Onlangs ontdekte ethisch hacker Sipke Mellema dat routers van Odido zonder medeweten van gebruikers gedetailleerde klantinformatie verstuurden naar het Amerikaanse AI-bedrijf Lifemote. Hoewel er inmiddels een patch lijkt te zijn uitgerold, roept dit incident kritische vragen op voor de zakelijke gebruiker. Wie zijn er precies getroffen, moet je je zorgen maken als zakelijke Odido-gebruiker, wat voor informatie werd er verstuurd en wat doet Lifemote precies?
In een post op LinkedIn liet Mellema eerder al weten dat onder andere Mac-adressen en apparaatnamen van gebruikers werden doorgestuurd naar het Amerikaanse Lifemote. Klanten zijn daarover echter nooit geïnformeerd, terwijl de provider al sinds 2022 samenwerkt met het bedrijf.
De router die gebruikt en gehackt is door Mellema is de Zyxel T56 (EX5601). Bij ICT Magazine maken verschillende werknemers gebruik van een zakelijk Odido-abonnement en daarbij werd nog een Zyxel T54-modem geleverd, oftewel de voorganger. Het belangrijkste verschil tussen beide modellen is de snelheid van de WAN-poort. Die bedraagt bij de T54-variant 1Gbps, terwijl de T56 maximaal 2,5Gbps aankan.
Hoe groot de groep is van gebruikers die hierdoor getroffen is, is vooralsnog onbekend. Wel is het zeker dat het gaat om consumenten, die gebruikmaakten van Zyxel-apparatuur. Daarbij is de kans vrij groot dat het ook gaat om data van zakelijke klanten. Odido biedt namelijk inmiddels aan kleine bedrijven het consumenten-aanbod van hun glasvezeldiensten aan. Dat betekent dat niet alleen privégegevens, maar ook zakelijke apparaatinformatie via een ongedocumenteerde route naar de Verenigde Staten is verzonden.
Odido introduceert snellere 5G Internet Pro voor zakelijke gebruiker
Welke gegevens zijn er gelekt
Het gaat onder andere om MAC-adressen, oftewel unieke identificatienummers van netwerkapparaten. Ook informatie zoals namen van wifinetwerken in de omgeving werden verstuurd, evenals informatie over hotspot-gebruik. Gebruikers kunnen apparaten zoals smartphones en laptops een specifieke naam geven, zoals ‘Laptop_CEO_Financiën’, en ook die informatie kwam rechtstreeks binnen bij het Amerikaanse bedrijf.
In het privacybeleid van de provider is er niks vermeldt over het versturen van genoemde informatie naar een derde partij in de Verenigde Staten. Er wordt alleen summier genoemd dat MAC-adressen ‘uit het modem worden verzameld’, maar meer niet. De Autoriteit Persoonsgegevens (AP) mengt zich ook in de discussie en is duidelijk over de status van dergelijke gegevens. “Ook MAC-adressen zijn persoonsgegevens. We noemen dit indirect identificerende persoonsgegevens. Dat komt omdat u de gegevens kunt combineren met elkaar of met andere gegevens. Zo kunt u de gegevens terugbrengen tot een bepaald persoon”, aldus de AP.
Voor bedrijven is met name het lekken van apparaatnamen kritiek. In een zakelijke context verraden deze namen vaak welke medewerker welk device gebruikt of welke serverfuncties actief zijn binnen een lokaal netwerk. In combinatie met MAC-adressen stelt dit externe partijen in staat een ‘blauwdruk’ van de kantoorinfrastructuur op te stellen, iets wat je niet wil.
De toezichthouder stelt daarnaast dat organisaties persoonsgegevens niet zonder meer aan derde partijen mogen doorgeven. Zonder toestemming van de betrokkene mag dat alleen als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld aldus de organisatie. Dat MAC-adressen onder de AVG als persoonsgegevens worden beschouwd, is ook meerdere keren bevestigd in jurisprudentie.
Meer over Lifemote
Lifemote is een slim platform dat kunstmatige intelligentie gebruikt om de wifi-verbinding bij mensen thuis te verbeteren. Het systeem zet ruwe gegevens van routers om in duidelijke inzichten, zodat internetproviders hun klanten beter kunnen ondersteunen. Zo herkent de AI problemen zoals een zwak signaal of storingen al voordat een klant er iets van merkt. Daardoor moeten irritaties worden voorkomen.
Wanneer je als klant toch contact opneemt met de klantenservice, zorgt de software ervoor dat medewerkers op afstand direct een diagnose kunnen stellen. Via een app of website kunnen klanten met handige tools zelf hun netwerk optimaliseren, wat een hoop telefoontjes naar de helpdesk moet schelen.
Tot slot fungeert het systeem als een analysemiddel voor providers zelf. Door de prestaties van alle modems en versterkers continu te meten, krijgt het bedrijf een gedetailleerd beeld van de algehele netwerkkwaliteit. Zo kan de provider de dienstverlening op grote schaal blijven verbeteren en inspelen op trends in het dataverbruik.
Wat kun je doen als zakelijke Odido-gebruiker?
Ben je als onderneming klant bij Odido, check dan welke hardware en specifiek router er is geleverd door Odido. Gaat het om een Zyxel-apparaat, zorg er dan direct voor dat de laatste firmware is geïnstalleerd. Daarnaast is het slim om alle apparaten die gebruikt worden in het bedrijf en op de werkvloer te checken qua devicenaam. Zorg voor neutrale namen van devices en geen keuzes waaruit af te leiden is wie het apparaat gebruikt en in wat voor functie een persoon heeft.
Daarnaast is het voor grotere mkb-omgevingen natuurlijk raadzaam om eenn eigen router of firewall achter het Odido-modem te plaatsen. Daardoor blijft het interne netwerkverkeer onzichtbaar voor de apparatuur van de provider, of in dit geval derden.
Odido ligt al onder een vergrootglas
Odido wil niet ingaan op de vraag waarom de gegevens werden gedeeld terwijl dat niet vermeld stond in het privacybeleid. “Ons privacystatement, waaraan we voldoen, staat op onze website”, luidt de verklaring van de provider. In een update van het LinkedIn-bericht noemt Mellema dat hij geen requests meer ziet, die naar Lifemote over de lijn gaan. Mogelijk heeft Odido het stilletjes gepatcht, noemt hij.
Het is niet de eerste keer dat Odido in het nieuws komt vanwege privacyzorgen en het bedrijf ligt al onder een vergrootglas. Begin februari 2026 meldde de telecomprovider een grootschalige cyberaanval waarbij miljoenen klantgegevens werden gestolen. Ook blijkt dat de provider klantdata langer bewaart dan het eigen beleid toestaat. Of andere internetproviders soortgelijke gegevens ook delen of hebben gedeeld met derde partijen, is vooralsnog onbekend.