Hackers die bij telecombedrijf Odido toegang kregen tot de gegevens van meer dan zes miljoen mensen, wisten dit te bereiken doordat een medewerker van de klantenservice op een phishingsite inlogde. Hierdoor konden de aanvallers de inloggegevens van het account bemachtigen en toegang krijgen tot de werkomgeving.

Het gehackte account werd binnen een uur geblokkeerd, maar tegen die tijd waren de klantgegevens al gedownload, aldus Odido tegenover de NOS. Volgens chief commercial officer Tisha van Lammeren had Odido aanvankelijk niet door dat de persoonsgegevens waren buitgemaakt. Na ontdekking van het incident voerde Odido samen met een cybersecuritybedrijf een onderzoek uit, waarbij aanvankelijk werd geconcludeerd dat er geen data was gestolen. De melding van de criminele groep ShinyHunters op 7 februari dat zij klantgegevens hadden buitgemaakt, kwam dan ook als een verrassing.

Odido wilde niet ingaan op details van de aanval. Van Lammeren gaf aan dat het een combinatie was van een menselijke fout en de snelheid van de criminelen, waardoor de aanval onopgemerkt bleef. Pas nadat de gestolen data openbaar werd gemaakt, ontdekte Odido dat ook gegevens van zakelijke klanten waren betrokken. Volgens Van Lammeren was dit een ongekende aanval zonder draaiboeken, die onder hoge druk plaatsvond.

Op de eigen website publiceerde Odido een video waarin de CEO uitlegt waarom er geen losgeld is betaald om publicatie van de gestolen persoonsgegevens te voorkomen. Meer informatie over het incident is te vinden via NU.nl.