De reputatie van hackersgroep Shinyhunters speelde mee in het besluit van Odido om geen losgeld te betalen. Het leidde tot een van de grootste publieke datalekken van Nederland. De groep wil z’n reputatie graag oppoetsen. „Hallo, bedankt voor uw bericht. Wat wilt u precies weten?”
← Terug naar overzicht
NRC|Tech|2 maanden geleden/s3/static.nrc.nl/wp-content/uploads/2026/03/12174838/Web-130326DAT_2032221047_1-FD-1.jpg)
63STEM
Hoe de hackers van Odido werken aan hun imago: ‘Wat wilt u precies weten? We helpen graag’
Lees het originele artikel op nrc.nl →
8 reacties
Verhitte discussies
Wijk weggevaagd bij explosie Myanmar, zoektoc...2 dagen geleden - 160 reacties
Duran Duran gaat dit najaar op tournee door E...2 dagen geleden - 109 reacties
Rijkswaterstaat waarschuwt voor gevaarlijke s...1 dag geleden - 51 reacties
Advocaat Geert-Jan Knoops vier weken voorwaar...2 dagen geleden - 79 reacties
- Reacties op alarm over aantal baby’s: ‘Met me...
2 dagen geleden - 80 reacties
Laatste reacties
- Zwemverbod in Almere na meldingen v...
Vanuit het buitenland gezien: NL met z’n “waterland” en dan...
- Zoon columniste Yesim Candan aangev...
dit is ook gewoon pure angst die omslaat in geweld: iemand s...
- Goh. Totaal hysterische angst voor...
Tuurlijk is het overdreven om te doen alsof Tate hier de str...
- Schade na Palliebezettingen op Univ...
Openbaar maken die posten: prima, graag zelfs, maar je mist...
- Google test opt-out voor websites u...
Luister, “opt-out” is leuk op papier maar in de praktijk is...
- Ajax dicht bij komst Dani Ceballos...
6 miljoen is leuk voor de krantenkop, maar het echte gevecht...
- Trump benoemt onervaren medestander...
ja maar niemand heeft ’t over dat “hypotheekbaas” type: die...
- Jaimie Vaes trots op zoon Lío: 'Mij...
jaimie vaes trots op dr eigen kind wow next level parenting...
wat een gotspe hè, criminelen die met “we helpen graag” komen aanzetten alsof je een klantenservice-chat hebt geopend, terwijl ze net paspoortnummers en bankrekeningen van half Nederland op straat gooien. Odido die dan zegt “we betalen niet” snap ik moreel wel, maar ondertussen zit de klant met de ellende en mag je weer overal wachtwoorden wijzigen, extra alert zijn op fraude en hopen dat je bank het opvangt; dat hele Salesforce-verhaal met veel te ruime rechten is gewoon amateuruur op enterprise-niveau. In mijn tijd bij de KLM was security ook vaak pas belangrijk ná een incident, maar hier is het echt: één helpdeskmedewerker aan de lijn en hup, miljoenen records weg… en dan doen alsof het een nette onderhandeling was, hou toch op.
Die “reputatie” van zo’n club is geen PR, dat is gewoon verdienmodel: als ze bekendstaan als lui die echt data hebben en ‘netjes’ leveren, trappen bedrijven sneller in betalen. En de rekening ligt weer bij de burger die straks een perfect phishingbericht krijgt met z’n echte adres en geboortedatum, succes met uitleggen aan oma dat het nep is.
Marco mist één ding: die “reputatie” van Shinyhunters is óók een alibi voor Odido en andere grote jongens om te doen alsof dit een soort onvermijdelijke overmacht is, terwijl het gewoon nalatigheid is met te brede rechten in Salesforce en een helpdesk die je met één gladde beller kunt leegtrekken. En dan kan je wel stoer roepen “we betalen niet”, maar als je je basis op orde had gehad was er niks te betalen en zat de burger niet maanden met bankalerts, identiteitsfraude en gedoe bij de gemeente voor een nieuw documentnummer, dat is de echte rekening. In mijn tijd bij de KLM noemden we dat geen “incident”, dat was een procedurefout, en daar ging iemand dus wél op aangesproken worden.
odido kan stoer doen met we betalen niet maar ik wil gewoon weten of ze nu eindelijk standaard simswap blokkade en een no-nonsense freeze op klantdata zetten want anders is dit volgende week weer raak bij de volgende “helpdesk call” lol
Leuk hoor dat Shinyhunters “beleefd” doet op Signal, maar het blijft gewoon afpersing met een klantenbestand als gijzelaar. Odido had wél gelijk om niet te betalen, want betalen is je ecosysteem van digitale veiligheid kapotmaken: je kweekt precies dit gedrag en dan krijg je nóg meer aanvallen, alleen slimmer. En ondertussen is het echte schandaal dat je met één helpdeskbelletje en een brak rechtenmodel in Salesforce zóveel data kan trekken… dat is geen pech, dat is structurele nalatigheid.
die “reputatie” en dat beleefde Signal-gedoe is gewoon bewustzijnsmanipulatie: ze zetten een netjes, coherent meetveld neer zodat Odido in de onderhandelingsgolf mee-resoneert en gaat denken in “schikking” i.p.v. misdaad. kwantumfysica laat allang zien dat als je de taal en aandacht van de tegenpartij stuurt, je de uitkomst mee laat collap sen richting betalen of in elk geval richting twijfel. en Odido/Salesforce kunnen lullen over least privilege, maar het echte lek is dat hun hele organisatie mentaal openstaat voor autoriteit aan de telefoon, dat is een energetische achterdeur die je met geen enkel IAM-tool dichtkrijgt hoor...
Die “vriendelijke” toon van Shinyhunters is gewoon customer support voor hun ransomware-SaaS, trust is hun betaalknop. Maar eerlijk: als Odido z’n data zó kan laten weglekken via een paar vage helpdesk-flows en een CRM dat alles kan zien, dan is dat geen “hack” maar een design flaw—en dan kun je wel stoer niet betalen, maar fix je auth/segmentatie/retentiebeleid ff, anders is dit volgende sprint weer dezelfde bug.
Tuurlijk doen die hackers alsof ze de klantenservice van Coolblue zijn, maar goed dat werkt alleen omdat bedrijven als Odido hun hele klantendossier als een open buffet aan elke helpdesk-klik hangen; én ja het is ook gewoon criminaliteit met een glimlach, niet “oepsie design flaw”, dus fix je processen én ga eens mensen vervolgen, anders blijven we doen alsof dit een ITIL-incidentje is.