De recente hack bij telecomprovider Odido heeft de naam van hackersgroep ShinyHunters opnieuw prominent op de agenda gezet. De groep wordt internationaal in verband gebracht met grootschalige datadiefstallen en staat bekend om een relatief eenvoudige strategie: gestolen data gebruiken om organisaties onder druk te zetten om losgeld te betalen. In Nederland leidde het incident direct tot een bekende discussie binnen cybersecurity en crisismanagement: moet een getroffen organisatie betalen om publicatie van data te voorkomen, of juist principieel weigeren?
Die vraag is minder zwart-wit dan vaak wordt aangenomen. Ik ga daar in een andere blogpost uitvoerig op in. De beslissing hangt onder meer af van wat bekend is over de hackersgroep, hoe betrouwbaar hun ‘afspraken’ in de praktijk blijken te zijn en welke informatie de aanvallers daadwerkelijk in handen hebben. Tegelijk roept de zaak-Odido ook vragen op over hoe goed autoriteiten en incident-response teams deze specifieke groep eigenlijk kennen.
In dit artikel wordt gekeken naar wat er publiekelijk bekend is over ShinyHunters, hoe cybersecurity-experts hun werkwijze beoordelen en in hoeverre het in sommige situaties rationeel kan zijn om wél of juist níet op een afpersingsvraag in te gaan.
Wat weet de politie over ShinyHunters?
Voor zover publiekelijk bekend is Odido het eerste Nederlandse bedrijf dat door de hackersgroep ShinyHunters is getroffen. Het is daarom goed mogelijk dat de politie zich de afgelopen weken in deze groep heeft moeten verdiepen. In een interview op NPO Radio 1 (vanaf 1:06:41) reageert Stan Duijf, hoofd Operatiën en verantwoordelijk voor de aanpak van cybercrime, op de vraag: “Wat weet u inmiddels over de groep ShinyHunters?” met het volgende:
“Die groepen bestaan eigenlijk uit een soort van fluïde netwerk en dat verandert ook steeds. Ze werken heel anoniem. Ze zijn continu anders georganiseerd en de naam van deze groep verandert ook steeds en dat maakt het ook lastig om ze aan te pakken. Dus wij kijken echt niet specifiek naar deze groep maar veel meer naar de criminelen die dit gedaan hebben en die proberen we aan te houden en te vervolgen.”
Duijfs antwoord begint met de formulering “Die groepen”, wat erop duidt dat hij niet zozeer specifiek op ShinyHunters doelt, maar eerder spreekt over hackersgroepen van dit type in algemene zin. Opvallend is daarnaast dat de politie aangeeft zich niet specifiek op deze groep te richten en dat wordt gesteld dat de naam van de groep voortdurend verandert. Voor zover publiekelijk bekend is dat laatste niet juist: de naam ShinyHunters wordt al zeker zes jaar gebruikt. De focus van de politie lijkt primair te liggen op de concrete inbraak bij Odido en op het identificeren en vervolgen van de betrokken daders.
In een ander interview over ShinyHunters op BNR (vanaf 21:55) beschrijft Duijf opnieuw een fenomeen rond dergelijke groeperingen, waarbij hij wederom in algemene termen spreekt over dit type cybercriminelen: “Dit soort groeperingen die werken zeer fluïde, wisselen continu van naam, ook van samenstelling”. Daarmee lijkt te worden bevestigd dat de politie geen specifieke kennis over ShinyHunters lijkt te hebben.
Waarom adviseren de “toonaangevende cybersecurityadviseurs” die Odido inhuurt om niet te betalen?
Odido wil niet delen welke partijen en experts zijn ingeschakeld om het incident te beheersen. Daarnaast komt er weinig naar buiten over het incident, behalve wat in Odido’s ogen minimaal noodzakelijk is. Daardoor is het onduidelijk waarom Odido’s adviseurs hebben geadviseerd om niet te betalen.
Odido heeft geen sample van buitgemaakte data opgevraagd
De NOS schrijft twee dagen voor de betaaldeadline en 2,5 week nadat Odido zich bewust werd van het datalek:
“Bij de hack deze maand bij Odido zijn ook gevoelige aantekeningen over klanten buitgemaakt. Dat blijkt uit onderzoek van de NOS, die inzage had in een deel van de gestolen gegevens. Odido had dat niet aan klanten laten weten. [..] Odido wist naar eigen zeggen niet dat die extra informatie ook in handen was van de criminelen en heeft daarover dus niets gecommuniceerd. Na een melding van de NOS heeft de provider daarover een bericht op de website geplaatst. Odido zegt verder dat het onderzoek nog loopt.
Experts zeggen het opvallend te vinden dat Odido niet wist dat ook deze gegevens zijn gelekt. Vaak vragen getroffen bedrijven om een deel van de dataset als bewijs, zodat ze weten wat de criminelen in handen hebben. [..]”
Het roept vragen op over de wijze waarop de incidentanalyse is uitgevoerd en welke informatie in de besluitvorming beschikbaar was.
- Criminelen geven slachtoffers doorgaans graag een ‘voorproefje’ van wat zij in handen hebben in de vorm van een sample.
- Het forensisch onderzoek lijkt na 2,5 week nog geen volledig beeld te hebben opgeleverd van wat exact is buitgemaakt. In die periode kan normaal gesproken veel worden vastgesteld.
- Mogelijk is bij het advies ook de (veronderstelde) betrouwbaarheid van ShinyHunters niet zwaar meegewogen.
- Incident response-teams adviseren in sommige gevallen juist wél betaling bij relatief ‘betrouwbaar’ geachte groepen, mede om verdere publicatie te voorkomen en richting klanten te kunnen onderbouwen dat alles is gedaan om schade te beperken.
Update 13 maart 2026: NRC-onderzoeksjournalisten achterhaalden dat S-RM was ingehuurd
De onderzoeksjournalisten van NRC vonden uit dat Odido na de ontdekking van de cyberaanval het Britse cyber-incident response bedrijf S-RM inhuurde. Hoewel het bedrijf in Nederland relatief onbekend is, opereert het internationaal als specialist in cyberextortion, ransomware-incidenten en crisismanagement. Organisaties zoals telecombedrijven of private-equityportfolio’s maken vaak gebruik van dergelijke internationale partijen omdat zij ervaring hebben met onderhandelingen met cybercriminelen, juridische risicoanalyse en strategisch advies aan directies tijdens ernstige datalekken. Daarnaast worden dit soort partijen vaak betrokken via cyberverzekeringen, die bij incidenten een vooraf geselecteerde lijst van incident response partners activeren.
De rol van S-RM lijkt zich vooral te hebben gericht op strategisch advies na de aanval, met name rond de vraag of Odido moest onderhandelen met de hackersgroep ShinyHunters. Odido besloot al snel geen contact meer te onderhouden en geen losgeld te betalen, een keuze die volgens het bedrijf was gebaseerd op advies van experts, politie en overheidsinstanties. Binnen de cybersecuritysector is zo’n beslissing niet ongebruikelijk, maar wel omstreden: betalen kan soms publicatie van data voorkomen, terwijl weigeren juist bedoeld is om cybercriminaliteit niet te financieren en reputatie- en juridische risico’s te beperken. In dit geval leidde de gekozen strategie er uiteindelijk toe dat de gestolen data openbaar werd gemaakt.
Wat zeggen andere cybersecurityexperts over ShinyHunters?
ShinyHunters is wereldwijd berucht en al meer dan zes jaar actief. Dat is best oud voor een hackersgroep, omdat veel groepen uit elkaar vallen als leden opgepakt worden. De groep staat bekend als een partij die zich doorgaans aan gemaakte afspraken houdt. Dat geeft geen garanties, maar maakt het scenario wel plausibel.
Ransomware-onderhandelaar: “data niet openbaar als er is betaald“
Doen ze ook wat ze zeggen als het losgeld is overgemaakt? In dat opzicht is ShinyHunters een groep met een goede reputatie, aldus ransomware-onderhandelaar Joey Fennis tegenover de NOS: “Ze leveren eigenlijk altijd wat ze beloven als er eenmaal betaald is. Ze gaan later dus niet alsnog data doorverkopen, en leveren vaak ook wel bewijs dat de gegevens zijn verwijderd na betaling.” In veel van de gevallen die Sturme als onderhandelaar tegenkomt gaat het zo: “99 van de 100 keer worden data niet vrijgegeven als er is betaald.”
ShinyHunters hackten TicketMaster & PornHub: data is nooit online gekomen
In Nederland kennen we ShinyHunters vooral door de hacks op Ticketmaster (2024) en recentelijk Pornhub (2025), waarbij de gegevens van 1,5 miljoen Nederlandse accounts zijn buitgemaakt. Deze data zijn nooit online gekomen. Op de vraag of Pornhub heeft betaald, wil ShinyHunters geen antwoord geven aan RTL Nieuws, die rechtstreeks contact met ze heeft. Maar in het algemeen betekent het niet lekken van data dat een bedrijf heeft betaald. Pornhub reageerde niet op vragen van RTL Nieuws.
Verwijdert ShinyHunters de data na betaling?
Die kans is volgens incident responder Floris de Koning, die gehackte bedrijven helpt en eerder onderhandelde met ShinyHunters, groot. Hij reageert tegenover RTL Nieuws: “Ze hebben altijd hun woord gehouden, dat is heel belangrijk in de digitale onderwereld.” ShinyHunters ziet zichzelf als een bedrijf en wil ‘succesvol’ zijn. “Het verbreken van onze beloftes en afspraken schaadt ons bedrijf.” Maar als er niet wordt betaald, dan gaan de criminelen over tot publicatie, zeggen ze – ook om een signaal af te geven aan toekomstige gehackte bedrijven. “We hebben ook onze reputatie hoog te houden.”
Wikipedia: ‘if the company doesn’t pay, the stolen information is leaked‘
Op Wikipedia staat het volgende vermeld over ShinyHunters:
“ShinyHunters is a black-hat criminal hacker and extortion group that is believed to have formed in 2019, and is said to have been involved in a massively significant amount of data breaches. The group has built a strong reputation of “pay or leak”, they often extort the company they’ve hacked, if the company does not pay the ransom the stolen information is very often leaked or sold on the dark web.”
Tegengeluid: Is ShinyHunters het veelkoppig monster The Com?
Er is echter ook tegengeluid in de Nederlandse cybersecurity community dat ShinyHunters helemaal niet zomaar te vertrouwen zou zijn. Het zou geen strak georganiseerde criminele bende zijn, maar een losse online gemeenschap van individuen. Dat maakt de groep moeilijk voorspelbaar. De aangehaalde bron ter onderbouwing hiervoor verwijst naar onderzoeker Allison Nixon van het Amerikaanse cyber threat intelligence bedrijf Unit 221B. In een toch wel wat warrige blogpost schrijft zij dat ShinyHunters dezelfde groep zou zijn als Scattered Lapsus Hunters, Scattered Lapsus Shiny Hunters en SLSH. Al deze groepen/merken zouden eigenlijk de groep The Com zijn. Enige onderbouwing voor deze links ontbreekt in het artikel.
Incident response bedrijf S-RM zou betrokken zijn volgens de NRC
Volgens de NRC zou cyber incident response bedrijf S-RM betrokken zijn. Een goed ingevoerde betrokkene zegt dat die publicaties zeker een rol speelden in het besluit om het contact te verbreken. Odido wil er niets over kwijt, maar schrijft op z’n site dat het advies om niet te onderhandelen is gebaseerd op „uitgebreide ervaring met deze specifieke groepering”. IT-beveiligingsbedrijf S-RM reageert niet op telefoontjes, ingevulde webformulieren of e-mails. Als het NRC het Utrechtse S-RM-kantoor bezoekt, komt niemand naar de hal om vragen te beantwoorden. De receptionist moet van het aanwezige personeel de boodschap overbrengen dat de verslaggever een webformulier moet invullen, wat uiteindelijk niet beantwoord wordt.
Volgens ShinyHunters-expert Rickey Gevers klopt dat niet
Of de beschuldiging van nauwe banden met de COM-groepen hout snijdt? Sommige beveiligingsexperts die NRC spreekt zeggen geen overtuigend bewijs te kennen daarvoor. Beveiligingsexpert en onderhandelaar Rickey Gevers van Responders.NOW kent Shinyhunters bijvoorbeeld al jaren als een „vrij gedisciplineerde onderneming” die ‘high value targets’ aanvalt en een specifiek verdienmodel voor de gestolen data heeft. „Die gaan zich niet van de ene op de andere dag met de afpersing van jonge meisjes bezighouden.”. Ik ben het daar zelf persoonlijk helemaal mee eens. Criminele hackers zijn doorgaand gespecialiseerd in maar één ding specifiek. Ik vind de blogpost die tegenstanders van betalen daarom refereren als bewijs dat het niet nuttig is daarom erg warrig en ongefundeerd.
De criminele hackers reageren ook (begrijpelijkerwijs) zelf. Ze verzetten zich fel tegen de „walgelijke” en „oneerlijke” suggestie, waarvoor volgens hen geen enkel bewijs bestaat. Het gerucht is alleen maar de wereld in geholpen om hun bedrijfsmodel te slopen, zegt de woordvoerder, omdat de autoriteiten en IT-beveiligers hen niet te pakken krijgen. „Kijk naar onze actieve en consistente communicatie van afgelopen week, klopt dat met dat beeld?”
In Nederland zijn echter maar enkele professionals die zich langdurig verdiept hebben in ShinyHunters. Zo’n expert is de gerenommeerde incident responder en cyber threat intelligence expert Rickey Gevers. Gevers heeft bijna 30 jaar ervaring in cybercrime en 15 jaar in incident response. Hij wordt voor de grootste hackzaken in de wereld ingehuurd. Hij volgt de hackersgroep al jaren nauwgezet vanuit zijn incident response bedrijf Responders.NOW en het in datalekken gespecialiseerde bedrijf Scattered Secrets. Hij schrijft:
“In sommige blogs worden de ShinyHunters in verband gebracht met andere collectieven, zoals bijvoorbeeld ‘The Com’. Dat is echter te kort door de bocht. The Com is een op één hoop gegooide groep tiener hackers die op allerlei fora, zoals OGUsers en RaidForums, rondhangen en de gehackte data van ShinyHunters monetizen. Ja, deze groepen hebben onderling contact en leden wisselen wellicht van groep, maar sextortion, doxing, DDoS & swatting hebben een heel andere drijfveer dan jarenlange gestructureerde en gedisciplineerde data hoarding. Wel gebruiken ze vaak dezelfde tools en technieken, waardoor kennisuitwisseling een belangrijke gemene deler is.”
Onderzoekers van de Google Threat Intelligence Group komen met een vergelijkbare analyse als Gevers.
Gevers is van mening dat het aannemelijk is dat als Odido het afpersgeld zou betalen, dat ShinyHunters de buitgemaakte data niet verder zal verspreiden.
Wat vind ik?
De beschikbare informatie wijst erop dat ShinyHunters zich in veel gevallen houdt aan het principe van “pay or leak”. Dat biedt echter geen garantie dat data daadwerkelijk wordt verwijderd of dat kopieën niet elders blijven circuleren. Zou ik betalen als ik Odido was? Nieuwsuur vroeg het me:
