Na het stelen van de data van 6,2 miljoen Odido klanten, eisten de hackersgroep Shinyhunters 500.000 euro aan losgeld voor het voorkomen van de publicatie van die data. Telecomprovider Odido heeft het bedrag niet betaald, mede op advies van de politie en security bedrijven. Maar dat is makkelijk voor hen om te zeggen als ze niet in die situatie zitten, meent cybersecurityexpert Erik Jan Koedijk.
Volgens Odido zijn de hackers het klantencontactsysteem binnen gekomen, en hebben toen de data op een slinkse en onbevoegde manier gedownload. Het gaat hier om de gegevens van 6,2 miljoen klanten. Gegevens als naam, adres, IBAN en Identificatiegegevens zijn door de hackers gedownload, en zouden niet geplaatst worden op voorwaarde dat Odido 500.000 euro aan losgeld betaalt aan de Shinyhunters. Dit heeft de telecomprovider niet gedaan, dus is een groot deel aan data geplaatst op het dark web. Hierdoor heeft Odido veel kritiek gekregen van getroffen klanten, die vinden dat Odido geen verantwoordelijkheid heeft genomen voor het datalek.
Odido zegt echter dat ze een zorgvuldige afweging hebben gemaakt. Zowel toonaangevende experts als overheidsinstanties zouden Odido dringend hebben geadviseerd om geen contact te leggen met de criminele groepering, en zich zo niet ‘te laten chanteren.’
Niet alle experts zijn het eens over Odido’s beslissing. Cybersecurityexpert en crisismanager Erik Jan Koedijk weegt het belang van transparantie tegen het betalen van losgeld. In deze specifieke situatie zou hij de directie dringend geadviseerd hebben om de 500.000 euro te betalen in het belang van alle inwoners in Nederland. “Ik zou dat doen om te laten zien dat ik er alles aan heb gedaan om het datalek te beperken”, zegt hij. Door niet te betalen is de data, die zelfs notities met persoonlijke en kwetsbare informatie over de klanten schijnt te bevatten, nu volledig openbaar en doorzoekbaar geworden. Koedijk legt uit dat dit in 2026 een voorspelbare chaos is. “Met AI-tools en vibe coding uploadt iedereen de dataset in een middag op een eigen website, die niet veilig is. Bijna niemand weet dat downloaden en herpubliceren strafbaar is, dus de schade escaleert exponentieel. Dat gaat ernstige gevolgen hebben, nog los van dat de cybercriminelen zullen zinnen op wraak.” Ook benadrukt Koedijk dat er geen verwijdergarantie is bij betaling, maar dat de kans groot is dat de groep zich aan de afspraken houdt, aangezien hun businessmodel staat of valt met onderling vertrouwen. Hij blijft ook wijzen op het gebrek aan transparantie rond de exacte hackwijze en noemt ‘agent compromise’ als mogelijke oorzaak, waarop Odido nog geen reactie heeft gegeven.
Klanten, en ook voormalige klanten van Odido, zijn bezorgd over wat er met hun gegevens gedaan kan worden. Odido legt uit dat de hackers gebruik kunnen maken van phishing, een manier van online fraude waarbij de hackers zich voordoen als een betrouwbare bron. Mirjam de Witte, woordvoerder van de Consumentenbond, geeft het advies aan de getroffen klanten om hun bankrekening goed in de gaten te houden, op te letten op valse berichten en wachtwoorden aan te passen. “De hackers hebben nu meer gegevens dan dat ze eerst hadden, dus ze kunnen sterk overkomen.”
Odido geeft aan het incident zeer serieus te nemen, en dat ze aan het samenwerken zijn met externe cybersecurityexperts om extra beveiligingsmaatregelen te nemen. Ze zeggen dat hoewel veiligheid hun topprioriteit is, geen enkel bedrijf immuun is voor dit soort aanvallen.
mirrekleinhuis 
Lars van Looijengoed 
jilke van Loon