Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour

Bij een datalek van kledingmerk Under Armour zijn gegevens van 72 miljoen klanten gestolen, meldt database Have i Been Pwned. Daaronder vallen namen, woonadressen en bestelgegevens. Under Armour heeft zelf nog niet gereageerd op het lek.

De gestolen gegevens zijn gepubliceerd op een hackersforum, meldt Have I Been Pwned. Ze zijn naar verluidt afkomstig uit een datalek bij Under Armour, een Amerikaanse kledingzaak die ook in Nederland en België actief is. In november beweerde de hackersgroep achter de Everest-ransomware 343GB aan data van Under Armour gestolen te hebben. Under Armour heeft tot dusver nog niet gereageerd op het vermeende datalek.

De groep zou de gegevens nu hebben gepubliceerd omdat Under Armour weigerde om losgeld te betalen. Onder de gepubliceerde gegevens vallen onder meer 72 miljoen e-mailadressen, meldt Have I Been Pwned. Daarvan was 76 procent al aanwezig in de database van de site. Van veel klanten zijn ook andere gegevens gestolen, zoals de naam, geboortedatum en het woonadres, naast gegevens over welke aankopen ze hebben gedaan.

Under Armour-datalek — Bron: Cyberinsider

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 21-01-2026 16:14
47 • submitter: Chocoball

21-01-2026 • 16:14

Submitter: Chocoball

Lees meer

Nederlands wellnesscentrum waarschuwt gasten voor gerichte phishing via WhatsApp

Nederlands wellnesscentrum waarschuwt gasten voor gerichte phishing via WhatsApp Nieuws van 12 januari 2026

Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen

Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen Nieuws van 12 januari 2026

ESA meldt datalek; hacker claimt diefstal 200GB data en broncode

ESA meldt datalek; hacker claimt diefstal 200GB data en broncode Nieuws van 31 december 2025

Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset

Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset Nieuws van 18 januari 2024

Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe

Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe Nieuws van 5 januari 2022

Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden

Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden Nieuws van 20 december 2021

Have I Been Pwned voegt oude database met 340.000 League of Legends-accounts toe

Have I Been Pwned voegt oude database met 340.000 League of Legends-accounts toe Nieuws van 30 juli 2018

Meer producten en artikelen

Beveiliging en antivirus Cybercrime Datalek Hack

Reacties (47)

47

44

18

1

0

23

Wijzig sortering

honey 21 januari 2026 17:26

Ik vind dat bij wet verplicht moet worden dat je alleen gegevens vraagt en registreert die noodzakelijk zijn voor de verwerking van de bestelling.

Geboortedatum is dus compleet onzin.

Daarnaast, dat ze na de herroepingsrecht alle gegevens wissen of anonimiseren.

Mathijs Kok @honey • 21 januari 2026 17:47

Geboortedatum is dus compleet onzin.

In veel landen moet je dat vragen om te weten of de persoon meerderjarig is. En nee, dat mag vaak niet met een ja/nee vraag.

markjanssen @Mathijs Kok • 21 januari 2026 20:51

dan nog hoef je niet de waarheid in te vullen... ik doe altijd 1/1 en een random jaar een paar 'pagedowns' naar beneden.

MSalters @Mathijs Kok • 22 januari 2026 09:57

Waar baseer je dat op? De AVG (GDPR) gaat uit van data minimalisatie. Jouw claim staat daar haaks op.

In de regel mag je op basis van opt-in wel meer data bewaren. Maar juist in dit geval is die opt-in problematisch. De enige situatie waarin het waarde heeft is bij minderjarigen (zodat je weer wanneer ze meerderjarig worden) maar dan heb je opt-in van minderjarigen nodig.

@honey • 21 januari 2026 17:37

Op zich hebben we daar al die AVG regels voor.

croc @honey • 21 januari 2026 20:23

Krijg je een leuke kortingsbon op je verjaardag

Ik vul altijd 01/01/1970 in. Laat ze maar 0 (unix timestamp) in de database steken.

[Reactie gewijzigd door croc op 21 januari 2026 20:25]

RobbieB @honey • 21 januari 2026 23:09

Dat is al bij wet verplicht. Er wordt alleen niet op gehandhaafd.

mjl @honey • 22 januari 2026 00:35

Wil je dan geen 5 euro korting op je verjaardag bij de Gamma? 😜

op zich kan een geb. Datum relevant zijn, zeker als je alleen met volwassenen wilt handelen of het nodig vindt te hebben voor je marketing. Men mag er dan wel voor zorgen dat de data fatsoenlijk beveiligd is en niet zomaar rond slingert in allerlei systemen.

Omnicron1 @honey • 22 januari 2026 13:41

Waarom vul je daar niet gewoon allerlei onzin in ? Doe ik al jaren.... daarmee vervuil je dus hun database en die is geen reet meer waard dan. Gewoon een soort email acc. aanmaken en alleen dat gebruiken voor aankopen en registratie. verder de meest waanzinnige zaken invullen.

Gewoon tegenwerken die hap !

WhiteSnake76 21 januari 2026 16:29

Heel vervelend dat schijnbaar niet alle bedrijven open zijn over een datalek.

bvb bij mijn moeder zijn is haar telefoon nummer gelekt samen et haar bank gegevens, wat dus heel erg vervelend is omdat ze dus steeds word gebeld door haar "bank" en ze dus dingen weten als bank rekening nummer, telefoon nummer en haar naam, (ze staat niet in het telefoon boek) waardoor het dus heel erg overtuigend klinkt als ze word gebelt, maar als we zelf contact op nemen met de bank weet die van niks, maar erg vervelend als het gemiddeld 1 keer per week is.

Helaas kun je niet meer op telefoon nummer zoeken bij haveibeenpwned.com want op haar Email adressen geeft hij niks.

Mayonaise @WhiteSnake76 • 21 januari 2026 16:45

Ik ontvang ook specifieke mails met mijn bank en adres in de vorm van phishing mails. Ik heb geen idee wie mijn data heeft gelekt. Sowieso een webshop.

Zoida @Mayonaise • 21 januari 2026 17:37

Ik heb mijn eigen domeinnaam met een catch all functie. Daarmee kan ik alle niet gebruikte adressen voor de @ naar mijn hoofd mailbox sturen. Daardoor kan ik voor elke webshop een uniek mailadres voorzien.
En ja hoor: ik heb al eerder hacks gezien dan dat de website/shop het door had.
Meestal meld ik dat, maar je krijgt niet altijd een fijne reactie terug, helaas :(

PdeBie @Zoida • 21 januari 2026 19:55

Precies de truc die ik ook toepas. Op 1x na nooit reactie gehad als ik een melding maakte dat ik spam kreeg op een webshops unieke adres.

Kreeg die ene keer wel een tegoedbon en bedankje voor het melden. Dus er zijn bedrijven die het wel snappen! :)

Mayonaise @Zoida • 22 januari 2026 17:15

Ik ben ook stilletjes aan het switchen naar mail alias van proton. Dan weet ik per webshop wie mijn mail gelekt heeft.

Bongoarnhem @Mayonaise • 21 januari 2026 17:29

Probeer eens te zoeken via HaveIBeenPowned, misschien wordt je daar wijzer van…

Mayonaise @Bongoarnhem • 22 januari 2026 17:14

Geen enkel breach waarvan financiele informatie gelekt zou zijn.

WhiteSnake76 @Mayonaise • 21 januari 2026 17:45

Mail adressen kan je wel vinden op haveibeenpwned.com, maar om een voor mij onduidelijke reden kun je sinds een jaartje of zo niet meer op telefoon nummers :(

Temenos 22 januari 2026 15:11

Om hier nog aan toe te voegen: De zeer populaire voedingsapp Myfitnesspal is van 2015 tot 2020 eigendom geweest van Under Armour. Onder hun leiding is er in 2018 een groot datalek geweest waarbij de gegevens van 144 miljoen gebruikers zijn gelekt. Blijkbaar heeft Under Armour daar niet van geleerd...

Marien84 21 januari 2026 17:02

We kunnen er beter naartoe dat voor ieder verstuurde email of gepleegd telefoontje x cent wordt gerekend. Zonder uitzondering.

Daardoor worden dit soort hacks / gegevens ineens een stuk minder aantrekkelijk.

Scriptkid @Marien84 • 21 januari 2026 17:11

Je kunt ook bij de wet verbieden losgeld te betalen voor cyber crime.

Dan wordt het ook heel snel oninteressant voor ze

Niema @Scriptkid • 21 januari 2026 18:16

Het lijkt me sterk dat het legaal is om criminele organisaties te financieren. Maar bijvoorbeeld een ziekenhuis sluiten wegens een hack kan doden opleveren. Ook een probleem is dst criminaliteit erg internationaal is. Als Nederland betalen verbiedt, maar Zuid-Korea niet blijft het businessmodel sowieso in stand. Veel hacks zijn geautomatiseerd en bedrijven en instanties die too big too fail zijn: banken, ziekenhuizen, belasting, Schiphol zullen een uitzondering eisen. De andere bedrijven doen het vervolgens via een buitenlands tussen bedrijfje dat security "regelt" en gwn het losgeld betaald. Digitale criminaliteit vereist samenwerking met landen wat op het moment een uitdaging lijkt te zijn

107mb @Scriptkid • 21 januari 2026 17:19

ja, want criminelen houden zich over het algemeen erg goed aan de wet.

@107mb • 21 januari 2026 17:24

Criminelen ontvangen losgeld, die betalen geen losgeld.

@107mb • 21 januari 2026 17:24

De getroffen bedrijven die het losgeld daardoor niet mogen betalen gelukkig wel, slimmerik...

@107mb • 21 januari 2026 17:34

Dat is wel het idee ja. Waarom nog moeite steken in ransomware maken en daarmee proberen losgeld te krijgen als je slachtoffer bij wet niet mag betalen? Ook criminelen "werken" niet voor hun lol...

Senaxx @Evanesco • 22 januari 2026 09:20

Omdat het niet altijd ransomware is, maar soms ook gewoon voor de sport en ego. "Kijk wij van groep X hebben bedrijf Y gehackt, hier is de database dump".

@Senaxx • 22 januari 2026 17:10

Ja, er zijn altijd wel mensen die voor de fun dingen doen die andere mensen nog niet willen doen als ze er stevig voor betaald worden, maar ik denk dat je zelf ook wel weet dat als je de financiele prikkel weghaalt dat dat gewoon gaat schelen.

107mb @Marien84 • 21 januari 2026 17:18

of een complexe berekening laten uitvoeren, voordat de mail verstuurd kan worden.

iqzero75 @107mb • 21 januari 2026 19:29

Een slim idee maar nadeel is wel dat het dan geld in de vorm van energie gaat kosten dan is een paar cent beter voor het milieu

croc @iqzero75 • 21 januari 2026 20:31

Naar wie moet dat geld dan?

Je zou als ontvanger geld moeten krijgen, adhv de complexe berekening die uitgevoerd wordt door de verzender > crypto > hup naar de ontvanger.

Byte 21 januari 2026 17:01

Vorig jaar begonnen met sporten en omdat ik niet zeker wist hoe lang ik het vol zou houden mijn spullen maar bij de Decathlon gehaald voor een lagere prijs.

Nu ik nog steeds sport wilde ik mijn sportkleding 'updaten' en bij Under Armour kopen. Ben blij dat ik dit nog niet gedaan heb! Wel gebruik ik voor iedere webshop (inclusief bank, verzekeringen, etc.) een wegwerpmailadres. Dit doe ik via SimpleLogin (Proton), maar er zijn genoeg andere (zelfs OSS) alternatieven. Na het ontvangen van spam zie ik welke webshop of website het is en genereer ik gewoon een nieuw adres voor de desbetreffende website en verwijder daarbij het oude adres. De rest van je gegevens liggen op straat, maar je spam blijft zo minimaal

laptopleon 21 januari 2026 20:15

Ik geef sowieso nooit mijn echte geboortedatum als ik bijvoorbeeld kleding bestel. Waarom zou ik?

ReneD100 @laptopleon • 22 januari 2026 00:10

Voor sommige kredietfuncties weleens nodig. Inderdaad anders 1-1-1980 of 1-3-1980. Dan kun je de vouchers met je verjaardag mooi spreiden. Als telefoonnummer vul ik meestal gewoon het nummer in van het bedrijf waar ik de spullen koop.

iqzero75 22 januari 2026 08:13

Mijn data was onderdeel van dit lek maar vanuit Under Armour blijft het doodstil waardoor ze dus niet aan hun zorgplicht hebben voldaan. Even een vraag aan mede tweakers waarvan de data gelekt is: zijn jullie wel geinformeerd door Under Armour?

Fight @iqzero75 • 22 januari 2026 08:54

Nope, ik weet het alleen via ome Troy

Sircuri @iqzero75 • 22 januari 2026 11:52

Ik heb in 2020 daar iets besteld op underarmour@<privedomein>.nl, maar ik kan mijn gegevens niet vinden in powned. Dus mijn data lijkt geen onderdeel van de hack te zijn geweest? Is er een een vanaf datum bekend?

blackSP 22 januari 2026 08:52

Tja. Voor alle niet essentiele/formele diensten gebruik ik een set verifieerbare data die niet of alleen gedeeltelijk naar mij is te herleiden en dat zoveel mogelijk alleen op het moment van registratie bruikbaar is. Dat scheelt al een stuk.

InterNetterPH 23 januari 2026 00:08

Waar blijft een inlogmethode zoals IDIN? Jaren geleden was er sprake van wijziging om nog in te loggen zonder e-mailadres en wachtwoord. Een versleuteling door een code of avatar?

Henk Poley 21 januari 2026 16:30

Onhandig voor mensen die pakketjes naar een 'geheime locatie' hebben laten sturen (stalkers, bedreigingen).

Anderszins: "Oh, nee, iemand weet dat ik sport kleding koop. Mijn reputatie van '❌ongeschikt' is geschaad."

7ven @Henk Poley • 21 januari 2026 16:52

De pakketjes naar een 'geheime locatie' laten sturen en hier een niet 'fake' naam voor gebruiken zou niet zo handig zijn natuurlijk. Als je de locatie geheim wilt houden dan wellicht de pakketjes naar een postbus laten sturen of en andere locatie.

Joshuffle @Henk Poley • 21 januari 2026 16:38

Onder de gepubliceerde gegevens vallen onder meer 72 miljoen e-mailadressen

Van veel klanten zijn ook andere gegevens gestolen, zoals de naam, geboortedatum en het woonadres, naast gegevens over welke aankopen ze hebben gedaan.

En wat denk je wat er allemaal gedaan kan worden met deze info? Is toch wat erger dan de gear of begrijp ik jouw comment verkeerd?

Lawine93 @Joshuffle • 21 januari 2026 16:43

Hij bedoelt denk ik als iemand op een onbekend adres woont vanwege stalkers of bedreigingen. De gegevens van die mensen kan hierdoor ook openbaar zijn geworden.

Joshuffle @Lawine93 • 21 januari 2026 16:45

Ah ik las het andersom.

Lawine93 @sjakie66 • 21 januari 2026 16:56

Volgens mij reageer je op de verkeerde, ik verduidelijk alleen de reactie van iemand anders.

[Reactie gewijzigd door Lawine93 op 21 januari 2026 16:57]

Om te kunnen reageren moet je ingelogd zijn