Sinds de ontdekking in februari 2026 is duidelijk geworden dat de aanval werd uitgevoerd door de beruchte hackersgroep ShinyHunters. Nadat Odido weigerde losgeld (naar verluidt meer dan 1 miljoen euro) te betalen, zijn de dreigementen van de hackers werkelijkheid geworden.
Op 1 maart 2026 publiceerden de hackers de volledige dataset op het dark web. Hiermee is de eerdere strategie om gegevens in “batches” vrij te geven losgelaten; alle buitgemaakte informatie van ongeveer 6,5 miljoen accounts ligt nu op straat.
Welke gegevens zijn gelekt?
De buit is zeer divers en per klant verschillend, maar bevat onder andere:
- Basisgegevens: Naam, adres, woonplaats (NAW), e-mailadressen en telefoonnummers.
- Financiële info: IBAN-bankrekeningnummers.
- Identificatie: In veel gevallen paspoort-, ID-kaart- of rijbewijsnummers (inclusief vervaldata).
- Gevoelige klantnotities: Interne aantekeningen van medewerkers over betalingsachterstanden, bewindvoering of persoonlijke omstandigheden.
Belangrijk: Wachtwoorden, gesprekslogs en gedetailleerde factuurinformatie zijn volgens Odido niet buitgemaakt.
Tijdlijn van de Odido-hack (Februari – Maart 2026)
| Datum | Gebeurtenis |
| 7-8 februari | Eerste signalen van verdachte activiteit in het klantcontactsysteem van Odido. |
| 12 februari | Odido maakt het datalek officieel bekend en meldt het bij de Autoriteit Persoonsgegevens (AP). |
| 12-14 februari | Getroffen klanten van Odido en Ben ontvangen een officiële waarschuwing per e-mail of SMS. |
| 24 februari | Hackersgroep ShinyHunters claimt de hack en stelt een ultimatum voor losgeld. |
| 25 februari | Het Openbaar Ministerie (OM) bevestigt een strafrechtelijk onderzoek naar de hack. |
| 26 februari | Ultimatum verstrijkt. Odido weigert te betalen. De eerste miljoen records verschijnen op het dark web. |
| 1 maart | De hackers publiceren de volledige resterende database (totaal ca. 6,5 miljoen accounts). |
| 2 maart | Beveiligingsexperts bevestigen dat ook gegevens van dochtermerk Simpel in de dataset voorkomen. |
Wat moet je nu doen? (Expert-advies)
Als (oud-)klant van Odido of Ben is het essentieel om nu actie te ondernemen, ook als je nog geen bericht hebt gehad.
- Check je gegevens: Gebruik een vertrouwde bron zoals
haveibeenpwned.comom te controleren of jouw e-mailadres in de gelekte dataset voorkomt. - Activeer de gratis beveiliging: Odido biedt getroffen klanten twee jaar gratis digitale bescherming aan via F-Secure. Maak hier gebruik van voor extra monitoring op identiteitsfraude.
- Wees alert op ‘Vishing’ en ‘Phishing’: Criminelen gebruiken de gelekte gegevens (zoals je naam en IBAN) om zeer geloofwaardige neptelefoontjes of SMS-berichten te sturen. Hang direct op als “je bank” of “Odido” vraagt om geld over te maken of codes te delen.
- Monitor je bankrekening: Let extra goed op onverklaarbare incasso’s. Je kunt je bank vragen om een ‘incassoblokkade’ op je rekening te zetten voor onbekende partijen.
Juridische stappen
Omdat de gelekte informatie (zoals BSN- of ID-nummers) een hoog risico op identiteitsfraude met zich meebrengt, adviseren juridische experts om een eigen dossier aan te leggen van alle communicatie met Odido. Dit is van belang mocht je in de toekomst schadevergoeding willen eisen.
Veelgestelde Vragen (FAQ) over het Odido Datalek
1. Ben ik slachtoffer van de Odido hack?
Odido is wettelijk verplicht om alle getroffen klanten persoonlijk te informeren. Heb je een e-mail of SMS ontvangen van Odido of Ben met de bevestiging van het datalek? Dan zijn jouw gegevens buitgemaakt. Je kunt je e-mailadres ook controleren op websites zoals Have I Been Pwned, die vaak datasets van grote lekken indexeren.
2. Wat kan een hacker met mijn IBAN en paspoortnummer?
Met deze combinatie kunnen criminelen proberen om op jouw naam abonnementen af te sluiten, leningen aan te vragen of aankopen op afbetaling te doen. Dit noemen we identiteitsfraude. Wees extra alert op post over bestellingen die je niet hebt geplaatst.
3. Moet ik mijn wachtwoord wijzigen na de hack?
Hoewel Odido aangeeft dat wachtwoorden niet zijn gestolen, is het een best practice om je wachtwoord van de ‘Mijn Odido’ omgeving te wijzigen. Gebruik je dit wachtwoord ook voor andere diensten? Verander het daar dan direct en activeer overal Tweestapsverificatie (2FA).
4. Biedt Odido een schadevergoeding aan?
Op dit moment biedt Odido geen directe financiële compensatie aan. Wel bieden zij gedupeerden een gratis abonnement aan op beveiligingssoftware (F-Secure) voor een periode van twee jaar om identiteitsfraude te monitoren. Juridische collectieven onderzoeken momenteel de mogelijkheden voor een massale schadeclaim.
5. Hoe herken ik een nep-bericht na dit lek?
Criminelen gebruiken de gestolen gegevens om zeer geloofwaardige phishing-berichten te sturen. Onthoud:
- Odido vraagt nooit om je pincode of inlogcodes per telefoon of SMS.
- Klik nooit op links in SMS-berichten die vragen om een “verificatiebetaling” van 1 cent.
- Twijfel je? Hang op en bel zelf het officiële klantenservicenummer van Odido.
Blijf beschermd en geïnformeerd op Aegonnk.nl
Het datalek bij Odido staat niet op zichzelf; de digitale dreiging in Nederland neemt hand over hand toe. In ons overzicht De week in beeld: van digitale inbraken tot spektakel op de velden lees je meer over de context van deze cyberaanvallen en andere belangrijke gebeurtenissen. Wil je specifiek weten wat de eerdere ontwikkelingen waren rondom dit lek? Raadpleeg dan online een dossier Odido en Ben gehackt: wat moet je doen?. Voor een breder overzicht van je rechten als consument bij het lekken van persoonsgegevens, verwijzen we je naar een gids over privacy-rechten onder de AVG die je op Google kunt vinden.