Sieradenketen Pandora meldt datalek door cyberaanval op derde partij - update

De sieradenketen Pandora meldt in een e-mail aan klanten dat zij te maken heeft met een datalek als gevolg van een cyberaanval op een derde partij. Volgens Pandora gaat het alleen om namen, telefoonnummers en e-mailadressen van klanten, niet om betaalgegevens.

Meerdere tweakers melden dat zij een e-mail van de keten hebben ontvangen waarin staat dat een derde partij getroffen is door een cyberaanval, maar het bedrijf noemt niet welke partij dat is. Volgens Pandora zijn er geen wachtwoorden, creditcardgegevens of andere 'vertrouwelijke informatie' gelekt. Het bedrijf stelt ook dat er geen bewijs is gevonden dat de gegevens daadwerkelijk zijn gestolen. Naar eigen zeggen heeft Pandora naar aanleiding van het incident zijn veiligheidsmaatregelen verbeterd.

Pandora waarschuwt getroffenen om alert te zijn op mogelijke phishingaanvallen. Klanten wordt aangeraden voorzichtig te zijn met het openen van links en bijlagen die verband houden met Pandora.

Update, 20.53 uur: In het oorspronkelijke bericht werd niets over het lekken van telefoonnummers gemeld. Dat is volgens tweaker The Zep Men echter wel het geval. Dit is aan het bericht toegevoegd.

Reacties (24)

The Zep Man

Beveiliging en antivirus
Datalek
Privacy

5 augustus 2025 19:05

Volgens Pandora gaat het alleen om namen en e-mailadressen van klanten, niet om betaalgegevens.

Uit de mail:

Er werden alleen algemene gegevens door de aanvallers gekopieerd – in het bijzonder uw naam, telefoonnummer, en e-mailadres.

Dus ook telefoonnummers.

Wat mij stoort is "in het bijzonder", want dat kan veel verbergen. Geef gewoon een lijst van alle persoonsgegevens die zijn buitgemaakt.

[Reactie gewijzigd door The Zep Man op 5 augustus 2025 20:25]

Die_ene_gast @The Zep Man • 6 augustus 2025 07:52

Tjah, niemand heeft wat te verbergen totdat het lekt, en dat snapt pandora blijkbaar ook.

Cyb 5 augustus 2025 18:03

Exact om deze reden zou je bij dit soort zaken gewoon anoniem met cash moeten kunnen betalen. Vroeg of laat lekken je gegevens altijd uit als het digitaal gebeurt, en weten criminelen waar en hoeveel er bij de klanten thuis te halen valt. (In dit nieuwsbericht zegt het bedrijf dat er geen betaalgegevens zijn gestolen, maar dat met zekerheid uitsluiten is in dit soort gevallen vaak natte vinger werk.) Echter, de overheid gaat betalen met cash boven de 3000 euro verbieden, waarmee het de veiligheid van zijn burgers verlaagt en het bepaalde criminelen helpt.

logix147 @Cyb • 5 augustus 2025 18:11

Via Proton/Simple login

Naam-service@eigendomein.xyz

Wachtwoord generator

Gezin delen aan

Probleem voorkomen.

Cash gaat je ook niet helpen. Reken maar even een auto contant af - denk dat je zeker een blauwe brief met controle kan verwachten dat jaar.

Anoniem betalen bestaat voor 90% niet meer tenzij je extreem veel moeite doet ervoor en dat zou zelfs niet eens waterdicht zijn. Of je moet volledig zelfreddend offgrid ergens in Alaska gaan wonen en internet vaarwel zeggen. Dat zou je technisch gezien redelijk anoniem kunnen doen.

ik zeg hiermee overigens niet dat het OK is dat elke dienst/service zo lek zijn als een vergiet.

[Reactie gewijzigd door logix147 op 5 augustus 2025 18:11]

Cyb @logix147 • 5 augustus 2025 18:26

Met een cash betaling bedoel ik een contante betaling in de winkel zelf, niet via Internet.

Cash gaat je ook niet helpen. Reken maar even een auto contant af - denk dat je zeker een blauwe brief met controle kan verwachten dat jaar.

Als de verkoper het accepteert, zou je gewoon met cash een auto moeten kunnen betalen. Echter, vanaf 10.000 euro cash is de verkoper verplicht om volgens de Wwft wet een cliëntenonderzoek te doen. Ook is een auto iets complexer omdat een auto op naam komt te staan, i.t.t. sieraden.
Ook mag je fiscaal gezien gewoon cash hebben er er mee betalen (totdat volgend jaar het verbod op > 3000 euro in gaat), mits je de herkomst van vermogen kan verantwoorden en het opgenomen is in aangifte inkomstenbelasting.

logix147 @Cyb • 6 augustus 2025 03:05

Dat klopt allemaal - maar dan ben je dus niet “anoniem” meer aangezien je moet verklaren hoe je dat bedrag moet kunnen verklaren.

Pakje kauwgom is nog redelijk anoniem als je dat contact aftikt zonder bonuskaart. Maar veel van onze aankopen zijn niet meer anoniem.

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@Cyb • 5 augustus 2025 20:59

Maar als ik in de winkel zelf gewoon met de kaart betaal, dan heeft niemand mijn adres. Het probleem is niet de digitale betaling, het probleem is het online aankopen en laten leveren in dit geval.

Powerblast @Blokker_1999 • 5 augustus 2025 22:12

Probleem is inderdaad dat de combinatie van al je prive gevens nu bij iedereen gebruikt wordt om een unieke account aan te maken met sleutel en daar vervolgens alles mee te linken. Dat zou dus mijn inziens centraal ergens moeten zitten zodat elke webshop enkel nog een ID doorkrijgt, ook voor belastingen en btw en dergelijke. En dat ze voor de rest niks meer weten. Hoeft een webshop jouw adres te weten? Nee eigenlijk niet denk ik, enkel de pakketdienst.

joker1977 @Powerblast • 6 augustus 2025 07:40

Dat verlegt het probleem naar de pakketdiensten. Die zijn dan ineens heel gewilde targets, want praktisch "iedereen" staat dan wel bij PostNL, DHL, UPS, DPD en weet ik het in de database.

Dit geval beperkt zich tot Pandora, dat misschien enkele (tien)duizenden klant heeft. Kun je nagaan hoe gewild de databases van de PostNL's dan zijn...

Aerkhanite @Powerblast • 6 augustus 2025 10:12

Dat zou dus mijn inziens centraal ergens moeten zitten zodat elke webshop enkel nog een ID doorkrijgt,

Beetje zoals het iDeal 2.0 idee, bedoel je?

Azenomei 5 augustus 2025 17:55

Ik kan niet wachten tot we verplichte identificatie hebben op het internet en we om de week een melding als deze krijgen over de private partijen die weer eens onvoorzichtig met persoonsgegevens zijn omgegaan.

Powerblast @Azenomei • 5 augustus 2025 21:16

één dienst waarin je volledige ID zit zou ook wel een oplossing kunnen zijn. Die dienst geef je dan zelf de rechten af om voor firma x of Y, gegeven A of B te lossen en ook niet meer dan dat. De rest moeten ze maar met een unieke ID doen. Dan zitten je gegevens niet overal en nergens maar netjes op één plaats die we dan natuurlijk wel erg goed moeten dichttimmeren.

Willen ze een factuur sturen, sturen ze maar een API request naar die dienst dat hij een factuurtje nummer 10 de persoonsgegevens nog even moet aanvullen en uitsturen ofzo. Ik droom waarschijnlijk luidop, maar ik erger me persoonlijk dood aan het feit dat je echt overal tegenwoordig naam ,adres , telefoonnummer, email enzovoort moet afgeven of je kan bijna niet meer verder. Dat moet ooit een keer fout gaan.

[Reactie gewijzigd door Powerblast op 5 augustus 2025 21:18]

Azenomei @Powerblast • 5 augustus 2025 21:38

Ik kan je vertellen dat tot nu toe elke webshop waar ik wat heb gekocht de afgelopen jaar en online ticket bij musea verkoper akkoord gaat met een temp email, nepnaam en nep adres. Zolang het maar netjes betaald is. Ik wens de cybercriminelen erg veel succes met G Z met een valse geboortedatum en telefoonnummer 0600000000.

[Reactie gewijzigd door Azenomei op 5 augustus 2025 21:39]

Powerblast @Azenomei • 5 augustus 2025 22:05

Eigenlijk erg dat je die toer op moet gaan om jezelf tegen identiteitsdiefstal en phishing te beschermen

. Op dat vlak is het nu echt gewoon het wilde westen. De GDPR heeft wel wat beterschap gebracht maar op zich weinig verandert vind ik aan de accounts wildgroei. Je zou inderdaad voor minder zoals jij beginnen

.

Tandarts keek even raar toen ik zei dat ik geen email had maar hij kon toen plots wel de factuur gewoon uitprinten… probeer het nu vooral zo te beperken. Bandenwissel, nee je hoeft me geen bevestiging te sturen, ik weet vast wel wat ik heb ingevuld in de afspraakmaker nadat de tool zegt dat het ok is, enzovoort.

[Reactie gewijzigd door Powerblast op 5 augustus 2025 22:06]

rubenkemp @Powerblast • 6 augustus 2025 12:46

Hier wordt het lastig om bij de huisarts zonder mobiel/ smartphone een afspraak te maken. Tussen 9:00 en 14:00 telefonisch bereikbaar, aan de balie moge geen medische klachten uitgelegd worden wegens 'privacy'. Dus kan je alleen nog tussen 14:00 en 17:00 fysiek bij de balie een afspraak maken zonder dat de huisarts dan weet wat de klacht is. Misschien had het simpelweg via de praktijkondersteuner, doktersassistent of fysio gekund, maar nee, nu wordt de huisarts er mee belast. Want die heeft het nog niet druk genoeg.

Hun voorkeur gaat uit naar digitaal een afspraak maken, wat dan de enige optie is als je tussen hiervoor genoemde tijden werkt. Via het verplichte portaal (wel met DigiD, gelukkig); het moederbedrijf NPM healthcare (onderdeel van NPM Capital, zegt al genoeg) doet vast niks schimmigs met met mijn data he.... Zij kunnen natuurlijk net zo goed een datalek hebben. En dan wordt het nog gekoppeld aan de verzekeraar, het bedrijf dat de betalingsoftware levert, cookies. Een ramp.

Zelfs voor mij als jongere is het frustrerend. Laat staan dat mijn familieleden het nog kunnen behappen.

RoestVrijStaal @Azenomei • 8 augustus 2025 07:07

Wel vervelend als je een geschil hebt als bijvoorbeeld niet geleverd is waarvoor je betaald hebt. Bewijs maar dat jij het bent. Met een andere e-mailadres corresponderen dan waarmee besteld is, komt fraudeleus over.

Azenomei @RoestVrijStaal • 8 augustus 2025 09:03

Bestelnummer opslaan en bellen. Dat is niet zo moeilijk. En ik heb het nog niet gehad dat er iets niet wordt geleverd. Één keer de postbezorger die me met opgetrokken wenkbrauw vroeg of ik X Q was. En de McDonald's die me niet kon bereiken en dan maar alle smaken flurrie afleverde omdat die ene die we besteld hadden niet leverbaar was (we kregen niet 100 ijsjes, gewoon het bestelde aantal en de smaken in losse bakjes zodat we zelf konden samenstellen).

Stijnvi @Azenomei • 5 augustus 2025 21:25

Daarom is de EU nu al bezig met een app die werkt met online identificatie tools (zoals DigiD) en daarvan alleen de relevante data doorgeeft aan de commerciële partij. In de meeste gevallen zal dat zijn of je 18 jaar of ouder bent of niet.

Edit: even twee dingen door elkaar gehaald. Ieder land is met een app bezig voor alle info (digital wallet) en de EU is bezig met een app voor leeftijdsverificatie tot de wallets er zijn.

[Reactie gewijzigd door Stijnvi op 5 augustus 2025 22:17]

Powerblast @Stijnvi • 5 augustus 2025 22:15

Klopt, ik verwacht daar veel van op zich. Het is inderdaad one point of failure maar als dat erg goed beveiligd is, is dat in mijn optiek een pak beter dan elke straatverkoper die nu zijn beveiliging niet goed op orde heeft.

SinergyX 5 augustus 2025 17:52

zijn veiligheidsmaatregelen verbeterd
Ik zou die derde z'n veiligheidsmaatregelen onder de loep nemen.

john milton 5 augustus 2025 18:20

Sieradenketen. Ik moest het drie keer lezen. Misschien ben ik vermoeider dan ik dacht na een week ‘vakantie’ 😄

moonlander @john milton • 5 augustus 2025 19:08

Je bent niet de enige Sierad en Keten

Weltschmerz @moonlander • 5 augustus 2025 22:47

Siera denk eten? Ik moest zeggen dat ik hier geen last van had maar vind hem wel grappig nu.

asing 6 augustus 2025 18:35

Nou, Pandora's Box is open.... Moet je maar niet zo'n naam verzinnen.

Het gaat er één van velen worden. Een webshop met klantenbestand is zeer interessant voor hackers en de beveiliging is net zo goed als wat de site mocht kosten.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (24)

Sorteer op:

Weergave: