Crowdfundingsactie gestart omdat Odido het datalekken niet wilt stoppen

Posted on 27-02-2026 by Sijmen Ruwhof

Volgens beschikbare informatie heeft Odido ervoor gekozen geen afpersgeld te betalen. Daarom worden nu 1 miljoen gevoelige klantgegevens per dag gepubliceerd, waarbij dagelijks nieuwe hoeveelheden klantgegevens online verschijnen. Hierdoor groeit de omvang van het datalek voortdurend en neemt de potentiële impact voor betrokkenen verder toe.

Vanuit die urgentie is, samen met een groep bezorgde securityspecialisten, een crowdfundingactie gestart met als doel middelen te verzamelen om de gevraagde betaling te kunnen doen en daarmee verdere publicatie van de gegevens te stoppen.

Het uitgangspunt daarbij is nadrukkelijk niet om cybercriminelen te belonen voor de schade die zij veroorzaken. Tegelijkertijd gaat het in dit geval om een uitzonderlijk groot en gevoelig datalek, mogelijk één van de grootste in de Nederlandse geschiedenis. Vanuit het perspectief van schadebeperking voor de getroffen personen is daarom besloten deze eenmalige actie te organiseren.

Doneer eenvoudig via iDEAL
Speciaal voor deze crowdfundingsactie zijn bankrekeningen geopend waarop donaties kunnen worden ontvangen.

  • Doneer via iDEAL

Update 1 maart 09:00 uur: De crowdfunding is gestopt, aangezien de hackersgroep ShinyHunters alle buitgemaakte data op internet hebben gezet.

Totaal opgehaald:€2.069,79
Aantal donaties: 153
Gemiddelde donatie:€13,53
Hoogste donatie:150
Donatiemogelijk gesloten:1 maart 2026 09:00
Donaties teruggestort:1 maart 2026 18:51 (152 van de 153)
5 maart 2026 16:52 (153 van de 153)

Wat kan je verwachten van dit initiatief?

Eventuele gelden die na afloop van de actie niet worden gebruikt, zullen onder aftrek van eventuele (bank)kosten naar rato worden teruggestort aan de donateurs. De organisatie achter deze crowdfundingsactie handelt volledig belangeloos, met als uitgangspunt transparantie en het maatschappelijk belang. Mocht er daadwerkelijk een mogelijke overeenkomst met de betrokken criminelen in beeld komen, dan zullen wij eerst zorgvuldig de juridische en fiscale implicaties laten beoordelen voordat verdere stappen worden gezet. De daarvoor benodigde expertise zal, indien nodig, extern worden ingehuurd.

Donaties kunnen worden gedaan zolang er nog geen volledige publicatie van de dataset heeft plaatsgevonden. Zodra een voldoende bedrag is opgehaald, zal worden geprobeerd contact te leggen met de hackers om onderhandelingen te starten. Indien een overeenkomst tot stand komt, of indien alle data inmiddels openbaar is gemaakt, zal eventueel resterend geld zo spoedig mogelijk en naar rato van de gedane bijdragen worden teruggestort aan de donateurs.

Wanneer voldoende middelen zijn verzameld, zal een toonaangevend incident response-bedrijf dat bij deze actie betrokken is, en dat gespecialiseerd is in het communiceren met cybercriminelen zoals ShinyHunters, het contact met de hackers verzorgen. Indien er een overeenkomst wordt bereikt, zal het ingezamelde bedrag worden overgemaakt naar de zakelijke bankrekening van dit bedrijf. Zij zullen vervolgens zorgdragen voor de verdere afhandeling van de betaling, waaronder de eventuele aankoop en overdracht van cryptocurrency aan de betrokken partij.

Journalisten die willen verifiëren dat de actie en de geldstromen transparant en correct verlopen, zowel op de betreffende bankrekeningen als bij een eventuele betaling aan de betrokken criminelen, zijn welkom om dit proces te controleren. Geïnteresseerden kunnen daarvoor contact met mij opnemen via 06-52627625.

Update 2 maart 2016: Tijs Hofmans van tweakers.net was benieuwd hoeveel we uiteindelijk hadden ingezameld nadat ShinyHunters alle data online hadden gezet. Ik nodigde hem uit om te verifiëren dat we direct alle donaties teruggeboekt hebben op dezelfde dag dat alle data online was gezet door de hackersgroep. Hij wou dat wel doen en schreef er een artikel over: ‘Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort’

Waarom zijn jullie deze inzamelactie gestart?

Wij zijn deze eenmalige inzamelactie gestart omdat de huidige situatie uitzonderlijk is.

Allereerst gaat het om één van de grootste datalekken in Nederland, mogelijk zelfs het grootste tot nu toe. Daarnaast bevat de buitgemaakte dataset zeer gevoelige én doorgaans betrouwbare persoonsgegevens. Bij telecomproviders worden identiteitsdocumenten zoals paspoorten of rijbewijzen gecontroleerd, waardoor de geregistreerde persoonsgegevens doorgaans overeenkomen met de officiële identiteit van klanten.

Voor een kleine groep betrokkenen kan openbaarmaking bovendien directe fysieke veiligheidsrisico’s met zich meebrengen. Te denken valt aan personen met een verhoogd dreigingsprofiel, zoals politiemedewerkers, politici of andere publieke functionarissen, maar ook aan individuen in kwetsbare persoonlijke situaties. Openbaar beschikbare adres- en contactgegevens kunnen in zulke gevallen leiden tot intimidatie, stalking, ongewenste bezoeken, inbraken of andere vormen van misbruik.

Media berichtten bovendien dat de omvang en gevoeligheid van de dataset groter zijn dan aanvankelijk werd gemeld. Zo schreef RTL Nieuws dat het datalek ernstiger is dan eerder bekend en dat ook burgerservicenummers zouden zijn gelekt. De NOS meldde daarnaast dat ook gevoelige informatie over kwetsbare klanten in handen van de aanvallers is gekomen.

De hackersgroep ShinyHunters is internationaal berucht en heeft sinds haar opkomst meerdere grote organisaties gehackt. Binnen het criminele ecosysteem opereren dergelijke groepen vaak volgens een herkenbare werkwijze waarbij betaling van afpersgeld gepaard gaat met de belofte dat buitgemaakte data niet verder wordt verspreid. Het verdienmodel van dergelijke groepen is in belangrijke mate gebaseerd op het vertrouwen dat toekomstige slachtoffers in die belofte hebben. Wanneer een groep structureel afspraken zou schenden, kan dat hun reputatie en daarmee hun toekomstige inkomsten ernstig ondermijnen.

Een belangrijk risico in dit specifieke incident is dat, zodra de dataset volledig openbaar op internet verschijnt, deze vrijwel onmogelijk nog uit omloop te halen is. In de praktijk blijkt dat eenmaal gepubliceerde datasets zich snel en breed verspreiden via downloads, mirrors en andere distributiekanalen. Daarmee kan de potentiële impact voor betrokkenen aanzienlijk toenemen.

Doel is €250.000 euro ophalen

De hackersgroep ShinyHunters heeft aangegeven €500.000 te eisen om verdere publicatie van de buitgemaakte data te stoppen. Inmiddels is één miljoen klantgegevens openbaar gemaakt. Naar verwachting zullen, voordat deze crowdfundingsactie breed onder de aandacht van het publiek komt, nog meer gegevens worden gepubliceerd.

Daarom gaan wij ervan uit dat een bedrag van circa €250.000 mogelijk voldoende kan zijn om verdere verspreiding van de dataset te voorkomen.

Wanneer elk slachtoffer uit het datalek een zeer klein bedrag zou bijdragen, kan dit doel relatief snel worden bereikt. Uitgaande van circa 6,2 miljoen getroffen klanten (volgens Odido) komt €250.000 neer op ongeveer €0,04 per persoon. In theorie zou een dergelijke gezamenlijke bijdrage voldoende kunnen zijn om verdere publicatie van de gegevens te stoppen.

Moet je nou wel of niet afpersgeld betalen aan criminelen?

Er is een discussie gaande tussen mensen die vinden dat in dit specifieke geval ethisch gezien wél afpersgeld betaald had moeten worden om verdere schade te voorkomen, en mensen die vinden dat je vanuit moreel oogpunt nooit geld aan criminelen moet geven, omdat je afpersing daarmee in stand houdt. Alle overwegingen heb ik uitvoerig in een andere blogpost beschreven omdat deze pagina anders te lang zou worden. In die blogpost beantwoord ik ook de volgende vragen:

  1. Wat gebeurt er als er niet wordt betaald?
  2. Waarom zou je wél of níét betalen?
  3. Wat zijn de nadelen van betalen?
  4. Waarom betaalt Odido niet?
  5. Hoeveel Nederlandse organisaties betalen losgeld aan criminele hackers?

Kun je een hackersgroep als ShinyHunters vertrouwen?

ShinyHunters is een internationaal opererende beruchte hackersgroep die zich richt op grootschalige datadiefstal en afpersing volgens het “pay-or-leak”-model: organisaties betalen afpersgeld om publicatie van gestolen data te voorkomen. De groep bestaat al meerdere jaren en staat er volgens verschillende incident responders en ransomware-onderhandelaars om bekend dat zij zich doorgaans aan afspraken houden wanneer er wordt betaald. Meer over deze groep heb ik in een separate blogpost uiteen gezet.

Wie zijn de initiatiefnemers achter deze crowdfunding?

Deze crowdfunding is geïnitieerd door een groep bezorgde securityspecialisten, in samenwerking met een toonaangevend Nederlands incident response-bedrijf dat regelmatig wordt ingezet bij de afhandeling van grote cyberincidenten in binnen- en buitenland. Daarnaast werken wij samen met een van de bekendste Nederlandse cyber threat intelligence-experts, die tevens de in Nederland unieke ervaring heeft met het onderhandelen met hackersgroep ShinyHunters.

Vanwege de mogelijke maatschappelijke en publieke discussie rond deze crowdfunding hebben de betrokken initiatiefnemers ervoor gekozen niet met naam en toenaam naar buiten te treden. Om die reden verzorg ik de woordvoering en treed ik op als aanspreekpunt voor vragen en toelichting.

Waarom is gekozen voor een privé bankrekening op naam van de woordvoerder van de initiatiefnemers achter deze actie?

Het oprichten van een stichting en het aanvragen van een bijbehorende bankrekening kost in de praktijk minimaal enkele dagen. Die tijd is in deze situatie niet beschikbaar, aangezien momenteel dagelijks nieuwe delen van de dataset met klantgegevens openbaar worden gemaakt.

Het gebruik van een bestaande crowdfundingdienst, zoals GoFundMe, is eveneens overwogen. Deze platforms rekenen echter doorgaans een vaste transactievergoeding van €0,25 per donatie plus circa 2,9% over het totale bedrag. Bij een beoogde opbrengst van enkele tonnen zou dit leiden tot aanzienlijke kosten. Daarnaast wilden wij donateurs ook de mogelijkheid bieden om zeer kleine bedragen, bijvoorbeeld minder dan één euro, bij te dragen, wat bij dergelijke platforms minder praktisch is.

Om deze redenen is gekozen voor een persoonlijke bankrekening op mijn naam. Een dergelijke rekening kan binnen korte tijd worden geopend, waardoor de actie direct kon worden gestart. Een bijkomend voordeel van een persoonlijke bankrekening is dat banken geen kosten per individuele transactie rekenen, waardoor donaties volledig ten goede komen aan het doel van de actie.

Voor mij persoonlijk brengt deze constructie echter ook risico’s met zich mee. Naast reputatierisico betekent dit dat ik ook financieel persoonlijk verantwoordelijk ben voor de uitvoering van deze actie. Dat is een aanzienlijke verantwoordelijkheid, temeer omdat ik zelf geen klant ben van Odido.

Is het niet illegaal om afpersgeld aan criminelen te betalen (bijv. Wwft- en sanctiewetgeving)?

Het is niet per definitie illegaal om bij ransomware of chantage (namens de slachtoffers) criminelen te betalen om (grote) maatschappelijke schade te beperken. Ik heb hierover contact gehad met betrokkenen binnen de overheid, een advocatenkantoor en een Nederlands incident response-bedrijf dat in de praktijk namens organisaties betalingen faciliteert. De politie schrijft dat organisaties zelf een afweging moeten maken of zij betalen.

Wel kan een betaling verboden zijn als een hackersgroep op een sanctielijst staat, bijvoorbeeld omdat de hackers uit Rusland komen. In dat geval is betalen niet toegestaan. Van ShinyHunters is niet publiek bekend uit welk land de betrokkenen opereren.

Media die over onze crowdfunding schrijven

  1. Hart van Nederland: Crowdfundactie moet Odido-lek stoppen
  2. NRC: Crowdfundactie moet lekken Odido klantgegevens stoppen
  3. Reformatorisch Dagblad: Crowdfundactie moet Odido-lek stoppen
  4. Limburger: Al twee miljoen Odido-dossiers liggen op straat: hoe kun je checken of jouw privégegevens ook zijn gelekt? ‘Wees ontzettend alert’
  5. Tweakers.net: Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort
  6. Tweakers.net: Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden
  7. BNR: Crowdfundactie moet Odido-lek stoppen, deskundigen kritisch: ‘Een heel stom idee’
  8. Financieel Management: Crowdfunding gestart voor losgeld voor data van Odido
  9. Telecompaper: Crowdfundactie wil betaling losgeld Odido mogelijk maken
  10. WinMagPro: Odido gehackt: 6,5M personen – dit is het echte risico
  11. Forrester: Inside The Odido Breach: A Governance Thriller Unfolds
  12. Radio 10:

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in data leakage, ransomware. Bookmark the permalink.