Cyberaanvallen gaan allang niet meer alleen over virussen, gehackte laptops of systemen die op slot worden gezet. Steeds vaker draait het om iets anders: data. Klantgegevens, contactinformatie, interne documenten en gegevens uit CRM- of supportsystemen zijn waardevol. Niet alleen voor organisaties zelf, maar ook voor cybercriminelen.
Een groep die de afgelopen jaren regelmatig met grootschalige datadiefstal in verband wordt gebracht, is ShinyHunters. De naam klinkt bijna speels. Voor de Pokémon-kenners: een “shiny” is een zeldzame Pokémon met een andere kleur dan normaal. Spelers die actief naar zulke exemplaren zoeken, worden ook wel shiny hunters genoemd.
Maar deze ShinyHunters jagen niet op zeldzame Pokémon. Ze jagen op gevoelige gegevens om hun slachtoffers mee af te persen.
Wie zijn ShinyHunters?
ShinyHunters is een internationaal opererende cybercriminele groep. Het gaat dus echt om georganiseerde digitale misdaad. De groep probeert toegang te krijgen tot systemen van bedrijven en instellingen, steelt grote hoeveelheden klant-, medewerker- of gebruikersdata en gebruikt die informatie vervolgens als drukmiddel. Slachtoffers kunnen worden afgeperst met de dreiging dat gegevens worden verkocht of openbaar gemaakt.
Volgens openbare berichtgeving ontstond ShinyHunters rond 2019 en dook vanaf 2020 steeds vaker op in berichtgeving over datalekken. Sindsdien wordt de groep in verband gebracht met aanvallen op tientallen internationale organisaties.
In Nederland dook de naam ShinyHunters voor het eerst groot op rond de Ticketmaster-zaak in 2024. Daarbij claimde de groep gegevens van honderden miljoenen klanten in handen te hebben. Echt bekend bij het grote publiek werd de naam later vooral door de aanval op Odido in 2026. Die zaak kreeg veel media-aandacht, omdat het ging om een bekende Nederlandse telecomprovider en gegevens van een grote groep klanten.
In Nederland dook de naam ShinyHunters voor het eerst groot op rond de Ticketmaster-zaak in 2024. Daarbij claimde de groep gegevens van honderden miljoenen klanten in handen te hebben. Echt bekend bij het grote publiek werd de naam later vooral door de aanval op Odido in 2026. Die zaak kreeg veel media-aandacht, omdat het ging om een bekende Nederlandse telecomprovider en gegevens van een grote groep klanten.
Daarnaast werd de groep in verband gebracht met incidenten rond onder meer Google, Adidas, Pornhub en onderwijsplatform Canvas. Vooral de zaken rond Odido en Canvas lieten zien dat dit type aanval geen ver-van-je-bedshow is. Ook Nederlandse organisaties, klantomgevingen en supportsystemen kunnen doelwit worden.
Hoe gaan ze te werk?
1. Social engineering
Een aanval begint vaak met misleiding. Aanvallers doen zich voor als iemand die te vertrouwen is, zoals een IT-medewerker, supportpartner of leverancier. Via telefoon, e-mail, chat of een nagemaakte inlogpagina proberen ze medewerkers zover te krijgen dat ze een code delen, een koppeling goedkeuren of toegang geven tot een systeem.
2. Toegang verkrijgen
Daarna gebruiken aanvallers normale toegangsroutes, zoals cloudapplicaties, gekoppelde apps, SSO, API’s of inlogtokens. Daardoor kan hun activiteit lijken op gewoon werkverkeer. Een aanvaller loopt als het ware met het juiste pasje door de voordeur.
3. Data verzamelen
Zodra aanvallers binnen zijn, zoeken ze naar waardevolle data. Denk aan klantgegevens, contactinformatie, supporttickets, interne documenten, CRM-data of gebruikerscommunicatie. Vooral systemen waarin veel persoonsgegevens samenkomen, zijn aantrekkelijk.
4. Afpersing en druk
Na de datadiefstal volgt vaak de drukfase. Aanvallers dreigen gegevens openbaar te maken of te verkopen. Daarmee proberen ze organisaties te dwingen om losgeld te betalen. De schade zit dan niet alleen in de gestolen data, maar ook in tijdsdruk, reputatierisico en onzekerheid bij klanten of medewerkers.
Wat betekent dit voor jouw organisatie?
De aanvallen van ShinyHunters zijn niet alleen nieuws over grote merken die bij het grote publiek bekend zijn. Ze zijn ook een waarschuwing voor iedere organisatie die werkt met klantdata, cloudapplicaties of externe koppelingen. En dat is tegenwoordig bijna elke organisatie.
Vertrouw niet alleen op techniek
Goede beveiligingssoftware blijft belangrijk, maar techniek alleen is niet genoeg. Groepen zoals ShinyHunters misbruiken vaak legitieme toegang in plaats van technische kwetsbaarheden. Zelfs als een organisatie kwalitatief hoogstaande beschermingsoplossingen hanteert, kunnen werknemers besluiten preventieve maatregelen te omzeilen
Kijk daarom breder dan apparaten en netwerken. Wie heeft toegang tot belangrijke data? Welke externe apps zijn gekoppeld? Wie mag grote hoeveelheden gegevens exporteren? En zouden jullie het merken als dat ineens gebeurt?
Zorg voor een veilige meldcultuur
Een medewerker die twijfelt, moet snel en zonder angst kunnen melden. Ook als diegene misschien op een link heeft geklikt, een code heeft gedeeld of iets heeft goedgekeurd dat achteraf verdacht voelt.
“We shouldn’t be in a position where tricking one employee with some clever social engineering could lead to exposing the details of millions of people. Even with quality protection in place, people can and will often override clear preventions, and it can unfortunately lead to large scale data breaches. These incidents will hit even harder in the future if more sophisticated multi-layered attacks drive an army of AI generated virtual scammers to test employees’ security practices.
Cybercriminelen spelen in op vertrouwen, stress en tijdsdruk. Dat kan iedereen overkomen. Hoe sneller een verdachte situatie bekend is, hoe sneller een organisatie kan ingrijpen.
Controleer cloudkoppelingen en klantomgevingen
Veel organisaties gebruiken allerlei cloudtools en SaaS-applicaties, zoals CRM, marketingsoftware, supportplatformen, analytics en HR-tools. Die systemen zijn handig, maar bevatten vaak ook veel waardevolle data.
Beperk daarom wie externe apps mag koppelen, beoordeel nieuwe koppelingen vooraf en controleer regelmatig welke apps toegang hebben. Let extra op CRM- en supportomgevingen: voor medewerkers zijn die praktisch, maar voor aanvallers ook.
Train op social engineering
Security awareness gaat niet alleen over phishingmails herkennen. Medewerkers moeten ook weten hoe telefonische misleiding, nep-supportverzoeken en verdachte goedkeuringsverzoeken eruitzien.
Maak afspraken concreet: IT vraagt nooit om wachtwoorden of MFA-codes, onverwachte verzoeken om toegang worden gecontroleerd en bij twijfel is melden altijd goed.
Bereid je voor op datadiefstal en afpersing
Als data wordt gestolen, wil je niet dat dat het eerste moment is dat je nadenkt over wie wat doet en welke stappen moeten worden genomen. Zorg daarom voor een duidelijk plan. Wie neemt beslissingen? Wie schakelt juridische hulp in? Wie communiceert met klanten of medewerkers? En wanneer worden externe specialisten of autoriteiten betrokken?
Betaal ook niet zomaar losgeld. Het betalen van losgeld biedt geen garantie dat gestolen gegevens worden verwijderd of niet alsnog worden verspreid. Overleg altijd met juridische, security- en crisisexperts.
De belangrijkste les
ShinyHunters laat zien dat moderne cybercriminaliteit vaak draait om vertrouwen. Niet alleen systemen worden aangevallen, maar ook mensen, processen, accounts en cloudkoppelingen.
De naam mag verwijzen naar een speelse zoektocht naar zeldzame Pokémon, maar de echte jacht is veel serieuzer. Cybercriminelen zoeken naar zeldzaam waardevolle data. En die data staat vaak in systemen die organisaties dagelijks gebruiken.
De vraag is dus niet alleen: kunnen we een aanval tegenhouden? Maar: merken we het snel genoeg als iemand met vertrouwde toegang onze data probeert mee te nemen?
Wie die vraag serieus neemt, vergroot de digitale weerbaarheid van de organisatie en beperkt de impact van incidenten wanneer die zich voordoen. Niet omdat elk incident te voorkomen is, maar omdat schade sneller kan worden beperkt.
