Telecomprovider Odido staat onder druk van de cybercriminele groep ShinyHunters, die volgens berichtgeving van RTL Nieuws dreigt gestolen data openbaar te maken als er geen losgeld wordt betaald. Het geëiste bedrag zou meer dan 1 miljoen euro zijn, met een deadline op donderdagochtend. Odido heeft nog niet bekendgemaakt of het tot betaling overgaat. Volgens Rolf van Wegberg, universitair hoofddocent aan de TU Delft en expert in de economische kant van cybercriminaliteit, volgt zo’n publiek dreigement doorgaans op eerdere, vertrouwelijke onderhandelingen die zijn vastgelopen.
Wat er bekend is
- ShinyHunters claimt achter de hack op Odido te zitten; op fora in het criminele circuit wordt druk gezet om losgeld te betalen (bron RTL Nieuws).
- De groep zou meer dan 1 miljoen euro eisen en een harde deadline hebben gesteld op donderdagochtend.
- Odido heeft publiekelijk nog niet bevestigd of het tot betaling overgaat of welke vervolgstappen worden genomen.
- Volgens TU Delft-onderzoeker Rolf van Wegberg past deze stap in het gebruikelijke patroon waarin eerst stil wordt onderhandeld en daarna publieke druk wordt opgevoerd wanneer partijen niet tot elkaar komen.
Wie zijn ShinyHunters
ShinyHunters is een bekende datadiefstal- en afpersingsgroep die sinds meerdere jaren actief is en vaak publieke claims plaatst om druk te zetten op organisaties. In 2024 werd de naam ShinyHunters internationaal in verband gebracht met grote datadiefstallen waarbij de groep publiekelijk toegang tot datasets en verkoop daarvan claimde. Dergelijke claims worden doorgaans door media en beveiligingsonderzoekers opgepakt en geverifieerd waar mogelijk, maar technische en forensische bevestiging door getroffen organisaties blijft in veel gevallen beperkt of uit.
Het onderhandelingsspel bij datadiefstal
Zoals Van Wegberg toelicht, verloopt afpersing bij datalekken vaak in fasen. Eerst probeert de dader direct met de organisatie een bedrag af te spreken. Lukt dat niet, dan volgen publieke postings en gelekte voorbeelden om de druk te verhogen. In deze fase nemen risico’s voor verdere publicatie toe, ongeacht wel of niet betalen.
Financiële impact voor Odido
- Directe kosten voor incidentrespons zoals forensisch onderzoek, juridische ondersteuning, communicatie en mogelijke klantenondersteuning.
- Mogelijke betaling van losgeld. Autoriteiten benadrukken dat betaling geen garantie biedt dat data wordt verwijderd of niet opnieuw wordt misbruikt.
- Regelgevingsrisico’s onder de AVG. Boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van de onderneming, afhankelijk van ernst, nalatigheid en mitigatie.
- Potentiële civiele claims en collectieve acties van gedupeerden bij bewezen schade.
- Verzekeringsaspecten. Cyberpolissen dekken soms delen van incidentkosten, maar dekking van losgeld is onderhevig aan strikte voorwaarden en due diligence, waaronder sanctietoetsen.
- Klantrisico’s zoals opzeggingen of extra kosten om vertrouwen te herstellen, bijvoorbeeld via monitoringdiensten.
Toezicht en meldplichten in Nederland
- Onder de AVG geldt een meldplicht van datalekken aan de Autoriteit Persoonsgegevens binnen 72 uur nadat de organisatie zich bewust is geworden van een inbreuk op persoonsgegevens, tenzij de inbreuk waarschijnlijk geen risico inhoudt voor betrokkenen.
- Wanneer het risico hoog is voor de rechten en vrijheden van betrokkenen, moeten deze personen ook rechtstreeks geïnformeerd worden.
- Voor telecomaanbieders geldt aanvullend toezicht op de beveiliging en continuïteit van netwerken en diensten door de Rijksinspectie Digitale Infrastructuur.
- Het Nationaal Cyber Security Centrum raadt betalen van losgeld af, onder meer omdat er geen garantie is dat data wordt verwijderd en omdat betaling criminele activiteit stimuleert. Betalen kan bovendien risico’s opleveren als geld bij gesanctioneerde partijen terechtkomt.
Scenario’s voor de komende dagen
- Betaling en poging tot vertrouwelijke afwikkeling, met het risico dat data later alsnog opduikt.
- Niet betalen waarna de dader meer data publiceert om druk te verhogen.
- Voortzetting van onderhandelingen om tijd te winnen voor mitigatie en communicatie.
- Opschalen van incidentrespons, extra monitoring en verdere samenwerking met politie en toezichthouders.
Wat klanten nu kunnen doen
- Wees alert op gerichte phishing die lijkt te komen van of over Odido. Controleer afzenders en klik niet op verdachte links.
- Gebruik unieke, sterke wachtwoorden en activeer waar mogelijk multifactorauthenticatie voor accounts die aan uw telefoonnummer of e‑mail zijn gekoppeld.
- Overweeg een aanvullende beveiliging tegen simwissel via uw provider als die optie bestaat en wees alert op onverwachte sms’jes over sim- of accountwijzigingen.
- Controleer bank- en betaalapptransacties regelmatiger en stel meldingen in voor ongebruikelijke activiteit.
- Volg communicatiekanalen van Odido voor specifieke instructies en ondersteuningsopties voor klanten.
Tijdlijn op hoofdlijnen
- ShinyHunters plaatst een publieke claim dat data van Odido is buitgemaakt en eist meer dan 1 miljoen euro met een deadline op donderdagochtend.
- RTL Nieuws bericht over de claim en de gestelde voorwaarden.
- Odido bevestigt publiekelijk niet of het betaalt en geeft geen details over vervolgstappen terwijl onderzoek loopt.
- Een TU Delft-expert schetst dat publieke druk doorgaans volgt op mislukte stille onderhandelingen.
Wat we nog niet weten
- De exacte aard, omvang en herkomst van de gestolen gegevens.
- Of en in welke mate operationele systemen of alleen dataopslag zijn geraakt.
- Welke technische kwetsbaarheid is misbruikt en via welke keten de aanval plaatsvond.
- Of Odido tot betaling overgaat en welke mitigaties er voor betrokken klanten worden aangeboden.
