Update over de cyberaanval.

Wat is er gebeurd?

• Hoe verliep de cyberaanval?

  De aanvaller nam contact op met ons Odido Service team en deed zich voor als medewerker van onze IT‑afdeling. De eerste phishingaanval vond plaats op 5 februari, gevolgd door een tweede aanval op 6 februari. In beide gevallen herkende ons team de ongeautoriseerde toegang, onderzocht het incident en trok het de toegang van de aanvaller definitief in. Dit soort phishingaanvallen komt vaker voor en onze medewerkers zijn getraind om ze te herkennen. Maar de specifieke aanval die leidde tot het buitmaken van data, was zeer geavanceerd.

• Wie zat achter de aanval?

  Een cybercriminele groep die bekendstaat als ShinyHunters.

• Is het onderzoek naar de cyberaanval afgerond?

  Onze teams werkten nauw samen met externe cyberexperts om de volledige omvang van het incident en de geraakte gegevens vast te stellen. We hebben contact opgenomen met alle klanten van wie we hebben vastgesteld dat ze zijn geraakt.

• Kunnen klanten de diensten van Odido na dit data incident veilig blijven gebruiken?

  Ja, al onze diensten zijn volledig beschikbaar gebleven en zijn niet geraakt door de cyberaanval. Klanten kunnen veilig blijven bellen, internetten en tv‑kijken.

• Zijn andere merken van Odido (Ben en Simpel) ook geraakt door de cyberaanval?

  Uit ons onderzoek blijkt dat klanten van Ben zijn geraakt door de cyberaanval. Al deze klanten zijn hierover geïnformeerd. Klanten van Simpel zijn niet geraakt.

• Hoeveel klanten zijn geraakt?

  In totaal zijn circa 6,39 miljoen personen geraakt door de cyberaanval. Binnen enkele dagen na bevestiging van het datalek informeerden we in een eerste melding het overgrote deel van hen per e mail of sms. Dit betrof zowel actieve als inactieve klanten van Odido en Ben. Verdere analyse in de weken na de aanval liet zien dat aanvullende meldingen nodig waren voor een beperkte groep klanten die nog niet was bereikt.

  We hebben contact opgenomen met alle klanten van wie we hebben vastgesteld dat ze zijn geraakt per e‑mail of sms. Daarnaast hebben we klanten informatie gegeven via een speciale informatiepagina en via onze service agents en retailorganisatie.
  
  

• Waarom zijn niet alle klanten tegelijk geïnformeerd?

  Een van de belangrijkste lessen die we hebben geleerd, is hoe moeilijk het kan zijn voor een organisatie, zeker van onze omvang, om een volledig onderzoek uit te voeren naar de gegevens die door een cyberaanval zijn geraakt.
  
  

  Daardoor was het een uitdaging om snelheid en nauwkeurigheid in onze communicatie steeds goed in balans te houden. We wilden snel duidelijkheid geven en informeerden daarom miljoenen klanten binnen enkele dagen dat hun gegevens waren getroffen. Naarmate ons onderzoek vorderde en er meer gedetailleerde bevindingen beschikbaar kwamen, hebben we klanten voorzien van bijgewerkte informatie om ervoor te zorgen dat zij een zo accuraat en volledig mogelijk beeld hadden.

• Welke stappen heeft Odido gezet om getroffen klanten te ondersteunen?

  We kunnen niet veranderen dat dit is gebeurd. We hebben wel invloed op hoe we je beter beschermen. We doen er alles aan om te voorkomen dat dit opnieuw gebeurt. Hiervoor versterken we onze beveiliging met strengere toegangscontrole, betere monitoring, doorlopende tests, nieuwe certificeringen en extra maatregelen om klanten te beschermen, waaronder verbeterde fraudedetectie.

  Training en bewustwording blijven een terugkerend onderdeel van onze aanpak. Medewerkers volgen extra verplichte trainingen over beveiliging en gegevensbescherming. De aanvullende trainingsprogramma’s die we hebben ingevoerd zorgen ervoor dat onze mensen een sterke eerste verdedigingslinie vormen tegen cyberdreigingen. Tot nu toe hebben al onze klantgerichte medewerkers samen meer dan 3.000 extra trainingsuren gevolgd. Daarmee versterken we onze cybersecurity, onze ID-checkprotocollen en de afhandeling van vragen over het cyberincident.

De geraakte gegevens

• Welke gegevens zijn geraakt?

  De getroffen gegevens verschillen per persoon. Het kan gaan om naam, adres, mobiel nummer, klantnummer, e-mailadres en IBAN-nummer, geboortedatum, identificatiegegevens, nationaliteit en geslacht. Het ging nadrukkelijk niet om wachtwoorden van Mijn Odido, gespreksgegevens, locatiegegevens, factuurinformatie of scans van identiteitsbewijzen.

  In beperkte gevallen kan ook aanvullende informatie die je hebt gedeeld met onze klantenservicemedewerkers zijn geraakt. Heb je vragen over jouw specifieke situatie? Dan kan je een verzoek tot inzage doen.

• Er gaan geruchten dat ook wachtwoorden zijn gelekt. Klopt dat?

  Nee, dat klopt niet. We benadrukken dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. De wachtwoorden die klanten gebruiken om in te loggen, worden versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido‑account is veilig.
  
  Wat wel is gelekt, is een veld uit het klantcontactsysteem met de naam ‘password_c’. Ondanks de naam is dit geen wachtwoord, maar een zogenoemd controlewoord of codewoord. Dit werd gebruikt als extra verificatievraag wanneer een klant ons telefonisch benaderde. Dit controlewoord geeft geen toegang tot accounts, diensten of persoonsgegevens en staat volledig los van inlogsystemen.
  
  Dit aanvullende controlewoord was geregistreerd voor een beperkte groep klanten. Zodra we hoorden dat deze woorden onderdeel waren van het datalek, is telefonische verificatie op basis hiervan meteen stopgezet.

• Mijn bankrekeningnummer is gelekt. Moet ik een nieuw rekeningnummer aanvragen?

  De Nederlandse Vereniging van Banken (NVB) heeft benadrukt dat het niet mogelijk is om in te loggen op je bankomgeving met alleen een bankrekeningnummer, zoals in je bankapp of bij internetbankieren. Daarom is het volgens ons niet nodig om je bankrekeningnummer te wijzigen. Je kan het advies van de NVB hier bekijken: https://www.nvb.nl/nieuws/datalek-odido/
  
  

• Kan ik als klant checken welke gegevens van mij precies zijn gelekt?

  We weten dat klanten willen nagaan welke gegevens van hen zijn gelekt. Daarom hebben we Odido Service opgeschaald om deze vragen direct te beantwoorden. Ook kunnen klanten dit checken via de website Check je hack of de F Secure-service.

• Waarom bewaarde Odido zoveel gegevens, ook gevoelige informatie?

  Het merendeel van de geraakte gegevens werden gebruikt als onderdeel van onze dagelijkse werkzaamheden, zodat verkoop‑ en Odido Service‑teams hun werk kunnen doen. Andere delen van de getroffen gegevens werden bewaard in overeenstemming met de gebruikelijke bewaartermijnen. We voeren een grondige herbeoordeling uit van ons beleid en onze processen voor gegevensbewaring.

• Ik ben geen klant meer. Kan mijn data worden verwijderd?

  Odido heeft een vast proces voor verzoeken om klantgegevens te verwijderen. Dit wordt uitgevoerd door een gespecialiseerd team en bevat ook een identiteitscheck om je gegevens te beschermen. We vragen je om je verzoek in te dienen via het formulier op onze website: Brochures en formulieren.

• Waarom heeft Odido geen losgeld betaald?

  Op basis van duidelijke en consistente adviezen van autoriteiten hebben we geen losgeld betaald. We wisten dat dit kon betekenen dat gestolen gegevens openbaar zouden worden gemaakt. Toch was er uiteindelijk geen andere verantwoorde keuze. We zijn er sterk van overtuigd dat criminele organisaties niet beloond mogen worden voor illegale activiteiten. Het betalen van losgeld kan andere Nederlandse bedrijven juist tot doelwit maken.
  
  We beseffen de impact van deze beslissing en van dit incident op al onze klanten. Onze focus lag toen, en ligt nog steeds, op het ondersteunen van iedereen die is geraakt.

Veilig blijven na een cyberaanval

• Ik kreeg een e mail van Odido met het verzoek mijn wachtwoord te wijzigen. Klopt dat?

  Nee. Odido stuurt nooit berichten met het verzoek om je wachtwoord te wijzigen. Blijf alert. Vertrouw je een bericht niet? Doe dan niets. Ga voor tips over phishing naar odido.nl/phishing.

• Hoe helpen jullie klanten om online veilig te blijven?

  We bieden klanten praktische beschermingsmogelijkheden, zoals het wijzigen van hun telefoonnummer en gratis toegang tot de digitale beveiligingsdienst F‑Secure, om apparaten te beschermen tegen phishing, malware en andere online dreigingen. Ook hebben we Check je gesprek gestart. Dit geeft klanten een eenvoudige en betrouwbare manier om te checken of contact echt van Odido komt. Deze functie is nu beschikbaar in de Odido app.

• Hoe lang krijgen klanten gratis beveiligingssoftware?

  Je krijgt 24 maanden gratis toegang tot de digitale beveiligingsdienst F-Secure. Stuur vóór 31 augustus 2026 een sms met VOUCHER naar 1935 om de 24 maanden te activeren.

Hoe we verdergaan

• Hoe zorgen jullie dat dit niet opnieuw gebeurt?

  We werken in de eerste plaats nauw samen met externe cyberexperts om onze beveiliging te versterken. We hebben al extra beveiligingsmaatregelen doorgevoerd en we hebben een taskforce opgezet om ons volledige IT‑landschap te beoordelen. We zetten alle maatregelen door die uit deze beoordeling naar voren komen.
  
  We voeren ook extra trainingsprogramma’s in, waaronder e‑learning over cybersecurity, zodat onze mensen een sterkere eerste verdedigingslinie zijn tegen cyberdreigingen.
  
  Cruciaal is dat we ons databeheer hebben versterkt door extra externe expertise en capaciteit toe te voegen. Naar aanleiding van dit incident voeren we een grondige herbeoordeling uit van ons beleid en onze processen voor gegevensbewaring.

• Kan je meer vertellen over de beveiligingsmaatregelen die jullie nemen?

  Om veiligheidsredenen kunnen we niet precies delen welke maatregelen we nemen om onze systemen verder te versterken en te beschermen.

• Ik heb nog vragen. Waar kan ik terecht?

  We begrijpen dat je nog vragen kan hebben. Staan je vragen niet op deze pagina? Neem dan contact met ons op.

  Consumenten:  https://www.odido.nl/service-contact
  Zakelijk:  https://www.odido.nl/zakelijk/contact