje waren genoeg.
Richt je niet alleen op kantoormedewerkers. De grootste winst zit bij de teams met veel klantgegevens en veel inkomend contact: klantenservice, helpdesk, receptie en externe callcenters.
- Doelgroep en ritme: geef klantenservice en helpdesk een eigen module met een terugbelprocedure, en herhaal die elk kwartaal, want het verloop in deze teams is hoog.
- Maak één afspraak die iedereen kent: IT vraagt nooit je wachtwoord of een MFA-goedkeuring; bij twijfel hang je op en bel je terug naar het interne nummer.
- Oefen het scenario in het echt: een vishing-simulatie, waarbij een nep-IT'er belt, zegt meer dan een e-learningmodule alleen.
- Meet het meldgedrag, niet alleen het klikgedrag: hoeveel medewerkers melden het verdachte telefoontje binnen dertig minuten?
- Wil je dit structureel aanpakken? Bekijk hoe dat werkt met security awareness training.
Gerelateerde artikelen
- MFA fatigue-aanvallen herkennen
- MFA implementeren in jouw organisatie
- Marks & Spencer en Scattered Spider: de helpdesk als voordeur
- De ChipSoft-aanval: leveranciersrisico in je awarenessprogramma
- Veelvoorkomende datalekken in organisaties
Veelgestelde vragen
Was het Odido-datalek een technische hack?
Nee. De aanvallers gebruikten geen softwarekwetsbaarheid, maar social engineering: een phishingmail om wachtwoorden te stelen, gevolgd door een telefoontje waarin ze zich voordeden als de interne IT-afdeling om de MFA-stap te laten goedkeuren. Het was een menselijke aanval, geen technische.
Hoe kan MFA worden omzeild als het toch is ingeschakeld?
MFA beschermt tegen een gestolen wachtwoord, maar niet tegen een medewerker die de inlogpoging zelf goedkeurt. Door te bellen en zich voor te doen als IT kreeg de aanvaller de medewerker zover om de tweede factor te bevestigen. De techniek werkte; het menselijke proces was de zwakke plek.
Wat moeten medewerkers doen bij een verdacht telefoontje van 'IT'?
Ophangen en terugbellen naar een bekend, intern nummer. De echte IT-afdeling vraagt nooit om je wachtwoord, je MFA-code of om het goedkeuren van een inlogpoging die je zelf niet startte.
Waarom is een datalek bij een ander bedrijf ook mijn probleem?
Omdat criminelen met echte gegevens veel geloofwaardiger vervolg-phishing kunnen sturen. Jouw medewerkers en klanten kunnen gerichter worden benaderd met berichten die kloppende namen, klantnummers of rekeninggegevens bevatten, ook als jouw eigen systemen nooit zijn geraakt.