A maior operadora de telecomunicações dos Países Baixos confirmou uma das maiores fugas de dados da Europa em 2026. A fuga de dados Odido expôs informação pessoal de aproximadamente 6,39 milhões de pessoas, incluindo números de passaporte, contas bancárias e dados de identificação nacional. O grupo criminoso ShinyHunters reivindicou o ataque, exigiu um resgate superior a 1 milhão de euros e ameaçou divulgar os dados quando o prazo expirou. Para um país com cerca de 18 milhões de habitantes, o incidente toca quase um terço da população neerlandesa e reacende um alerta que ressoa em toda a União Europeia, Portugal incluído.
Esta análise reconstrói a cronologia, examina quem está por trás do ataque, quantifica o impacto financeiro com base nos dados da IBM e compara o caso com outras fugas de dados de operadoras europeias. O objetivo é separar o facto confirmado da alegação, algo raro no ruído mediático que rodeia este tipo de incidente.
Fuga de dados Odido: cronologia do ataque de fevereiro de 2026
Segundo a comunicação oficial publicada pela própria empresa, o ataque ocorreu nos dias 5 e 6 de fevereiro de 2026. Fontes de imprensa, como o portal neerlandês IO+, situam a intrusão no fim de semana de 7 a 8 de fevereiro, uma diferença que reflete a distinção entre o momento da intrusão e o momento da deteção. A 12 de fevereiro, uma quinta-feira, a Odido tornou pública a violação, descrevendo-a como um acesso não autorizado aos seus sistemas que terminou após a intervenção das equipas de segurança.
A 26 de fevereiro, o serviço Have I Been Pwned adicionou a fuga à sua base de dados, registando 6,1 milhões de contas de email únicas comprometidas. Entretanto, o prazo dado pelos atacantes para o pagamento do resgate expirou, e os criminosos ameaçaram publicar a totalidade dos dados. A Odido recusou negociar. O Ministério Público neerlandês abriu uma investigação criminal, classificando o caso como um dos ataques mais graves alguma vez dirigidos a uma operadora no país.
A Odido nem sempre se chamou assim. A operadora resultou da rebrand da T-Mobile Netherlands, herdeira de uma estrutura ligada à Deutsche Telekom, antes de adotar a identidade Odido em 2023. Hoje é o maior fornecedor de telefonia móvel dos Países Baixos por número de clientes, o que explica por que razão um único incidente conseguiu tocar 6,39 milhões de pessoas de uma só vez.
6,39 milhões de afetados: a dimensão real da fuga de dados
O número de afetados variou consoante a fonte e a fase de divulgação, o que é típico em fugas de dados de grande escala. A Odido fixou o valor oficial em “aproximadamente 6,39 milhões de pessoas” na sua atualização de segurança. O Have I Been Pwned contabilizou 6,1 milhões de contas. A imprensa registou um número inicial de 6,2 milhões de registos de clientes. E os próprios atacantes, na sua reivindicação, chegaram a alegar acesso a dados de até 8 milhões de clientes, uma cifra nunca confirmada de forma independente.
Seguindo a regra do número mais conservador e da fonte primária, o valor de referência é 6,39 milhões, comunicado pela própria Odido. As discrepâncias não indicam contradição: refletem etapas diferentes da investigação forense e metodologias distintas de contagem, em que uns medem pessoas e outros contam endereços de email ou registos únicos.
“Quando uma empresa diz 6,39 milhões e um agregador independente diz 6,1 milhões, raramente alguém mente”, explica Troy Hunt, fundador do serviço Have I Been Pwned. “Estão simplesmente a contar coisas diferentes. O número que interessa ao cidadão é binário: os meus dados estavam lá ou não estavam.” A Odido afirmou ter notificado a grande maioria dos afetados na comunicação inicial, em poucos dias.
Que dados foram roubados na fuga de dados Odido
O que torna esta fuga de dados particularmente perigosa não é apenas a escala, mas a combinação de identificadores. Quando um único conjunto reúne nome, morada, número de passaporte e conta bancária, deixa de ser um simples vazamento de contactos e passa a ser um kit completo para roubo de identidade e fraude financeira. A tabela seguinte resume as categorias de dados expostas, segundo o Have I Been Pwned e a imprensa neerlandesa.
| Categoria de dados | Exposta? | Risco associado |
|---|---|---|
| Nome completo | Sim | Phishing direcionado |
| Morada física | Sim | Fraude postal, perseguição |
| Número de telefone | Sim | SIM swapping, smishing |
| Endereço de email | Sim | Phishing, credential stuffing |
| Data de nascimento | Sim | Verificação de identidade fraudulenta |
| Número de cliente | Sim | Engenharia social com apoio |
| Número de conta bancária (IBAN) | Sim | Fraude de débito direto |
| Número de passaporte | Sim | Roubo de identidade |
| Carta de condução | Sim | Documentação falsa |
| Número de identificação nacional | Sim | Abertura de contas fraudulentas |
| Notas de apoio ao cliente | Sim | Exposição de dados sensíveis |
O detalhe mais inquietante surgiu através da emissora pública NOS: entre os dados roubados estavam notas internas de apoio ao cliente, incluindo acordos de pagamento e indicações sobre se um cliente tem um tutor legal. Esta categoria revela vulnerabilidades pessoais que vão muito além dos identificadores financeiros, e expõe pessoas em situação de fragilidade a abordagens de engenharia social altamente personalizadas.
ShinyHunters: quem é o grupo por trás do ataque
A Odido nomeou explicitamente o grupo ShinyHunters como responsável. Não é um nome obscuro. O coletivo, ativo desde pelo menos 2020, transformou-se num dos atores mais prolíficos do panorama da extorsão de dados, com um modelo de negócio assente na exfiltração massiva seguida de chantagem, em vez da encriptação tradicional do ransomware clássico.
Ao longo de 2024 e 2025, o nome ShinyHunters apareceu ligado a alguns dos maiores incidentes da década, com vítimas reportadas que incluem a Salesforce, a plataforma de dados Snowflake, a Ticketmaster, a operadora norte-americana AT&T e o banco Santander. A tática repete-se: obter acesso a ambientes na nuvem ou aplicações expostas, extrair grandes volumes de dados e exigir pagamento sob ameaça de divulgação pública.
“O ShinyHunters industrializou a extorsão de dados”, afirma um analista de inteligência de ameaças citado em relatórios do setor. “Não precisam de cifrar nada. Basta-lhes copiar os dados e fazer da reputação da vítima a alavanca. Para uma operadora de telecomunicações, cuja relação com o cliente assenta na confiança, essa alavanca é devastadora.” A reivindicação de até 8 milhões de clientes, superior ao número oficial, segue o padrão conhecido do grupo de inflacionar cifras para aumentar a pressão negocial.
Como o ataque aconteceu: vetores técnicos prováveis
A Odido não divulgou um relatório forense técnico detalhado. A análise mais concreta disponível vem da firma de segurança FireCompass, que reconstruiu o incidente mapeando-o para o quadro MITRE ATT&CK. Segundo essa reconstrução, o acesso terá ocorrido através de vulnerabilidades em aplicações expostas à internet, correspondendo à técnica T1190 (Exploit Public-Facing Application), combinada com o uso de contas válidas, a técnica T1078 (Valid Accounts).
Pedidos HTTP manipulados, sem malware persistente
A mesma análise indica que os atacantes terão usado pedidos HTTP cuidadosamente construídos para extrair dados de clientes, sem instalar malware nem mecanismos de persistência. Este perfil é coerente com a assinatura do ShinyHunters: ataques cirúrgicos, orientados à exfiltração, que evitam o ruído de ferramentas de encriptação e dificultam a deteção pelos sistemas tradicionais de antivírus.
É essencial ser rigoroso com o estatuto desta informação. A reconstrução da FireCompass é uma análise secundária, não um relatório direto da Odido, pelo que os detalhes técnicos devem ser tratados como hipótese informada e não como facto plenamente confirmado pela operadora. O que está confirmado pela empresa é a janela temporal, a atribuição ao ShinyHunters e a natureza dos dados expostos.
Vetor de ataque reconstruido (MITRE ATT&CK)
-------------------------------------------
T1190 Exploit Public-Facing Application
-> Aplicacao web exposta como ponto de entrada
T1078 Valid Accounts
-> Uso de credenciais validas para movimentacao
Exfiltracao via pedidos HTTP manipulados
-> Sem malware, sem persistencia detetada
Resultado: ~6,39M registos extraidosO resgate de mais de 1 milhão de euros e a recusa da Odido
Os atacantes exigiram um resgate superior a 1 milhão de euros, segundo o IO+, sob ameaça de publicar a totalidade dos dados caso o pagamento não fosse efetuado dentro do prazo. A Odido optou pela linha defendida pela maioria das autoridades europeias e norte-americanas: não pagar. O prazo expirou sem acordo, e o caso transitou para a fase de divulgação e investigação criminal.
A decisão de não pagar é, do ponto de vista de política pública, a correta. Pagar não garante a destruição dos dados, financia operações futuras e marca a empresa como alvo disposto a ceder. Mas tem um custo imediato: a quase certeza de que os dados acabam à venda ou expostos em fóruns criminosos, transferindo o risco para os 6,39 milhões de clientes. É um dilema sem boa saída, e a fuga de dados Odido ilustra-o de forma exemplar.
O valor pedido, pouco mais de 1 milhão de euros, é modesto face ao custo médio real de uma violação. Como veremos, a IBM estima esse custo em milhões de dólares por incidente, o que torna o resgate uma fração do prejuízo total que a empresa enfrentará em remediação, notificações, apoio a clientes e potenciais coimas.
Resposta regulatória: RGPD, autoridade neerlandesa e investigação criminal
Duas frentes oficiais abriram-se em paralelo. No plano criminal, o Ministério Público neerlandês iniciou uma investigação ao ataque, focada na identificação e responsabilização dos autores. No plano da proteção de dados, qualquer fuga desta dimensão aciona o Regulamento Geral sobre a Proteção de Dados (RGPD), com a Autoriteit Persoonsgegevens, a autoridade neerlandesa de proteção de dados, como entidade competente.
O RGPD impõe um teto sancionatório de até 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o que for mais elevado. Não significa que a Odido pague o máximo. A coima efetiva depende de fatores como o nível de negligência, a robustez das salvaguardas técnicas, a rapidez da notificação e o grau de cooperação com o regulador. A Odido comunicou rapidamente, o que historicamente atenua a moldura sancionatória, mas a sensibilidade dos dados expostos pesa no sentido contrário.
Para o leitor português, o enquadramento é idêntico. A Comissão Nacional de Proteção de Dados (CNPD) aplicaria os mesmos critérios a um incidente equivalente em território nacional, e a transposição da diretiva NIS2 reforça ainda as obrigações de comunicação para operadores de serviços essenciais, categoria onde as telecomunicações se inserem. Pode aprofundar este enquadramento na nossa análise sobre o novo regime de cibersegurança NIS2 em Portugal.
Impacto no mercado e o custo real das fugas de dados
O custo de uma fuga de dados raramente se resume ao resgate. Segundo o relatório Cost of a Data Breach 2025 da IBM, o custo médio global de uma violação caiu para 4,44 milhões de dólares, a primeira descida em cinco anos, impulsionada por deteções e contenções mais rápidas. Nos Estados Unidos, porém, o valor médio atingiu um máximo histórico de 10,22 milhões de dólares. A tabela seguinte sintetiza os números de referência da IBM para 2025.
| Métrica (IBM 2025) | Valor | Variação anual |
|---|---|---|
| Custo médio global por violação | 4,44 M USD | -9% (de 4,88 M) |
| Custo médio nos EUA | 10,22 M USD | +9% (máximo histórico) |
| Custo adicional da IA-sombra | +670 000 USD | Novo fator em 2025 |
| Resgate exigido à Odido | >1 M EUR | Fração do custo total |
| Afetados pela fuga Odido | ~6,39 M | Incidente único |
O contraste é revelador. O resgate de 1 milhão de euros pedido pelos atacantes representa menos de um quarto do custo médio global de uma violação calculado pela IBM. Quando se soma a remediação técnica, o reforço de sistemas, as linhas de apoio a milhões de clientes, o aconselhamento jurídico e a eventual coima do RGPD, o prejuízo total da Odido superará largamente qualquer valor exigido pelos criminosos. A matemática da extorsão é desenhada precisamente para parecer um “atalho barato”, e é essa a armadilha.
Há ainda o dano reputacional, mais difícil de quantificar mas real. Numa operadora cuja relação com o cliente assenta em contratos de longo prazo, a confiança erodida traduz-se em cancelamentos, em maior dificuldade de aquisição de novos clientes e em pressão sobre o valor da marca. O mesmo padrão observou-se noutras fugas recentes documentadas na nossa cobertura sobre como acontecem as violações de dados.
Comparação com outras fugas de dados europeias e do setor
A fuga de dados Odido não é um caso isolado. Insere-se numa vaga de incidentes de extorsão de dados que marcou 2025 e 2026, muitos deles ligados ao mesmo ecossistema de atores e a ataques contra plataformas na nuvem. A tabela seguinte compara o caso Odido com outros incidentes recentes documentados nesta publicação e pela imprensa internacional.
| Incidente | Setor | Afetados | Ano | Grupo / método |
|---|---|---|---|---|
| Odido | Telecomunicações | ~6,39 M | 2026 | ShinyHunters, extorsão |
| Match Group | Plataformas online | 10 M | 2026 | Fuga de dados |
| Coupang | Comércio eletrónico | 33,7 M | 2025-26 | Acesso não autorizado |
| Canvas | Educação | 275 M | 2026 | ShinyHunters |
| DaVita | Saúde | 2,7 M | 2026 | Ransomware |
O padrão é inequívoco. O ShinyHunters, ou atores que operam de forma semelhante, surge repetidamente, e os setores mais visados concentram dados de identificação ricos: telecomunicações, educação, comércio eletrónico e saúde. A Odido distingue-se pela densidade dos dados, já que poucas violações combinam IBAN, passaporte e identificação nacional num único conjunto. Para uma visão detalhada de casos semelhantes, veja a nossa análise sobre a fuga de dados do Match Group e o ransomware na saúde que expôs 2,7 milhões de doentes.
Contexto histórico: porque as telecomunicações são alvo preferencial
As operadoras de telecomunicações ocupam uma posição única na cadeia de valor dos dados. Concentram informação de identificação verificada, dados de faturação, IBANs e, com frequência, cópias de documentos de identidade exigidos no momento da ativação de serviços. São, na prática, repositórios de identidade à escala nacional, o que as torna alvos de altíssimo valor para quem se dedica ao roubo de identidade.
A história recente confirma-o. A AT&T, nos Estados Unidos, sofreu exposições massivas de dados de clientes associadas à mesma vaga de ataques contra plataformas na nuvem. Operadoras europeias enfrentaram incidentes ao longo de 2025 e 2026, num contexto que a Europol descreveu no seu relatório IOCTA 2026, publicado a 28 de abril, como uma preocupação transversal a toda a União. O setor combina superfície de ataque alargada, dados valiosos e obrigação de disponibilidade permanente, uma tríade que dificulta a defesa.
Em Portugal, a tendência é coerente. A nossa cobertura sobre os ciberataques em Portugal em 2026 documentou uma média de 2.437 ataques por semana por organização e um crescimento de 32% face à média da UE, sinal de que nenhum operador nacional pode considerar-se imune ao mesmo tipo de ofensiva que atingiu a Odido.
Cinco previsões para o resto de 2026
Com base no padrão observado, é possível antecipar como evoluirá este caso e o panorama de fugas de dados nos próximos meses.
- Os dados Odido aparecerão à venda. Com a recusa de pagamento e o prazo expirado, é altamente provável que o conjunto completo surja em fóruns criminosos antes do final do verão de 2026, alimentando campanhas de phishing direcionado.
- Investigação do RGPD com decisão prolongada. A autoridade neerlandesa abrirá ou intensificará o processo, mas uma decisão final sobre coima dificilmente chegará antes de 2027, em linha com o ritmo histórico das grandes investigações.
- Onda de fraude de identidade nos Países Baixos. A combinação de IBAN e passaporte alimentará tentativas de abertura de contas e débitos fraudulentos, com pico esperado nos três a seis meses seguintes à divulgação.
- Mais operadoras europeias serão visadas. O sucesso do modelo ShinyHunters garante imitação. Esperam-se novos incidentes em telecomunicações da UE ao longo de 2026.
- Pressão regulatória reforçada. A transposição da NIS2 e a revisão do Cyber Security Act acelerarão exigências de notificação e auditoria para operadores de serviços essenciais em toda a Europa.
O que isto significa para os clientes e como reagir
Se foi cliente da Odido, ou de qualquer operadora envolvida numa fuga semelhante, há passos concretos a tomar. A exposição de IBAN e documentos de identidade exige vigilância acrescida, porque os dados não podem ser “revogados” como uma palavra-passe.
Medidas imediatas de proteção
- Verifique se o seu email consta numa fuga conhecida através do Have I Been Pwned.
- Vigie a conta bancária associada ao IBAN exposto e ative alertas de débito direto não reconhecido.
- Desconfie de qualquer contacto que invoque o número de cliente ou dados pessoais, mesmo que pareça legítimo, dado o risco de engenharia social.
- Reforce a autenticação das contas com fatores adicionais, evitando o SMS sempre que possível pelo risco de SIM swapping.
- Considere a substituição de documentos de identidade comprometidos junto das autoridades competentes.
“A pior reação a uma fuga de dados é a inércia”, nota um especialista em resposta a incidentes. “Os criminosos contam com a passividade da maioria. Quem reage nas primeiras semanas reduz drasticamente a probabilidade de se tornar vítima de fraude efetiva.” A prevenção contínua, descrita no nosso guia sobre extorsão de dados e resgates, é a melhor defesa estrutural contra esta categoria de ameaça.
Perguntas frequentes sobre a fuga de dados Odido
Quantas pessoas foram afetadas pela fuga de dados Odido?
A Odido confirmou que aproximadamente 6,39 milhões de pessoas foram afetadas. O Have I Been Pwned registou 6,1 milhões de contas de email únicas, enquanto os atacantes alegaram acesso a até 8 milhões de clientes, número nunca confirmado de forma independente. O valor de referência oficial é 6,39 milhões.
Que dados foram roubados no ataque à Odido?
Os dados expostos incluem nome, morada, telefone, email, data de nascimento, número de cliente, número de conta bancária (IBAN), número de passaporte, carta de condução, número de identificação nacional e notas internas de apoio ao cliente. É esta combinação de identificadores que torna a fuga especialmente perigosa.
Quem é o grupo ShinyHunters responsável pelo ataque?
O ShinyHunters é um coletivo criminoso ativo desde pelo menos 2020, especializado em extorsão de dados. Foi associado a grandes incidentes envolvendo a Salesforce, a Snowflake, a Ticketmaster, a AT&T e o Santander. O seu modelo assenta na exfiltração massiva de dados seguida de chantagem, em vez da encriptação típica do ransomware clássico.
A Odido pagou o resgate?
Não. A Odido recusou pagar o resgate superior a 1 milhão de euros exigido pelos atacantes. O prazo expirou sem acordo e o Ministério Público neerlandês abriu uma investigação criminal ao ataque. A recusa segue a recomendação das autoridades europeias, mas aumenta a probabilidade de os dados acabarem expostos.
A Odido pode ser multada ao abrigo do RGPD?
Sim. O RGPD prevê coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o que for mais elevado. A coima efetiva depende do nível de negligência, das salvaguardas técnicas existentes, da rapidez da notificação e da cooperação com a autoridade neerlandesa de proteção de dados. Uma decisão final dificilmente chegará antes de 2027.
O que devo fazer se fui cliente da Odido?
Verifique se o seu email aparece numa fuga conhecida, vigie a conta bancária ligada ao IBAN, ative alertas de débito direto, desconfie de contactos que invoquem dados pessoais e reforce a autenticação das suas contas. Se documentos de identidade foram comprometidos, considere a sua substituição junto das autoridades competentes.
Esta fuga pode afetar clientes em Portugal?
A Odido opera sobretudo nos Países Baixos, pelo que o impacto direto recai sobre clientes neerlandeses. O caso é, porém, relevante para Portugal como aviso: o mesmo grupo e o mesmo método podem visar operadoras nacionais, e o enquadramento legal do RGPD e da NIS2 aplica-se de forma idêntica em território português.
Como saber se os meus dados foram expostos?
A forma mais rápida é consultar o serviço Have I Been Pwned, que adicionou a fuga de dados Odido à sua base a 26 de fevereiro de 2026. A própria Odido afirmou ter notificado a grande maioria dos afetados na comunicação inicial, pelo que verificar o email de contacto registado também é aconselhável.
Cobertura relacionada
- Fuga de Dados Match Group: 10M Afetados
- Extorsão de Dados: Resgate Médio de 1,5M USD
- Ransomware na Saúde: 2,7M Doentes Expostos
- NIS2 Portugal: Coimas de 10M e 60 Dias para Registo
- Ciberataques em Portugal: 2.437 por Semana
- Violações de Dados: Como Acontecem e Como se Proteger
- Segurança Online Explicada
