Carrefour waarschuwt Mobile-klanten voor datalek met gevoelige persoonsgegevens

De persoonsgegevens van Belgische Carrefour Mobile-klanten zijn betrokken bij een datalek, dat meldt de hypermarktketen per sms aan betrokkenen. Mogelijk zijn er onder meer namen, adressen, wachtwoorden, telefoonnummers en paspoortnummers gelekt.

Volgens een overzicht zijn er mogelijk gebruikersnamen en wachtwoorden van klanten blootgesteld, maar er zijn mogelijk ook paspoortnummers, telefoonnummers, namen, geboortedata, adresgegevens, e-mailadressen en abonneenummers gelekt. De hypermarktketen belooft meer details te geven 'zodra het onderzoek is afgerond en de nodige maatregelen zijn genomen'.

Betrokken klanten van Carrefour Mobile hebben een sms ontvangen die verwijst naar een hulppagina van de keten. Carrefour zegt momenteel 'de exacte oorzaak en omvang van het incident te achterhalen' met hulp van een onafhankelijk cybersecurity- en forensisch onderzoeksbureau.

Uit voorzorg is de website van Carrefour Mobile offline gehaald. Daardoor kunnen gebruikers momenteel geen wachtwoorden en accountgegevens wijzigen. De keten raadt getroffen klanten aan hun wachtwoord te wijzigen zodra de site weer in de lucht is en de komende maanden waakzaam te zijn voor phishingpogingen.

Carrefour is een van origine Franse hypermarktketen met veel vestigingen in onder meer België, Frankrijk, Spanje en Italië. Naast supermarktartikelen verkoopt de winkel ook niet-dagelijkse artikelen, zoals elektronica.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Sabine Schults

Redacteur

Feedback • 23-04-2025 10:31
41 • submitter: Tweakmans

23-04-2025 • 10:31

Submitter: Tweakmans

Lees meer

Parkeerbedrijf Indigo meldt datalek waarbij mogelijk klantgegevens zijn gestolen

Parkeerbedrijf Indigo meldt datalek waarbij mogelijk klantgegevens zijn gestolen Nieuws van 19 april 2025

Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries

Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries Nieuws van 18 april 2025

Carrefour opent autonome winkels met AI in België

Carrefour opent autonome winkels met AI in België Nieuws van 12 december 2023

Beveiliging en antivirus Privacy Carrefour België

Reacties (41)

phoenix2149 23 april 2025 11:29

En daarom moet ID plicht gewoon via een veilig systeem lopen waar geen kritieke persoonsgegevens overhandigd worden aan dergelijke commercial bedrijven. Zij hebben echt niet het beste voor met de gegevens van de klanten.

Digitale ID of leeftijd check gewoon via DigID (of belgische variant) en anders nooit overhandigen.

BramVroy @phoenix2149 • 23 april 2025 13:09

In België wordt itsme zo goed als overal gepusht, inclusief door de overheid. Het is ook in andere landen beschikbaar. Echter lijken de meesten te denken dat dit 100% een overheidsontwikkeling is. Dat klopt helemaal niet - itsme is commercieel! 20% van de aandelen zit bij de Belgische federale overheid, maar de rest ligt bij grootbanken en telecom. Het blijft toch wel wat een monopolie, alleszins op de Belgische markt. (Zie ook dat pogingen van concurrenten om op te starten worden bemoeilijkt: https://datanews.knack.be...e-stappen-tegen-overheid/) Dat gezegd: het werkt fijn en snel, en ben blij dat het bestaat! Maar monopolies, zeker bedrijven met winstoogmerk, zijn zelden goed...

phoenix2149 @BramVroy • 23 april 2025 15:11

Geen enkel bedrijf en overheid is waterdicht wat dat betreft. Maar als een Carrefour je om je paspoort gaat vragen als retailer.... sorry daar zou ik sowieso voor passen.

jaapzb @phoenix2149 • 24 april 2025 10:45

Ik kan me niet voorstellen dat ze paspoortgegevens voor de lol innemen, is het niet gewoon de wet daar dat ze dat moeten doen bij de verkoop van SIM-kaarten?

phoenix2149 @jaapzb • 24 april 2025 10:49

Nogmaals, hiervoor zou je een ID check kunnen (en eigenlijk juridisch moeten) gebruiken zoals itsme/DigID in plaats van het lokaal opslaan op een server ergens van een bedrijf….

Te belachelijk voor woorden dat een commercieel bedrijf dit soort data opslaat.

MPIU8686 @phoenix2149 • 23 april 2025 14:17

Sowieso, weer geeft het eens aan dat dit verplicht gegevens moeten delen nefast is omdat ze het weeral eens niet kunnen beveiligen. Zelfde met die online shops, lekker zoveel mogelijk gegevens verzamelen om daarna te worden lastig gevallen door derden per mail of op je telefoonnummer.

Heb een telefoonnummer en enkele mailadressen die ik nergens deel, maar enkel voor mijn bankzaken, steam, ubisoft dienen. Ben daar nog nooit op lastiggevallen geweest met onzin mails, reclame, pishing of iets dergelijks van derden. Enkel wat reclame van de bank, steam en ubisoft zelf natuurlijk, maar nooit niks crimineels of reclame van onbekende bedrijven.

Maar mijn mailadres dat ik enkel gebruik voor (bookspot in het verleden), gamemania, bol, amazon, ebay en dergelijke is niet vrij van deze ellende.

Wat trouwens met bedrijven die failliet zijn ?
Wat gebeurt er daarna met onze gegevens die zij opgeslagen hebben ?

Ozzy @MPIU8686 • 24 april 2025 11:27

Wat trouwens met bedrijven die failliet zijn ?
Wat gebeurt er daarna met onze gegevens die zij opgeslagen hebben ?

Dat ligt aan wat de curator ermee doet. Klantgegevens zijn onderdeel van de boedel en kunnen onder bepaalde voorwaarden worden verkocht. Hetzij met toestemming van klanten, of zonder als de gegevens gebruikt worden onder de zelfde grondslag als waarvoor ze eerder verwerkt zijn.

JanVQ 23 april 2025 10:55

Ik kreeg gisteren ook die sms. Voor zover ik weet heb ik geen account bij hen, alleen maar een SIM van hen die ik online herlaad. Evengoed vragen ze me wel bij elke herlading mijn naam + bankrekeningnummer, dus dat is ook niet zo fijn als die gegevens gelekt zouden zijn. Het is me niet duidelijk wat ik verder nog kan doen, ik heb (voorlopig) geen zin een ander telefoonnummer te nemen.

berndvv @JanVQ • 23 april 2025 11:25

ik kan fout zijn. Maar ik dacht dat in Belgie, het al ettelijke jaren verplicht is, om een SIM kaart te koppelen aan een persoon. Anoniemen SIM's waren toch verboden dacht ik?

JanVQ @berndvv • 23 april 2025 11:31

Ja, dat klopt. Dus ze hebben mijn gegevens sowieso, ik heb alleen geen online account bij hen dus de goede raad om "zo snel mogelijk je wachtwoord te wijzigen" heb ik niets aan.

MPIU8686 @berndvv • 23 april 2025 14:05

ik kan fout zijn. Maar ik dacht dat in Belgie, het al ettelijke jaren verplicht is, om een SIM kaart te koppelen aan een persoon. Anoniemen SIM's waren toch verboden dacht ik?

Dit was inderdaad verplicht, ze dreigden toen als je dit niet deed je nummer onklaar zou worden gemaakt. Maar van ik nog weet heb ik geen gegevens van op mijn ID kaart moeten doorgeven inzake ID nummers. Mijn naam wel, die is zeker verbonden met mijn nummer, geboortedatum weet ik niet meer of ik dit heb moeten doorgeven. Maar dit was bij een bestaand nummer.

Als je een nieuw nummer aanvraagt is het misschien wel mogelijk dat je je ID moet voorleggen of meer gegevens moet invullen.

MPIU8686 @JanVQ • 23 april 2025 14:00

Zelfde hier, gisteren om 14h06 een SMS van hen ontvangen op mijn GSM. Enkel daarvoor gebruik ik die prepaid SIM van Carrefour Mobile nog steeds, heb deze altijd bij me als ik aan het werk ben. Maar is prepaid en heb ook geen account bij hen, wel weten ze mijn naam verbonden aan dit nummer, omdat we deze eens verplicht moesten registreren. Maar hebben wij toen ook nog andere gegevens moeten doorgeven op dat moment ? Ik zou het niet meer weten ?

Herladen doe ik eenmaal per jaar, omdat deze nummer niet echt voor te bellen is, maar meer om gewoon bereikbaar te zijn als ik thuis aan het werk ben (tuin, dakgoot, opvoegen, karcheren). Wil ik mijn smartphone niet aan vuil maken, dan schakel ik alles gewoon door ..

gvanvoor 23 april 2025 10:45

'k Vermoed dat identiteitskaartnummers bedoeld worden i.p.v. paspoortnummers?

JanVQ @gvanvoor • 23 april 2025 11:00

Ja, dat is de "officiële" term, maar in dagelijkse informele taal kun je het ook nog gewoon over je paspoort hebben hoor. Carrefour had op z'n site wel beter de officiële term gebruikt natuurlijk.

watabstract @JanVQ • 23 april 2025 19:33

Een paspoort is toch iets heel anders dan een id-kaart.

Ik heb nog nooit meegemaakt dat die twee verward worden.

EmbarrassedBit @watabstract • 24 april 2025 06:54

Veel Vlamingen noemen elk identiteitsdocument een "pas". Wanneer men probeert ambtelijk taalgebruik te gebruiken wordt dat dan "paspoort". Een beetje zoals men zowel in Vlaanderen als Nederland alles met een Visa- of Mastercard-logo een "kredietkaart" noemt, zelf al gaat het geld meteen van de rekening.

Wel lastig als Vlaming wanneer je in een procedure-context probeert nauwkeurige taalgebruik te hanteren t.a.v. andere Vlamingen omdat je voorziet dat het jou probleem is als de ander een fout maakt (wat steeds de veronderstelling moet zijn wanneer je met om het even wat voor Belgen werkt). Nauwkeurig proberen te zijn is een onderdeel van professionele bekwaamheid, en door bekwaamheid impliciet tot norm te maken raak je aan de onuitgesproken grondslag van sociale orde onder Vlamingen, nl. nooit alluderen op de onbekwaamheid van andere Vlamingen.

watabstract @EmbarrassedBit • 24 april 2025 11:09

Dat verklaart e.e.a. voor mij als Nederlander, ondanks dat ik oprecht je laatste lange zin hekemaal niet begrijp.

In Nederland zijn het al sinds de oudheid een identiteitskaart (dan wel id-kaart) en een paspoort. Waarbij de laatste exclusief bedoeld is voor het boekje voor wereldwijd gebruik. Tijdens de inmiddels 15 jaar die ik in het buitenland woon in verschillende landen kom ik die termen elders ook gewoon tegen dus dit klinkt als een typisch Vlaamse spraakverwarring.

Overigens denk ik niet dat Nederlanders een Visa debitcard een creditcard zullen noemen. Ik heb ze zelf al jaren en doe dat zelf ook niet. Dat zal in Nederland dan toch eerder een Visa bankpasje worden verwacht ik, net als het nu een Maestro bankpasje is bijv. Ze zijn echter nog niet zo gemeengoed in Nederland dus de tijd zal het leren.

In Nederland wordt ook wel 'pas' gezegd maar dat gaat dan niet om identiteitspapieren maar om pasjes van de bank, bibliotheek, supermarkt etc en die dan het formaat 'bankpas' hebben. Door deze context zal een paspoort dus nooit pas of pasje genoemd worden want dat is exclusief bedoeld voor de kleine pasjes in je portemonnee.

[Reactie gewijzigd door watabstract op 24 april 2025 11:14]

Hansie9999 23 april 2025 10:54

Dat is wel even een "identity theft" goudmijntje, namen, adressen, telefoonnummers en paspoortnummers (id nummers ?)

Leuk

Slavy 23 april 2025 10:38

Kijken of er nu nog steeds mensen zijn die 2 a 3 jaar terug riepen dat cloud beter is dan on premises, cloud is niet veiliger zoals de laatste tijd zichtbaar is.

Quintiemero @Slavy • 23 april 2025 10:39

Denk niet dat veiligheid het belangtijkste argument was

Die_ene_gast @Quintiemero • 23 april 2025 12:12

Ik hoor cloud evangelisten altijd roepen dat de cloud veiliger is en goedkoper is. Want veiligheid is daar "makkelijker" ofzo. Geen idee overigens, ik richt dat soort dingen niet in.

Saph @Slavy • 23 april 2025 10:41

Ik haal niet uit het artikel/links dat het hier om een cloud gaat, maar misschien heb jij aanvullende informatie voor het artikel?

omnislash @Slavy • 23 april 2025 10:55

Gezien het om "Mobile-klanten" gaat zal on premise ook met het internet verbonden moeten worden en een foutje in een beveiligingsinstelling is snel gemaakt, zowel in de cloud als on premise.

Unstable Element @Slavy • 23 april 2025 10:45

Ik denk dat die mensen er nog wel zijn. Er zullen er vast een paar overleden zijn, maar niet allemaal.

yuckywucky @Slavy • 23 april 2025 11:17

Je moet de beveiliging nog altijd doen, he. Of de juiste tools gebruiken. Je kan perfect je app in de cloud zetten met een brakke auth die je zelf hebt gemaakt. Het is niet magisch beter.

Waarom is het "beter", of waarom zou je er als bedrijf voor kiezen? Lees dit:
https://www.microsoft.com...01/what-is-cloud-security
"Cloudbeveiliging is de gedeelde verantwoordelijkheid van cloudserviceproviders en hun klanten. Aansprakelijkheid verschilt, afhankelijke van het type services dat wordt geboden:"
Maar nog steeds geldt: je moet wel de juiste zaken implementeren

[Reactie gewijzigd door yuckywucky op 23 april 2025 11:19]

Dreamvoid @Slavy • 23 april 2025 17:30

Beetje een vreemde invalshoek, als de organisatie gehacked is, maakt het niets uit of de database nou in op een cloud server of op een lokale server staat.

O085105116N 23 april 2025 10:59

En nu? Wat is dan het actieplan voor de slachtoffers? Wat moeten/kunnen zij doen om id fraude te voorkomen? Vraag ik oprecht; 1 aangifte doen, 2: naar de gemeente om een nieuw id nummer vragen, met een spoedje?

themadone @O085105116N • 23 april 2025 11:05

In Nederland krijg je zo goed als nooit een nieuw BSN. Het nummer van je ID bewijs wijzigt zodra je een nieuwe aanvraagt.

Dus idd nieuw passport/I'd/rijbewijs is zo ongeveer alles wat je kan doen. Maar zelfs dan kan het zijn dat je al te laat bent of alsnog ineens een rekening krijgt voor een wazige dienst die je nooit hebt afgenomen.

Het is tijd voor nieuw beleid op dit gebied, je gegevens in een datalek zou gewoon een reset van al je unieke nummers moeten betekenen. Hoe moeilijk kan het zijn.

België

@themadone • 23 april 2025 11:12

Het artikel spreekt enkel over "paspoortnummer", dat zou het documentnummer betekenen en die verandert wel als je een paspoort of identiteitskaart vernieuwt. Mochten er ook rijksregisternummers gestolen zijn dan ben je verder van huis, die zijn in België vreemd genoeg gebaseerd op geboortedatum. Als die al vernieuwd kunnen worden gaan de eerste zes cijfers hetzelfde zijn.

b12e @Andros • 23 april 2025 12:21

Alleen kan je met een RRN (het Belgische BSN) bitter weinig zonder een officieel document waar dat nummer op staat (identiteitskaart).

In bepaalde landen is het systeem zo ontworpen dat je dat nummer letterlijk overal en nergens kan achterlaten zonder gevolgen, en waar je dat nummer zelfs aan de pakketbezorger moet geven als bewijs dat je het wel ontvangen hebt, en in andere landen is het dan weer zo dat je dat nummer beter moet beschermen dan de pincode van je bankpas.

oef! @O085105116N • 23 april 2025 11:06

Het officiële antwoord vind je hier: https://www.rvig.nl/veelg...servicenummer-bsn-krijgen

DeCo @oef! • 23 april 2025 11:17

Mensen kunnen geen identiteitsfraude plegen met een BSN.

maar tegelijk dit: https://www.rijksoverheid...komen-met-kopie-id-bewijs

DarkForce @oef! • 23 april 2025 16:35

Het officiële antwoord vind je hier: https://www.rvig.nl/veelg...servicenummer-bsn-krijgen

"Mensen kunnen geen identiteitsfraude plegen met een BSN."
Vervang BSN met naam, adres, woonplaats, postcode, geboortedatum, emailadres.

Feit is alleen dat het vrijwel nooit gaat om één van die zaken wanneer het gaat om een datalek maar gepaard gaat om een combinatie van die gegevens en plots is het dan wel mogelijk dat er identiteitsfraude kan worden gepleegd.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@O085105116N • 23 april 2025 11:30

Een nieuw BSN nummer aanvragen indien gelekt kan niet. Een nieuw identiteitsbewijs kan wel. Feit is dat hulp aan slachtoffers vaak enorm te wensen overlaat. Meer dan eens moeten slachtoffers het eea zelf uitzoeken met het risico dat ze niet (alle) juiste stappen nemen.

GoogleWave 23 april 2025 10:33

Ik noem woensdag 23 april 2025 de supermarkt-hack dag, eerst AH en nu dit weer.

FrostyPeet 23 april 2025 10:59

Dus als over een paar weken de geachte klanten plotseling vastzitten aan allerlei (buitenlandse) abonnementen, afgesloten met de gestolen informatie, mogen ze het zelf uitzoeken?

Of dat ze ge-sim-jacked worden?

Eigenlijk zou dit soort vervolg schade ook meegenomen moeten worden, niet alleen een waarschuwing voor "pas op met phishing".

Laz61 23 april 2025 11:40

Heb net een mail gekregen van mijn oude provider UNDO. Ik ben er al 4maanden geleden vertrokken.

Deze is ook gehacked;

Informatie over een incident met betrekking tot gegevensbeveiliging
Geachte heer/mevrouw,

We informeren u dat UNDO recent slachtoffer is geworden van een cyberaanval, waarbij kwaadwillenden zich toegang hebben verschaft tot ons informaticasysteem. Dit incident is inmiddels opgelost, maar heeft mogelijk geleid tot ongeautoriseerde toegang tot bepaalde persoonsgegevens.

We willen u geruststellen:

Geen bankgegevens, wachtwoorden of toegangsmiddelen tot uw UNDO-account zijn getroffen.
De UNDO-website en -applicatie werken normaal.

De gegevens die mogelijk door het incident zijn getroffen, zijn: uw volledige naam en geboortedatum, e-mailadres en telefoonnummer, postadres (straat, stad, postcode, land), btw-nummer (indien ingevuld), taal, abonnementsnummer en technische identificatiegegevens (bijvoorbeeld: IMSI, ICCID).

Zodra het probleem werd ontdekt, hebben we onmiddellijk maatregelen genomen om onze systemen te beveiligen, verdere ongeoorloofde toegang te voorkomen en een grondig onderzoek op te starten samen met onze cybersecurity-experts. Na afronding van het onderzoek ontvangt u indien nodig een update met bijkomende informatie. De bevoegde autoriteiten zijn eveneens op de hoogte gebracht.

Hoewel er op dit moment geen aanwijzingen zijn voor frauduleus gebruik van uw gegevens, raden we u uit voorzorg aan: wees alert voor verdachte berichten (zoals phishing of ongewenste oproepen); deel geen persoonlijke gegevens of logingegevens met onbekende derden; reageer niet op verdachte berichten (verwijder ze onmiddellijk); klik niet op links van onbekende afzenders; en neem bij twijfel contact op met onze klantendienst.

UNDO zal u nooit per e-mail of telefoon vragen om bankgegevens of wachtwoorden door te geven.

Uit voorzorg raden we aan om uw wachtwoord voor uw UNDO-account te wijzigen. Dit kan via ons klantenportaal (https://wsc.undo.be/) of via de mobiele app.

Voor vragen of extra informatie kan u ons contacteren via support@undo.be.

Onze excuses voor het ongemak. We blijven ons ten volle inzetten om de veiligheid van uw gegevens te garanderen. Bedankt voor uw vertrouwen.

Met vriendelijke groet,

UNDO

MPIU8686 23 april 2025 13:53

Met mijn GSM die ik ook nog steeds in gebruik heb, heb ik een nummer bij Carrefour Mobile. Gisteren dezelfde SMS mogen ontvangen om 14h06. Maar deze SIM is enkel prepaid, wel heb ik ooit mijn naam eens moeten registreren verbonden aan dit nummer, omdit dit toen verplicht was.

Om te kunnen reageren moet je ingelogd zijn