De cybercrimegroep ShinyHunters heeft online berichten geplaatst waarin ze de verantwoordelijkheid opeisen voor een datadiefstal in verband met het recente beveiligingslek bij de Nederlandse telecomaanbieder Odido Nederland. De groep zei dat zij persoonlijke informatie had verkregen van miljoenen Odido-klanten en dreigde de gegevens vrij te geven als er geen losgeld werd betaald.
ShinyHunters publiceerde screenshots op een openbaar hackforum waarvan ze zeiden dat delen van de gestolen dataset te zien zijn. De geplaatste afbeeldingen bevatten lijsten van velden die de groep beweerde tijdens het incident te zijn genomen, zoals namen, geboortedata, telefoonnummers, adressen en overheidsidentificatienummers. De dreigingsactor zei dat hij de volledige dataset zou publiceren tenzij Odido een losgeldeis betaalde. De hoogte van het losgeld is niet bekendgemaakt.
Odido bevestigde in eerdere verklaringen dat meer dan 6,2 miljoen klantgegevens waren gecompromitteerd bij een cyberaanval die in februari 2026 werd ontdekt. Het bedrijf zei dat de aanvallers klantnamen, contactgegevens en andere persoonlijke informatie hadden verkregen, maar dat wachtwoorden en gevoelige operationele gegevens niet waren meegenomen. Bedrijfsfunctionarissen informeerden getroffen klanten en meldden het incident bij de Nederlandse privacytoegank, Autoriteit Persoonsgegevens.
Als reactie op de online berichten van ShinyHunters herhaalde Odido dat het onderzoek naar de situatie ging en samenwerkte met wetshandhavings- en cybersecuritypartners. De telecomprovider zei niet toe te geven aan losgeldeisen en bleef klanten adviseren waakzaam te zijn voor phishingpogingen of andere oplichting die mogelijk toegang tot blootgestelde informatie zouden kunnen uitbuiten. Odido zei ook dat het de toezicht- en beveiligingsmaatregelen had versterkt na de inbreuk.
Cybersecurity-analisten merkten op dat groepen zoals ShinyHunters vaak proberen hun invloed te vergroten door te dreigen gestolen gegevens openbaar te maken. Ze zeiden dat het plaatsen van voorbeeldgegevens en losgeldeisen op forums een veelgebruikte tactiek is om slachtoffers onder druk te zetten tot onderhandelingen. Analisten zeiden ook dat het risico op bredere verspreiding van gestolen persoonlijke informatie kan blijven bestaan, zelfs als een losgeld wordt geweigerd.
Op het moment van de rapportage had ShinyHunters de volledige dataset die het beweerde te bezitten nog niet gepubliceerd, en er was geen onafhankelijke verificatie van de authenticiteit van de geplaatste monsters vrijgegeven. Odido zei dat het updates zou geven als er meer informatie beschikbaar zou komen. Het bedrijf bleef monitoren op tekenen van misbruik van klantgegevens en riep individuen op om de accountactiviteiten te controleren en verdachte contacten aan de autoriteiten te melden.