De politie heeft sterke aanwijzingen dat Nederlandse criminelen achter de grote Odido-hack van begin februari zitten. Die conclusie steunt op een opgenomen telefoongesprek waarin een Nederlandssprekende oplichter zich voordeed als ict'er van Odido, maakte het onderzoeksteam in een tussentijdse update bekend.
Voor organisaties die klant zijn bij Odido of met een vergelijkbare telecom- of SaaS-leverancier werken, verschuift deze dader-aanwijzing de dreigingsinschatting. De inbraak begon niet met een technisch lek. De aanvaller praatte een klantenservicemedewerker de tweetrapscodes afhandig en drong daarmee de Salesforce-omgeving binnen waarin Odido zijn klantgegevens beheert. De zwakste schakel zat aan de balie, niet in de firewall.

De stem is van een echt mens
De politie liet de opname analyseren en concludeert dat er een echt, onvervormd mens spreekt. "We kunnen AI nooit helemaal uitsluiten, maar alles wijst op een Nederlander", aldus een rechercheur. De politie vraagt de man zich te melden en dreigt zijn stem openbaar te maken als hij dat binnen enkele weken niet doet. Ook zijn meerdere servers offline gehaald waarmee de daders de buitgemaakte data verspreidden. Het onderzoek duurt naar verwachting nog maanden.
Waarom de menselijke stem opvalt
In een eerdere FLOH-analyse van de Odido-inbreuk, waarbij 6,2 miljoen klantgegevens werden buitgemaakt, gold vishing met AI-gekloonde stemmen nog als het schrikbeeld voor de volgende aanvalsgolf. Deze zaak laat iets ongemakkelijkers zien: er was geen AI-truc nodig. Een gewone menselijke oplichter met een geloofwaardig verhaal was genoeg om een helpdesk voorbij de tweetrapsbeveiliging te praten.
Wat dit betekent voor je eigen organisatie
De aanwijzing verandert niets aan wat er al gelekt is, maar wel aan hoe je het risico inschat. Zolang een medewerker onder tijdsdruk een beller kan vertrouwen die klinkt als een collega, is je klantsysteem net zo kwetsbaar als je zwakste verificatie. Het kabinet werkt inmiddels aan een handelingskader dat voorschrijft wat organisaties na een groot datalek aan gedupeerden moeten communiceren, met de Odido-hack als directe aanleiding. Dat regelt de nasleep. De inbraak zelf voorkom je een stap eerder: bij de vraag wie zich telefonisch toegang tot je CRM of SaaS mag verschaffen, en hoe je dat controleert voordat er een code over de lijn gaat.
Dat de politie nu dreigt de stem van de dader vrij te geven, laat zien hoe weinig sporen er verder liggen. Voor organisaties zit de echte les niet in die stem, maar in de balie die hem geloofde.
Veelgestelde vragen
Veilig grip op je klantdata
Een datalek begint vaak bij de zwakke schakel tussen je systemen en de mensen die erbij kunnen. Ik denk mee, ontwerp en bouw de koppelingen en automatisering rond je klantdata, self-hosted waar dat kan, zodat jij bepaalt wie waarbij mag.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
