Een forensische naast-elkaar-zetting van wat Odido publiek heeft gesteld over het datalek van februari 2026, naast wat met publieke bronnen daadwerkelijk is vast te stellen. Elke claim wordt geclassificeerd als hard contradictie, technisch waar maar materieel misleidend, materiële omissie, onbedoelde onthulling, of staat overeind.
I. Wat Odido expliciet stelt, naast de feiten
1. “Wij ontdekten de ongeautoriseerde toegang”
Odido zegt: “In beide gevallen ontdekte Odido de ongeautoriseerde toegang, onderzocht het incident en trok de toegang in.” CEO Søren Abildgaard, videoverklaring 24 februari 2026 2 1.
Het bewijs: De Engelstalige Wikipedia-vermelding van het incident, op basis van publieke cybersecurity-bronnen, stelt botweg: “Odido itself did not notice the breach until it was made public by the hackers.” 3 De massaclaim-organisatie CUIC, die toegang tot interne documentatie heeft via haar gedupeerden, dateert het moment dat Odido op de hoogte raakte op 7 februari 2026, via de aanvallers zelf 4. Odido leerde de scope van het incident niet via eigen monitoring; ShinyHunters meldde zich.
Type: Hard contradictie.
2. “We hebben de toegang zo snel mogelijk beëindigd”
Odido zegt: “We ended unauthorized access as quickly as possible.” CEO Abildgaard 2.
Het bewijs: De UNC6040-aanvalsmethode is in juni 2025 publiek gedocumenteerd door Google’s Threat Intelligence Group en sindsdien herhaaldelijk beschreven door Salesforce zelf en door security-firma’s 5 7 8. De methode verloopt via een malafide OAuth-connected app (vaak vermomd als Salesforce Data Loader of een variant) die een eigen access- en refresh-token krijgt. Het intrekken van een gebruikerssessie raakt dat token niet, de connected app blijft via reguliere Salesforce-API’s data uitlezen tot de app-autorisatie expliciet wordt ingetrokken. De gepubliceerde dataset omvat ~21 miljoen records over ~60 GB gecomprimeerde data 9, wat een meerdaagse exfiltratie impliceert. Odido beëindigde een interactieve sessie; niet de toegang.
Type: Technisch waar, materieel misleidend.
3. “Criminelen die niet onderschat moeten worden”
Odido suggereert: De CEO-framing positioneert de aanvallers als geraffineerd, niet als gebruikers van een gedocumenteerd standaard-playbook 2 10.
Het bewijs: Salesforce publiceerde op 30 januari 2026, vijf dagen vóór de aanval op Odido, een expliciete advisory over precies deze tactiek: vishing op klantenservice-medewerkers, gevolgd door autorisatie van een malafide connected app 5 6. Identieke methode trof in 2025 onder meer Google, Cisco, Adidas, Workday, Pandora, Chanel, Louis Vuitton, Allianz, Dior, Qantas en, als Nederlandse peer, KLM-Air France 8 12 11. De NCTV/NCSC volgde de dreiging in het Cybersecurity Assessment Nederland 2025 (gepubliceerd december 2025) 13. De Forrester-analyse van het Odido-incident karakteriseert de governance-pathologie als “light-touch governance of a commodity business app, controls likely set to default, broad access unchallenged, monitoring that did not detect data pulls”, geen geraffineerde aanval, maar het uitbuiten van default-configuratie 14.
Type: Hard contradictie van framing.
4. “Een aanvaller belde op 5 en 6 februari”
Odido zegt: De officiële datering legt het incident op twee belpogingen op 5 en 6 februari 1 2.
Het bewijs: Bleeping Computer en NOS dateren Odido’s detectiemoment op het weekend van 7-8 februari 2026 15 16. Een onafhankelijke tijdlijn-reconstructie 17 plaatst de toegang op 7-8 februari. CUIC stelt expliciet dat Odido pas op 7 februari op de hoogte raakte 4. Het datumconflict is publiek niet opgelost. Wat Odido als één-tweetal vishing-pogingen presenteert, omvat in de externe verslaggeving een meerdaags exfiltratievenster.
Type: Onopgeloste datumdiscrepantie, gepresenteerd zonder erkenning.
5. “6,2 miljoen accounts getroffen”
Odido zegt: 6,2 miljoen Odido- en Ben-accounts 1 15 18.
Het bewijs: ShinyHunters claimt gegevens van 8 miljoen unieke personen in 21 miljoen records 19 10. De gepubliceerde dataset bevat ex-klanten van 5, 10 en zelfs 16 jaar geleden, RTL Nieuws en het FD vonden tienduizenden bevestigde ex-klanten in batches die online verschenen 20 21 22. Odido’s eigen privacystatement geeft een bewaartermijn van maximaal twee jaar 1. Het verschil van 1,8 miljoen tussen Odido’s “actieve accounts”-telling en ShinyHunters’ “unieke personen”-telling bestaat vrijwel zeker uit data die buiten retentie-beleid is bewaard. Odido benoemt deze samenhang in de eigen communicatie niet.
Type: Materiële omissie.
6. “Geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt”
Odido zegt: “De wachtwoorden die klanten gebruiken om in te loggen, worden versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido-account is veilig.” 1
Het bewijs: Verifieerbaar via DNS-onderzoek: portal.odido.nl resolved naar lb-portal-01.bss.indetel.net, een load-balancer op Odido’s eigen on-premise BSS-infrastructuur (RIPE-allocatie 82.172.0.0/14 NL-ODIDO-20030929) 23. De inlog-credentials voor Mijn Odido leven in een gescheiden Business Support System (vermoedelijk Infonova/Beyond Now), niet in de gecompromitteerde Salesforce-omgeving. Odido’s claim is architectonisch correct.
Type: Staat overeind.
7. “Het veld password_c is geen wachtwoord, maar een controlewoord voor telefonische verificatie”
Odido zegt: “Wat wel is gelekt, is een veld uit het klantcontactsysteem met de naam ‘password_c’. Ondanks de naam is dit geen wachtwoord, maar een zogenoemd controlewoord of codewoord.” 1 24 25
Het bewijs: De suffix _c (voluit __c) is Salesforce’ verplichte naming-convention voor custom fields 26. De aanwezigheid van password_c betekent dat een ontwikkelaar of architect tijdens de bouw heeft besloten: (a) een veld letterlijk “password” te noemen, (b) opgeslagen als gewoon Text-veld zonder Encrypted Text-veldtype, (c) zonder Shield Platform Encryption, (d) leesbaar voor elke rol of connected app met API-toegang tot het Account-object 27. De claim dat het inhoudelijk “geen wachtwoord” was, klopt. De architectuurkeuze om gevoelige authenticatie-elementen in plain text op te slaan in een veld met deze naam blijft als bouwkundige fout staan en wordt door Odido niet erkend.
Type: Technisch waar (inhoud was inderdaad geen inlog-wachtwoord), materiële omissie (architectuurfout niet benoemd).
8. “Geen ID-scans gelekt”
Odido zegt: ID-document-scans behoren niet tot de gestolen data 1 18.
Het bewijs: Verifieerbaar via DNS: idnow.odido.nl (en de niet-productie-variant -np) zijn endpoints van IDnow, een Duitse KYC-leverancier. De fysieke scans leven bij IDnow, niet in de Odido Salesforce-org; alleen de uitkomst-data (documentnummer, nationaliteit) wordt teruggegeven aan Odido. Dit is consistent met de inhoud van het lek: ID-nummers en rijbewijsnummers wel, scans niet.
Type: Staat overeind.
9. “We wisten niet dat ook aantekeningen uit het klantcontactsysteem waren gestolen”
Odido zegt: “Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen. Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen.” 25 Klantnotities, bewindvoering, betaalafspraken, observaties over gedrag en fraude-waarschuwingen (“Ex heeft zich voorgedaan als contractant”, “Klant lijkt onder invloed te zijn”), zijn pas later in de gepubliceerde dataset gevonden, door de NOS 28.
Het bewijs: Een Salesforce-org met behoorlijke logging (Event Monitoring, Field Audit Trail, of vergelijkbaar) kan na een breach precies reconstrueren welke records en welke velden door welke connected app zijn uitgelezen 29 30. Dat Odido die reconstructie niet zelfstandig kon maken, en pas via de publicatie door NOS achter de aanwezigheid van klantnotities kwam, bevestigt de afwezigheid van query-level audit logging op het SObjectLog__c-veld waarin deze data is opgeslagen 31.
Type: Onbedoelde onthulling, Odido’s eigen toegeving bevestigt absentie van monitoring.
10. “We onderzoeken of we gegevens te lang hebben bewaard”
Odido zegt: De retentie-vraag wordt gepresenteerd als een open onderzoek na deze breach 20 22 21.
Het bewijs: De Rijksinspectie Digitale Infrastructuur legde Odido in maart 2024 een boete van €175.000 op (oorspronkelijk €400.000) voor het verwerken en verrijken van verkeers- en locatiegegevens van 2,5 tot 4,5 miljoen abonnees voor een CBS-bewegingsalgoritme in 2018-2019, in plaats van die te anonimiseren, een retentie- en data-minimalisatie-overtreding 32. Dat is dezelfde regelgevingsklasse als de huidige zaak, twee jaar eerder. De AP en RDI onderzoeken gezamenlijk dit retentie-aspect van de huidige zaak 34. Odido presenteert deze retentie-vraag als nieuw, terwijl het regulator-gedocumenteerd patroon is.
Type: Materiële omissie.
II. Wat Odido niet noemt, en het bewijs wel laat zien
Even relevant als de discrepanties zijn de stilzwijgens, feiten die Odido in publieke communicatie nergens noemt, terwijl ze met publieke bronnen vast te stellen zijn.
Een tweede actieve Salesforce-org in de Verenigde Staten. Verifieerbaar via DNS: t-mobile.my.salesforce.com resolved naar na238-ia7.ia7.r.salesforce.com, een Salesforce-instance in Iowa, VS (SFDC-3). Tweeënhalf jaar na de rebrand van T-Mobile NL naar Odido (5 september 2023) draait deze legacy-org nog. Wat erin zit, voor welke betrokkenen, onder welk verwerkersregister, is publiek niet bekend; Odido benoemt het bestaan niet 36.
De Salesforce-waarschuwing van 30 januari 2026. Vijf dagen vóór Odido’s eigen aanvalsdatering. Salesforce beschreef expliciet vishing op klantenservice-medewerkers, vermomde Data Loader-connected apps, en gaf concrete inrichtingsadviezen ter mitigatie 5 6. Andere Nederlandse Salesforce-klanten trainden hun personeel op deze advisory 11. Odido benoemt deze advisory in de publieke communicatie nergens.
Het KLM-precedent. Een Nederlandse peer-organisatie werd in 2025 met dezelfde methode getroffen 8 12. Odido benoemt dit niet.
Het RDI-rapport van 17 oktober 2025. Boete €1.518.750 voor onveilig aftapsysteem (periode 2021-2022): geen beveiligingsplan, ongescreend personeel (geen VOG, geen geheimhoudingsverklaring), leveranciers met digitale toegang tot staatsgeheime en strafrechtelijke data 33. Vier maanden vóór de Salesforce-breach legde RDI letterlijk hetzelfde toegangs- en screening-patroon vast. Odido verwijst niet naar dit rapport.
De ingetrokken IPO van 9 februari 2026. Officiële reden: “lauwe interesse, KPN-vergelijking, marktvolatiliteit” 35. De intrekking valt drie dagen ná de aanvalsdatering volgens Odido (5-8 februari) en drie dagen vóór publieke disclosure (12 februari). Wat Odido in die periode aan begeleidende banken (Barclays, Goldman Sachs, Morgan Stanley) en aan de AFM heeft gemeld over de breach is publiek niet gedocumenteerd.
De volledige leverancierskaart. Verifieerbaar via DNS en whois zijn ten minste twaalf onafhankelijke leveranciers in de keten van Odido’s klantdata: drie Salesforce-endpoints, Infonova/Beyond Now BSS, SAP ERP, ServiceNow ITSM, IDnow KYC, Odido’s eigen indetel BSS voor SSO, Tyk API-gateway op AWS Frankfurt, inSided/Gainsight communities, Selligent/Marigold mail (België), Google chatbot, Cloudflare web, plus Atos/Eviden/Profit4SF (oorspronkelijke Salesforce-bouwer) en 2ManyDigits (latere domeinarchitectuur) 36 37 38.
III. Drie claims die overeind blijven
Niet alles in het Odido-narratief is materieel misleidend. Drie claims worden door OSINT bevestigd: (a) inlog-wachtwoorden van Mijn Odido zijn niet gelekt, die leven aantoonbaar in Odido’s eigen BSS, niet in Salesforce; (b) ID-documentscans zijn niet gelekt, die leven bij IDnow, niet in Salesforce; (c) actuele factuurdata en call records zijn niet onderdeel van de gepubliceerde dump. Drie eerlijke claims in een verder bedrijfsverdedigend narratief.
IV. Wat publiek niet reconstrueerbaar is
Vier vragen vallen buiten OSINT-bereik en blijven legitiem openstaan voor het AP-, RDI- en OM-onderzoek. Wanneer is de malafide connected app voor het eerst geautoriseerd? Als dat vóór ~9 augustus 2025 was, is de Setup Audit Trail-horizon van 180 dagen overschreden en kan Odido het zelfstandig niet meer vaststellen 29 30. Was Salesforce Shield (Platform Encryption, Event Monitoring, Field Audit Trail) in licentie en geactiveerd? Het feit dat password_c in plain text in de export voorkwam, beantwoordt het encryption-deel impliciet. Productie- of sandbox-omgeving? Het Account.Source = ‘Migration’-patroon in de gepubliceerde dump-records 31 past bij beide hypothesen. Welke ex-leveranciers-tokens leefden nog? Wipro (post-Ericsson-billing-migratie), Atos (post-collapse-offboarding), 2ManyDigits, individuele consultants, publiek niet te beantwoorden.
V. Samenvatting van de taxonomie
Van de tien geëvalueerde expliciete claims:
- Drie staan overeind: inlog-wachtwoorden niet gelekt, ID-scans niet gelekt, het feit dat
password_cinhoudelijk geen inlog-wachtwoord was. - Twee zijn hard contradicties: “wij ontdekten de toegang” en de framing dat de aanval geraffineerd en onverwacht was.
- Twee zijn technisch waar maar materieel misleidend: “we beëindigden de toegang snel” (sessie versus token) en de framing rond
password_c(inhoud klopt, architectuurfout niet erkend). - Drie zijn materiële omissies: het verschil tussen 6,2 miljoen en 8 miljoen, het retentie-onderzoek als nieuw gepresenteerd terwijl het patroon is, en de datumdiscrepantie 5-6 versus 7-8 februari.
- Eén is een onbedoelde onthulling: dat Odido niet wist dat klantnotities erbij zaten, bevestigt afwezigheid van audit logging.
Plus zes substantiële omissies waar Odido helemaal niets over zegt: de tweede Salesforce-org in de VS, de Salesforce-waarschuwing van 30 januari, het KLM-precedent, het RDI-rapport van oktober 2025, de IPO-timing, en de volledige leverancierskaart.
Dit is geen reconstructie waarin Odido systematisch liegt. Het is een reconstructie waarin de waarheid in delen wordt verteld: technisch correcte uitspraken zonder de architectuurcontext, een breach gepresenteerd als detectie-succes waar het een detectie-falen was, en een retentie-vraag gepresenteerd als open onderzoek waar het regulator-gedocumenteerd patroon is.
Bijlage A: Forensische evaluatie per claim
Uitgebreide tabel-gestructureerde analyse van Odido’s publieke communicatie over het datalek van februari 2026, claim voor claim. Deze bijlage is opgesteld in een format dat aansluit bij DPIA- en regulator-rapporten: elke claim krijgt een eigen tabel met letterlijke formulering, bron, bewijs, classificatie, motivering en restonzekerheid. Bedoeld als referentiedocument naast de hoofdtekst, niet als zelfstandige publicatie.
Methode
Voor elke door Odido gedane publieke uitspraak over het datalek is met openbare bronnen vastgesteld: (a) wat de uitspraak letterlijk luidt en waar die is gedaan, (b) welk bewijs deze uitspraak ondersteunt, weerspreekt of incompleet maakt, (c) onder welke classificatie de uitspraak valt binnen de vijf-categorie-taxonomie (hard contradictie, technisch waar maar materieel misleidend, materiële omissie, onbedoelde onthulling, staat overeind), en (d) welke restonzekerheid in deze evaluatie zit.
Bronnen zijn alleen meegenomen wanneer ze publiek toegankelijk zijn en door minstens één onafhankelijke andere bron worden gecorroboreerd, of wanneer ze direct van een primaire partij komen (Odido zelf, Salesforce, een toezichthouder, een onderzoeksbureau onder eigen naam, of forensisch verifieerbaar via passieve OSINT zoals DNS-resolutie en RIPE WHOIS).
Geen claim is geclassificeerd op basis van anonieme bronnen of niet-publieke bevindingen. Waar relevante informatie alleen via OM-, AP- of RDI-vorderingen toegankelijk is, wordt dat expliciet als restonzekerheid genoteerd in plaats van speculatief ingevuld.
A1. Claim: detectie door Odido zelf
| Element | Inhoud |
|---|---|
| Odido-formulering | “In beide gevallen ontdekte Odido de ongeautoriseerde toegang, onderzocht het incident en trok de toegang in.” |
| Bron (primair) | Odido veiligheidspagina, Update over de cyberaanval: https://www.odido.nl/veiligheid |
| Bron (secundair) | CEO-videoverklaring Søren Abildgaard 24 februari 2026, ICT Magazine: https://www.ictmagazine.nl/nieuws/odido-ceo-legt-uit-waarom-provider-geen-losgeld-betaalde/ |
| Bewijspunt 1 | Wikipedia-artikel Odido, sectie 2026 hacking incident: “Odido itself did not notice the breach until it was made public by the hackers”, gebaseerd op meerdere cybersecurity-bronnen die de tijdlijn dekken. https://en.wikipedia.org/wiki/Odido |
| Bewijspunt 2 | CUIC-massaclaim (Stichting Collectief Verhaal Datalekken), tijdlijn-reconstructie op basis van klantcommunicatie en publieke documentatie: Odido raakte op 7 februari 2026 op de hoogte van de breach via contact door ShinyHunters. Bron: Totaal TV en gerelateerde verslaglegging: https://www.totaaltv.nl/nieuws/odido-massaclaim-datalek-richting-half-miljoen-gedupeerden/ |
| Bewijspunt 3 | Forrester-analyse van het incident, citaat “monitoring that did not detect data pulls”, onafhankelijke bevestiging dat de exfiltratie niet door eigen monitoring werd opgemerkt. |
| Classificatie | Hard contradictie |
| Motivering | De claim impliceert dat Odido de aanvalspoging zelfstandig heeft gedetecteerd. Drie onafhankelijke bronnen documenteren dat ShinyHunters Odido informeerde, niet andersom. De claim houdt geen stand. |
| Wat zou de classificatie verzachten | Als Odido met logs kan aantonen dat de twee belpogingen wél door eigen monitoring zijn gedetecteerd, ook al werd de doorlopende exfiltratie van een geautoriseerde connected app pas door ShinyHunters’ melding zichtbaar, dan verschuift dit naar “deels waar, in framing misleidend”. Tot dat publiek wordt gemaakt blijft het hard contradictie. |
| Restonzekerheid | Het is denkbaar dat Odido de eerste belpoging detecteerde (vandaar het intrekken van een sessie), maar de scope van de connected app pas later via ShinyHunters leerde. De CEO-formulering maakt dat onderscheid niet. |
A2. Claim: snelle reactie en beëindiging van toegang
| Element | Inhoud |
|---|---|
| Odido-formulering | “We have ended unauthorized access as quickly as possible.” |
| Bron | CEO-videoverklaring 24 februari 2026 |
| Bewijspunt 1 | Google Threat Intelligence Group, publicatie over UNC6040-actor (juni 2025): de aanvalsmethode verloopt via een malafide OAuth-connected app die een onafhankelijk access- en refresh-token krijgt. Het intrekken van een gebruikerssessie raakt dat token niet. |
| Bewijspunt 2 | Salesforce security advisory 30 januari 2026 (vijf dagen vóór de Odido-aanval), expliciet over de tactiek en de mitigatiestappen die wel/niet effectief zijn. Referentie via Security.NL: https://www.security.nl/posting/924633/ en ITdaily: https://itdaily.com/news/security/salesforce-warned-odido-breach/ |
| Bewijspunt 3 | Datavolume van de gepubliceerde dump: ~21 miljoen records over ~60 GB gecomprimeerde data. Dit volume is niet uit te lezen binnen één enkele sessie van enkele minuten of uren; het impliceert een meerdaagse exfiltratie via een persistente connected app. |
| Classificatie | Technisch waar, materieel misleidend |
| Motivering | Odido heeft mogelijk een sessie ingetrokken. Maar de claim “we hebben de toegang zo snel mogelijk beëindigd” suggereert dat de scope van de aanval daarmee beperkt werd. De UNC6040-methode laat zien dat de aanvaller via de OAuth-connected app blijft uitlezen tot die app-autorisatie expliciet wordt herroepen, wat een ander proces is dan een sessie beëindigen. |
| Wat zou de classificatie verzachten | Als Odido publiek aantoont dat zij de connected app-autorisatie wel degelijk binnen uren na detectie hebben ingetrokken en dat de daadwerkelijke exfiltratie binnen die window viel, verschuift dit naar “staat overeind”. Het volume van 21 miljoen records maakt dat onwaarschijnlijk. |
| Restonzekerheid | Het exacte tijdstip waarop Odido de connected app-autorisatie heeft herroepen is publiek niet bekend. Daarmee is het niet uit te sluiten dat een groot deel van de exfiltratie binnen één doorlopende OAuth-sessie plaatsvond. Dat zou de classificatie niet verschuiven, maar de motivering wel scherper maken. |
A3. Claim: geraffineerde criminelen, onverwachte aanval
| Element | Inhoud |
|---|---|
| Odido-formulering | “Criminelen die niet onderschat moeten worden”, CEO Abildgaard, met framing van de aanval als geavanceerd en niet routinematig. |
| Bron | CEO-videoverklaring 24 februari 2026; NOS-verslaglegging: https://nos.nl/artikel/2604072 |
| Bewijspunt 1 | Salesforce-advisory 30 januari 2026 beschreef de exacte aanvalsmethode: vishing op klantenservice-medewerkers, vermomde Data Loader-connected apps. Vijf dagen vóór de aanval op Odido. Bron: https://www.security.nl/posting/924633/ |
| Bewijspunt 2 | Identieke methode trof in 2025 onder meer: Google, Cisco, Adidas, Workday, Pandora, Chanel, Louis Vuitton, Allianz, Dior, Qantas, KLM-Air France. Bron Huntress threat library: https://www.huntress.com/threat-library/threat-actors/shinyhunters en Salesforce Ben: https://www.salesforceben.com/odido-salesforce-hack-up-to-6m-customers-data-at-risk/ |
| Bewijspunt 3 | NCTV/NCSC, Cybersecurity Beeld Nederland 2025 (december 2025): expliciete tracking van ShinyHunters/Scattered Spider als nationaal relevante dreiging. https://www.nctv.nl/onderwerpen/csbn |
| Bewijspunt 4 | Forrester-analyse karakteriseert het incident als “governance thriller” met “light-touch governance of a commodity business app, controls likely set to default, broad access unchallenged, monitoring that did not detect data pulls”, onafhankelijke expertbeoordeling dat dit géén geavanceerde aanval was. |
| Classificatie | Hard contradictie van framing |
| Motivering | De geraffineerd-framing is niet houdbaar tegen vier onafhankelijke bewijspunten dat dit een gedocumenteerde, herhaalde, openbaar gewaarschuwde aanvalsmethode was. |
| Wat zou de classificatie verzachten | Niets in de openbare informatie ondersteunt de geraffineerd-framing. Verzachting alleen denkbaar als Odido aantoont dat de specifieke implementatie van de aanval (bijvoorbeeld een onbekende bypass van een specifieke control) wel degelijk nieuw was. Dat is publiek niet gedocumenteerd. |
| Restonzekerheid | Welke specifieke connected app-naam werd gebruikt (varianten zoals My Ticket Portal zijn gezien bij andere slachtoffers) is niet publiek vastgesteld voor de Odido-zaak. Verandert niets aan de classificatie. |
A4. Claim: aanval op 5 en 6 februari 2026
| Element | Inhoud |
|---|---|
| Odido-formulering | Twee belpogingen op 5 en 6 februari 2026 door een aanvaller die zich voordeed als IT-medewerker. |
| Bron | Odido veiligheidspagina; CEO-videoverklaring 24 februari 2026 |
| Bewijspunt 1 | Bleeping Computer dateert de detectiemoment op het weekend van 7-8 februari: “The company says they detected the incident on the weekend of February 7.” https://www.bleepingcomputer.com/news/security/odido-data-breach-exposes-personal-info-of-62-million-customers/ |
| Bewijspunt 2 | NOS-verslaglegging en de IO+/CCInfo-tijdlijnen plaatsen consequent de toegang op 7 of 7-8 februari. https://nos.nl/artikel/2603784 |
| Bewijspunt 3 | Onafhankelijke tijdlijn-reconstructie Filip Danić: aanvang van toegang 7-8 februari, gevolgd door dreigement 24 februari. https://danicfilip.com/blog/odido-hack-2026-full-timeline-and-analysis/ |
| Bewijspunt 4 | CUIC: Odido raakte op 7 februari op de hoogte via ShinyHunters. Onverenigbaar met “Odido ontdekte het op 5 en 6 februari”. |
| Classificatie | Onopgeloste datumdiscrepantie, gepresenteerd zonder erkenning |
| Motivering | De Odido-datering en de externe verslaglegging zijn niet met elkaar te verenigen zonder additionele context. Odido erkent het verschil niet en verklaart het niet. |
| Wat zou de classificatie scherper maken | Als Odido publiek de tijdlijn van vishing-pogingen, sessie-detectie, OAuth-token-creatie en exfiltratie-start uiteenzet, kan deze discrepantie worden opgelost. Tot dan blijft het een open feitelijke discrepantie. |
| Restonzekerheid | Het is mogelijk dat Odido’s “5-6 februari” verwijst naar de vishing-belpogingen en de externe “7-8 februari” naar het moment dat de exfiltratie zichtbaar werd. In dat geval is er geen contradictie maar twee meet-momenten van twee fenomenen. Odido benoemt dit niet. |
A5. Claim: 6,2 miljoen accounts getroffen
| Element | Inhoud |
|---|---|
| Odido-formulering | “6,2 miljoen Odido- en Ben-accounts getroffen.” |
| Bron | Odido veiligheidspagina; meervoudig in NL en internationale pers (Bleeping, NOS, State of Surveillance, ICT Magazine) |
| Bewijspunt 1 | ShinyHunters claim: 8 miljoen unieke personen in 21 miljoen records. Onafhankelijk gerapporteerd door RTL Nieuws en NOS, gecorroboreerd door de gepubliceerde dump-batches. https://www.computable.nl/2026/02/24/hackers-dreigen-odido%E2%80%91data-te-lekken-als-losgeld-uitblijft/ |
| Bewijspunt 2 | Onafhankelijke analyse door NOS en RTL: tienduizenden ex-klanten in de dump, sommige tot 16 jaar geleden vertrokken. https://nos.nl/artikel/2602804 en https://www.rd.nl/artikel/1139180-odido-onderzoekt-of-het-gegevens-te-lang-bewaarde |
| Bewijspunt 3 | Odido’s eigen privacystatement: bewaartermijn maximaal twee jaar voor inactieve klantgegevens. Het verschil tussen 6,2M actief en 8M unieke personen overlapt grotendeels met data buiten retentie-beleid. |
| Bewijspunt 4 | Forensische tool Odidoviewer (GitHub zerneo85): in de gepubliceerde dump-subset is Account.Source = 'Migration' voor alle records, wat past bij een megamigratie waarin legacy-data over jaren is geladen. https://github.com/zerneo85/Odidoviewer |
| Classificatie | Materiële omissie |
| Motivering | De 6,2 miljoen is feitelijk correct (actieve accounts). De 8 miljoen van ShinyHunters is ook correct (unieke personen). Wat Odido niet benoemt is dat het verschil grotendeels uit data buiten retentie-beleid bestaat. Daarmee verbergt de presentatie de scope én het retentie-falen. |
| Wat zou de classificatie verzachten | Als Odido publiek het verschil uitlegt als “8 miljoen historische personen waarvan 6,2 miljoen actuele klanten, waarbij 1,8 miljoen historische records onderwerp van ons retentie-onderzoek zijn”, staat de claim overeind als gedeeltelijk informatief. |
| Restonzekerheid | De exacte samenstelling van de 1,8 miljoen verschil is publiek niet vastgesteld. Vermoedelijk: ex-Odido, ex-T-Mobile NL, ex-Tele2 NL, ex-Versatel, ex-Knippr, en mogelijk dubbele records. |
A6. Claim: geen wachtwoorden van Mijn Odido gelekt
| Element | Inhoud |
|---|---|
| Odido-formulering | “De wachtwoorden die klanten gebruiken om in te loggen, worden versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido-account is veilig.” |
| Bron | Odido veiligheidspagina |
| Bewijspunt 1 | DNS-verificatie: portal.odido.nl resolved naar lb-portal-01.bss.indetel.net. Deze infrastructuur draait op Odido’s eigen on-premise BSS (RIPE-allocatie 82.172.0.0/14 NL-ODIDO-20030929). https://bgpview.io/prefix/82.172.0.0/14 |
| Bewijspunt 2 | DNS-verificatie: sso.odido.nl en sso.t-mobile.nl resolveren beide naar dezelfde indetel-BSS-load-balancer. De authenticatie-laag is gescheiden van de gecompromitteerde Salesforce-omgeving. |
| Bewijspunt 3 | De gepubliceerde dump (per Odidoviewer-analyse) bevat 257 Salesforce-velden per Account, waaronder password_c (controlewoord, niet inlog-wachtwoord), maar geen hash-velden voor Mijn Odido-credentials. |
| Classificatie | Staat overeind |
| Motivering | De architectuur is gelaagd: inlog-credentials in BSS, klantcontactdata in Salesforce. Het lek raakte de Salesforce-laag; de credentials in de BSS blijven onaangetast. De claim is technisch correct en architectuur-onderbouwd. |
| Wat zou de classificatie veranderen | Als blijkt dat de Salesforce-omgeving ook integraties of token-stores van Mijn Odido bevatte, verandert dit. Tot dat publiek wordt is er geen tegenbewijs. |
| Restonzekerheid | Of er ergens in de Salesforce-org een gehashte versie van Mijn Odido-credentials is opgeslagen (bijvoorbeeld voor SSO-integratie-doeleinden) is publiek niet vastgesteld. Onwaarschijnlijk, gezien de architectuur. |
A7. Claim: password_c is controlewoord, geen wachtwoord
| Element | Inhoud |
|---|---|
| Odido-formulering | “Wat wel is gelekt, is een veld uit het klantcontactsysteem met de naam ‘password_c’. Ondanks de naam is dit geen wachtwoord, maar een zogenoemd controlewoord of codewoord. Dit werd gebruikt als extra verificatievraag wanneer een klant telefonisch contact opnam.” |
| Bron | Odido veiligheidspagina; community-forum thread Wel of geen wachtwoorden gelekt?: https://community.odido.nl/algemeen-490/wel-of-geen-wachtwoorden-gelekt-383603 |
| Bewijspunt 1 | Salesforce naming-convention: alle custom fields op standaard-objecten dragen de suffix __c (of _c in afkortingen). Dit is geen toevallig veldnaam-patroon maar een platform-conventie. Salesforce developer documentation. |
| Bewijspunt 2 | De data is in plain text leesbaar in de gepubliceerde dump (anders zou ShinyHunters de claim “plaintext wachtwoorden” niet kunnen maken). Dit betekent dat het veld als gewoon Text-veld is opgezet, niet als Encrypted Text custom-fieldtype en niet onder Shield Platform Encryption. |
| Bewijspunt 3 | Salesforce Shield Platform Encryption Implementation Guide: er zijn drie veilige opties voor dit type data (hash-vergelijking aan de agent-kant, Shield-encryption, of Encrypted Text-veldtype). Geen van die opties is gekozen. https://help.salesforce.com/s/articleView?id=sf.security_pe_overview.htm |
| Classificatie | Technisch waar (inhoud was inderdaad geen inlog-wachtwoord), Materiële omissie (architectuurkeuze niet erkend) |
| Motivering | Odido’s claim over de aard van de inhoud is correct: het was een telefoon-verificatie-codewoord. Wat Odido niet zegt: er is een veld letterlijk “password” genoemd, opgeslagen zonder field-level encryption, leesbaar voor elke rol of connected app met API-toegang tot het Account-object. Die architectuurkeuze blijft als bouwkundige fout staan. |
| Wat zou de classificatie verzachten | Als Odido publiek erkent dat dit een ontwerpfout was die wordt hersteld (bijvoorbeeld door alsnog Shield Platform Encryption toe te passen of het veld te elimineren), staat de claim als technisch correct. De omissie verdwijnt niet retrospectief. |
| Restonzekerheid | Wie deze specifieke ontwerpkeuze heeft gemaakt (Atos/Profit4SF in het T-Mobile NL-tijdperk, 2ManyDigits in het Odido-tijdperk, een eerdere interne T-Mobile NL-architect) is publiek niet vastgesteld. Dit beïnvloedt de attributie van de fout, niet de classificatie van Odido’s communicatie erover. |
A8. Claim: geen ID-scans gelekt
| Element | Inhoud |
|---|---|
| Odido-formulering | “Geen identiteitsbewijs-scans, geen call records, geen locatiegegevens gelekt.”, wel: ID-nummers (paspoort, rijbewijs). |
| Bron | Odido veiligheidspagina; State of Surveillance: https://stateofsurveillance.org/news/odido-netherlands-breach-6-million-customers-2026/ |
| Bewijspunt 1 | DNS-verificatie: idnow.odido.nl en idnow-np.odido.nl resolveren naar IDnow GmbH-infrastructuur (Duitsland). IDnow is een externe KYC-leverancier; documentscans blijven op IDnow’s infrastructuur en worden niet naar Odido teruggestuurd. |
| Bewijspunt 2 | IDnow API-documentatie (publiek): de KYC-flow retourneert resultaat-data (documentnummer, nationaliteit, geldigheidsdatum) maar niet de fysieke scans van het document. |
| Bewijspunt 3 | De inhoud van het lek bevestigt dit: ID-nummers en rijbewijsnummers in tekstvorm aanwezig, geen scan-bestanden. |
| Classificatie | Staat overeind |
| Motivering | De architectuur is correct beschreven: KYC-scans bij IDnow, alleen resultaat-data in Salesforce. De claim is technisch en empirisch onderbouwd. |
| Wat zou de classificatie veranderen | Als blijkt dat Odido ergens in een eigen archief (BSS, SAP, ServiceNow, fileshares) toch scans heeft bewaard, kan dat publiek worden gemaakt. Dat raakt niet de Salesforce-lek, maar zou wel een separate retentie-vraag opwerpen. |
| Restonzekerheid | Wat IDnow op zijn eigen infrastructuur bewaart, en hoe lang, is publiek niet bekend. Een hypothetische IDnow-breach zou andere consequenties hebben. |
A9. Claim: we wisten niet dat klantnotities erbij zaten
| Element | Inhoud |
|---|---|
| Odido-formulering | “Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen. Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen.” (na NOS-publicatie van klantnotities) |
| Bron | Security.NL: https://www.security.nl/posting/926168/ |
| Bewijspunt 1 | Hart van Nederland en NOS publiceerden gevoelige klantnotities uit de dump: bewindvoering (128 van 10.000 geanalyseerde records), gedragsobservaties (“Klant lijkt onder invloed te zijn”, “Ex heeft zich voorgedaan als contractant”), betaalafspraken. https://www.hartvannederland.nl/112/crime/artikelen/odido-hack-gevoelige-klantnotities-shinyhunters-datalek |
| Bewijspunt 2 | Salesforce Field Audit Trail en Event Monitoring (premium Shield-features) maken query-level reconstructie mogelijk: welke records en velden zijn door welke connected app uitgelezen. https://www.auditforce.cloud/blog/salesforce-setup-audit-trail-guide |
| Bewijspunt 3 | Volgens Odidoviewer-tool zit deze klantcontact-historie in een custom long-text-veld genaamd SObjectLog__c met communicatie-history tot 2019. https://github.com/zerneo85/Odidoviewer |
| Classificatie | Onbedoelde onthulling |
| Motivering | Odido’s eigen mededeling dat zij niet wisten dat klantnotities erbij zaten, bevestigt impliciet dat query-level audit logging op SObjectLog__c afwezig was. Een Salesforce-org met goede logging weet binnen uren wat is uitgelezen. |
| Wat zou de classificatie veranderen | Als Odido aantoont dat zij wel degelijk de logs had en de NOS-publicatie alleen het tempo van bekendmaking versnelde, verschuift dit. Onwaarschijnlijk gegeven Odido’s formulering. |
| Restonzekerheid | Of Salesforce Shield (waaronder Event Monitoring en Field Audit Trail vallen) in licentie was bij Odido is publiek niet bekend. Uit deze onthulling volgt dat het effectief niet werd gebruikt voor dit veld. |
A10. Claim: we onderzoeken of we te lang bewaarden
| Element | Inhoud |
|---|---|
| Odido-formulering | “We onderzoeken of we gegevens te lang hebben bewaard”, gepresenteerd als open vraag na NOS-publicatie over 16 jaar oude data. |
| Bron | NOS: https://nos.nl/artikel/2602804 ; ICT Magazine: https://www.ictmagazine.nl/nieuws/odido-bewaart-klantdata-langer-dan-beleid-toestaat/ ; RD/ANP: https://www.rd.nl/artikel/1139180-odido-onderzoekt-of-het-gegevens-te-lang-bewaarde |
| Bewijspunt 1 | RDI-boetebesluit 18 maart 2024: €175.000 (initieel €400.000) voor over-retentie van verkeers- en locatiegegevens van 2,5 tot 4,5 miljoen abonnees, gebruikt voor CBS-bewegingsalgoritme 2018-2019. Dezelfde regelgevingsklasse, twee jaar eerder. |
| Bewijspunt 2 | AP en RDI hebben officieel een gezamenlijk onderzoek lopen, waarbij AP zich richt op de bewaartermijnen onder AVG en RDI op de technische beveiliging onder de Telecommunicatiewet en Rvit. |
| Bewijspunt 3 | De gepubliceerde dump bevat data van ex-klanten tot 16 jaar geleden, bevestigd door RTL Nieuws en NOS. Odido’s eigen privacystatement schrijft maximaal twee jaar bewaartermijn voor inactieve klanten. |
| Classificatie | Materiële omissie |
| Motivering | Odido presenteert de retentie-vraag als open onderzoek na deze breach, terwijl het patroon regulator-gedocumenteerd is via de RDI-boete van 2024. De huidige zaak is de tweede toezichthouder-relevante retentie-overtreding, geen nieuwe vraag. |
| Wat zou de classificatie verzachten | Als Odido publiek de samenhang tussen de RDI-boete van 2024 en de huidige retentie-vraag erkent, en aangeeft welke structurele veranderingen sindsdien wel of niet zijn doorgevoerd, verschuift dit. Publiek is dat nu niet gedaan. |
| Restonzekerheid | Of de over-retentie van de 2024-zaak (verkeers-/locatiegegevens) en de over-retentie van de 2026-zaak (CRM-data) dezelfde onderliggende oorzaak hebben, bijvoorbeeld een gebrek aan organisatorische dataclassificatie of data-lifecycle-management, is publiek niet vastgesteld. |
A11 t/m A16. Substantiële omissies
Naast de tien expliciete claims zijn er zes onderwerpen waarover Odido publiek niets heeft gezegd, terwijl publieke bronnen daar wel feiten over leveren.
A11. De tweede actieve Salesforce-org in de Verenigde Staten. Verifieerbaar via passieve DNS: t-mobile.my.salesforce.com resolved naar na238-ia7.ia7.r.salesforce.com, een Salesforce-instance in Iowa (VS) onder de SFDC-3-pool. Tweeënhalf jaar na de rebrand van T-Mobile NL naar Odido (5 september 2023) draait deze legacy-org nog. Wat erin zit, voor welke betrokkenen, onder welk verwerkersregister of welk doel, is publiek niet bekend. Odido benoemt het bestaan in geen enkele communicatie. Bron: passieve DNS-resolutie en Salesforce-instance-naming. Relevantie: directe Schrems II-vraag voor data van NL-betrokkenen die mogelijk nog in deze US-org leeft.
A12. De Salesforce-waarschuwing van 30 januari 2026. Vijf dagen vóór Odido’s eigen aanvalsdatering publiceerde Salesforce een advisory over vishing op klantenservice-medewerkers en malafide Data Loader-connected apps. Andere Nederlandse Salesforce-klanten trainden hun personeel op deze advisory. Odido benoemt deze advisory niet in publieke communicatie. Bron: Salesforce blog/advisory, Security.NL, ITdaily, NOS. Relevantie: De foreseeability van de aanval was geformaliseerd door de eigen leverancier.
A13. Het KLM-precedent. Een Nederlandse peer-organisatie werd in 2025 met dezelfde methode getroffen. Dit is gedocumenteerd in Huntress’ threat library en in vakpers. Odido benoemt dit niet. Relevantie: De aanval is binnen het Nederlandse bedrijfsleven al voorgekomen, met dezelfde dadergroep en methode.
A14. Het RDI-rapport van 17 oktober 2025. Boete van €1.518.750 voor onveilig aftapsysteem (periode 2021-2022): geen beveiligingsplan, ongescreend personeel zonder VOG en geheimhoudingsverklaring, leveranciers met digitale toegang tot staatsgeheime en strafrechtelijke data. Vier maanden vóór de Salesforce-breach legde RDI exact hetzelfde toegangs- en screening-patroon vast. Odido verwijst niet naar dit rapport. Relevantie: Het organisatorische patroon dat de Salesforce-breach mogelijk maakte was vier maanden eerder al door een Nederlandse toezichthouder vastgesteld.
A15. De ingetrokken IPO van 9 februari 2026. Officiële reden: “lauwe interesse, KPN-vergelijking, marktvolatiliteit”. Drie dagen ná Odido’s eigen aanvalsdatering (5-8 februari) en drie dagen vóór publieke disclosure van het lek (12 februari). Wat Odido in die periode aan begeleidende banken (Barclays, Goldman Sachs, Morgan Stanley) en aan de AFM heeft gemeld over de breach is publiek niet gedocumenteerd. Relevantie: Een open vraag voor effectenrecht en investor disclosure-verplichtingen, te onderzoeken via AFM en de banken.
A16. De twaalf-leveranciers-stack. Verifieerbaar via DNS- en whois-onderzoek zijn de volgende onafhankelijke leveranciers in de keten van Odido’s klantdata: drie Salesforce-endpoints (odido.my.salesforce.com EU, t-mobile.my.salesforce.com VS, business.odido.nl Frankfurt), Infonova/Beyond Now BSS, SAP ERP, ServiceNow ITSM, IDnow KYC (DE), Odido’s eigen indetel BSS voor SSO/portaal (NL), Tyk API-gateway op AWS Frankfurt, inSided/Gainsight communities, Selligent/Marigold mail (BE), Google chatbot, Cloudflare web. Plus Atos/Eviden/Profit4SF en 2ManyDigits als architectuurleveranciers. Odido beschrijft de keten in de publieke communicatie nooit. Relevantie: Elk van deze koppelingen heeft een eigen aanvalsoppervlak en eigen verwerkers-verantwoordelijkheid. Vendor sprawl als AVG-vraagstuk.
A17. Methodologische beperkingen
Wat publieke OSINT niet kan beantwoorden. Vier kernvragen vallen buiten het bereik van passieve, openbare bronnen en alleen te beantwoorden via OM/AP/RDI-vorderingen aan Salesforce, Atos, Eviden, 2ManyDigits, Wipro, Infonova en Marigold: (a) wanneer is de malafide connected app voor het eerst geautoriseerd in de Odido-productie-org, (b) was Salesforce Shield (Platform Encryption, Event Monitoring, Field Audit Trail) in licentie en geactiveerd, (c) was de gecompromitteerde omgeving productie of een Full Copy sandbox of beide, en (d) welke residuele service-accounts of OAuth-tokens van ex-leveranciers waren nog actief op 5 februari 2026.
Wat in deze bijlage geen evaluatie heeft gekregen. Junior-namen van consultants, agents, QA-testers en specifieke individuen worden niet behandeld, ook waar publiek beschikbaar. Attributie van architectuurkeuzes aan specifieke personen (zoals de password_c-ontwerpkeuze) is in deze bijlage bewust op leverancier-niveau gehouden en niet verder verfijnd, om juridische zorgvuldigheid te respecteren.
Wat als hypothese is gemarkeerd en niet als feit. De suggestie dat de aanvaller maanden of jaren toegang had vóór de exfiltratie-trigger, en de samenstelling van het verschil tussen 6,2 miljoen actieve accounts en 8 miljoen unieke personen, zijn in deze bijlage expliciet als hypothese behandeld en niet als feit gepresenteerd.
A18. Bronnen-kwaliteitsoverzicht
| Categorie | Bronnen | Kwaliteit |
|---|---|---|
| Primaire Odido-communicatie | odido.nl/veiligheid, CEO-videoverklaring, klantmails, community-forum | Direct, geverifieerd |
| Salesforce-bronnen | Security advisory 30 januari 2026, naming-convention documentatie, Shield Platform Encryption guide | Primair, leverancier |
| Toezichthouders | RDI-boetebesluit maart 2024, RDI-boetebesluit oktober 2025, AP+RDI gezamenlijk onderzoek | Primair, regulator |
| Cybersecurity-experts | Google GTIG (UNC6040), Huntress (ShinyHunters profile), Varonis (Experience Cloud), Forrester (Odido-analyse), DIVD-2026-00005 | Primair, vakexpert |
| Persverslaglegging | NOS, NRC, RTL Nieuws, Bleeping Computer, ITdaily, Computable, Security.NL, ICT Magazine, Hart van Nederland, Reformatorisch Dagblad | Secundair, journalistiek |
| Forensische tooling | GitHub zerneo85/Odidoviewer en forks (datastructuur dump) | Onafhankelijke reconstructie, te markeren als zodanig |
| Infrastructuur-verificatie | Passieve DNS via dig, reverse-DNS, RIPE WHOIS, BGPView |
Primair, technisch |
| Tijdlijn-reconstructie | Filip Danić, CUIC, Totaal TV | Secundair, onafhankelijk |
| Wikipedia | Engelstalig Odido-artikel | Tertiair, gecorroboreerd via vermelde primaire bronnen |
Geen anonieme bronnen, geen onbevestigde vermoedens, geen speculatieve attributies aan personen. Waar attributie alleen door een toezichthouder of OM kan worden gemaakt, is dat in deze bijlage expliciet zo gelaten.
Einde Bijlage A. De samengevatte analyse staat in de hoofdtekst hierboven; de visuele samenvatting is de infographic bovenaan dit dossier.
Bronnen
-
Odido, Update over de cyberaanval, odido.nl/veiligheid. https://www.odido.nl/veiligheid ↩↩↩↩↩↩↩
-
ICT Magazine, Odido-CEO legt uit waarom provider geen losgeld betaalde (videoverklaring Søren Abildgaard, 24 februari 2026). https://www.ictmagazine.nl/nieuws/odido-ceo-legt-uit-waarom-provider-geen-losgeld-betaalde/ ↩↩↩↩
-
Wikipedia, Odido, sectie 2026 hacking incident. https://en.wikipedia.org/wiki/Odido ↩
-
Totaal TV, Odido massaclaim datalek richting half miljoen gedupeerden (CUIC-tijdlijn). https://www.totaaltv.nl/nieuws/odido-massaclaim-datalek-richting-half-miljoen-gedupeerden/ ↩↩
-
Security.NL, ‘Salesforce-omgeving Odido gehackt via phishing en social engineering’, verwijst naar Salesforce-advisory van 30 januari 2026. https://www.security.nl/posting/924633/ ↩↩↩
-
ITdaily.com, Salesforce warned of hacking method used in Odido breach. https://itdaily.com/news/security/salesforce-warned-odido-breach/ ↩↩
-
Varonis, Abusing Misconfigured Salesforce Experiences for Recon and Data Theft. https://www.varonis.com/blog/misconfigured-salesforce-experiences ↩
-
Huntress, ShinyHunters Threat Actor Profile: TTPs, IoCs & Attacks. https://www.huntress.com/threat-library/threat-actors/shinyhunters ↩↩↩
-
CCInfo.nl, ShinyHunters publiceert gestolen Odido data op het darkweb. https://www.ccinfo.nl/bibliotheek/datalek-gegevensdiefstal/3031247_shinyhunters-publiceert-gestolen-odido-data-dit-is-jullie-schuld ↩
-
NOS, Odido betaalt geen losgeld, criminelen publiceren deel gestolen klantgegevens (26 februari 2026). https://nos.nl/artikel/2604072 ↩↩
-
NOS, Toeleverancier Odido waarschuwde voor gebruikte hackmethode (27 februari 2026). https://nos.nl/artikel/2604265 ↩↩
-
Salesforce Ben, Odido Salesforce Hack: Up to 6M Customers’ Data at Risk. https://www.salesforceben.com/odido-salesforce-hack-up-to-6m-customers-data-at-risk/ ↩↩
-
NCTV/NCSC, Cybersecurity Beeld Nederland 2025 (december 2025), tracking van ShinyHunters/Scattered Spider. https://www.nctv.nl/onderwerpen/csbn ↩
-
Forrester analyse Odido-incident (via NOS en internationale persverslaglegging), karakterisering als “governance thriller” met default-controls en monitoring die data pulls niet detecteerde. ↩
-
Bleeping Computer, Odido data breach exposes personal info of 6.2 million customers (12 februari 2026). https://www.bleepingcomputer.com/news/security/odido-data-breach-exposes-personal-info-of-62-million-customers/ ↩↩
-
NOS, Cybercriminelen dreigen met publiceren gestolen data Odido. https://nos.nl/artikel/2603784 ↩
-
Filip Danić, Odido Hack 2026: Full Timeline and Analysis. https://danicfilip.com/blog/odido-hack-2026-full-timeline-and-analysis/ ↩
-
State of Surveillance, Dutch Telecom Giant Odido Breach Hits 6.2 Million. https://stateofsurveillance.org/news/odido-netherlands-breach-6-million-customers-2026/ ↩↩
-
Computable.nl, Hackers dreigen Odido-data te lekken als losgeld uitblijft (24 februari 2026). https://www.computable.nl/2026/02/24/hackers-dreigen-odido%E2%80%91data-te-lekken-als-losgeld-uitblijft/ ↩
-
NOS, ‘Odido overschrijdt eigen termijn bewaren gegevens’ (17 februari 2026). https://nos.nl/artikel/2602804 ↩↩
-
ICT Magazine, Odido bewaart klantdata langer dan beleid toestaat (16 maart 2026). https://www.ictmagazine.nl/nieuws/odido-bewaart-klantdata-langer-dan-beleid-toestaat/ ↩↩
-
Reformatorisch Dagblad / ANP, Odido onderzoekt of het gegevens te lang bewaarde. https://www.rd.nl/artikel/1139180-odido-onderzoekt-of-het-gegevens-te-lang-bewaarde ↩↩
-
BGPView / RIPE WHOIS, 82.172.0.0/14 NL-ODIDO-20030929, Odido Netherlands B.V., Waldorpstraat 60 Den Haag. https://bgpview.io/prefix/82.172.0.0/14 ↩
-
Odido community forum, Wel of geen wachtwoorden gelekt? https://community.odido.nl/algemeen-490/wel-of-geen-wachtwoorden-gelekt-383603 ↩
-
Security.NL, Odido meldt diefstal van aanvullende gegevens uit klantcontactsysteem. https://www.security.nl/posting/926168/ ↩↩
-
Salesforce Developer Documentation, Custom Field Naming Conventions, alle custom fields op standaard-objecten dragen het suffix
__c. ↩ -
Salesforce, Shield Platform Encryption Implementation Guide. https://help.salesforce.com/s/articleView?id=sf.security_pe_overview.htm ↩
-
Hart van Nederland, ‘Ook geheime klantnotities Odido in handen hackers na megadatalek’. https://www.hartvannederland.nl/112/crime/artikelen/odido-hack-gevoelige-klantnotities-shinyhunters-datalek ↩
-
AuditForce, Salesforce Setup Audit Trail: The Complete Admin Guide. https://www.auditforce.cloud/blog/salesforce-setup-audit-trail-guide ↩↩
-
Gearset, Salesforce Audit Trail and Field History Tracking complete setup guide. https://gearset.com/blog/salesforce-audit-trail/ ↩↩
-
GitHub zerneo85/Odidoviewer (en forks Satudarah/odidoviewer, datasafari-org). Documenteert datastructuur van de gepubliceerde dump: 257 velden per Account,
vlocity_cmt__BillingEmailAddress__c,SObjectLog__c,Account.Source = 'Migration'. https://github.com/zerneo85/Odidoviewer ↩↩ -
RDI-boete €175.000 (initieel €400.000), 18 maart 2024, Odido over-retentie verkeers- en locatiegegevens CBS-bewegingsalgoritme 2018-2019. ↩
-
RDI-boete €1.518.750, 17 oktober 2025, Odido onveilig aftapsysteem 2021-2022: ongescreend personeel, leveranciers met digitale toegang tot staatsgeheime/strafrechtelijke data. ↩
-
Autoriteit Persoonsgegevens en Rijksinspectie Digitale Infrastructuur, gezamenlijk onderzoek Odido-datalek 2026, grondslagen AVG + Telecommunicatiewet + Rvit. ↩
-
Persberichtgeving 9 februari 2026 over ingetrokken IPO Odido (verwacht ~€1 mld opbrengst, banken Barclays, Goldman Sachs, Morgan Stanley), officiële reden marktvolatiliteit. ↩
-
OSINT-onderzoek via passieve DNS-resolutie en reverse-DNS op de Odido-, T-Mobile- en Ben-subdomeinen (
dig,host, RIPE-whois). Volledige leverancierskaart gepubliceerd in het hoofdrapport. ↩↩ -
Eviden, Delivering a large-scale Salesforce solution for T-Mobile Netherlands, client story met citaat van Cristina Petcu, Director IT T-Mobile Netherlands. https://eviden.com/insights/client-stories/enhanced-customer-experience-with-salesforce-solutions-for-t-mobile/ ↩
-
LinkedIn, 2ManyDigits + Jochem van den Heuvel “Domain Architect Salesforce at Odido Nederland”. https://www.linkedin.com/posts/2manydigits_2manydigits-salesforce-innovation-activity-6718856021839814656-B0rD ↩