<Wat is er feitelijk gebeurd>

In het weekend van 7–8 februari 2026 kregen criminelen toegang tot interne systemen van Odido. De ingang was geen zero‑day of superhack. Het begon met social engineering (Social engineering is wanneer iemand je voor de gek houdt zodat jij zelf de deur openzet die eigenlijk dicht had moeten blijven.) op medewerkers van externe callcenters. Mensen werden misleid en gaven informatie of toegang weg.

Daarna konden de aanvallers klantdata kopiëren van in totaal zo’n 6–6,2 miljoen accounts. Volgens sommige externe bronnen claimden de hackers zelfs 10 miljoen accounts.

Odido besloot vervolgens geen losgeld te betalen, waarna de groep alle data publiceerde, eerst op het dark web en later ook op open internet.

Dat is de kern.
De doorbraak kwam door mensen, niet door techniek.

<Waarom dit organisaties>

Het lek laat zien hoe groot de impact is als één schakel breekt. Niet door een directe IT‑kwetsbaarheid, maar door menselijke factoren in de keten.

Bedrijven zien hierdoor drie inzichten:

A. Je bent zo sterk als de zwakste leverancier: In dit geval: externe callcenters. Veel organisaties hebben ook servicepartners, IT‑partners, backoffices, HR‑verwerkers, cloudleveranciers, enz.

B. Social engineering werkt nog steeds pijnlijk goed: Odido is een grote speler met volwassen security en toch lukt het via mensen. Dat triggert de vraag: hoe bestand zijn onze eigen teams?

C. De schaal van het lek laat zien dat dataverzameling risico’s vergroot: Hoe meer data je bewaart, hoe groter de impact van één fout of misleiding.

<Wat kun jij als organisatie>

Dit gaat niet over misbruik van Odido‑data. Dit gaat over: kan dit ook bij ons gebeuren?

Hier zijn de praktische checks die je vandaag al kunt doen.

<Test je menselijke weerstand>

Voer een social engineering‑simulatie uit. Niet alleen phishing, maar ook:

• telefoonsimulatie
• WhatsApp‑fraude‑simulatie
• valse interne verzoeken

Het Odido‑incident begon net zo: via misleiding van mensen.

Leg de lat simpel: één vraag: “Kun jij iemand verleiden tot toegang of informatie die je niet mag hebben?”
Als het antwoord (waarschijnlijk) ja is, heb je direct verbeterpunten.

<Check je>

Stel jezelf drie vragen:

1. Welke systemen of data zijn toegankelijk via leveranciers?
2. Hoe verifieert zo’n leverancier wie mag inloggen, bellen of wijzigingen doorgeven?
3. Hebben ze multi‑factor‑procedures, of puur vertrouwen op informatie van de beller?

De aanval bij Odido begon bij een externe partij. Niet bij hun eigen netwerk. Dat maakt dit onderdeel extra belangrijk.

<Doe een>

Kijk naar wie er toegang heeft tot:

• HR‑systemen
• CRM
• klantdossiers
• financiële mutaties
• supportomgevingen

Stel hier maar één vraag bij: “Wat kan iemand in onze organisatie met te veel toegang aanrichten als hij misleid wordt?”

Dit is precies waar het bij Odido misging: te brede toegang via menselijke ingangen.

<Hercheck je>

Veel processen vertrouwen op “informatie die alleen wij weten”. Maar in het Odido‑geval kwam die informatie in handen van criminelen terecht.

Dat betekent: Als jouw organisatie vertrouwt op persoonsgegevens als verificatie, is dat een kwetsbaarheid.

Test dit door:

• interne helpdesks te laten doorvragen
• beveiligde kanalen verplicht te maken
• geen wijzigingen uit te voeren op basis van een enkele vraag of telefoontje

<Test je>

Stel een realistische scenario‑test op: “Een aanvaller heeft via social engineering toegang gekregen tot een medewerkeraccount. Hoe lang duurt het voor we dit merken?”

Dit is waar veel organisaties schrikken:

• geen logging
• geen monitoring
• geen alerts
• geen proces voor ‘rare activiteiten’

Een eenvoudige tabletop‑oefening laat dit direct zien.

<De belangrijkste>

Het Odido‑datalek is geen technisch verhaal. Het is een mens‑en‑procesverhaal.

En daarmee een wake‑up call die wél helpt:

• Je hoeft niet te wachten op nieuwe technologie.
• Je kunt vandaag al testen.
• De grootste risico’s zijn verrassend tastbaar.

Dit is het moment om je eigen organisatie te spiegelen aan wat er bij Odido misging niet om te oordelen, maar om te leren.

<Wil je weten hoe>

Laat ons een nulmeting uitvoeren. Geen dikke rapporten, geen aannames gewoon een heldere scan van je mensen, je processen en je keten.

Je weet binnen korte tijd:

• waar je staat,
• waar de kwetsbaarheden zitten,
• en welke stappen direct resultaat geven.

Wil je het zeker weten? Wij helpen je de realiteit te toetsen.

Bel 072 202 97 95 of mail info@brandaris.it. We plannen graag een kennismaking in Alkmaar, met koffie. Liever digitaal? Vul het contactformulier in, dan nemen we contact op.