Holenderski operator telekomunikacyjny Odido zmaga się z jednym z największych naruszeń bezpieczeństwa danych w historii kraju. W wyniku precyzyjnego cyberataku, przeprowadzonego w weekend 7 i 8 lutego 2026 roku, nieuprawnione podmioty uzyskały dostęp do zasobów zawierających wrażliwe informacje o blisko 6,2 mln obecnych oraz byłych abonentów. Incydent ten stawia pod znakiem zapytania integralność systemów CRM i platform obsługowych wykorzystywanych przez giganta telekomunikacyjnego.
Skala naruszenia i wektor ataku
Według oficjalnych komunikatów oraz doniesień branżowych, hakerzy spenetrowali systemy kontaktowe firmy, pobierając obszerny zbiór rekordów. Wśród skradzionych danych znalazły się kluczowe informacje identyfikacyjne, takie jak imiona i nazwiska, adresy zamieszkania, numery telefonów oraz adresy e-mail. Szczególny niepokój budzi wyciek numerów rachunków bankowych (IBAN) oraz dat urodzenia, co znacząco podnosi ryzyko wystąpienia kampanii phishingowych oraz prób kradzieży tożsamości. Firma uspokaja jednak, że sprawcy nie uzyskali dostępu do haseł, skanów dokumentów tożsamości, rejestrów połączeń ani danych lokalizacyjnych.
Kontrowersje wokół infrastruktury IT
Choć Odido operuje na zaawansowanych rozwiązaniach chmurowych, takich jak Genesys Cloud oraz Salesforce, rzecznik prasowy odmówił jednoznacznego wskazania, która z tych platform stanowiła lukę w systemie zabezpieczeń. Niemniej jednak, analizy ekspertów oraz źródła bliskie sprawie sugerują, że wektorem ataku mógł być system CRM Salesforce. Przemawia za tym fakt, że wykorzystywana przez operatora aplikacja Genesys służy głównie do routingu połączeń i nie jest dedykowana do długofalowego przechowywania tak zróżnicowanych baz danych klientów na wielką skalę. Incydent ten jest szczególnie dotkliwy wizerunkowo, biorąc pod uwagę intensywne inwestycje firmy w ostatnich latach w zespół inżynierów odpowiedzialnych za integrację obu tych ekosystemów.
Konsekwencje prawne i operacyjne
To nie pierwszy konflikt Odido z organami nadzorczymi. W 2024 roku holenderski Urząd Ochrony Danych Osobowych nałożył na operatora karę za nieuprawnione wykorzystanie danych lokalizacyjnych do celów algorytmicznych. Obecny wyciek został już formalnie zgłoszony do organu nadzorczego, a firma wdrożyła dodatkowe protokoły bezpieczeństwa. Managerowie customer care stoją teraz przed wyzwaniem zarządzania masową komunikacją kryzysową; Odido rozpoczęło już proces informowania poszkodowanych osób drogą elektroniczną, szczegółowo określając zakres utraconych informacji w celu zminimalizowania skutków potencjalnych nadużyć.
Aktualizacja 22:02
Najnowsze ustalenia serwisu NOS rzucają nowe światło na mechanizm ataku, wskazując na krytyczną rolę czynnika ludzkiego i procesów uwierzytelniania. Przestępcy uzyskali dostęp do systemów Salesforce, wykorzystując precyzyjny phishing wymierzony w konkretnych pracowników obsługi klienta. Po przejęciu haseł drogą mailową, napastnicy telefonicznie podszywali się pod wewnętrzny dział IT Odido, manipulując konsultantami tak, aby ci zatwierdzili fałszywe monity logowania, skutecznie obchodząc mechanizmy uwierzytelniania wieloskładnikowego (MFA). Dane były następnie masowo pobierane za pomocą technik scrapingu. Istnieją silne przesłanki, że wektorem ataku mogły być zagraniczne call centers obsługujące operatora – w tym kontekście wymienia się firmy outsourcingowe Concentrix oraz Vanad Interactions
Źródło: ODIDO