Wat we kunnen leren van de hack bij Odido

3 maart 2026

Een wake-up call voor identity security en CRM-systemen

Onlangs werd bekend dat telecomprovider Odido slachtoffer is geworden van een grote hack. Daarbij zijn klantgegevens buitgemaakt via een klantcontactsysteem. Het gaat om miljoenen records met onder andere namen, adressen en contactgegevens. Veel van onze klanten merkte dat hun gegevens ook bij de hack zaten.

Dit incident staat niet op zichzelf. Wereldwijd zien we een duidelijke toename van aanvallen op CRM-systemen en cloudomgevingen zoals Salesforce. Niet omdat die platformen “onveilig” zijn, maar omdat aanvallers steeds slimmer worden in het misbruiken van identiteiten.

Wat is er precies gebeurd? En belangrijker nog: wat kunnen we hiervan leren?

Wat is er gebeurd?

Bij dit soort incidenten ligt de oorzaak meestal niet bij een technisch lek in het platform zelf. In veel gevallen gaat het om een zogenoemd identity compromise.

Dat betekent dat aanvallers op een slimme manier inloggegevens of sessies van medewerkers weten te bemachtigen. Dit gebeurt vaak via:

Phishingmails
Valse inlogpagina’s
Social engineering (bijvoorbeeld nep-telefoontjes van “IT-support”)
Het kapen van actieve sessietokens

Zodra een aanvaller beschikt over geldige inloggegevens of een actieve sessie, kan hij vaak ongemerkt bij CRM-data komen. En juist daar zit gevoelige informatie.

Waarom zijn CRM-systemen zo aantrekkelijk?

Een CRM-systeem bevat vaak het kloppend hart van een organisatie. Denk aan:

Klantgegevens
Contacthistorie
Contractinformatie
Interne notities
Integraties met andere systemen

Voor cybercriminelen is dat goud waard. Met deze informatie kunnen ze:

Gerichte phishingcampagnes uitvoeren
Identiteitsfraude plegen
Bedrijven chanteren
Data doorverkopen

De schade is dan niet alleen technisch, maar ook juridisch en reputatiegevoelig. Onder de AVG kan een datalek leiden tot meldplicht en mogelijke boetes. Maar minstens zo belangrijk: het vertrouwen van klanten komt onder druk te staan.

Wat is de belangrijkste les?

De kern van dit soort aanvallen is vrijwel altijd identiteit.

Niet de firewall.

Niet het CRM-platform.

Maar de toegang tot accounts.

Traditionele beveiliging is niet meer voldoende. Een wachtwoord en een simpele sms-code bieden vandaag de dag te weinig bescherming tegen geavanceerde phishing.

Hoe bescherm je je organisatie beter?

Dit zijn de belangrijkste maatregelen die wij adviseren:

1. Gebruik phishing-resistente MFA

Kies voor moderne authenticatiemethoden zoals hardware keys of FIDO2 in plaats van alleen sms of pushmeldingen.

2. Beperk toegangsrechten

Geef medewerkers alleen toegang tot wat zij écht nodig hebben. Minder rechten betekent minder risico.

3. Monitor actief op afwijkend gedrag

Let op vreemde inloglocaties, ongebruikelijke exportacties of plotselinge grote databewegingen.

4. Controleer integraties

CRM-systemen hebben vaak tientallen koppelingen. Oude of ongebruikte integraties kunnen een zwakke plek vormen.

5. Investeer in security awareness

Medewerkers blijven een belangrijke schakel. Regelmatige training helpt om phishing en social engineering sneller te herkennen.

Wat betekent dit voor uw organisatie?

Dit incident laat zien dat cloud veilig kan zijn mits identiteit en toegang goed geregeld zijn. Veel organisaties vertrouwen op hun CRM en SaaS-oplossingen, maar vergeten regelmatig de beveiliging van accounts, rechtenstructuur en integraties kritisch te beoordelen. Daar zit juist het verschil tussen “we hebben beveiliging” en “we zijn echt veilig”.

Wilt u weten hoe uw CRM-omgeving ervoor staat?

Wij helpen organisaties om hun Microsoft-, Apple- en SaaS-omgevingen veilig en overzichtelijk in te richten. Met duidelijke analyses, pragmatische adviezen en zonder onnodige complexiteit. Wilt u weten of uw organisatie goed beschermd is tegen dit soort aanvallen? Neem gerust contact met ons op. We denken graag met u mee. Superlogisch toch?

Laatste blogs

Blog

Apple Business: eenvoudiger device management… maar…

Het beheren van laptops, smartphones en tablets binnen uw organisatie wordt steeds complexer. Zeker als medewerkers hybride werken en u grip wilt houden op veiligheid, updates en gebruik. Apple speelt daarop in met Apple Business: een nieuw platform dat device management eenvoudiger moet maken. Maar de echte vraag is: lost dit uw uitdagingen volledig op? Het probleem: groeiend aantal devices, minder overzicht Veel MKB-bedrijven herkennen dit: Nieuwe medewerkers krijgen devices die handmatig ingericht moeten worden Apps en instellingen verschillen per gebruiker Beveiliging is lastig consistent te houden IT is veel tijd kwijt aan beheer en support Dat zorgt voor frustratie,...

Blog

Apple 50 jaar: 50 jaar anders durven denken

Dit jaar bestaat Apple 50 jaar. Een mijlpaal waar je niet zomaar aan voorbijgaat. Want of u nu fan bent of niet: Apple heeft de manier waarop wij werken, communiceren en creëren blijvend veranderd. Bij Analyst ICT zijn wij trots dat wij onderdeel mogen zijn van dit ecosysteem. Als Apple Technical Partner werken wij dagelijks met technologie die niet alleen krachtig is, maar vooral ook logisch en prettig in gebruik. Anders kijken naar technologie Apple heeft zich altijd onderscheiden door één simpele overtuiging: technologie moet mensen helpen, niet tegenwerken. Geen overbodige complexiteit, maar eenvoud en gebruiksgemak. Dat sluit naadloos aan...

Blog

Waarom het opslaan van wachtwoorden in uw browser geen goed idee is

Onderstaand blog artikel kwam tot stand door een vraag op ons engineer overleg. Iedere twee weken overleggen wij met al onze technische mensen over de laatste ontwikkelingen in de techniek of bij klanten. Hier komen ook goede klantvragen naar voren zoals deze. Tijd om op onderzoek uit te gaan. Dankjewel Wiebe! U herkent het vast: u logt in op een website en uw browser vraagt of hij het wachtwoord moet onthouden. Handig, snel en u hoeft niets te onthouden. Toch zit daar een risico.Wij zien in de praktijk dat veel beveiligingsincidenten beginnen bij iets kleins. Zoals het opslaan van wachtwoorden...