Odido : fuite de données clients
Fuite de données chez l'opérateur télécom néerlandais Odido : environ 6,2 millions de clients exposés (noms, adresses, IBAN, date de naissance) après une attaque attribuée à ShinyHunters.
- Organisation
- Odido
- Secteur
- Télécom / FAI
- Pays
- Pays-Bas
- Date des faits
- 7-8 février 2026 (accès non autorisé) ; données publiées le 1er mars 2026
- Ampleur
- environ 6,2 millions de clients (chiffres revendiqués par les attaquants plus élevés)
- Vecteur
- vishing
- Données exposées
- Noms, Adresses postales, Numéros de téléphone, Adresses e-mail, Numéros de client, IBAN / coordonnées bancaires, Dates de naissance, Données de pièce d'identité (passeport / permis de conduire)
L’opérateur télécom néerlandais Odido a révélé, le 12 février 2026, avoir subi une fuite de données majeure. Selon l’entreprise, des attaquants ont accédé à un système de gestion de la relation client (CRM Salesforce) au cours du week-end des 7 et 8 février 2026 et ont exfiltré les données personnelles d’environ 6,2 millions de clients et anciens clients, tous résidents des Pays-Bas (donc de l’Union européenne). Les données concernées comprennent noms, adresses postales, numéros de téléphone, adresses e-mail, numéros de client, IBAN et dates de naissance ; certaines sources mentionnent également des données de pièces d’identité (passeport, permis de conduire). L’incident a été notifié à l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) au titre du RGPD, point confirmé par plusieurs sources (UpGuard, Computable, FLIB).
L’attaque est attribuée au groupe ShinyHunters, déjà associé à des campagnes visant des environnements Salesforce. Selon les sources, le vecteur initial relève de l’ingénierie sociale : hameçonnage pour dérober des identifiants d’agents du service client, puis usurpation de l’identité du support informatique pour faire approuver des demandes de connexion et contourner l’authentification multifacteur. Le 24 février 2026, l’existence d’une demande de rançon (estimée à plus d’un million d’euros, « bas de la fourchette à sept chiffres ») a été rendue publique. Odido ayant refusé de payer, les attaquants ont publié l’ensemble du jeu de données sur le dark web le 1er mars 2026.
Les chiffres restent à nuancer : le périmètre officiel communiqué par Odido est d’environ 6,2 millions de personnes, mais certaines sources évoquent des volumes supérieurs (jusqu’à 6,5 millions de clients plus des entreprises, voire jusqu’à 8 à 21 millions d’enregistrements revendiqués par les attaquants). La fourchette basse et officielle (6,2 millions) est retenue ici par prudence. L’affaire a depuis donné lieu à une action de groupe aux Pays-Bas et à une enquête pénale, et figure parmi les fuites télécom les plus importantes signalées en Europe sur la période.