Criminelen maken van Odido-hack een superweapon door data te combineren met andere lekken
Nederland, zondag, 15 maart 2026.
Het Odido-datalek wordt door cybercriminelen gecombineerd met informatie uit andere hacks om dodelijk effectieve oplichting te plegen. Door websites zoals haveibeenpwned.com te scannen bouwen ze complete profielen op van slachtoffers. Ze weten precis welke 80-jarige naar kunstbeurzen gaat en dus geld heeft. Met AI personaliseren ze berichten zo overtuigend dat zelfs slimme mensen erin trappen. Het lek bevat gegevens van miljoenen Nederlanders, inclusief 16.000 werknemers in strategische sectoren. Buitenlandse inlichtingendiensten kunnen nu makkelijk de omgeving van belangrijke personen achterhalen. Bovendien bewaarde Odido illegaal data van 44.000 ex-klanten langer dan twee jaar.
Hackersgroep bouwt superprofielen met gestolen Odido-data
De hackersgroep Shinyhunters die in februari 2026 het Odido-datalek veroorzaakte [1], gebruikt nu die gestolen gegevens als onderdeel van een veel grotere operatie. Cybersecurity-expert Sijmen Ruwhof legt uit hoe dit werkt: “Met al die gelekte data bouwen hackers een profiel van je op” [2]. Ze scannen websites zoals haveibeenpwned.com, waar wereldwijd 17.5 miljard accounts van bijna duizend websites staan geregistreerd [2]. Door mailadressen, wachtwoorden, woonadressen en rekeningnummers uit verschillende lekken te combineren, ontstaan complete dossiers van slachtoffers [2]. Het resultaat? Oplichters weten precies welke 80-jarige naar kunstbeurzen gaat en dus geld heeft [2]. Ze gebruiken AI om berichten zo te personaliseren dat zelfs voorzichtige mensen erin trappen en naar frauduleuze websites worden gelokt waar afluistersoftware wordt geïnstalleerd [2].
Odido bewaarde illegaal data van 44.000 ex-klanten
Onderzoek van RTL Nieuws onthult een extra schokkende waarheid: Odido bewaarde privégegevens van minstens 44000 ex-klanten veel langer dan de beloofde twee jaar [3]. Van 2225 ex-klanten die al langer dan twee jaar geen klant meer waren, lagen niet alleen namen, adressen en IBAN-nummers op straat, maar ook paspoort-, rijbewijs- of ID-nummers [3]. Richard uit Best, al zes jaar geen Tele2-klant meer, reageert verontwaardigd: “Ik voel me behoorlijk genaaid, ik wist niet eens dat Tele2 nu Odido heet” [3]. RTL vond in de gelekte data zelfs klanten die al vijf jaar geen abonnement meer hadden [3]. Een Odido-woordvoerder erkent dat het onderzoek naar dataretentieprocessen nog loopt [3]. Intussen gaan gevaarlijke phishingmails rond die het datalek misbruiken, waarbij oplichters doen alsof Odido vraagt om herinloggen [4]. Wie verdachte mails ontvangt, kan deze doorsturen naar phishing@odido.nl [4].