NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

De hack bij Odido vond plaats doordat aanvallers individuele klantenservicemedewerkers wisten te raken met phishingaanvallen, schrijft de NOS op basis van bronnen. De hackers deden zich daarna ook voor als Odido-werknemers om zo tweestapsverificatie te omzeilen.

De NOS baseert zich op bronnen rondom het datalek bij Odido dat eerder deze week plaatsvond eerder deze week. Eerder deze maand werd de provider door hackers getroffen, waarbij de gegevens van miljoenen klanten zijn ingezien. Volgens de bronnen van de NOS is 'niet waarschijnlijk' dat de hackers al die gegevens hebben gedownload, omdat het om een grote dataset gaat die niet zomaar onopgemerkt kan worden gedownload. Odido waarschuwt er zelf ook voor dat de gegevens in ieder geval zijn ingezien, maar de provider zegt alleen 'niet uit te kunnen sluiten' dat de gegevens gestolen zijn.

Volgens de NOS kon de hack plaatsvinden doordat individuele klantenservicemedewerkers werden gephisht. Na het stelen van wachtwoorden wisten de criminelen zich succesvol voor te doen tegenover de klantenservicemedewerkers als ict'ers van Odido. Daardoor konden ze de tweetrapsauthenticatiecodes van de werknemers stelen.

Met die gegevens was het mogelijk om in de Salesforce-omgeving terecht te komen die Odido gebruikt voor klantregistraties. Daaruit begonnen de criminelen gegevens te downloaden, maar hoeveel er op die manier is buitgemaakt, is niet bekend.

Odido stock (bron: oliver de la haye/Getty Images)

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-02-2026 17:33
136 • submitter: Bl@ckbird

13-02-2026 • 17:33

136

Submitter: Bl@ckbird

Lees meer

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Reuters: Odido stelt beursgang uit na negatieve signalen
Reuters: Odido stelt beursgang uit na negatieve signalen Nieuws van 11 februari 2026
Odido belooft bedrijven hogere snelheden en betere ontvangst met 5G-buitenmodem
Odido belooft bedrijven hogere snelheden en betere ontvangst met 5G-buitenmodem Nieuws van 3 februari 2026
Odido verhoogt prijs van Klik&Klaar met 1 euro naar 26 euro per maand
Odido verhoogt prijs van Klik&Klaar met 1 euro naar 26 euro per maand Nieuws van 6 januari 2026
Odido maakt e-simdienst SimWallet voor internet buiten NL beschikbaar - update
Odido maakt e-simdienst SimWallet voor internet buiten NL beschikbaar - update Nieuws van 17 december 2025
Meer producten en artikelen
Beveiliging en antivirus Hack Hackers Odido

Reacties (136)

-Moderatie-faq
136
135
44
6
0
71
Wijzig sortering

Sorteer op:

Weergave:
GeeBee 13 februari 2026 17:36
De grootste fouten worden gemaakt tussen het scherm en de stoel.

Maar als je dit als odidomedewerker(s) via phishing en social engineering laat gebeuren, dan is het wat mij betreft pasje inleveren.

Wat een schade heb je dan veroorzaakt...

[Reactie gewijzigd door GeeBee op 13 februari 2026 17:38]

Reageer
Jeoh @GeeBee13 februari 2026 17:44
Lekker makkelijk om dit af te schuiven op de individuele medewerkers. Waarom kunnen zij het hele klantenbestand downloaden zonder dat er ergens alarmbellen gaan rinkelen? Waarom gebruiken ze geen phishing-resistant MFA zoals passkeys?
Reageer
Sjaakys @Jeoh13 februari 2026 18:06
En wat ik me afvraag, is het mogelijk om bv vanuit extern op dit systeem te komen? Of kan het alleen vanuit een kantoor, of op een trusted device? Want dan is data in handen krijgen weer een stuk lastiger.
Reageer
ApexAlpha @Sjaakys13 februari 2026 18:37
Salesforce is een open SaaS, meestal leunen die puur op account autorisaties en niks meer van netwerk segmentatie.
Reageer
BugBoy @ApexAlpha13 februari 2026 18:52
Als je met het account van een klantenservicemedewerker vrij eenvoudig een kopie kan trekken van zoveel gegevens, dan zit er ergens anders wat goed fout. Dat kan je niet op één enkele klantenservicemedewerker afschuiven. Je zou verwachten dat je niet tot de ruwe data toegang hebt en dat er toch wel een soort van rate-limiter op zou zitten.

Wat mij betreft moeten bedrijven veel zwaardere boetes betalen bij dit soort fouten. Nu is het gewoon "foutje, bedankt". Het wordt zo gespind dat het iedereen kan gebeuren, dus afbreukrisico is nihil.
Reageer
ApexAlpha @BugBoy13 februari 2026 19:00
Er zijn sowieso meerdere accounts gehackt, waarschijnlijk om inderdaad om de rate limiting heen te komen.

Ook zie je aan de gegevens dat de klantenservicemedewerkers niet overal bijkonden, maar alleen bij de gegevens die ze nodig hadden voor contracten.

Aan een contract zitten nu eenmaal wettelijke eisen (naam, geboortedatum, rekening nummer, adres etc...)

Neemt niet weg dat dit makkelijk te voorkomen was als de medewerkers een passkey hadden van €30 per medewerker.
Reageer
Nicked @ApexAlpha13 februari 2026 19:02
Het is prima mogelijk om IP-allowlisting toe te passen op Salesforce. Werk je thuis, VPN verbinding (ook met 2FA). Vrij eenvoudig enkele extra barrières om dit soort situaties te voorkomen.
Reageer
imqqmi @Sjaakys13 februari 2026 18:56
Bij grote exports moet je over t algemeen een batch job starten en kun je die de volgende dag downloaden. Tenminste zo werkte t in t verleden. Geen idee of t nog zo is.
Reageer
w.w.p. @Jeoh13 februari 2026 18:21
Waarom kunnen zij het hele klantenbestand downloaden zonder dat er ergens alarmbellen gaan rinkelen?
Waaruit maak je op dat dit is gebeurd?

Het artikel hint op het tegenovergestelde:

“Volgens de bronnen van de NOS is 'niet waarschijnlijk' dat de hackers al die gegevens hebben gedownload, omdat het om een grote dataset gaat die niet zomaar onopgemerkt kan worden gedownload.”
Reageer
NBK @w.w.p.13 februari 2026 18:44
Ik heb nog steeds geen mail van Odido dat mijn gegevens zijn gelekt dus het zou nog kunnen dat ze inderdaad niet alles hebben buitgemaakt.
Reageer
zalazar @Jeoh13 februari 2026 19:04
In het artikel staat dat ze geautomatiseerd data middels scraping uit het klantensysteem hebben gehaald.
Dat betekent dus een pagina oproepen, screenscraping toepassen en de data in een bestand opslaan, geautomatiseerd Next of naar de volgende klant gaan en de volgende pagina scrapen.
Middels deze werkwijze kun je dus niet even het hele klantenbestand downloaden. Dit kost nogal wat tijd.

Men had uiteraard wel een limiet kunnen zetten op het aantal klantenpagina's welke een medewerker per dag mag opvragen. En uit het artikel haal ik niet of de inlogsessie voor een bepaalde tijdsduur geld (bijv. 12 uur) waarna de login opnieuw bevestigd moet worden.
Reageer
lenwar
@GeeBee13 februari 2026 17:40
Heerlijk flauw, en erg makkelijk. Dit kan echt iedereen overkomen in de haast. Je bent druk, drukke projecten. Er loopt van alles en nogwat met projecten, rapportages (kwartaalverslagen, enz.)

En nee. Ik praat niks goed. Het had niet mogen gebeuren, maar…

((En je zal het op je geweten hebben. Ik zou me heel rot voelen.))
Reageer
PeaceNlove @lenwar13 februari 2026 17:44
Je kan je je internen en externen gewoon trainen op die 2fa. Les 1: als iemand om je 2fa vraagt zeg je NEE. Les 2: je meldt het voorval bij het SOC. Klaar!
Reageer
tvtech @PeaceNlove13 februari 2026 18:00
Dat is de theorie. De praktijk zien we nu bij Odido
Reageer
Cybje @tvtech13 februari 2026 18:26
Daarom moet je ook niet alleen afhankelijk zijn van MFA. Waarom hebben ze geen verdere maatregelen, zoals:
  • Phishing resistant MFA
  • Alleen managed devices toestaan (een hacker/phisher heeft normaliter geen managed device in handen)
  • Alleen via een VPN verbinding kunnen maken (een hacker/phisher kan normaliter geen VPN connectie opzetten)
Elke maatregel komt natuurlijk met eigen voor- en nadelen, maar een combinatie ervan is over het algemeen heel veilig.
Reageer
ArmEagle @Cybje13 februari 2026 18:34
Punt 2: er zal vast met BYOD gewerkt worden. Zeker voor externen.
Reageer
Cybje @ArmEagle13 februari 2026 18:46
Dat zou kunnen, maar dat vind ik wel een erg matige keus. Veel bedrijven die ik ken (en ook waar ik zelf werk) verplichten gewoon managed devices. Een externe medewerker krijgt dus ook een managed device.
Reageer
Vaevictis_ @tvtech13 februari 2026 18:10
Als dat niet de praktijk is gaat is grondig mis. Dan is er geen goede awareness, training, of procedures. Daarnaast gaat dit over de hack ik hoor weinig over dat ze ook de AVG overtraden. Ben zelf al 4 jaar geen klant meer maar ben ook getroffen.


Zal eens het recht van inzage toepassen, wil nu ook wel weten welke gegevens ze nog hebben en voor welk doel.
Reageer
FullThrottle @Vaevictis_13 februari 2026 18:25
Inderdaad, tot mijn verbazing heb ik ook een mailtje gekregen waarin nota bene ook nog eens vrolijk staat: "Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging van het contract en overstap naar een andere aanbieder jouw contactgegevens."
Ik denk dat ik ook maar eens wat ongemakkelijke vragen ga stellen.
Reageer
Mushroomician @FullThrottle13 februari 2026 18:39
Hier nog een geval.

Volgende week ben ik 7 jaar geen klant meer. Nog van de tijd dat het t-mobile heette. Ben dus behoorlijk verrast dat mijn mail in de dataset zit.
Reageer
knakworst @FullThrottle13 februari 2026 18:40
Je had natuurlijk ook een mailtje kunnen sturen naar afloop contact om je gegevens te verwijderen. Facturen moeten ze nog wel bewaren. Rest moeten ze dan verwijderen op basis van AVG.
Reageer
Erkens @knakworst13 februari 2026 19:02
het zou dus ook kunnen dat ze het crm rondom de factuurgegevens hebben buitgemaakt
Reageer
drvinnie @tvtech13 februari 2026 18:04
Daar moet je dus je hele proces op inrichten. Bij mijn vrouw op kantoor hebben ze wekelijks phishing tests. Resultaten worden in werkoverleg besproken. Is gewoon onderdeel van de bedrijfsvoering.
Reageer
Til @lenwar13 februari 2026 17:45
Precies, iedereen maakt fouten. En deze mensen moet je misschien juist in dienst houden want die trappen er echt nooit meer in.
Reageer
CaptainKansloos @Til13 februari 2026 18:06
My thoughts exactly. Met het vingertje wijzen is makkelijk. Maak ze "ambassadeurs van veiligheid op de werkvloer."


Je hoeft ze ook weer niet meteen loonsverhoging te geven ofzo, maar direct afserveren - tenzij ze grove nalatigheid te verwijten valt - is m.i wel een beetje makkelijk 'blame-and-shame'.
Reageer
telenut @Til13 februari 2026 18:02
je wil niet weten hoe groot de lijst "repeated offenders" is bij phishing simulaties...
Reageer
jimzz @Til13 februari 2026 18:05
Ik gok dat ze er de volgende keer gewoon weer in trappen. Nu was het telefonisch, de volgende keer is het een link of een e-mailtje.


Wat ze moeten doen is mensen trainen hiervoor, maar de meeste bedrijven vinden IT een last en een onnodige kostenpost.
Reageer
NatteKrant @jimzz13 februari 2026 18:22
Het is nauwelijks te trainen, de insinuatie dat je dit men training (en dus geld) oplost kan ik niet beamen.

We hebben echt training na training gegegen en de ene awareness campaign na de andere. Dat heeft echt wel resultaat opgeleverd, maar het is echt een utopie om in een organisatie van 10.000 man (of zelf van 1000 man) dit uit te sluiten
Reageer
lalilaloe @NatteKrant13 februari 2026 18:42
Heb zelf ook wel eens vaak moeten bellen met odido voor contracten en zakelijke aansluiting. Die werken met z'n allen ergens in Spanje met meerdere Nederlandse bedrijven. Na paar x aan de lijn geweest ging het al snel bij naam genoemde collegas en dat die ook in Valencia werkte en ff snel zou navragen. Kan me zo voorstellen dat in zo'n gemoedelijke werksfeer je gemakkelijk social engineering toepast met een beetje voorbereiding.
Reageer
Alfa1970 @jimzz13 februari 2026 18:48
Of een USB stick die op het parkeer terrein wordt gevonden.
Dat is één van de favoriete methodes die van tijd tot tijd hier weer eens opduikt.
En ja, de clickbait, die een beetje verstandig persoon al op een mijl afstand ruikt, daar trapt nog steeds de helft in, en dan mag iedereen weer naar het filmpje van Kevin Mitnick kijken hoe die zichzelf op de borst staat te slaan. Dat gebeurt minimaal 3 keer per jaar, dus ja, mensen trainen is goed, maar er zijn er bij die het nooit leren.
Reageer
Clu3M0r3 @Til13 februari 2026 18:57
Precies, iedereen maakt fouten. En deze mensen moet je misschien juist in dienst houden want die trappen er echt nooit meer in.
Diezelfde redenering is vooral van toepassing op leden van het MT die fouten hebben gemaakt (en waarschijnlijk niet voor de eerste keer).
Reageer
Ablaze @lenwar13 februari 2026 18:14
Dit dus, en daarnaast de vraag waarom zo'n medewerker de verantwoordelijkheid heeft gekregen om miljoenen klantgegevens te beschermen.


Ik begrijp dat klantenservice bij de klantgegevens moet kunnen, maar het is voor een groot bedrijf niet meer dan logisch om die toegang af te stemmen op het gebruik.
Reageer
TwanVRI @lenwar13 februari 2026 18:29
Jij denkt dat dat soort medewerkers te maken hebben met rapportages en projecten? Dit zijn gewoon klantenservice medewerkers die gewoon laatdunkend zijn geweest.
Reageer
dutchgio @GeeBee13 februari 2026 17:39
Buitenlandse callcenters naar verluid, ook bizar dat die bij zoveel klantgegevens kunnen komen.
Reageer
xxs @dutchgio13 februari 2026 17:48
Vroeger zei men zeer ongepast “pay peanuts and you get monkies”.

Maar vaak is het wel zo dat er relatief weinig betaald wordt voor dit soort functies met als gevolg dat je niet het best getrainde personeel krijgt.
edit:
typo

[Reactie gewijzigd door xxs op 13 februari 2026 18:13]

Reageer
jimzz @xxs13 februari 2026 18:04
En dit is helaas de harde realiteit. Ik heb onlangs mijn odido abonnement opgezegd naar aanleiding van 1 telefoongesprek met de klantenservice. Ze hadden mijn abonnements aanvraag geweigerd. Na bellen, werd me gezegd ja we weten niet waarom u geweigerd bent, alles is in orde en had gewoon goedgekeurd moeten worden. Dus blijven doorvragen wat nu de reden was waarom ik geweigerd werd. Zegt de dame aan de telefoon, ja dat weet ik ook niet zult u zelf maar uit moeten zoeken.

Tja als je zulke incompetente mensen durft neer te zetten ben je mij kwijt als klant. Zeker als relatief nieuwe klant en maar 1 simpele vraag gesteld heb.
Reageer
basroadrunner @xxs13 februari 2026 18:31
Bij ons was het : " In tijd van schaarste komt stront boven drijven " Zeer incompetent personeel bij gebrek aan beter.
Reageer
Clu3M0r3 @dutchgio13 februari 2026 17:46
Lekker goedkoop. Dat zegt genoeg. Hebben ze bij KPN ook gedaan, zijn ze (voor zover ik weet) deels op teruggekomen.

Correctie: delen van de technische ondersteuning heeft KPN in het buitenland laten afhandelen, niet het klantcontact deel.

[Reactie gewijzigd door Clu3M0r3 op 13 februari 2026 18:52]

Reageer
Clu3M0r3 @dutchgio13 februari 2026 18:54
Buitenlandse callcenters naar verluid.
Nope, ik heb zeer regelmatig in de aanloop naar de aansluit datum van mijn Odido glasvezelverbinding contact gehad met Odido klantenservice, en die spraken allemaal (verstaanbaar) Nederland.
Reageer
Ronwiel @GeeBee13 februari 2026 17:46
Lekker kort de bocht.

De werkgever is verantwoordelijk voor goede opleiding en training van medewerkers op dit gebied. Tenzij een medewerker roekeloos is geweest of met opzet heeft gehandeld, is de werkgever aansprakelijk.

Daarnaast is het aan Odido om zero trust principes toe te passen om te voorkomen dat niet iedereen kan grasduinen in dit materiaal.
Reageer
Vaevictis_ @Ronwiel13 februari 2026 18:11
Training, awareness, zero-trust maar ook pentesten, oefenen en audits. Dit had zo voorkomen kunnen worden.


Daarnaast sharding toepassen. Dus gegevens verdelen over meerdere bronnen / systemen.
Reageer
NatteKrant @GeeBee13 februari 2026 17:48
Zo makkelijk weer. Je kunt wel heel stoer mensen aan de schandpaal nagelen, maar dit gebeurd gewoon. Niet bij tweakers uiteraard, wat hier weten we alles en oordelen we vooral over anderen.

Wij doen binnen onze organisatie (10000+ medewerkers) meermaals per jaar een Internal Phishing Campaign als assesment. Je zult versteld staan hoeveel medewerkers telkens weer credentials afstaan. Daarom is het niet alleen zaak om de voordeur te beveiligen, maar ook de juiste middelen moet hebben om na een breach/intrusion zo snel to kunnen detecteren en handelen.

[Reactie gewijzigd door NatteKrant op 13 februari 2026 17:48]

Reageer
Frikandel @GeeBee13 februari 2026 17:48
Social engineering kan iedereen overkomen. Zeker in zo'n grote organisatie is het niet de vraag of het gaan gebeuren, eerder wanneer, al kan je de wanneer uiteraard wel uitstellen met goede voorlichting en maatregelen. Ik vind het eerder kwalijk dat er zo ontzettend veel data is gelekt via slechts een paar logins.
Reageer
Hoboist @GeeBee13 februari 2026 18:23
Pasje inleveren vind ik echt te kort door de bocht. Door hoeveel inlogvensters je soms door moet is echt raar. Ik heb er al eens melding van gemaakt, maar elke keer hoor je: nee, dat inlogvenster komt als je ...

Ik snap best dat men op den duur denkt: "o dit zal ook wel weer normaal zijn." Ik kan me voorstellen dat het bij Odido ook zo is.

Je kunt niet alle schuld bij de medewerker leggen. Als de IT-afdeling ook niet duidelijk is ligt daar ook een verantwoordelijkheid.
Reageer
Andros @GeeBee13 februari 2026 17:48
Telecomproviders werken ook best vaak met externe callcenters met een groot verloop. Een paar studenten die drie maanden een aantal dagdelen de telefoon opnemen om een factuur voor te lezen gaan er niet wakker van liggen dat ze dat baantje kwijt spelen, die zetten ze gewoon op een ander project of zoeken wat anders. Odido kan beter naar hun processen kijken als ik het zo volg, je weet wat je inhuurt.
Reageer
ZinloosGeweldig @GeeBee13 februari 2026 17:52
En dan huur je een andere ezel in ter vervanging, die zich nog niet eerder aan die steen gestoten heeft.
Reageer
GrooV @GeeBee13 februari 2026 17:54
Alles maar op de slachtoffers afschuiven en niks doen dan komt het helemaal goed.

Jouw reactie is de reden waarom dit nog steeds voor komt. We hebben de persoon ontslagen dus nu is alles weer veilig.

Zorg gewoon voor veilige fool proof systemen, bij Odido werken duizenden mensen, die hebben allemaal niet de technische kennis die wij hier op Tweakers hebben
Reageer
SpoekGTi @GeeBee13 februari 2026 17:59
Tsja en hoe is je interne IT beleid dan ook mbt het opvoeden van je medewerkers.......
Reageer
hans-martijn @SpoekGTi13 februari 2026 18:59
Dat is niet aan de iT, maar aan HR. Niet alle beveiliging is technisch af te dwingen, juist door die gedachte gaat er zo ontzettend veel fout!
Reageer
Hydranet @GeeBee13 februari 2026 18:13
PEBKAC
Reageer
bzuidgeest @GeeBee13 februari 2026 18:37
Het hele idee achter phishing en social engineering is om mensen voor het lapje te houden. Een evil versie van bananensplit.

Mensen zijn gewoon mensen en die maken fouten. Het kleinste momentje onoplettendheid kan al een issue zijn. Ik heb ook wel eens een "lekje" veroorzaakt. Was met meerdere projecten tegelijk bezig, want druk en voor je het weet mail je wat data van klant A naar klant B. Iedereen geïnformeerd en verder geen ramp. Maar ik zit 25 jaar in het ontwikkel vak en dan maak je 1 keer een foutje? Moet dat ontslag zijn? Belachelijk wat mij betreft. Zoals mijn baas stelt, fouten zijn menselijk en ik heb het niet verborgen zodat het netjes afgewerkt kon worden. Ze beseffen ook wel wat ze vragen van iemand.

Hoe complexer de IT hoe groter de kans op fouten en hoe groter de kans op schade, het hoort er gewoon bij.
Reageer
HoppyF @bzuidgeest13 februari 2026 18:54
Tussen een klein foutje met weinig impact en deze enorme hack zit wel een enorm verschil.
Als je als medewerker zomaar 2FA codes gaat afgeven is er iets grondig mis.
Reageer
bzuidgeest @HoppyF13 februari 2026 19:00
Tussen een klein foutje met weinig impact en deze enorme hack zit wel een enorm verschil.
Nee, de grootste problemen beginnen vaak met een heel klein foutje.
Als je als medewerker zomaar 2FA codes gaat afgeven is er iets grondig mis.
Dat zou niet handig zijn inderdaad, maar ik zie dat niet terug in het artikel. Het staat er niet heel duidelijk wat er werkelijk is gebeurd. Maar in het geval van lastpass was het geloof ik een beheerder waar het wachtwoord van gestolen was en die zoveel mfa prompts kreeg in zijn normale werk dat hij gewoon een keer automatisch teveel op ok gedrukt heeft. Tegenwoordig hebben ze daar cijfer invoer voor uitgevonden. Dan werkt dat niet meer, maar dat is achteraf. Het is een klein foutje met gevolgen.

Ik denk niet dat die medewerkers mfa codes hebben gegeven per telefoon. Wellicht hebben ze een mfa gereset zodat die opnieuw kon worden aangemaakt. Het is niet ongebruikelijk dat dit moet gebeuren bij servicesdesks als gebruikers hun authenticator hebben gesloopt of zo.

Maar goed dat is speculeren.
Reageer
Martinez- @GeeBee13 februari 2026 18:38
Fouten maken is menselijk. Het systeem zou hierin moeten beperken. Er is overduidelijk geen of weinig sprake van real-time monitoring geweest evenals het gebrek aan andere beveiligingslagen zoals max aantal requests per tijdseenheid en beperking van toegang tot gegevens.

De medewerker is fout geweest, maar Odido als bedrijf des te meer. Als ik de lijst zie van zaken waar je nu problemen mee kunt krijgen... hier moet de overheid iets mee gaan doen om burgers tegemoet te komen, want anders is het dweilen met de kraan oopen. Een andere manier van identificeren of een verbod op afsluiten van abonnement middels de telefoon bijv.
Reageer
Brent @GeeBee13 februari 2026 18:43
De fout is al die SAAS gebruiken. Vind 1 gaatje, gebruik hem bij elke klant, de helft van de AEX...

Het is typische afvinkveiligheid. Laten een berg 'architecten' zich vast goed voor betalen, voor het adviseren van het uitbesteden van alles.
Reageer
kodak
@GeeBee13 februari 2026 18:52
Ik zou het niet de grootste fout noemen dat medewerkers in phishing en social engineering trappen. Het is zeker niet goed, maar het bedrijf is verantwoordelijk om rekening met dit soort risico's te houden en er behoorlijke beveiliging tegen te hebben. Zeker als er al veel waarschuwingen zijn geweest dat 2fa en training echt niet zomaar dat probleem weg neemt.

Als een medewerker toegang heeft tot enorm veel persoonlijke gegevens dan lijkt de grootste fout dat dit lang onopgemerkt bleef, niet op tijd gestopt werd en men kennelijk ook geen benul heeft van welke klanten er gegegevens zijn ingezien of verkregen zijn. Omdat het wettelijk absoluut niet voldoet aan bescherming.
Reageer
Orangelights23 @GeeBee13 februari 2026 18:57
Victim blaming. Als je dit soort dingen zegt, heb je werkelijk waar geen kaas gegeten van cybersecurity. Dit soort opmerkingen verwacht ik van dronken Ome Ron op verjaardagen, niet van Tweakers.
Reageer
no_way_today 13 februari 2026 18:20
Je mag toch geen Bsn nummers opslaan, dat is puur ter check en dan verwijderen. Moeten wij ook op t werk. Kan je een Odido aansprakelijk stellen voor gevolgschade? Wat een bende.
Reageer
Master FX @no_way_today13 februari 2026 18:27
Er waren toch geen Burger Service Nummers gelekt? Een ID-nummer is niet hetzelfde als een BSN.
Reageer
adje123 13 februari 2026 17:39
Ik ga van het weekend maar eens bedenken wat voor een schadeclaim ik kan indienen.
Reageer
tfro71 @adje12313 februari 2026 17:50
Dan zul je eerst moeten aantonen dat je schade hebt. Het heel vervelend vinden is géén schade in NL en dat je er slapeloze nachten van hebt ook niet. Pas bij werkelijke schade kun je het proberen, maar dan is het uiteraard al te laat.
Reageer
adje123 @tfro7113 februari 2026 17:56
Gelukkig wordt angst/stress door een datalek als immateriële schade gezien.
Reageer
JKP @adje12313 februari 2026 18:09
Dat wilde ik ook juist gaan schrijven. Op de site voor de collectieve claim n.a.v. het lek bij het bevolkingsonderzoek:
Volgens de Algemene Verordening Gegevensbescherming (AVG) bestaat recht op schadevergoeding, niet alleen bij concreet misbruik maar ook bij de stress, angst en onzekerheid die dit soort datalekken veroorzaken. Juridisch gezien bestaat er dus al recht op schadevergoeding, ook wanneer misbruik nog niet aantoonbaar is.1
Hoewel immateriële vaak lastig te bewijzen is, onmogelijk is het niet.

1. Bron: https://ibestuur.nl/digit...ng-in-verband-met-datalek
Reageer
ZinloosGeweldig @tfro7113 februari 2026 19:01
Onze AVG is een implementatie van de Europese GDPR. De Duitse hoogste Federale Rechter, die in een zaak over immateriele schade aan het Europees hof heeft gevraagd of negatieve gevoelens als gevolg van een datalek als immateriele (maar dus wel werkelijke) schade gezien moeten worden onder de GDPR kreeg daarop als antwoord dat dat zo is.
Gelet op een en ander moet op de vierde vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het in deze bepaling gehanteerde begrip „immateriële schade” negatieve gevoelens omvat die de betrokkene heeft ondervonden als gevolg van een ongeoorloofde doorgifte van zijn persoonsgegevens aan een derde, zoals vrees of ergernis, en die zijn veroorzaakt door verlies van controle over die gegevens, mogelijk misbruik van die gegevens of reputatieschade, voor zover de betrokkene aantoont dat hij dergelijke gevoelens, met de negatieve gevolgen ervan, ervaart vanwege de betrokken inbreuk op deze verordening.
https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=303866&pageIndex=0&doclang=nl&mode=lst&dir=&occ=first&part=1&cid=3394677

[Reactie gewijzigd door ZinloosGeweldig op 13 februari 2026 19:02]

Reageer
PCG2020 @adje12313 februari 2026 17:48
Lees deze pagina eerst maar even goed door. Er zijn een aantal voorwaarden voordat je in aanmerking komt voor schadevergoeding na een datalek en die vergoeding zal daarnaast proportioneel zijn. Je wordt er dus niet rijk van, zeg maar.
Reageer
Ronwiel @adje12313 februari 2026 17:48
Probleem met dit soort datalekken is dat je ook moet kunnen aantonen dat je door dit specifieke datalek schade hebt geleden.
Reageer
Andros @adje12313 februari 2026 17:49
Veel verder dan kosten voor het vernieuwen van een identiteitsdocument of rijbewijs gaat het nu nog niet worden denk ik.
Reageer
adje123 @Andros13 februari 2026 17:56
Nope. Angst/stress door een datalek is een geldige immateriële schade.
Reageer
mklcln @adje12313 februari 2026 17:40
Die schadeclaim/boete gaat lekker de staatskas in. 🤣
Reageer
Ulysses @mklcln13 februari 2026 17:48
Eh? In welk universum?

A) Door stom ongeluk kun je niet een vordering doen, ook als dit onbekwaamheid ademt, is de basis aanname dat mensen ter goeder trouw handelen niet verwijtbaar en essentieel om geestelijk gezond te blijven vaak
B ) Odido is niet verantwoordelijk voor de daad van criminelen - dus een vordering bij hen is niet ontvankelijk
C ) Welke schade nu precies dan?
Reageer
tweegroenethee @Ulysses13 februari 2026 18:12
Odido is verantwoordelijk voor het beveiligen van klantgegevens, vooral als het gaat om rekeningnummers en identificatie. Daarnaast bewaren ze bewust 2 jaar gegevens van oude klanten. Het feit dat criminelen via een buitenlandse callcenter bij miljoenen klantgegevens kunnen van Nederlands mag wat mij betreft financieel bestraft worden. Schade: verhoogd risico op identiteitsfraude, phishing en financiële ellende. Dat levert stress, tijdverlies en onrust op.
Reageer
Ulysses @tweegroenethee13 februari 2026 18:20
Ja, het is zo dat je van een topspeler in de Nederlandse telecom een goede prijs/kwaliteit verhouding mag verwachten met betrekking tot investeringen die de lading dekken qua veiligheid. Maar ik heb er heel weinig vertrouwen in dat de exacte mate waarin dat wel of niet genoeg is, juridisch aangetoond kan worden of stand houd voor het bepalen van een substantiele claim. Je hebt absoluut een punt dat de grove nalatigheid aan de kant van Odido inmiddels veel makkelijker aan te tonen is. Het fundament onder hun beveiliging blijkt structureel te rammelen.

Maar, en dat blijft het pijnpunt voor een schadeclaim: je zult voor de rechter nog steeds moeten aantonen dat jij persoonlijk, door dit specifieke datalek, concrete financiële of materiële schade hebt opgelopen. De door jou genoemde "stress, tijdverlies en onrust" leveren in het Nederlandse aansprakelijkheidsrecht simpelweg geen harde euro's op.
Reageer
adje123 @Ulysses13 februari 2026 18:29
Hoeveel het oplevert moet nog blijken.

Angst/stress zijn een valide reden om een schadeclaim in te dienen. Dat is gewoon een feit.
Reageer
adje123 @mklcln13 februari 2026 17:41
Die van mij niet.
Reageer
coolkil 13 februari 2026 17:36
Hebben er een paar geen e-learnings gedaan….

Matcht wel goed met hun faq
Was de beveiliging van Odido op orde?

De veiligheid van onze infrastructuur en onze klanten is onze topprioriteit. Onze netwerken en systemen zijn ontworpen met het oog op veiligheid. We werken voortdurend aan het verbeteren van onze weerbaarheid. We werken samen met externe beveiligingsexperts om ons continu te verbeteren. Cybercriminelen gaan echter op een zeer geavanceerde en gerichte manier te werk, en helaas is geen enkele organisatie immuun. We werken voortdurend aan verbeteringen en gebruiken dit incident als aanleiding voor een grondige evaluatie.
Wat een grap…
Reageer
readefries @coolkil13 februari 2026 17:44
Nou als je de e-learnings ziet die ik in verschillende organizaties voorbij zie komen, weet ik niet of die écht gaan helpen hiertegen.
Reageer
coolkil @readefries13 februari 2026 17:52
Kan kloppen… maar toch e learnings gecombineerd met echte beveiliging had de impact behoorlijk kunnen verkleinen. Hoe durf je te claimen dat de beveiliging op orde is/was maar hackers zo enorm goed zijn tegenwoordig om vervolgens in het nieuws te zien dat het gewoon phishing was…

ik had iets verwacht in de supplychain problematiek zoals shai hulud worm van een paar maanden terug
Reageer
GrooV @coolkil13 februari 2026 17:52
Nou bij zo'n echt gerichte aanval maken ze het toch wel erg lastig om phising te onderscheiden. Helemaal met AI is het een fluitje van een cent om zeer echt uitziende berichten zonder spelfouten te maken. Waar je vroeger een phising mail gelijk herkende is dat echt wel lastig geworden.

En niet iedereen heeft de technische kennis om dit goed te herkennen. Daarom ben ik ook weer voorstander van fysieke sleutels voor 2FA zoals Yubikeys ipv TOTP.

Het wordt tijd dat dit risico erkent wordt en andere maatregelen genomen worden ipv dit maar als "grap" te classificeren. Ook bij bedrijven waar de beveiliging normaal gesproken goed genoeg is kan dit gebeuren

[Reactie gewijzigd door GrooV op 13 februari 2026 17:53]

Reageer
RobertMe @GrooV13 februari 2026 18:21
Nou bij zo'n echt gerichte aanval maken ze het toch wel erg lastig om phising te onderscheiden. Helemaal met AI is het een fluitje van een cent om zeer echt uitziende berichten zonder spelfouten te maken. Waar je vroeger een phising mail gelijk herkende is dat echt wel lastig geworden.
AI maakt het herkennen van phishing helemaal niet lastiger. Stap 1: controleer de afzender. Is het mailadres niet diegene wie die zegt dat die is kan de mail direct de prullenbak in. Daarvoor maakt de inhoud van de mail al niet uit.
En vervolgens nooit op links in mails klikken of handmatig de URL controleren (en hopelijk heb je dan ook een email-client die duidelijk aangeeft wat die URL is en wat het (basis) domein is, zodat https:// odido.nl.phising.site/login duidelijk opvalt dat het niet odido.nl is).
En niet iedereen heeft de technische kennis om dit goed te herkennen. Daarom ben ik ook weer voorstander van fysieke sleutels voor 2FA zoals Yubikeys ipv TOTP.
Software based sleutels zijn in principe vrijwel net zo veilig. Zelfs het gebruik van een password manager waar alles in staat (username + password + het certificaat voor passkeys) zal vele, vele, malen veiliger zijn dan het gebruik van (T)OTP. Want het probleem van OTP is dat het helemaal geen extra factor is. Het blijft "kennis", of dat nu kennis van een one-time pasword is of een "permanent" password maakt niet uit. En zoals in dit geval ook weer blijkt: OTP kun je prima doorsturen en de ontvanger kan er mee aan de slag. Bij passkeys daarentegen is er helemaal niks om door te sturen. "Theoretisch" het private deel van het certificaat, maar ik weet niet van het bestaan van een password manager waar je het certificaat kunt inzien (terwijl de secret om OTP codes te genereren wel inzichtelijk is). Zelfs een backup / export van Bitwarden kun je de private key niet mee er uit halen AFAIK. En ook de daadwerkelijke authenticatie actie kun je niks van doorsturen. Het proces vind onderwater plaats waar de gebruiker geen zicht op heeft (er wordt alleen om.bevestiging gevraagd) en de "codes" die onderwater over de lijn gaan ziet de gebruiker ooit.

Het gebruik van een roaming key voegt alleen toe dat er daadwerkelijk maar één van is (of 2 als je een backup key hebt). Met alle gegevens in een password manager is de kans aanwezig dat iemand zich toegang verschaft tot de password manager. (Maar ook die zou je weer met een passkey kunnen beschermen).
Reageer
GrooV @RobertMe13 februari 2026 18:38
Een Yubikey is echt veel veiliger dan een TOTP of een push authenticatie app. Dit maakt het niet mogelijk om per ongeluk een verzoek goed te keuren want je hebt hiervoor de sleutel nodig. Alle aanvallen op afstand zijn hierdoor onmogelijk geworden, iets wat met andere 2FA methodes wel kan
Reageer
RobertMe @GrooV13 februari 2026 18:53
Ik stel toch ook nergens dat dat niet zo is?

Ik stel alleen dat elke vorm van passkey authenticatie veiliger is dan OTP. Ook als dat niet met een roaming key ala een Yubikey is. Óók passkeys in een password manager opslaan / webauthn door de password manager laten afhandelen (of door de browser / het OS) maakt het al vele malen veiliger dan OTP. De extra veiligheid die een roaming key / Yubikey toevoegt is er wel, maar een relatief kleine ten opzichte van uberhaupt passkeys gebruiken. Als in: OTP naar gebruik passkeys is "1000 keer" zo veilig. Gebruik van passkeys met een password manager vs gebruik van passkeys met een Yubikey is "1,3 keer" zo veilig.

En een push melding die om bevestiging vraagt kan ook veilig zijn. Ligt aan de implementatie. Als er een strikte validatie is tussen of die telefoon in de buurt is van het apparaat waarop wordt ingelogd. Volgens mij is dat iets wat Google kan doen met Chrome + Android. Dat die bij een login in Chrome op desktop een melding op de Android telefoon geeft maar er via Bluetooth ook een bevestiging gezocht wordt tussen de desktop en telefoon en die telefoon dus niet aan de andere kant van de wereld kan zijn. Semi hetzelfde dus als een Yubikey via NFC gebruiken waarbij het bereik van NFC bevestigd dat beide apparaten bij elkaar in de buurt zijn. Het bereik van Bluetooth is dan wel groter, maar nog steeds extreem beperkt. Want iemand die binnen jou Bluetooth bereik is kan ook hele andere aanvallen doen, fysiek dus, incl onder dreiging van geweld.
Reageer
ZinloosGeweldig @coolkil13 februari 2026 17:56
Hebben er een paar geen e-learnings gedaan….
Volgens mij is in elke security awareness e-learning het feit dat de kennis je niet imuun maakt een onderwerp, dus dat kun je helemaal niet concluderen.
Reageer
Hans1990 @coolkil13 februari 2026 18:08
Wat daar staat klopt deels. Ik kan waarschijnlijk niet met root:admin naar hun servers SSH'en.

Maar de rest van het bericht klinkt alsof ze het kapstokje 'overmacht' zoeken. ""Nee deze threat actor was veel geavanceerder dan wij hadden kunnen voorzien."" Dat terwijl elke ketting maar zo sterk is als de zwakste schakel, en ik neem aan dat men toch wel bekend is met de term social engineering?

Nu moet ik zeggen dat zo'n verhaal wel in lijn ligt met mijn eigen ervaringen van de klantenservice van Odido. Verder dan wat voorgekauwde scripts komen ze niet, "ons systeem kan dat niet", en je kan ze letterlijk alles wijs maken wat betreffende techniek. Ook wel de druppel geweest dat ik daar weg ben als klant, want naast niet opgeloste technische problemen is er niets vervelenders als een klantenservice zonder slagkracht, die ook nog eens zo verspillend omgaat met nog het laatste stukje klantcontact/-beleving dat in deze tijd nog over is.
Reageer
0x0 @coolkil13 februari 2026 18:10
Bijna alles wat er gespint wordt is een grap.
De ene loze kreet na de andere.

Er is zo enorm veel mis binnen deze organisatie.

Ik snap wel dat het lastig is, maar het altijd "too little, too late".

Wie gaat er nu als schuldige aangewezen worden?
De IT afdeling?
Salesforce?
De medewerkers?
Management?
De "externe beveliginsexperts"?

Telkens wanneer er meer garen wordt gespint rijzen er bij mij meer vragen.
  • Hoe kan Salesforce niet in de gaten hebben gehad dat er zo veel informatie is weggesluist?
    Volgens de berichtgeving waren het namelijk allemaal individuele bestanden.
  • Hoe kan het dat een individuele klantenservicemedewerker toegang kan hebben tot meer dan één bestand tegelijkertijd?
  • Hoe is het mogelijk dat meerdere medewerkers direct benaderbaar zijn?
  • Waarom is de meest cruciale stap in je (wassen-neus) beveiliging zo gemakkelijk te omzeilen?
    (Hier heb je je persoonlijke 2FA fob/app, geef die informatie nooit aan iemand anders)
Ik voeg deze vragen toe aan mijn eerdere lijst van "hier-valt-mijn-bek-van-open"-verbazing.

Odido krabbelt nu wel terug en probeert de omvang van hun probleem te minimaliseren.
Ik ben benieuwd of hier een onafhankelijk onderzoek naar komt. Een potentieel van meer dan 6 miljoen klanten die getroffen zijn is één op de drie Nederlanders. Dat is echt enorm.
Reageer
Transferno @0x013 februari 2026 18:46
Ik vraag me af of dit geen zwakte van Salesforce is? Het is een SaaS oplossing dus ik zou verwachten dat ze zelf een SIEM integratie hebben wat verdacht gedrag meteen signaleert en zodoende toegang kan blokkeren.

Is dit dus een odido probleem of had het bij elke Salesforce gebruiker kunnen gebeuren?
Reageer
bzuidgeest @coolkil13 februari 2026 18:40
Want jij maakt nooit een fout? Daar geloof ik niets van. Het is gewoon een boilerplate die ze moeten hebben, verder zijn het gewoon mensen. En ja ik ben ook odido klant. Zolang niemand daar express de zaak verkloot of niet het minimum heeft gedaan ga ik die mensen niet afzeiken.
Reageer
coolkil @bzuidgeest13 februari 2026 18:58
E learnings gebeuren als goed is op alle niveaus. Ik reken het de specifieke mensen niet aan. Maar ergens in die keten is er iemand verantwoordelijk…

En dan moet je niet met bullshit publieke statements komen dat alles perfect op orde is terwijl je schijnbaar vatbaar bent voor een phishing aanval en mensen hebt die 6,5 miljoen records kunnen inzien…

[Reactie gewijzigd door coolkil op 13 februari 2026 19:01]

Reageer
bzuidgeest @coolkil13 februari 2026 19:04
verantwoordelijk waarvoor? Voor dat mensen fouten maken? Zolang van niemand kan worden aangetoond dat ze werkelijk incompetent bezig waren of er met de pet naar gooiden of zoiets (of bewust beveiling sloopten) heeft straffen of verantwoordelijk stellen geen enkele zin.

Iedereen is altijd zo druk op zoek naar een schuldige. Ik vind het veel belangrijker om te zorgen dat het de volgende keer beter is. Buiten criminele nalatigheid of de hack verbergen etc. heeft iets anders geen toegevoegde waarde.
Reageer
Skamba 13 februari 2026 17:47
Een hoop mensen hier zullen wel vinden dat ze meer tegen phishing hadden moeten doen. Iedere security-expert weet dat je dat nooit sluitend krijgt. Met phishing testen zie je dat 5-10% er wel intrapt. Bij grote afdelingen zoals support maakt het dan niet uit als je dat cijfer nog eens weet te halveren - je krijgt er altijd wel een paar.

Goede security gaat juist om laterale beweging naar de objective moeilijker te maken. Dat is hier niet adequaat gedaan

Zoals ik het nu lees lijkt het erop dat ze met wachtwoord + 2fa direct in Salesforce konden werken. Normaal verwacht je daarop bijvoorbeeld whitelisting naar de corporate ip-adressen. Waarschijnlijk vonden ze het ook niet nodig om een saas-applicatie op hun SIEM aan te sluiten.
Reageer
ibmpc @Skamba13 februari 2026 17:55
"Een hoop mensen hier zullen wel vinden dat ze meer tegen phishing hadden moeten doen."

Beveiliging tegen phishing ligt niet bij de gebruikers. Wachtwoord+MFA is allang niet meer van deze tijd. Een deel van je security is ook het blokkeren van wachtwoord+MFA en phishing resistant authenticatie verplichten, in ieder geval voor privileged data.

Whitelisting op corporate IP adres staat denk ik in de top 5 grootste beveiligingsrisico's. De enige whitelisting die is toegestaan is op trusted IP adressen (services) of tijdelijke en gedocumenteerde uitzonderingen. Whitelisting is een van de eerste dingen die ik eruit trap in een organisatie.

[Reactie gewijzigd door ibmpc op 13 februari 2026 18:00]

Reageer
simnet @ibmpc13 februari 2026 18:14
En zijn daarnaast nog legio andere mogelijkheden, zoals voorkomen dat corporate credentials überhaupt op phish sites ingevuld kunnen worden (dit werkt met bloomfilters op een proxy/firewall) of header injection richting saas applicaties om alleen vuit je eigen netwerken toe te staan.

De medewerkers zijn (imho) niet goed genoeg beschermd tegen zichzelf.
Reageer
bzuidgeest @ibmpc13 februari 2026 18:43
Er is geen phishing resistente authenticatie of social engineering resistente authenticatie. Dat maakt het zo moeilijk te bestrijden. Het is niet anders dan phishing via whatsapp. Het zijn vaak de mensen zelf die overgehaald worden geld over te maken. Net als in dit geval rustig mensen overgehaald zouden kunnen worden om gegevens naar de verkeerde plek te sturen.


Het idee dat beveiliging 100% is en altijd zal blijven is belachelijk. Er zijn mensen bij betrokken en dat is en blijft de zwakke schakel.
Reageer
RobbyTown 13 februari 2026 18:10
Ze waren recent nog op de vingers getikt:
nieuws: Odido krijgt 1,5 miljoen euro boete voor slechte beveiliging van afta...
Reageer
ShadLink @RobbyTown13 februari 2026 18:14
1,5 miljoen euro. Werkelijk zet dat geen zoden aan de dijk bij deze bedrijven. Zulke boetes moeten echt minimaal een factor 100 hoger liggen.
Reageer
RobbyTown @ShadLink13 februari 2026 18:22
Los van het bedrag. Men ging ook nog in bezwaar
nieuws: Odido gaat in bezwaar tegen miljoenenboete RDI
Een woordvoerder laat aan Tweakers weten het niet eens te zijn met die lezing: "We hebben een alomvattend beveiligingsplan en daarbinnen zitten ook beveiligingsmaatregelen voor het aftapsysteem. Daarom is de bewering dat er geen beveiligingsplan is wat ons betreft onjuist."
beveiligingsmaatregelen geen idee wat die zijn. Blijft bijzonder even heel klantenbestand kunt ophalen zonder limiet.
Reageer
djiwie 13 februari 2026 17:37
Blijft bizar dat een buitenlandse klantenservice-medewerker toegang had tot zoveel gegevens van zoveel klanten. Dat was en is helemaal niet nodig.
Reageer
Lisadr @djiwie13 februari 2026 18:09
Helaas komt dit heel vaak voor en zal het alleen toenemen met de Indiadeal die de EU net heeft afgesloten en de obsessie van bedrijven om alles zo goedkoop mogelijk te willen. Ik kom regelmatig bij bedrijven waar medewerkers in India volledig toegang hebben tot alle kantgegevens en alle medewerker gegevens Inclusief salarisadministratie, kopie VOG, kopie paspoort, ziekteverlof en allerlei andere informatie.

India is het meest voorkomend, maar Polen, Spanje, Roemenië en Bulgarije zijn landen waar veel aan wordt uitbesteed.
Reageer
P-Rock 13 februari 2026 17:50
Odido is al twee keer eerder op de vingers getikt voor hun slechte beveiliging en nu blijkt maar weer dat zich daar niks van hebben aangetrokken. Bedenk je dus goed als je overweegt om een contract af te sluiten bij Odido dat veiligheid van je persoonlijke gegevens niet hoog op hun lijstje staat. Hun matige, laconieke reacties op één van de grootste hacks in Nederland ooit spreekt ook boekdelen.
Reageer
GewoonWaarom 13 februari 2026 17:52
Elke keer als gevoelige gegevens gevraagd worden, moet je dit loggen, maar ook controleren op waarom deze gegevens nodig zijn. Vreemde aanvragen gaan altijd via managment en wordt er gebeld of fysiek afgesproken.. S nachts is de fysieke verbinding verbroken (processen kunnen ook overdag lopen), etc.
Als je niet zo inricht, dan volg je niet de intentie van de wet en mag de gewone burger bloeden
Reageer
ShadLink 13 februari 2026 17:58
Ik zou graag willen zien dat bedrijven die zulke beveiligingsfouten maken eens écht op het matje moeten komen en de klanten flink moeten vergoeden. En nee dan heb ik het niet over een excuus mailtje of een paar tientjes vergoeding. Ook niet over een boete die ze uit een oude sok halen. Anders zullen ze het echt nooit leren.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq