文章总结： 荷兰电信商Odido因客服遭精准社工钓鱼攻击，导致超600万用户敏感数据泄露。攻击者伪造IT部门骗取凭证并绕过双重验证，直掏聚合数据系统，窃取包含邮箱、银行账户及证件号在内的海量信息。勒索失败后数据遭公开。事件由ShinyHunters团伙实施，凸显人为环节是企业安全最薄弱点，建议企业强化员工反钓鱼培训、严格落实最小权限原则并定期清理历史敏感数据。 综合评分： 80 文章分类： 数据泄露,社会工程学,安全大事件,安全意识,威胁情报

荷兰电信巨头遭“破防”：600万用户数据被社工钓鱼一锅端

夯磅棱

2026年4月10日 09:28 北京

一次针对客服人员的精准钓鱼，绕过多重验证，直接掏空了荷兰电信运营商Odido的核心客户数据系统。超过600万用户的海量敏感信息，从邮箱电话到银行账户、身份文件，尽数泄露。这起2026年的重大事件再次证明，最坚固的技术堡垒，往往从“人”这个最薄弱的环节被攻破。

9

事件核心：一次“教科书式”的社会工程攻击

2026年2月，荷兰主要电信供应商Odido（前身为T-Mobile荷兰公司）遭遇大规模数据泄露，超过600万现有及历史客户受影响。攻击者没有去攻击复杂的网络核心，而是把目标对准了人和流程。他们成功了。

整个过程与其说是黑客技术秀，不如说是精心策划的诈骗。

• 第一步：钓鱼客服

  。攻击者向客服员工发送钓鱼邮件，并拨打伪装成内部IT部门的电话。

• 第二步：窃取凭证

  。目标是骗员工交出登录凭证，并诱导他们批准欺诈性登录，从而绕过了多重身份验证。

• 第三步：长驱直入

  。拿到合法登录权限后，攻击者进入了一个用于客户沟通和支持的聚合数据系统。这不是移动网络本身，而是一个存放着丰富个人和财务数据的平台。

• 第四步：勒索与泄露

  。攻击者导出大量客户记录后向Odido索要赎金。谈判破裂，数据开始在黑客论坛分批公开，直至完整数据集在地下渠道流传。

这次泄露的破坏力，不源于什么高深莫测的零日漏洞，而是社会工程学、对敏感数据的过度访问权限以及长期保留历史客户信息这几个因素叠加的结果。

泄露规模：海量敏感数据“裸奔”

如果说泄露事件本身是过程，那么被掏空的数据就是结果。这个结果相当惊人。

根据对泄露数据库的分析，关键数据字段的统计如下：

| 数据类型 | 记录总数（约） | 唯一记录数（约） | | — | — | — | | 电子邮件 | 1060万条 | 630万条 | | 电话号码 | 830万条 | 540万条 | | 银行账户（IBAN） | 237万条 | 186万条 | | 护照号码 | 130万条 | – | | 驾驶证号码 | 278万条 | – | | 政府身份证号 | 160万条 | – | | 全名 | 1460万条 | – | | 出生日期 | 830万条 | – |

这些数据的组合极其危险。邮箱+电话是精准营销（或诈骗）的基础；姓名+出生日期+身份证件号几乎能拼凑出一个完整的身份；而IBAN银行账户信息则直接关联金融安全。

攻击者画像：ShinyHunters勒索团伙

此次事件的幕后黑手被认为是知名勒索团伙ShinyHunters。这个团伙以攻击大型企业、窃取数据并索要高额赎金而“闻名”。他们的作案风格通常包括：在黑客论坛高调宣称负责、提供数据样本作为证明、设定支付赎金的最后期限，并在要求未得到满足后逐步公开数据。

Odido事件符合他们的一贯模式：通过钓鱼等社会工程手段初始入侵，窃取海量数据后进行勒索。这表明，即便面对拥有成熟安全体系的大型企业，通过“人”进行突破依然是攻击者高效且偏好的路径。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 《荷兰电信巨头遭“破防”：600万用户数据被社工钓鱼一锅端》