Wat we kunnen leren van de hack bij Odido

3 maart 2026

Een wake-up call voor identity security en CRM-systemen

Onlangs werd bekend dat telecomprovider Odido slachtoffer is geworden van een grote hack. Daarbij zijn klantgegevens buitgemaakt via een klantcontactsysteem. Het gaat om miljoenen records met onder andere namen, adressen en contactgegevens. Veel van onze klanten merkte dat hun gegevens ook bij de hack zaten.

Dit incident staat niet op zichzelf. Wereldwijd zien we een duidelijke toename van aanvallen op CRM-systemen en cloudomgevingen zoals Salesforce. Niet omdat die platformen “onveilig” zijn, maar omdat aanvallers steeds slimmer worden in het misbruiken van identiteiten.

Wat is er precies gebeurd? En belangrijker nog: wat kunnen we hiervan leren?

Wat is er gebeurd?

Bij dit soort incidenten ligt de oorzaak meestal niet bij een technisch lek in het platform zelf. In veel gevallen gaat het om een zogenoemd identity compromise.

Dat betekent dat aanvallers op een slimme manier inloggegevens of sessies van medewerkers weten te bemachtigen. Dit gebeurt vaak via:

Phishingmails
Valse inlogpagina’s
Social engineering (bijvoorbeeld nep-telefoontjes van “IT-support”)
Het kapen van actieve sessietokens

Zodra een aanvaller beschikt over geldige inloggegevens of een actieve sessie, kan hij vaak ongemerkt bij CRM-data komen. En juist daar zit gevoelige informatie.

Waarom zijn CRM-systemen zo aantrekkelijk?

Een CRM-systeem bevat vaak het kloppend hart van een organisatie. Denk aan:

Klantgegevens
Contacthistorie
Contractinformatie
Interne notities
Integraties met andere systemen

Voor cybercriminelen is dat goud waard. Met deze informatie kunnen ze:

Gerichte phishingcampagnes uitvoeren
Identiteitsfraude plegen
Bedrijven chanteren
Data doorverkopen

De schade is dan niet alleen technisch, maar ook juridisch en reputatiegevoelig. Onder de AVG kan een datalek leiden tot meldplicht en mogelijke boetes. Maar minstens zo belangrijk: het vertrouwen van klanten komt onder druk te staan.

Wat is de belangrijkste les?

De kern van dit soort aanvallen is vrijwel altijd identiteit.

Niet de firewall.

Niet het CRM-platform.

Maar de toegang tot accounts.

Traditionele beveiliging is niet meer voldoende. Een wachtwoord en een simpele sms-code bieden vandaag de dag te weinig bescherming tegen geavanceerde phishing.

Hoe bescherm je je organisatie beter?

Dit zijn de belangrijkste maatregelen die wij adviseren:

1. Gebruik phishing-resistente MFA

Kies voor moderne authenticatiemethoden zoals hardware keys of FIDO2 in plaats van alleen sms of pushmeldingen.

2. Beperk toegangsrechten

Geef medewerkers alleen toegang tot wat zij écht nodig hebben. Minder rechten betekent minder risico.

3. Monitor actief op afwijkend gedrag

Let op vreemde inloglocaties, ongebruikelijke exportacties of plotselinge grote databewegingen.

4. Controleer integraties

CRM-systemen hebben vaak tientallen koppelingen. Oude of ongebruikte integraties kunnen een zwakke plek vormen.

5. Investeer in security awareness

Medewerkers blijven een belangrijke schakel. Regelmatige training helpt om phishing en social engineering sneller te herkennen.

Wat betekent dit voor uw organisatie?

Dit incident laat zien dat cloud veilig kan zijn mits identiteit en toegang goed geregeld zijn. Veel organisaties vertrouwen op hun CRM en SaaS-oplossingen, maar vergeten regelmatig de beveiliging van accounts, rechtenstructuur en integraties kritisch te beoordelen. Daar zit juist het verschil tussen “we hebben beveiliging” en “we zijn echt veilig”.

Wilt u weten hoe uw CRM-omgeving ervoor staat?

Wij helpen organisaties om hun Microsoft-, Apple- en SaaS-omgevingen veilig en overzichtelijk in te richten. Met duidelijke analyses, pragmatische adviezen en zonder onnodige complexiteit. Wilt u weten of uw organisatie goed beschermd is tegen dit soort aanvallen? Neem gerust contact met ons op. We denken graag met u mee. Superlogisch toch?

Laatste blogs

Blog

Microsoft 365 wordt duurder. Wat betekent dit voor uw organisatie?

Microsoft heeft aangekondigd dat per 1 juli 2026 de prijzen van vrijwel alle zakelijke Microsoft 365- en Office 365-licenties stijgen. De verhogingen lopen uiteen van enkele procenten tot meer dan 25%, afhankelijk van het type licentie. Dat is geen kleine wijziging. Zeker niet voor organisaties met veel gebruikers. Maar het goede nieuws? U hoeft hier zelf niet wakker van te liggen. Wat verandert er precies? Hieronder ziet u een overzicht van de belangrijkste aangekondigde prijswijzigingen: Licentie Indicatieve stijging Microsoft 365 Business Basic +16,7% Microsoft 365 Business Standard +12% Microsoft 365 Business Premium 0% (vooralsnog geen verhoging) Office 365 E3 +13%...

Nieuws

Frank behaalt Apple Certified IT Professional certificering

Bij Analyst ICT investeren wij continu in kennis. Niet voor het papiertje, maar om onze klanten beter te kunnen helpen. Deze week heeft Frank Houtappels de certificering Apple Certified IT Professional (ACITP) behaald. Een mooie stap vooruit. En vooral: goed nieuws voor organisaties die met Apple werken. Apple in het MKB: meer dan alleen een mooie Mac Steeds meer bedrijven werken met MacBooks, iPhones en iPads. Dat werkt prettig. Het is stabiel, gebruiksvriendelijk en populair onder medewerkers. Maar in een zakelijke omgeving is gebruiksgemak niet genoeg. U wilt: Controle over apparaten Goede beveiliging Centrale inrichting Grip op gebruikersrechten Integratie met...

Nieuws

Frank en Maikel behalen Apple Certified Support Professional certificering

Bij Analyst ICT blijven wij continu investeren in kennis en kwaliteit. Afgelopen week hebben Frank Houtappels en Maikel Michelbrink officieel de titel Apple Certified Support Professional (ACSP) behaald. Een mooie mijlpaal. Maar belangrijker nog: goed nieuws voor onze klanten. Apple in het MKB: krachtig, maar niet vanzelfsprekend eenvoudig Steeds meer organisaties werken met MacBooks, iMacs en andere Apple-devices. Dat werkt prettig, snel en stabiel.Maar in een zakelijke omgeving brengt Apple ook vragen met zich mee: Hoe richt u macOS veilig en beheersbaar in? Hoe integreert u Macs in een Microsoft 365-omgeving? Hoe borgt u beveiliging en compliance? Wat doet u...