NOS stelt dat datalek is ontstaan bij buitenlandse callcenters van Odido

Afgelopen donderdag, 12 februari heeft Odido haar klanten geïnformeerd dat het bedrijf getroffen is door een cyberaanval waarbij ‘gegevens van klanten zijn geraakt’. Op de website van Odido wordt gemeld dat de gelekte data verschilt per klant maar dat het gaat om persoonsgegevens zoals naam, contactgegevens, geboortedatum, klantnummers en daarnaast ook emailadres, bankrekeningnummer en nummers van identiteitsbewijzen en geldigheidsdatum, van klanten van zowel Odido als van dochtermerk Ben.

Eén van de grootste datalekken ooit

Klantenservicemedewerkers geraakt

Odido meldt dat het lek is ontstaan door ongeautoriseerde toegang tot een klantcontactsysteem. De NOS geeft afgelopen vrijdag meer achtergrondinformatie. De hack bij Odido zou plaats hebben gevonden doordat aanvallers individuele klantenservicemedewerkers wisten te raken met phishingaanvallen. Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt, aldus de NOS. De NOS geeft daarbij aan zich te baseren op bronnen.

Na het stelen van wachtwoorden wisten de criminelen zich tegenover de klantenservicemedewerkers succesvol voor te doen als ICT’ers van Odido. Daardoor konden ze de tweetrapsverificatie omzeilen. Op die manier was het mogelijk om in de Salesforce-omgeving terecht te komen die Odido gebruikt voor klantregistraties. Daaruit konden de criminelen gegevens downloaden.

Geruchten en speculaties over welk callcenter

Vanaf het bericht van NOS gonst het in klantcontactland van de geruchten bij welk door de NOS genoemd ‘extern buitenlands callcenters’ het datalek zou zijn ontstaan.

Meerdere bronnen melden ons echter dat het lek niet bij de door Ziptone genoemde partijen is ontstaan maar ergens anders.

Datalekken bij externe contact centers komen vaker voor

In het recente verleden zijn meer gevallen bekend van datalekken bij facilitaire contact centers na cyberaanvallen.

In juli 2025 meldde de Australische luchtvaartmaatschappij Quantas dat veel klantgegevens gestolen waren bij een cyberaanval op een callcenter. Persoonsgegevens van creditcardhouders van de State Bank of India lagen in augustus 2025 op straat na een datalek bij een Teleperformance vestiging in India. Vorige week nog meldde Volvo Group in Noord Amerika dat klantgegevens bloot waren komen te liggen bij een hack bij Conduent.

BPO- en callcenter-omgevingen zijn vanwege hun grote hoeveelheden gevoelige klantgegevens aantrekkelijke doelen voor cybercriminelen. Incidenten kunnen variëren van:
• Directe hacks van systemen of netwerken
• Interne datalekken via medewerkers of insiders
• Social engineering / phishing waarmee toegang wordt verkregen
• Incidenten via derde-partij platforms die door callcenters worden gebruikt

Daarom zetten veel organisaties nu sterk in op cybersecurity-maatregelen voor BPO-providers zoals geavanceerde detectiesystemen en strengere toegangscontroles.

Welke lessen zijn hieruit te trekken?

Zelfs als er op papier een nagenoeg perfect securitybeleid worden gehanteerd, blijft het belangrijk om te beseffen dat de menselijke factor de zwakste schakel kan zijn, zeker in een klantcontact operatie.

Security awareness-trainingen kunnen helpen om het aantal geslaagde phishingpogingen te verminderen, maar zijn niet genoeg. Er kan altijd een medewerker vatbaar zijn voor de criminele praktijken van kwaadwillenden. Organisaties moeten eerder kijken naar de afscherming van data en niet alleen naar het personeel, juist omdat de mens nu eenmaal kan worden misleid.

Wat doet jouw organisatie om te voorkomen dat jullie klantenservice medewerkers worden misleid door criminelen?

Autoriteit Consument & Markt waarschuwt voor nepnummers