Odido-datalek: Forensische analyse onthult 17 miljoen records via supply-chain kwetsbaarheid

Wat er gebeurde

Telecombedrijf Odido (voorheen T-Mobile Nederland) heeft bevestigd dat een datalek via een supply-chain partner heeft geleid tot de blootstelling van 17 miljoen klantrecords. De aanval werd ontdekt op 18 april 2026 door het interne SOC-team.

Technische analyse

De aanvallers exploiteerden een kwetsbaarheid in een API-koppeling met een externe marketingpartner. Via deze koppeling kregen zij toegang tot klantgegevens inclusief namen, adressen, telefoonnummers en contractdetails. Er zijn geen financiële gegevens of wachtwoorden gecompromitteerd.

NIS2-implicaties

Dit incident valt onder de verscherpte meldplicht van NIS2. Odido was verplicht binnen 24 uur een eerste melding te doen bij het NCSC en de AP. De vraag is nu of hun supply-chain risicomanagement voldeed aan de NIS2-vereisten — zo niet, kunnen boetes oplopen tot 2% van de wereldwijde omzet.

Lessen voor uw organisatie

Supply-chain aanvallen zijn in 2026 de primaire aanvalsvector voor Nederlandse telecombedrijven. Controleer uw API-koppelingen met externe partners, implementeer zero-trust principes op alle datakoppelingen, en zorg dat uw incidentresponsplan specifiek supply-chain scenario's adresseert.

Odido-datalek: Forensische analyse onthult 17 miljoen records via supply-chain kwetsbaarheid

Wat er gebeurde

Technische analyse

NIS2-implicaties

Lessen voor uw organisatie

Gerelateerde Intelligence Briefs

Uw directie stond op de lijst — wat het Odido-lek onthult over uw eigen datakluis

Waarom 'Check Don't Store' het Nederlandse privacybeleid fundamenteel verandert

Uw leverancier werd gehackt — en u merkte het pas toen uw operatie stilstond

Elke brief in uw inbox