Publié le 26 février 2026 à 20h00. Le groupe de hackers ShinyHunters a commencé à publier des données volées à l’opérateur de télécommunications néerlandais Odido après que l’entreprise a refusé de payer une rançon, exposant potentiellement les informations personnelles de millions de clients.
- Le groupe de hackers ShinyHunters revendique la responsabilité de la violation des données d’Odido, ayant dérobé des millions d’enregistrements clients.
- Odido a refusé de céder aux demandes de rançon, ce qui a conduit à la publication de certaines données volées.
- Les informations compromises incluent des noms, des adresses et des notes internes, mais aussi des données plus sensibles comme des numéros de passeport, des adresses e-mail et des dates de naissance, toujours en possession des pirates.
L’entreprise de télécommunications Odido a été victime d’une importante cyberattaque au début du mois de février 2026. Le groupe de hackers ShinyHunters a revendiqué la responsabilité de cette violation, affirmant avoir dérobé des millions d’enregistrements clients. Odido avait initialement divulgué la brèche le 12 février, indiquant que des attaquants avaient accédé à son système de contact client le 7 février et téléchargé des données personnelles.
Selon Odido, les informations compromises varient d’un client à l’autre et peuvent inclure le nom complet, l’adresse, le numéro de téléphone, le numéro de client, l’adresse e-mail, l’IBAN (numéro de compte bancaire), la date de naissance et certains détails d’identification (numéro et date de validité du passeport ou du permis de conduire). L’entreprise a précisé que les mots de passe du compte Mijn Odido, les détails des appels, les données de localisation, les données de facturation et les scans de documents d’identité n’avaient pas été exposés.
ShinyHunters a exigé une rançon d’Odido en échange du non-publication des données volées. Le montant initialement demandé se situait dans une fourchette comprise entre 1 et 10 millions d’euros, avant d’être réduit à 500 000 euros. Odido a finalement décidé de ne pas céder aux demandes des pirates, ce qui a conduit à la publication de certaines données sur 430 000 consommateurs et 290 000 entreprises. Ces données initialement publiées comprennent le nom, l’adresse et d’éventuelles notes internes prises par Odido, comme des informations sur les retards de paiement.
La police néerlandaise a mis en garde contre le téléchargement des données divulguées, soulignant que cela est illégal. Elle a également mis à disposition un site web, Check Je Hack, permettant aux citoyens de vérifier si leurs données ont été compromises lors d’autres fuites de données. Les informations relatives à cette attaque devraient également y figurer à un moment donné, bien que la date exacte soit inconnue.
Odido a indiqué qu’elle contacterait directement les clients dont les données auraient été publiées. Les experts en cybercriminalité ont souligné que ShinyHunters a la réputation de tenir ses promesses une fois l’argent versé, mais ont également rappelé qu’il n’y a aucune garantie que les données ne soient pas vendues à d’autres criminels ou diffusées ultérieurement. Selon des estimations, plus d’un quart des entreprises néerlandaises victimes de cyberattaques similaires ont payé une rançon l’année dernière, malgré les recommandations de la police.
En ce qui concerne la possibilité d’obtenir une indemnisation, Odido indique qu’une violation de données ne donne pas automatiquement droit à une compensation. L’autorité néerlandaise de protection des données a précisé qu’une indemnisation est possible si un dommage peut être prouvé, qu’il existe un lien de causalité entre la fuite de données et ce dommage, et que l’entreprise n’a pas correctement protégé les données personnelles.