Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters claimt alle data uit het datalek bij Odido te hebben. De groep wil geld hebben, anders zet zij die data online op het darkweb. Eerdere slachtoffers van de groep waren onder meer SoundCloud, Ticketmaster en Pornhub.

Shinyhunters zegt dat het gaat om 21 miljoen records met onder meer namen, adressen, e-mailadressen en wachtwoorden in plaintext. Ook gaat het om IBAN-nummers, paspoortnummers en rijbewijsnummers. De hackersgroep claimt tegen RTL Nieuws dat die vraagt om een bedrag van zeven cijfers, dus minimaal een miljoen dollar of euro.

RTL Nieuws zegt bewijs te hebben gezien dat Shinyhunters inderdaad achter de hack zit. De wachtwoorden in kwestie zouden de wachtwoorden zijn die de provider met klanten afspreekt om telefonisch iets te veranderen in bijvoorbeeld een abonnement.

Shinyhunters is een bekende hackersgroep met veel grote namen als slachtoffers. Een van de recentste was Pornhub, waarbij het ging om data van 1,5 miljoen Nederlanders. Odido bevestigde eerder dat het was gehackt en dat criminelen bij data van miljoenen klanten konden.

Shinyhunters: Odido

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 24-02-2026 07:31 303

24-02-2026 • 07:31

Lees meer

Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt

Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026

Hackers zetten eerste batch met gestolen Odido-data online - update 2

Hackers zetten eerste batch met gestolen Odido-data online - update 2 Nieuws van 26 februari 2026

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026

Oplichtwebsite over Odido-datalek is niet meer bereikbaar

Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Privacy Cybercrime Nederland Odido

IT-banen

Meer vacatures

Reacties (302)

302

300

125

1

0

160

Wijzig sortering

BezurK 24 februari 2026 07:35

Ik mag toch hopen dat Odido dit niet gaat betalen. Ook al zitten (ook) mijn gegevens in die dataset, met criminelen valt niet te onderhandelen.

Overigens stoort het me altijd best wel dat dit "hackers" genoemd worden. Het zijn criminelen. Cybercriminelen. Hackers is teveel eer.

[Reactie gewijzigd door BezurK op 24 februari 2026 07:36]

paulhekje @BezurK • 24 februari 2026 09:43

Het zou wettelijk verboden moeten worden om te betalen in dit soort zaken, met gevangenisstraf voor directie als ze toch betalen. Dan zijn we snel minder interessant voor dit soort criminelen.

svenslootweg @paulhekje • 24 februari 2026 14:48

Ik denk dat dat moreel gezien nogal een lastige is, in ieder geval als je niet ook grote veranderingen maakt in hoe er met beveiliging (en eisen daartoe) omgegaan wordt. Dan heb je er namelijk vooral de slachtoffers mee; de consequenties voor het bedrijf zelf zijn minimaal, en worden zelfs minder omdat ze nu kunnen zeggen "tja, kunnen we niets aan doen, we mogen niet betalen".

Als we echt op een nuttige manier hiermee om willen gaan, dan is het denk ik zinniger om op preventie in te zetten. Het voorkomen van dit soort situaties in de eerste plaats. Want daar is nog genoeg werk te verzetten.

locke960 @svenslootweg • 24 februari 2026 15:48

Natuurlijk is dat moreel lastig en vervelend voor de slachtoffers. Maar dat is de pijn die we op korte termijn lijden moeten opdat het op langere termijn beter wordt.

Als je het niet verbied zal elk bedrijf doen wat ze het beste voor zichzelf achten en dat verdedigen met het bijgehaalde, passende, morele argument. Het algemene belang komt dan altijd op de laatste plaats.

Het is de taak van de overheid dit soort moeilijke keuzes te maken omdat 'de markt' het algemene belang niet dient.

Bovendien: betalen helpt niet. Wie gelooft er de beloften van een criminele afperser? Een bedrijf kan wel doen alsof, omdat het ze goed uitkomt, maar als klant van zo'n bedrijf kan ik daar natuurlijk niet op vertrouwen. Ik moet in beide gevallen dezelfde maatregelen nemen en verder maar hopen.

player-x @svenslootweg • 24 februari 2026 16:21

Als we echt op een nuttige manier hiermee om willen gaan, dan is het denk ik zinniger om op preventie in te zetten.

Ik denk dat de bedrijven zwaar beboet moeten worden als er een lek plaats vind, die voorkomen had kunnen worden, en als de schuld bij een derde party ligt, ze het daar wettelijk moeten kunnen verhalen.
Ik begrijp, dat bedrijven niet alles kunnen voorkomen, maar als de reden bv is, omdat er bijvoorbeeld geen MFA was gebruikt, ze daar flink voor moeten bloeden.

En als de boetes maar hoog genoeg zijn, moeten/gaan bedrijven zich er vast voor verzekeren, en die verzekeringsbedrijven gaan dan vast en zeker, Pentesten eisen en uitvoeren.

Geschatte jaarlijkse kosten voor cyberaanvallen in Nederland bedragen maar liefst 30 miljard euro/j.
Voor het midden- en kleinbedrijf (MKB) liggen de kosten gemiddeld rond de €270.000 per aanval.

Zou het niet slim zijn voor de overheid om bv 0.5% van de geschatte schade per jaar, uit te loven aan white hat hackers, om beveiligingslekken te vinden bij Nederlandse bedrijven.

En de overheid kan waarschijnlijk ook nog eens een behoorlijk deel van die kosten, terughalen bij bedrijven die hun zaken niet op orde hebben, in de vorm van boetes, als blijkt dat ze nalatig zijn.

schrikbeeld @paulhekje • 24 februari 2026 17:54

Het zou wettelijk verplicht moeten worden een zekere vorm van beveiliging te hebben met sancties in oplopende vorm: hoe langer een lek al gedicht maar nog niet gepatchd, hoe hoger de straf.

Wouterie @schrikbeeld • 25 februari 2026 09:32

Dan gaan bedrijven sturen op het minimale waartoe ze verplicht zijn. Checklist afvinken en klaar is Kees.

torretje2012 @schrikbeeld • 25 februari 2026 15:04

dit lek was in <1u gedicht, wat voor straf moet daar op staan?

schrikbeeld @torretje2012 • 25 februari 2026 23:42

Het gaat natuurlijk niet om hoe snel het bedrijf (zoals Odido) het lek heeft gedicht, het gaat om hoe lang het lek heeft opengestaan in relatie tot een al voorhanden zijnde patch.

phoenix2149 @paulhekje • 24 februari 2026 22:43

Die miljoenen kunnen ze beter aan hun klanten betalen zodat ze hun persoonlijke informatie waar nodig kunnen aanpassen met bijvoorbeeld nieuw paspoort/ID en rekening nummer dan criminaliteiten belonen.

Ik ben zelf “slachtoffer” van de hack en heb per direct mijn e-mail adres van Odido veranderd in iedergeval. Twijfel of ID nodig is want dat heb ik recent vernieuwd, maar het laat weer zien dat een kopie, of nummer van je ID niet gegeven moet worden maar gewoon enkel iDIN of DigID voor verificatie van persoon.

Wouterie @paulhekje • 25 februari 2026 09:30

Tja, het is eigenlijk gijzeling van data en afpersing. In het 'echte' leven is het doorgaans ook niet strafbaar om losgeld te betalen. De rechtbank kan je trouwens ook gijzelen als je je boetes niet betaalt

Het strafbaar stellen van een slachtoffer (naar woord vind ik dat) blijft mijns inziens discutabel. Je voorkomt er dit soort praktijken niet mee want die data is hoe dan ook geld waard. Is het niet voor Odido, dan wel voor een ander.

Arvado @paulhekje • 25 februari 2026 14:15

Daar ben ik het pertinent mee oneens.

Het is zeker zo dat je dit in stand houdt als je criminelen betaald. Dus betalen is eigenlijk nooit een goed idee.

In het geval van Odido valt de data die gelekt is nog relatief mee. Maar stel je hebt een bedrijf, wordt slachtoffer en criminelen hebben ook echt data als bestanden e.d. uit je personeelsmap gejat. Dus ook kopie ID bewijzen e.d. en nog veel meer persoonlijke data dan bij Odido het geval is. Dan voelt een bedrijf zichzelf ook verantwoordelijk en zou er alles aan willen doen om te voorkomen dat deze gegevens op straat komen om personeel te beschermen. In dat geval kan betaling een wel overwogen keuze zijn. Ik zeg niet dat dit de juiste is maar ik begrijp een directie wel.

Smoonshine @BezurK • 24 februari 2026 07:38

Die criminelen geven toch ook hun onderhandelingspositie uit handen wanneer ze het lekken? Andersom geeft betalen ook niet de garantie dat er niet gelekt wordt, want strafbaar zijn deze ShinyHunters toch al.

Ik hoop vooral dat Odido nu snel de zooi op orde maakt en klanten van een instructie voorziet om de schade te beperken.

Morpheusk @Smoonshine • 24 februari 2026 07:42

Dat is toch juist hun hele businessmodel. Als ze wel lekken na betaling, dan gaat de volgende keer niemand meer betalen. Dus ook zij hebben belang bij een goed trackreport.

Mocht de club opgeheven worden valt natuurlijk niet uit te sluiten dat ze alsnog lekken. Maar in den beginne verwacht ik van niet.

Azenomei @Morpheusk • 24 februari 2026 08:15

Je moet het omdraaien. Als niemand betaald dan is het business model weg en worden er minder gegevens gestolen voor afpersingsdoelen. Een Odido moet een mega boete krijgen omdat ze te veel gegevens veel te lang bewaren op een manier waar mensen actief bij kunnen.

Mania-92 @Azenomei • 24 februari 2026 09:46

Hoezo business model weg? Als Odido, of andere slachtoffers, niet betalen dan gaat het gewoon op het darkweb verkocht worden. Het is echt niet alsof ze dan stoppen.

Azenomei @Mania-92 • 24 februari 2026 10:47

Op het dark web krijg je er een stuk minder voor. (Anders had het daar allang gestaan namelijk). Dus nee.

Verwijderd @Azenomei • 24 februari 2026 17:10

Gefragmenteerder, uiteindelijk haal je het wel hoor.. zeker als je de inkomsten van alle groepen bij elkaar optelt... Dat kan nog wel eens meer zijn als wat ze nu aan Odido vragen. Het potentieel is groot onder de streep

[Reactie gewijzigd door Verwijderd op 24 februari 2026 17:11]

Azenomei @Verwijderd • 24 februari 2026 17:12

Als dat zo was, dan hadden ze dat allang gedaan.... Waarom de kans lopen gepakt te worden door contact op te nemen met het bedrijf waar je data hebt gestolen als je voor hetzelfde geld de zooi anoniem kan posten en geld opstrijken?

Verwijderd @Azenomei • 24 februari 2026 17:35

Ga je maar eens verdiepen in hoe osint netwerken werken. Betalen voor toegang, geld krijgen voor hosten en referenties binnen harken. Van de winsten worden dit soort datasets gekocht. Hoe meer actuele en complete datasets hoe completer en betrouwbaarder de output

Mooraalkikker @Azenomei • 24 februari 2026 08:58

Tja als niemand meer waardevolle spullen koopt van een inbreker die bij iemand heeft ingebroken, dan wordt er ook bijna niet meer ingebroken. Maar zo werkt de wereld jammer genoeg niet. Het is zelfs wetmatig strafbaar, maar nog steeds gebeurt het genoeg

Tuurlijk als niemand meer betaalt, dan valt het verdienmodel uit elkaar, maar soms is de data zo gevoelig dat er gewoon geen andere oplossing is.

De enige oplossing die er is, is je beveiliging op orde hebben. Niet betalen is naar mijn mening geen oplossing, want er zullen altijd bedrijven zijn die wel 'moeten' betalen jammer genoeg.

Het model breek je alleen door de datatoevoer te stoppen en niet door de geldkraan dicht te draaien zonder hier wetmatig afspraken over te maken. Zodat echt geen enkel bedrijf de mogelijkheid heeft om het af te kopen. Bedrijven kan je op dat gebied nog wel sturen ipv mensen

Wel moeten er dan vanuit de overheden ook oplossingen geboden worden voor mensen die slachtoffer zijn geworden van zo'n datalek

[Reactie gewijzigd door Mooraalkikker op 24 februari 2026 09:01]

Azenomei @Mooraalkikker • 24 februari 2026 17:15

Inbrekers willen makkelijk wat zooi wat ze snel kunnen verkopen zonder moeite. Zodra het moeite kost dan wordt er inderdaad niet meer ingebroken, zoals de trends ook laten zien. Denk je echt dat je full-price kan vragen voor een gestolen ps5? Hoe zie je dat voor je? Op marktplaats zetten? Dat is een solide strategie. Zodra ik daar dezelfde ps5 zie met die kras die mijn broertje erop heeft gemaakt bied ik full-price en kom ik hem meteen wel even ophalen. Met oom agent of ome Sjon.

[Reactie gewijzigd door Azenomei op 24 februari 2026 17:16]

Mooraalkikker @Azenomei • 24 februari 2026 18:29

Dus je bent het er mee eens dat beveiliging de oplossing is? Daarnaast is je idee van het krasje op de PS5 natuurlijk geen oplossing. Ten eerste heeft niet iedereen een kras op zijn ps5, zijn niet alle foto's even scherp dat je dat überhaupt kan zien en hij moet maar net op marktplaats staan.

En fullprice voor een ps5 krijg je natuurlijk nooit, maar dat kreeg je ook niet voor de PS1 toen der tijd.

De enige reden dat inbraken afnemen is door oa beveiligingssystemen en camera's.

Overigens wens ik je wel succes om de agent mee te nemen. Die gaan echt niet mee voor een gestolen ps5 die op marktplaats wordt aangeboden. Die hebben wel wat beters te doen met de personeelstekorten jammer genoeg

Azenomei @Mooraalkikker • 24 februari 2026 18:30

Ik had oom agent er voor de "normaal" neergezet. Natuurlijk neem ik ome Sjon mee.

PaulHelper @Azenomei • 25 februari 2026 13:52

Businessmodel weg? Het is kiezen tussen bedrijven zelf of het gaat het darkweb op afhankelijk van de kwaliteit en kwantiteit levert dat nog best wat moois op hoor. Maargoed mogelijk minder dan het bedrijf zelf ervoor kan of wil betalen als ze dat al doen.

Hemingr @Morpheusk • 24 februari 2026 08:04

Dan gaan ze volgende keer gewoonweg door onder een andere naam. Opgelost.

Mooraalkikker @Hemingr • 24 februari 2026 08:51

Dan ben je nog wel een partij zonder trackrecord, als je je naam verandert. Wie zegt dat de volgende partij dan wel gaat betalen?

Ik weet zelf ook niet de oplossing, maar even van naam veranderen is voor zo'n groep ook niet ideaal natuurlijk. Heb je een gevestigde naam, dan zijn bedrijven veel sneller bereid om te onderhandelen, dan met een partij die nog nooit losgeld heeft gevraagd na een hack.

Zowel in de onderwereld als bovenwereld is een 'goeie' naam hebben gewoon goud waard

divvid @Morpheusk • 24 februari 2026 08:05

dat is echt een wensgedachte

P_Tingen @Morpheusk • 24 februari 2026 08:12

"Nee hoor, dat waren wij niet, wij hebben echt alles na betaling gewist, maar we zijn zelf kennelijk óók gehacked"

Wouterie @Smoonshine • 25 februari 2026 09:34

Voor Odido is het de makkelijkste uitweg om te betalen. Voor de hackers is het de makkelijkste klant. Als Odido niet wil betalen, dan is er wel een ander die het graag in handen wil krijgen. Het deels online gooien is een manier om te laten zien dat zij echt de data hebben.

pluizebol @Smoonshine • 25 februari 2026 18:08

Vooral deze zin spreekt me aan .... Ik hoop vooral dat Odido nu snel de zooi op orde maakt en klanten van een instructie voorziet om de schade te beperken.

Alle klanten van Odido en Ben kunnen aanspraak maken op het gratis beveiligingspakket, schrijft Tweakers. Hoe zou het zitten met de oud-klanten die evenzeer slachtoffer zijn geworden?

adje123 @BezurK • 24 februari 2026 07:50

Ik hoop ook dat ze niet betalen anders gaat de prijs van mijn abbo's erg hard omhoog.....

carpcatcher @adje123 • 24 februari 2026 08:01

mwa, volgens RTL gaat het om 8 miljoen accounts : zou het per account max 1,25 Euro zijn.
als ze onder dat excuus een prijsverhoging doorvoeren ben ik op zeker weg.

downtime @carpcatcher • 24 februari 2026 08:35

Ze zullen nooit dat excuus gebruiken. Het is altijd “vanwege gestegen kosten” en dat kan natuurlijk van alles betekenen.

CH4OS @carpcatcher • 24 februari 2026 09:02

Men is bewezen onveilig, dat zou al reden genoeg moeten zijn om te vertrekken als klant, niet (alleen) de kosten.

Privacy
Nederland
Odido

@CH4OS • 24 februari 2026 09:17

Het probleemmis alleen. Waar ga je dan heen? Mijn data is al gestolen bij KPN en vorig jaar ook bij VF.

Dus dan heb je de trifecta van Nederlandse Providers.

CH4OS @supersnathan94 • 24 februari 2026 09:34

Qua (mobiele) netwerken wellicht, maar dat hoeft niet te betekenen dat de data / administratie daar ook gedaan is. Dat heeft deze hack ook wel laten zien, alleen Odido en Ben klanten zijn getroffen, maar over Simpel is niet gesproken, schijnbaar is daar dus geen lek, terwijl het toch ook, net als Ben, een dochteronderneming van Odido is tegenwoordig.

[Reactie gewijzigd door CH4OS op 24 februari 2026 09:36]

carpcatcher @supersnathan94 • 24 februari 2026 09:44

tja. niet verwacht dat ik het zou zeggen, maar dan toch maar weer naar Ziggo, al is het alleen omdat ik daar minder downtime had.

Privacy
Nederland
Odido

@carpcatcher • 24 februari 2026 18:21

Ziggo valt bij mij standaard af vanwege de lage upload en B vanwege het Puma debacle waardoor ik iedere dag tig keer de boel kon resetten.

FooLsKi @CH4OS • 24 februari 2026 10:19

Data is nergens veilig, wanneer de menselijke factor de zwakste schakel is.

willieverhoef @carpcatcher • 24 februari 2026 09:14

Dit soort bedrijven is gewoon verzekerd. Dus is het een stukje terug claimen van de reeds gemaakte kosten.

carpcatcher @willieverhoef • 24 februari 2026 09:23

zou het ? werkt een verzekering mee aan de vraag van criminelen ? wat ze hebben gedaan is strafbaar. Het is afpersing en handel in gestolen persoonsgegevens zijn ernstige misdrijven.

croc @adje123 • 24 februari 2026 11:05

Als ze de prijs omhoog konden doen hadden ze dat al lang gedaan hoor. Dat is gewoon basiseconomie.

Caayn @BezurK • 24 februari 2026 08:20

Eens. Het zou fijn zijn als het betalen van losgeld in dit soort gevallen strafbaar wordt. Dit is gewoon chantage/heling. Criminelen moet je niet belonen met miljoenen euro's. Als ik een gestolen goed koop, waarvan ik weet dat het gestolen is, dan ben ik strafbaar. Waarom zou dat voor bedrijven anders zijn.

Indien er wel losgeld betaald wordt:
1) Heb je geen enkele garantie dat de dataset werkelijke verwijderd wordt en niet alsnog (later) "lekt" of voor andere doeleinde van de criminelen gebruikt wordt.
2) Beloon en motiveer je misdaad.
3) Ben je schuldig aan opzetheling.

[Reactie gewijzigd door Caayn op 24 februari 2026 08:30]

Wootism @Caayn • 24 februari 2026 09:01

Chantage snap ik, maar dit heeft niks met heling te maken.

drakiesoft @Caayn • 24 februari 2026 08:23

Is dit soort hack in deze omvang ook niet een vorm van terrorisme? Dit is gewoon levenslang met dwangarbeid.

litebyte @Caayn • 24 februari 2026 10:04

Altijd makkelijk om te zeggen dat betaling strafbaar wordt. Als je als bedrijf je klanten of belangrijke bedrijfsgegevens wil beschermen..of uberhaubt je bedrijf draaiende wil houden (laten overleven)

Waar je voor moet zorgen *als overheid* is dat gegevens zoals paspoortnummers/rijbewijs copieen en andere zeer risicovolle privacy gevoelige informatie niet bewaard mag blijven nadat het is gebruikt voor afsluiting van een contract etc. Maar ja, dat kan lastig zijn als je als overheid het toch heel fijn vindt als dit soort gegevens jaren later nog bij providers kan worden opgevraagt om wat voor reden dan ook.

CH4OS @BezurK • 24 februari 2026 09:00

Als het wel legaal was, wordt men veiligheidsonderzoeker genoemd.

HanzKasan @BezurK • 24 februari 2026 10:14

Wie is hier de crimineel? de hackers of Odido die gegevens niet versleuteld opslaat, gegevens te lang bewaard, meer dan nodig bewaard etc.

zuma @HanzKasan • 24 februari 2026 13:29

Beiden. Shiny hunters -. Hunt them down to the last one...

Odido flinke AVG boete geven (wegens te lang opslaan). Niet versleuteld opslaan ik weet niet of dit de oorzaak is en ik weet ook niet of daar een wet over is.. Maar te lang opslaan is echt wel evident en maakt het vele malen erger dan als ze wel netjes hadden verwijderd.....

Cybercrime
Privacy
Nederland

@BezurK • 24 februari 2026 11:17

Persoonlijke gegevens proberen te verhandelen is een vorm van (laten) verwerken en is wettelijk niet zomaar toegestaan zonder toestemming van de personen om wie het gaat. Dit is daarbij het verwerken zonder vooraf aantoonbaar met een betrouwbare partij zaken te doen. Het zijn criminele organisaties die duidelijk geen respect hebben voor de wettelijke eisen over persoonsgegevens. De wet stelt niet dat vertrouwen een behoorlijke verwerking is, laat staan selectief vertrouwen door alle onwettige handelingen van de criminelen maar te negeren.

En voor iemand nu begint dat betalen in dit geval geen ander doel heeft dan waarvoor de gegevens voor verstrekt zijn. Handelen doe je met twee partijen. Je hebt als bedrijf de plicht de andere handelaar te kunnen controleren dat deze niet onwettig handelen. En dat is hier bewezen: ze hebben maling dat je als bedrijf controle wil, laat staan dat klanten controle hebben. Ze persen er zelf mee af, terwijl de gegevens daar niet voor verstrekt zijn. Het feit dat je als bedrijf hoopt dat ze na betaling wel controle over de criminele en de gegevens hebt is niet slechts absurd, het is niet aantoonbaar. Er is geen aantoonbaar bewijs dat de juist organisatorische en technische maatregelen worden genomen. Daarom valt dit ook onder onwettig 'beschermen'. Zonder wettige bescherming geen wettige verwerking en dus geen rechtmatig verhandelen van andermans persoonlijke gegevens.

Ik betwijfel ook of het toestemming per klant verkrijgen het handelen legitiem maakt. Want feitelijk gedraag je je als bedrijf daarmee als verlengstuk van deze criminelen: betaal of ze dreigen je rechten nog meer te schenden.

Bomb-el @BezurK • 24 februari 2026 12:50

Pardon? Ik mag hopen dat ze dat wel doen. Laat ze het maar voelen. En ook al is de kans levensgroot dat de data alsnog wordt verkocht, er is ergens toch de hoop dat ze het niet doen om hun businessmodel in stand te houden en dan heeft odido in elk geval nog een poging gedaan om verdere schade te voorkomen.

Het maximale bedrag wat ze vragen is 1,25 euro per gebruiker. Ze gaan niet direct failliet, de marges zijn hoog genoeg. En zo wel, dan kunnen we daar ook niet rouwig om zijn na deze shitshow.

ict @Bomb-el • 25 februari 2026 11:51

Prima maar dan ontvang ik ook graag een (schade)vergoeding van o.a. een nieuw paspoort.

Knallmeister @BezurK • 24 februari 2026 14:38

Overigens stoort het me altijd best wel dat dit "hackers" genoemd worden. Het zijn criminelen. Cybercriminelen. Hackers is teveel eer.

100% mee eens.

SkyStreaker @BezurK • 24 februari 2026 19:15

Ik heb bijna liever dat de data online komt zodat diensten e.d. die je hier tegen beschermen weten WIE ze moeten beschermen. Dat de overheid en andere instansties ook weten dat elke aanvraag van of via deze identiteit als vals moet worden beschouwd en persoonlijk contact gemaakt moet worden. Niet via email, gewoon bellen en als het moet, beeldbellen.

ict @BezurK • 25 februari 2026 11:42

ho ho, volgens odido zelf zijn het 'sieber'criminelen, of weet jij meer?

Snoitkever @BezurK • 25 februari 2026 13:15

Ja dag, ik heb liever dat ze gewoon betalen. Ik waardeer mijn privacy en security een stuk meer dan de "principes" hier.

Ben jij ook het type dat vind dat je bij een overval moet weigeren je portemonee/telefoon aan de overvaller met een wapen te geven? Ik leef liever wat langer.

Nedje 24 februari 2026 07:34

Ik vraag me af of het niet gewoon al online staat. Mijn gegevens waren ook onderdeel van de lek en op de precieze dag dat het bekend werd kreeg ik een Telefoontje van "The Bitcoin", ook daarna nog een aantal keer een telefoontje gekregen van soortgelijke meuk.

TheVivaldi @Nedje • 24 februari 2026 08:47

Vergelijkbaar hier: sinds de dag van de lek krijg ik ineens vele malen meer spam per mail. Zal vast ook wel “toeval” zijn volgens sommigen, maar ik denk toch dat 1+1 twee is.

Arunia @TheVivaldi • 24 februari 2026 09:17

Mij viel hierin exact hetzelfde op. Mijn gmail spammap staat automatisch een stuk voller op het mailadres welke ik gebruik voor bedrijven.

Denk dat ik maar weer eens ga proberen of +odido (zit al een paar jaar niet meer bij Odido) en dergelijke nu eindelijk wel normaal werkt.
Voorheen getest en bij de eerste al te zien gekregen dat het niet werkte. Toen meteen gestopt. :+

Jeru @Arunia • 24 februari 2026 10:37

Ik vraag mij ook erg af hoe zinvol het is, namelijk een hacker die een CSV heeft met mailadressen met een +odido erin kan dit natuurlijk gewoon erg makkelijk eruit filteren.

Sanderluc @Jeru • 24 februari 2026 11:47

Ik heb hier zelf rekening mee gehouden. Ik gebruik zelf een willekeurig woordenboek als e-mail prefix. Voor iedere website gebruik ik uniek legitiem ogend e-mailadres. Ik weet ook zodra hier ook maar 1 spam-mailtje op binnenkomt dat de data bij bijvoorbeeld Odido gelekt is.

Uiteraard weet de hacker dit ook en kan hij domeinnamen en bepaalde karakters uit mail-adressen filteren. En zo denken een stap voor te zijn. Maar dit voorkomt dit probleem niet, het vermoeilijkt het enkel. Een datalek (indien groot genoeg) kan je statistisch gezien vrijwel altijd nog herleiden naar zijn herkomst.

Eigenlijk kan je zo zelf ook een monitoring-tool bouwen die wereldwijd organisaties kan monitoren op potentiële datalekken. Je kan dan iets sneller zien dan de rest.

Misschien moeten we maar investeren in een digitaal BSN-nummer die we als land kunnen gebruiken voor onze AI-agents. Dan kunnen we Jan Modaal tot leven brengen en gebruiken als ervaringsdeskundige. Zo kan Jan Modaal ook aankopen doen in onze webwinkels en alles in de gaten houden. Een digitale inwoner.. Maar wel op de hoogte van alles wat speelt.

[Reactie gewijzigd door Sanderluc op 24 februari 2026 12:39]

Fourtrain @Jeru • 24 februari 2026 14:06

Ik vraag mij ook erg af hoe zinvol het is, namelijk een hacker die een CSV heeft met mailadressen met een +odido erin kan dit natuurlijk gewoon erg makkelijk eruit filteren.

Ik vraag me af of de gemiddelde hacker of spamboer daar überhaupt de moeite voor gaat doen, het zou mij verbazen als meer dan 1% van de wereld überhaupt gebruikt maakt van deze functie.

Mensen die de moeite nemen om subaddressing te gebruiken hebben waarschijnlijk ook gewoon redelijke wachtwoorden en 2fa op belangrijke dingen, voor hackers waarschijnlijk niet de moeite waard om daar achter aan te gaan die pakken liever voor dezelfde hoeveelheid moeite 1000 mensen die qwerty123 als hun wachtwoord hebben.

Voor spammers niet anders, je wilt zo veel mogelijk mensen onderspammen waarvan je verwacht dat ze voor je spam vallen, iemand die zijn zaken op orde zal geen interessant doelwit zijn.

MikkieBakker @Jeru • 24 februari 2026 11:35

Dat vraag ik me ook af.

De oplossing die ik gebruik hiervoor is het hebben van een eigen domein. Alle mails die naar dat domein komen ontvang ik automatisch.

Zo heb ik bijvoorbeeld google@mijndomein.com voor mijn google account en odido@mijndomein.com voor mijn odido.

sudoscience @MikkieBakker • 24 februari 2026 12:21

Same, hoop alleen dat het nooit lucratief gaat worden om te gokken welke slachtoffers in zo'n lijst gebruikmaken van catchall aliases, dan zou ik daadwerkelijk een whitelist moeten gaan opstellen voor de vele meuk-accounts die ik heb op het web

Lagonas @MikkieBakker • 24 februari 2026 13:02

Ik doe hetzelfde, maar iets gecompliceerder in de namen. Ik heb de naam van het bedrijf, en dan nog een x aantal tekens@mijndomein.nl. Puur met het idee dat als ze zien dat ik odido@mijndomein.nl gebruik, dat ze kunnen doorhebben dat tweakers@mijndomein.nl ook wel correct zal zijn.

Mick3112 @TheVivaldi • 24 februari 2026 09:55

ja, hier ook. En ze komen ook allemaal door mijn spamfilter heen van Hotmail.com. Dit naast de 60 gebruikelijke dagelijkse mails die wel in mijn Spamfolder komen.

Raymond Deen @Mick3112 • 24 februari 2026 10:25

Eens in de zoveel tijd hebben de spammers hun methode weer aangepast en vallen er weer wat mailtjes door het filter. Een week lang stug deze mailtjes melden als spam helpt om er weer een tijdje vanaf te zijn.

xaradine @Raymond Deen • 24 februari 2026 12:19

Helemaal niet....die rotzooi blijft gewoon komen.

Ik meld en rapporteer elke dag.....en nog krijg ik gemiddeld 30/40 onbekende emails!

Dit gebeurt al 2 jaar.

Ze gaan wel ( meeste in spam ) maar! Ik moet het wel checken.

Sommige zijn spam en anderen niet.

Met Outlook heb ik al 2 jaar dat er rotzooi binnen komt.

Op me Gmail nul komma nul.

Raymond Deen @xaradine • 24 februari 2026 13:45

Dan heb ik het verkeerd begrepen. Ik dacht dat ze niet in de spam folder maar in de inbox terecht kwamen. Dat laatste ga je tegen met dat melden en dat eerste heb ik ook helaas. Bij mij komen ze al sinds jaren, vermoedelijk na de LinkedIn hack.

pauldebra @TheVivaldi • 24 februari 2026 11:00

Dat is een goede tip. Net even gecontroleerd en mijn hoeveelheid spam is nog gewoon dezelfde gebleven. Dus ben ik misschien toch gespaard van die Odido ellende. (Ik had heel lang geleden Ben als provider, en die was onderdeel van T-Mobile en dat is dan weer overgegaan naar (of omgenoemd in) Odido... en Odido zat ook achter het glasvezel dat hier is aangelegd en waarop ik geen Odido abonnement nam, dus het had zomaar gekund dat ik bij die 21 miljoen zat... Maar geen extra spam is geruststellend!

protected22 @TheVivaldi • 24 februari 2026 11:36

Hetzelfde viel mij ook al op. Enkele dagen voordat het nieuws uitkwam viel het mij op dat ik significant meer spam kreeg in mijn mailbox welke ook voorheen een account bij Ben had. Toen dacht ik al van "zou er weer een lek ergens zijn?" Maar kan ook toeval zijn.

Opvallend genoeg altijd dezelfde soort spam. Verzonden vanuit firebaseapp, casino spam, zogenaamd mac-afee meldingen of als afzender mijn eigen adres.

[Reactie gewijzigd door protected22 op 24 februari 2026 11:36]

DvanRaai89 @Nedje • 24 februari 2026 07:40

op de precieze dag dat het bekend werd

Maar dat heeft er toch niets mee te maken? De data zouden ze dan eerder bemachtigd hebben [en dan precies wachten totdat Odido een bekendmaking doet. Dat zou wel heel vreemd zijn.]
Tevens kun je er enkel 100% van zeker zijn als je een uniek e-mailadres gebruikt voor Odido/Ben. (Apple Hide My Email, SimpleLogin, Anon addy.io of Firefox Relay masks)

[edit]

[Reactie gewijzigd door DvanRaai89 op 24 februari 2026 10:19]

RVervuurt @DvanRaai89 • 24 februari 2026 09:23

Alle data was ook eerder buitgemaakt dan toen Odido het naar buiten bracht, dus zou goed kunnen zijn dat de dataset al (gedeeltelijk) beschikbaar was ergens.

Daarnaast heeft Nedje het over een telefoontje, niet over een email.

ShadLink @Nedje • 24 februari 2026 07:53

Dat kan ook uit eerdere hacks zijn of gewoonweg van lijstjes zijn waar je ooit je telefoonnummer hebt ingevuld. Bedrijven willen die lijstjes wel eens verkopen.

m.z @ShadLink • 24 februari 2026 11:47

Ik vind het daarom ook nergens opslaan dat je zowat bij bijna elke bestelling je nummer moet opgeven. Ik ben nog nooit benaderd op mijn telefoonnummer. Dat het verplicht is bij aflevering van witgoed of andere grote bestellingen, alhe dan, maar zie over algemeen geen nut van in.

Rixos @Nedje • 24 februari 2026 08:16

Lijkt mij niet. Als het plan was om losgeld ervoor te vragen dan zou het wel heel dom zijn om je onderhandelingpositie compleet te verzwakken door alles al online te zetten. Dan heeft odido totaal geen prikkel meer om losgeld te betalen.

bapemania @Nedje • 24 februari 2026 08:19

Voor het plegen van dergelijke telefoontjes hoeft niemand zo'n hack uit te voeren, die zijn namelijk nergens specifiek op gericht.
Daar kan gewoon een bot voor worden ingezet die alle telefoonnummers in NL af belt en als er wordt opgenomen word je "doorverbonden met een medewerker".

m.z @bapemania • 24 februari 2026 11:42

Dit dus. Ik heb vóórdat überhaupt Odido abonnement afsloot eind 2025, geregeld telefoontjes gekregen (en vaak niet eens op mijn eigen nr.).

Ik neem ook aantal jaar op met niks te zeggen, bij onbekende nummers op mijn privénummer. Soms wel lastig als ik op zakelijke nummer gebeld wordt, omdat ik dan wel standaard “klantenservice”-achtig groet en mogelijk een ai stem heb gekregen.

Goed gedaan @Nedje • 24 februari 2026 07:36

Dat is toeval. Ik krijg die telefoontjes een keer of 2 per maand al maanden lang. Of dat mijn google account gehacked is of iets anders doms.

Deze hack is geld waard, die gooien ze echt niet zomaar online, vind het erg naïef gedacht van je.

[Reactie gewijzigd door Goed gedaan op 24 februari 2026 07:37]

beschuitfluiter @Goed gedaan • 24 februari 2026 08:15

Ik krijg sinds de hack om de haverklap 2FA verzoeken op mijn mailaccount
bloed irritant

Naast tonnen spam

The_Greater @beschuitfluiter • 24 februari 2026 08:20

Dan betekend dat je wachtwoord hebt gerecyled voor meerdere sites.

@The_Greater • 24 februari 2026 08:56

Dat hoeft niet.
Bij Hotmail/Outlook kan je voor wachtwoordloos inloggen kiezen. Dan hoef je alleen je email in te voeren en krijg je een melding in de Microsoft Authenticator. Als je die goed beantwoord log je in.

Als iemand met een bot je email telkens invoert en je hebt de meldingen aanstaan op mobiel. Dan wordt je gek 🙃

Kan zijn dat @Goed gedaan daar last van heeft.

ZinloosGeweldig @ThunderBird. • 24 februari 2026 15:01

Dan zijn het geen 2FA verzoeken want is je authenticator je enige factor.

Tenzij je hetzelfde argument wil maken dat een snuggere servicedesk medewerker ooit tegen mij maakte "ja hoor we hebben 2FA, de ene factor is je gebruikersnaam en de andere je wachtwoord".

[Reactie gewijzigd door ZinloosGeweldig op 24 februari 2026 15:02]

@ZinloosGeweldig • 24 februari 2026 15:46

Gezien de comments boven je post lijkt het toch dat men dit ziet als 2FA

Al is het idd maar 1 factor, de authenticator app.

[Reactie gewijzigd door ThunderBird. op 24 februari 2026 15:47]

ZinloosGeweldig @ThunderBird. • 24 februari 2026 15:48

Ik zie niet in hoe comments boven mijn post laten zien dat men inloggen met alleen gebruikersnaam en authenticator als 2FA ziet?

@ZinloosGeweldig • 24 februari 2026 15:52

Dan lezen we het beide anders. Ik kan begrijpen dat men de authenticator app als 2FA methode ziet terwijl je ook met 1FA hiermee kan inloggen. Verwarring is dan snel gemaakt.

PaulHelper @ZinloosGeweldig • 25 februari 2026 14:09

Ik snap je idee en misschien geen volle 2FA maar toch wel dichtbij. Normaal heb je natuurlijk email+ww en dan nog 2FA code. Maargoed sommige bedrijven zijn van mening dat die wachtwoorden toch niet veel toevoegen en de 2FA genoeg is. En je moet wel degelijk of je telefoon volledig in handen hebben of gebruikersnaam + toegang tot 2FA/outlook cliënt om dan vervolgens het goede nummer aan te klikken binnen x seconden. Dat doe je niet 123. Een wachtwoord dat online is gekomen kun je natuurlijk zo invoeren dus qua dat betreft is het wel beter dan alleen wachtwoord maar slechter dan ww+2FA natuurlijk

ZinloosGeweldig @PaulHelper • 25 februari 2026 15:25

Maargoed sommige bedrijven zijn van mening dat die wachtwoorden toch niet veel toevoegen en de 2FA genoeg is.

Je kan vinden dat alleen de authenticator genoeg is, maar dat is geen 2FA. Ook niet "een beetje 2FA maar niet volledig". Het is vrij letterlijk 1FA. De authenticator is je enige factor.

beschuitfluiter @The_Greater • 24 februari 2026 08:27

toch niet

Caelorum @beschuitfluiter • 24 februari 2026 08:32

Als ze bij 2fa aankomen is iig je wachtwoord bekend, dus die zou ik wel veranderen.

CriticalHit_NL @Caelorum • 24 februari 2026 08:37

Niet altijd het geval, er zijn ook gevallen waarbij ze ondanks onjuiste gegevens om 2FA te vragen, om maar niet het idee te geven of de gegevens wel of niet correct zijn.

Shizukana08 @Caelorum • 24 februari 2026 08:49

tegenwoordig heb je soms toch geen wachtwoord meer nodig? dan als ze willen inloggen moet je direct aangeven en vaak via telefoon goedkeuren.

Bij hotmail / outlook op het web heb je bijvoorbeeld 3 manieren om in te loggen, via beveiligingssleutel (vaak bluetooth en een telefoon nodig waarop je al ingelogd bent), of aanmelden via mobiele app goedkeuren, of je wachtwoord gebruiken en zodra je ouderwets wachtwoord gebruiken kiest en je de juiste wachtwoord intypt zit er nog een twee stap verificatie op en moet het nog steeds via de app of phone goedgekeurd worden

.

Daarnaast krijg ik ook meldingen als iemand wil inloggen op mijn account buiten mijn normale gebied/regio. Dat is gelukkig al jaren weer geleden.

[Reactie gewijzigd door Shizukana08 op 24 februari 2026 08:50]

CH4OS @Caelorum • 24 februari 2026 08:56

Of de 2FA mail is gewoon physhing en dus niet echt? 2FA via mail zou ik mede daarom als niet veilig beschouwen.

Alfa1970 @Caelorum • 24 februari 2026 08:59

Deze e-mails worden vaak ook gefabriceerd zodat je op een linkje klikt waarbij je op een "fake" website terechtkomt die "onzichtbaar" een stukje "software" op je systeem zet zodat je systeem daarna deel uitmaakt van een bot net.

asing @beschuitfluiter • 24 februari 2026 08:43

Het kan zijn dat je een wachtwoord gebruikte wat iemand anders ook gebruikte. Dat laatste wachtwoord is dan buitgemaakt en nu doen ze een password stuffing attack met een lijst wachtwoorden. Ik heb het zelf ook een keer gehad. Direct het wachtwoord gewijzigd en de MFA requests stopten daarna.

Ik ben met @Caelorum : wijzig dat wachtwoord.

beschuitfluiter @asing • 24 februari 2026 11:08

reeds gewijzigd uiteraard

Dudwich @beschuitfluiter • 24 februari 2026 14:45

keylogger

@beschuitfluiter • 24 februari 2026 08:38

Apart. Ik krijg sinds het lek helemaal niets verdachts binnen. Zou de overlast per mailprovider verschillen?

Ik gebruik zelf Protonmail. Wat gebruik jij?

PaulHelper @Uruk-Hai • 25 februari 2026 14:15

Sowieso hoeft niet ieder email vooral getest te worden. Soms pak je de 'beste' eruit of waar je extern meer data van hebt. Verder heb ik sinds ongeveer 3 jaar enorm veel spam op Microsoft email account. Keer voor de grap handmatige filter (via automate?) gemaakt die vrij goed werkte maar limiet van 1000 items ofzo helaas en je kon niet een list in 1 filter gooien... Op een gegeven moment werd dit ofzo ook uitgezet door Microsoft maargoed.
Ik heb het over 20+ mails per dag in mijn spam. Opzich geen probleem tot er net iets te vaak normale mails in mijn spam komen en ik dus elke dag wel mijn spam moet bijwerken/deleten... Wel op een oud Microsoft adres die ik inmiddels eigenlijk zowat nergens meer gebruik dus ga die dan ook wegdoen binnenkort maar het feit dat je met vrij simpele filters die spam kan blocken maar ze het bij Microsoft niet doen is een beetje zielig vind ik.

Mogelijk heeft proton betere spam beveiliging en normaal gaan hackers voor het meeste zo makkelijk mogelijk. Ofwel outlook+google en dan misschien nog een paar andere maar die kun je het snelst globaal toepassen ipv oh die 0.001% heeft proton laten we die handmatig gaan proberen of daar weer een andere bot voor schrijven.

Jiskefet296 @beschuitfluiter • 24 februari 2026 10:04

Als dit bij een Microsoftaccount betreft, moet je een alias aanmaken en daarop gaan inloggen. Bij Microsoft kun je bij het inloggen direct kiezen voor 2FA en heb je alleen een mailadres nodig. Je moet zorgen dat je met een ander adres (je alias) gaat inloggen. Dat adres moet je dan nergens anders voor gebruiken.

Yucko @beschuitfluiter • 24 februari 2026 10:07

hier ook 2FA verzoek voor bv. TikTok waar ik niet eens een account heb (gehad)

MTVGN @beschuitfluiter • 24 februari 2026 11:49

Sinds de hack naar buiten kwam of eerder?

Bij mij begonnen de 2FA verzoeken voor mijn hotmail-account namelijk begin januari en pas nu ik jouw comment lees denk ik: dat zou best door de Odido hack kunnen komen. Heb het wachtwoord gewijzigd, maar dat hielp niet en het gebeurt bij mij net niet vaak genoeg (0 tot 3 keer per dag doorgaans) om verdere maatregelen te nemen.

kakanox @beschuitfluiter • 24 februari 2026 13:04

Ik krijg ze ook vaak van "hotmail". Waarom weet ik niet, want ik heb mijn wachtwoord sindsdien al tientallen keren gewijzigd (periodiek).

HenkEisDS @Nedje • 24 februari 2026 10:17

Ik snap dat je dit denkt, dat zou ik ook. Mensen zijn nu eenmaal geprogrammeerd om negatieve dingen beter op te merken dan positieve dingen en om gebeurtenissen aan elkaar te verbinden. Daarom denken mensen ook vaker in de langzame rij bij de supermarkt te stappen. Het is willekeurig, maar het lijkt een patroon.

Luoar @Nedje • 24 februari 2026 11:25

Hier hetzelfde, volgens mij sinds de dag nadat de hack bekend werd, heb ik dagelijks 3-4 spam calls gehad (en 50-100 extra spam mails). Al lijkt het nu al 3 dagen rustiger.
Voorheen kreeg ik maximaal 1x per maand een spam call.

Het zal vast toeval zijn, maar zo voelt het niet helemaal.

Edit: typefoutje

[Reactie gewijzigd door Luoar op 24 februari 2026 11:26]

Siemi @Nedje • 24 februari 2026 16:55

Ik heb voor Odido en Ben verschillende email adressen en ik heb op beide adressen de laatste weken geen spam ontvangen.

Privacy
Nederland
Odido

@Nedje • 24 februari 2026 09:13

Telefoon scams is kansloos simpel. Praktisch ieder nummer in de 06 reeks is namelijk in gebruik. Toets een willekeurig kloppend nummer in en de kans is groot dat je daadwerkelijk een persoon aan de lijn krijgt. 90% van alle 06 nummers is uitgegeven (54+ miljoen).

ZinloosGeweldig @supersnathan94 • 24 februari 2026 18:09

Telefoonnummers waarop iemand opneemt verkopen zul je niet veel mee verdienen nee.

Telefoonnummers gekoppeld aan een identiteit is een ander verhaal.

Het verschil tussen gebeld worden met "Je account is gehackt" en "Je account met e-mail adres <jou echte e-mail adres> en gegevens <andere persoonlijke gegevens> is gehackt"

Privacy
Nederland
Odido

@ZinloosGeweldig • 25 februari 2026 03:04

Ook daar. Veel van die combinaties zijn al lang bekend. Maar ook dan heb je nog het feit dat de meeste scams veel minder geavanceerd zijn dan dat.

Ik maak me er echt veel minder druk om dan ik eigenlijk zou moeten denk ik. Das nog wel het meest jammere van het verhaal denk ik.

Ablaze @supersnathan94 • 24 februari 2026 10:04

Tijd om telefoonnummers om te zetten naar uuids, en mensen de mogelijkheid te geven aliassen aan te maken die ze afzonderlijk kunnen blokkeren.

Goldwing1973 @Raymond Deen • 24 februari 2026 11:10

Of, je deelt je contact gegevens door (in het geval van 2 iPhones) je telefoons tegen elkaar aan te houden, of met Android via Quick Share.

lucatoni 24 februari 2026 07:33

Ook niet onbelangrijk, RTL nieuws meldt dat het gaat om 8 miljoen klanten, dat is fors hoger dan dat eerder door Odido is gepubliceerd.

DNA_Saint @lucatoni • 24 februari 2026 07:36

Het kan zijn dat ze de data van odido en ben samen bedoelen. Odido is totaal niet transparant hierover.

Morress @DNA_Saint • 24 februari 2026 08:07

Ben nóg minder :/

ToolBee @DNA_Saint • 24 februari 2026 14:10

Fijn, dan sta ik er dus 2 keer tussen...

ReVision. @lucatoni • 24 februari 2026 07:51

Het kan tevens zijn dat die 8 miljoen ook gegevens bevat van de mensen die geen klant meer zijn maar waarvan Odido wel de data heeft bewaard.

MAD_Sofia @ReVision. • 24 februari 2026 09:43

Ik ben al meer dan 2 jaar geen klant meer, pats boem alles op straat.. als ik zelf inlog bij Odido is niets van mijzelf in te zien

.

ict @MAD_Sofia • 25 februari 2026 11:55

laat het de hackers het daarom maar online zetten, zien we vanzelf of odido teveel van ons heeft opgeslagen

Bux666 @ReVision. • 24 februari 2026 12:03

Het kan tevens zijn dat die 8 miljoen ook gegevens bevat van de mensen die geen klant meer zijn maar waarvan Odido wel de data heeft bewaard.

Dat is een feit dat eerder al in het nieuws (ook hier) is geweest: Odido bewaarde gestolen gegevens veel langer dan beloofd.

@lucatoni • 24 februari 2026 08:03

Klanten of gebruikeraccounts? Ik heb in totaal acht keer de mail gekregen. Elk abonnement heeft/had een eigen mailadres. 1x van Ben, 7x van Odido waarvan 6x als oud-klant met de helft daarvan als oud-Tele2 en T-Mobile klant.

Verwijderd 24 februari 2026 07:48

Doe maar wel betalen... Iedereen hier die zegt dont negotiate with terrorists of het zijn criminelen... Vast maar deze combinatie van data publiek is bloed link.

Als je ziet waar data beland als het online komt en hoe makkelijk je op bijvoorbeeld mobiel nummer mensen volledig in kaart kan brengen tegenwoordig...

Ga eens voor de grap experimenteren met de eye of God bots op telegram dan ga je wel anders denken over publiek beschikbare info. En dat is nog maar kinderspel

[Reactie gewijzigd door Verwijderd op 24 februari 2026 08:41]

rteekens74 @Verwijderd • 24 februari 2026 07:55

Helaas is betalen geen zekerheid dat het niet alsnog wordt gepubliceerd. Dat maakt het lastig

Verwijderd @rteekens74 • 24 februari 2026 07:56

Wat wil je... Zekerheid of een kans.... publiceren na betalen en de club zal nooit meer 1 euro binnen harken.

[Reactie gewijzigd door Verwijderd op 24 februari 2026 16:47]

divvid @Verwijderd • 24 februari 2026 08:15

die 'club' bestaat helemaal niet, is alleen maar los verband van verschillende criminelen. Morgen noemen ze zich DullHackers en gaan gewoon weer door.

Verwijderd @divvid • 24 februari 2026 08:25

Dat is niet wat het verleden heeft laten zien. Het gaat om. Track record. Juist doen wat je zegt hier door te verwijderen is waarop je in de toekomst sneller betalingen zal krijgen. Nee hackers zijn niet achterlijk.

Malarky @Verwijderd • 24 februari 2026 09:15

Uiteraard verwijderen deze groepen de gegevens niet. Op een dag heffen ze zichzelf op om wat voor reden dan ook en de finale cash grab is dan het verkopen van alle gegevens van eerdere hacks. Reputatie doet er dan immers niet meer toe. Geld doet er altijd toe.

Ik zie echt geen enkele reden waarom hackers dit soort gegevens zouden verwijderen. Minimaal accounts van prominente politici of mensen uit het bedrijfsleven zullen worden verkocht door het hoge prijskaartje dat inlichtingendiensten bereid zijn daarvoor te betalen en die zullen toch nooit lekken dat ze “mede via Odido” een politici konden volgen.

Afkopen is hooguit een tijdelijke garantie voor niet prominente gebruikers.

[Reactie gewijzigd door Malarky op 24 februari 2026 09:15]

GreatDictator @Malarky • 24 februari 2026 09:43

Uiteraard verwijderen deze groepen de gegevens niet. Op een dag heffen ze zichzelf op om wat voor reden dan ook en de finale cash grab is dan het verkopen van alle gegevens van eerdere hacks. Reputatie doet er dan immers niet meer toe. Geld doet er altijd toe.

Over een paar jaar is die data natuurlijk wel een stuk minder waard. Mensen zijn dan verhuisd (ander adres), hebben een andere bankrekening, nieuw paspoort etc.

Donstil @divvid • 24 februari 2026 11:20

die 'club' bestaat helemaal niet, is alleen maar los verband van verschillende criminelen. Morgen noemen ze zich DullHackers en gaan gewoon weer door.

Nah dat betwijfel ik, zoals het artikel al aanhaalt zijn ze ook verantwoordelijk voor een reeks andere grote hacks onder dezelfde naam.

Eerdere slachtoffers van de groep waren onder meer SoundCloud, Ticketmaster en Pornhub.

Of het dan precies dezelfde hackers zijn doet er niet zo heel veel toe natuurlijk. Het gaat erom dat die hacks verbonden zijn aan de naam Shinyhunters.

divvid @Donstil • 24 februari 2026 11:24

dus:conclusie, een groep criminelen die 'onder dezelfde naam' iets doen. Het zijn geen clubs zoals een tennisvereniging ofzo, nul regels

Donstil @divvid • 24 februari 2026 11:35

dus:conclusie, een groep criminelen die 'onder dezelfde naam' iets doen. Het zijn geen clubs zoals een tennisvereniging ofzo, nul regels

Dat ze niet zo officieel zijn als een tennisvereniging lijkt mij niet zo relevant verder.

CH4OS @Verwijderd • 24 februari 2026 09:06

Het is dus altijd een kans, ook als je wél betaald. Waarom zouden ze het links laten liggen als men betaald zou hebben? Zou jij het geld wel links laten liggen?

Verwijderd @CH4OS • 24 februari 2026 09:13

Het is dus altijd een kans, ook als je wél betaald. Waarom zouden ze het links laten liggen als men betaald zou hebben? Zou jij het geld wel links laten liggen?

Uiteraard maar dit is de goedkoopste kans als je het per account berekend.

Straks mag je allerlei shady diensten veelvouden van bedragen gaan betalen om je gegevens uit de systemen te krijgen als Odido weigert te betalen.

En dan heb je nog niet eens alle locaties waar het als database zo publiekelijk beschikbaar blijft te pakken of profiling services die data beschikbaar stellen voor "onderzoekers"

CH4OS @Verwijderd • 24 februari 2026 09:32

Het punt is dus, dat omdat Odido betaald, de hackers het opeens niet naar een derde partij alsnog verkopen, dus kunnen zij jou alsnog een dergelijk bedrag laten betalen om jouw (persoonlijke) gegevens te (laten) verwijderen. Die zekerheid geven ze een partij als Odido niet, want dat haalt het verdienmodel onderuit.

Verwijderd @CH4OS • 24 februari 2026 09:35

Als Odido betaald dan komen de gegevens niet vrij. Dat is de deal. Betalen ze niet dan wordt de data downloadbaar. Daarna is het vrij te gebruiken voor een ieder waarna de data vogelvrij is.

CH4OS @Verwijderd • 24 februari 2026 09:38

Als Odido betaald dan komen de gegevens niet vrij. Dat is de deal.

Wie zegt dat? Vertrouw je criminelen? Dat is behoorlijk naïef. En daarnaast, wie garandeert dit? Diezelfde criminelen? Het punt is dus dat ook al zou Odido betalen, niemand de criminelen ervan weerhoudt het alsnog op het Darkweb te koop aan te bieden, omdat dergelijke lui niet te vertrouwen zijn en 2 keer geld vangen natuurlijk beter is dan 1 keer.

Anders gezegd: wat weerhoudt de criminelen ervan om de data alsnog op het Darkweb aan te bieden, wanneer het geld van Odido toch al binnen is? En wie houdt hen tegen om dat vervolgens bijvoorbeeld onder een andere naam te doen?

[Reactie gewijzigd door CH4OS op 24 februari 2026 09:42]

Verwijderd @CH4OS • 24 februari 2026 09:49

Zodra ze hun woord niet nakomen is het klaar voor die groep. Niet betalen is garantie dat je gegevens op straat liggen. Betalen is de enige kans om het te voorkomen.

CH4OS @Verwijderd • 24 februari 2026 09:59

Hoezo is het dan klaar voor de groep? Ze hebben toch al eerdere / andere hacks op hun naam gezet? Denk je dat die allemaal braaf betaald zijn?

En als het gedaan is met de groep, gaan ze toch wel onder een van de vele andere namen verder.

[Reactie gewijzigd door CH4OS op 24 februari 2026 09:59]

Verwijderd @CH4OS • 24 februari 2026 10:32

Je snapt het niet of wil het niet snappen... Als ze na betalen publiceren is hun geloofwaardigheid weg. Daarmee is de naam te schande.

Ook heb je door betalen een optie om de groep te achterhalen. Ok je zal door honderden duizenden micro transacties moeten werken van de mixers die gebruikt worden, maar elke cryptocurrency heeft een explorer/api op de chain en elke transactie is herleidbaar.

Ergens zal er uitbetaald worden. Mocht dat gebeuren is de groep wel traceerbaar uiteindelijk. Ok je bent geen zak verder daarmee omdat vaak autoriteiten van bepaalde landen niet mee werken of zo traag werken... Maar je creëert wel kansen.

CH4OS @Verwijderd • 24 februari 2026 11:33

Je snapt het niet of wil het niet snappen... Als ze na betalen publiceren is hun geloofwaardigheid weg. Daarmee is de naam te schande.

Oh, ik snap het heel goed. Wanneer men zoiets zou doen en de naam 'te schande' is, voor wie is dat dan daadwerkelijk een probleem? De groep gaat dan immers onder een andere naam verder en niemand die dat zomaar doorheeft.

Ook heb je door betalen een optie om de groep te achterhalen. Ok je zal door honderden duizenden micro transacties moeten werken van de mixers die gebruikt worden, maar elke cryptocurrency heeft een explorer/api op de chain en elke transactie is herleidbaar.

Elke transactie is herleidbaar inderdaad, maar daar houdt het dan ook wel op. Je kunt zien van welke wallet, naar welke wallet iets is gegaan, maar je kunt niet de persoon of entiteit achter die wallet zien.

Ergens zal er uitbetaald worden. Mocht dat gebeuren is de groep wel traceerbaar uiteindelijk. Ok je bent geen zak verder daarmee omdat vaak autoriteiten van bepaalde landen niet mee werken of zo traag werken... Maar je creëert wel kansen.

Als er betaald wordt in crypto (waar grote kans van is), dan is het niet 100% herleidbaar en net dat deel wat je ook wilt hebben, is bij crypto vaak dus niet te traceren. Maar dit is wel een stap verder dan het aanvankelijke punt of betalen wel of geen zin heeft, waar ik nog altijd niet van geloof dat het zin heeft.

Verwijderd @CH4OS • 24 februari 2026 12:22

Nee je snapt het niet. In 2014 met de cryptolockers ging betalen alleen over je eigen data waar je toch een backup van had.
Dat kon je negeren immers de data verliet je omgeving niet.

Maar dit zijn accurate gegevens van je klanten. Niet betalen is 100% zekerheid dat het op straat ligt.

Elk stuk wat die 100% potentieel kan verminderen is het waard. De gevolgen van een hack als deze zijn veel duurder voor de klanten.

CH4OS @Verwijderd • 24 februari 2026 12:45

Wat hebben cryptolockers met deze hack te maken?

Ik begrijp niet waarom dat er nu opeens bij gehaald wordt.

En mijn punt is dus, dat ook al betaal je wel, de kans dat de data alsnog naar buiten komt niet minder wordt, ook een dergelijke partij kan dan gewoon doen wat ze willen, het geld van de ene partij die (te) goedgelovig is hebben ze toch al. Je bent echt veel te naïef.

Verwijderd @CH4OS • 24 februari 2026 13:34

je wil het niet begrijpen he?

het gaat hier om waar de data zich bevind... als deze buiten de deur is... dan zal je moeten betalen om je klanten te beschermen, ook al is er maar 1% kans dat het niet lekt en de prijs is redelijk (wat hier absoluut zo is) dan gaat je wettelijke plicht boven je gevoel

CH4OS @Verwijderd • 24 februari 2026 14:04

Geen idee waar je vandaan haalt waar door mij bijvoorbeeld gezegd wordt waar de data staat. Het gaat mij erom, nu de hackers de data hebben, je er niet blind op vertrouwen kunt dat ook al betaal je wel, je geen garanties hebt dat dan de data niet verder verspreidt wordt door de hackers, waarvan ik denk dat jij dat dan weer niet begrijpt of niet begrijpen wilt. Men kan immers doen en laten met de data wat men wilt nu men de data heeft, waar zij die data hebben doet niet ter sprake: ze hebben er (ongeautoriseerd) nu wel de beschikking erover. Doordat men het heeft, kan men nu ermee doen en laten wat men wilt, ook als Odido wel betaald heeft.

Verwijderd @CH4OS • 24 februari 2026 14:12

het gaat niet om garanties het gaat om statistiek. niet betalen is 100% garantie dat je data op straat ligt. Elke procent die daar af gaat door te betalen (waarschijnlijk in dit geval 100% gezien de reputatie van deze groep) maakt het elke euro waard om dit te doen, ook zit je met de wet hier die waakt over de privacy van de klanten... niet betalen = wet geschonden = aansprakelijk

CH4OS @Verwijderd • 24 februari 2026 14:33

Dat de data op straat ligt, is al 100% een feit doordat een ongeautoriseerd proces of persoon toegang heeft gehad en een kopie heeft kunnen maken van de data.

De kans dat een dergelijke partij niet alsnog elders publiceert omdat het slachtoffer reeds betaald heeft veranderd daar ook nog eens niet door, want waarom zou men genoegen nemen met eenmalig geld vangen, als men meer kan vangen? Daarvan zei je dat men dat niet doet, omdat dat de naam 'te schande' brengt. Nu zie ik dat niet zo (als in: bewijst het zichzelf dat dergelijke partijen überhaupt niet te vertrouwen zijn), maar goed, in het geval dat het dan toch gebeurd (en die is ook niet onrealistisch): men gaat dan (voorlopig) toch onder een andere naam verder.

En als het dan al niet om garanties gaat, maar statistiek, waarom haal je dan in jouw tweede zin, jouw eerste zin direct onderuit?

Maar goed, dit zei ik in een eerdere reactie ook al, ik heb geen zin om rond te blijven circuleren.

Verwijderd @CH4OS • 24 februari 2026 14:39

En toch moet ik je weer corrigeren. De data ligt bij deze groepering op de plank. Het ligt nog niet (publiekelijk) op straat. het is nog niet openlijk gepubliceerd. dat is pas de volgende stap, wanneer er niet betaald wordt.

Deze partij is gezien het track record wel betrouwbaar en deze partij gaat echt dat track record niet opgeven voor Odido want JUIST dat track record maakt dat er eerder betaald wordt.

Zodra ze 1x toch publiceren terwijl er betaald is kost het miljoenen voor ze onder een nieuwe weer op dit niveau zijn qua reputatie.

CH4OS @Verwijderd • 24 februari 2026 14:48

Dat ze de data hebben is al kwalijk genoeg, daarom dat ik zeg dat doordat ze de data reeds hebben, het al gelekt is. Het chanteren van het slachtoffer is dan dus stap 2. Die stap is de eerste poging om er geld aan te verdienen, het daarna (alsnog) op het dark web zetten (want waarom zou je zulke gasten wel vertrouwen nadat er betaald is) is stap twee in het verdienmodel.

Een naam is alleen dat, een naam. De tools, kennis en middelen heeft men al, dus die hoeft niet opnieuw verzameld te worden en dat kost dan dus ook geen miljoenen. Het enige wat dan rest is de reputatie, maar die bouwt dan wel wat sneller op.

Verwijderd @CH4OS • 24 februari 2026 14:58

weet je wat grappig is trouwens?
al die mensen die hier hoog opgeven over principes en nooit betalen... het werkt niet meer zo, wat ik eerder al zei. Niet betalen is 100% garantie dat het op straat ligt.

ik heb een groot aantal van die databases van breachforums en andere lekken waar niet voor betaald wordt die vervolgens op diezelfde breachforums gedeeld worden hier in mijn analyzer draaien en de ironie is dat een aanzienlijk deel van de "experts" die hier nu het hardst roepen zelf met hun privé-mail, ip-logs en hashes in die dumps staan.

iedereen praat hier over security en niet belonen van criminelen maar de eigen opsec is al jaren lek als een mandje. al die figuren zijn precies het bewijs van wat ik zeg: het is allang handelswaar en zo moet je het behandelen. Betalen dus.

terwijl iedereen hier principieel zitten te wezen over die paar miljoen van odido, wordt jullie eigen profiel in
elk systeem met elke dump completer. die odido-data is straks gewoon de laatste puzzelstuk voor de de-anonimisering van een heel groot deel van de nederlanders.. maar blijf vooral roepen dat we niet moeten betalen, ik zie de data vanzelf wel verschijnen op de forums.

Gosat @Verwijderd • 24 februari 2026 16:10

De wet is al geschonden helaas, want een random iemand heeft al die gegevens in bezit.

Hieronymuski @rteekens74 • 24 februari 2026 08:08

Mwah, die zekerheid heb je wel redelijk hoor, hoe raar het ook klinkt.

Als het eenmaal bekend is dat een hackergroep van dit formaat de data niet verwijdert of niet publiceert na betaling, dan is het vrij snel klaar met ze want dan betaalt helemaal niemand meer.

En dit soort criminelen willen natuurlijk wel gewoon geld hebben.

Antipater @rteekens74 • 24 februari 2026 11:18

Deze hackersgroep heeft al eerder veel grotere diefstallen gepleegd. Ze hebben een reputatie. Dat is een vrij goede garantie dat betalen van losgeld wel degelijk helpt, zodra ze zich niet meer aan hun woord houden kunnen ze geen enkel losgeld meer vrij krijgen. Die reputatie is goud waard, dat gooien ze niet zomaar weg.

Ik snap de gedachte wel dat je geen losgeld zou moeten betalen. Aan de andere kant: hoe dan ook gaan deze criminelen proberen te verdienen aan de data. Losgeld is de makkelijkste manier, dan zijn ze er in 1 keer vanaf. En dan is Odido de klos. Als Odido niet betaalt, dan gaan ze de gegevens waarschijnlijk in bulk verkopen op het darkweb. En dan ben jij de klos...

Dus, wat heb je liever, dat Odido betaalt of dat je gegevens in handen van oplichters en fraudeurs terecht komen?

Het is duur leergeld voor Odido, hadden ze beter aan beveiliging kunnen uitgeven. Maar niet betalen betekent dat ze hun klanten laten betalen in de vorm van oplichting,stress, phishing. Dat verdwijnt niet wanneer criminelen helemaal geen losgeld meer kunnen krijgen. Ik denk zelfs dat voor de maatschappij als geheel losgeld nog de minst prijzige oplossing is.

[Reactie gewijzigd door Antipater op 24 februari 2026 11:18]

vlieger200 @Verwijderd • 24 februari 2026 08:02

De NCSC en eventueel de verzekering, (ja, bedrijven kunnen zich hier voor verzekeren) zullen mede adviseren/bepalen wat de stappen worden, dit is niet alleen aan Odido. Aan de hand van de mogelijke impact van de data zullen ze een afweging maken. Het standaard uitgangspunt is, beloon geen criminaliteit.

Daarnaast laat een gemiddeld persoon elke dag sporen online achter, ook uit al niet dan eerdere hacks. De de kans is al groot en reëel dat er van jou al een volledig profiel online is opgebouwd.

Verwijderd @vlieger200 • 24 februari 2026 08:06

Zodra de verzekeraar van mijn provider moet beoordelen hoeveel mijn gegevens mij waard zijn zonder mij daar in te betrekken.... Betaal die paar duppies per account gewoon en voorkom flinke claims

Als ze de optie geven... Voor een paar euro verwijderen we je gegevens maak ik het zo naar ze over.

Die paar duppies per account zijn een schijntje tov wat er werkelijk te halen is.

Odido moet gewoon haar verantwoordelijkheid nemen hierin

[Reactie gewijzigd door Verwijderd op 24 februari 2026 08:32]

vlieger200 @Verwijderd • 27 februari 2026 10:26

Als jij daadwerkelijk schade ondervind van de hack kun je Odido daar verantwoordelijk voor stellen en zullen ze de schade moeten vergoeden. Dit kan niet op voorhand. Daarnaast weet jezelf ook niet hoeveel van je gegevens en welke gegevens al op het dark web rond zweven.

Maar je doet nu net of ze heel veel met de gegevens kunnen doen, het enige waarvoor ze het kunnen gebruiken is phishing en als je zelf een beetje oplet, en dat is wat je van de gebruikers op het internet tegenwoordig mag verwachten gebeurd er vrij weinig.

Ik heb voor elk bedrijf/domein een aparte e-mail adres, het was voor mij heel simpel om het e-mail adres bij Odido te wijzigen en vervolgens kunnen alle phishing rechtstreeks de spambox in die naar het email adres gestuurd werden die nu gelekt is.

Verwijderd @vlieger200 • 27 februari 2026 10:38

Om dat te kunnen heb je exact nodig wat deze dataset heeft aangevuld aan de al beschikbare data uit andere lekken. Geen enkele dienst geeft zoveel. Weten dat je er in staat via haveibeenpowned is onvoldoende. Alleen de ruwe records zijn relevant hier. Alleen met downloaden kan je dat veilig stellen.

vlieger200 @Verwijderd • 27 februari 2026 10:52

Het gaat niet alleen om deze hackt, maar in de tientallen jaren ervoor ook al. Odido is echt niet het eerste bedrijf dat gehackt is en ook zeker niet het grootste bedrijf, dus we kunnen nu wel heel spastich doen over deze hack maar de kans is groot dat je data die nu buitgemaakt is al voor een groot deel op het dark web te vinden is.

Verwijderd @vlieger200 • 27 februari 2026 10:54

En daarom is het noodzakelijk dat je de GEHELE bewijslast van deze hack hebt. Want precies jouw argument komt Odido mee weg in de rechtszaal.

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@Verwijderd • 27 februari 2026 11:05

Om dat te kunnen heb je exact nodig wat deze dataset heeft aangevuld aan de al beschikbare data uit andere lekken.

Kortom, je zal dus alle datasets uit alle lekken waar je mogelijk in voorkomt moeten downloaden en veiligstellen in jouw idee? Dat lijkt mij op zijn minst buitenproportioneel en voor een doorsnede persoon ondoenbaar (nog los van het punt dat leaks waar je in zit soms helemaal niet zomaar te downloaden zijn).

Verwijderd @Bor • 27 februari 2026 11:13

Forensisch gezien: ja

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@Verwijderd • 27 februari 2026 11:15

Vanuit forensische waarde heb je misschien een punt maar dit is voor een normale consument / burger toch helemaal niet te doen en / of proportioneel? Niet iedereen is een forensisch specialist / onderzoeker / journalist etc.

Verwijderd @Bor • 27 februari 2026 11:18

En daar zit precies de nuance want odido geeft je het niet op verzoek. Dat is waarom wat Arnoud zegt niet klopt. Je kan het alleen zelf downloaden om het vast te kunnen stellen. En daarmee is het art 40 sr.

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@Verwijderd • 27 februari 2026 11:22

Daarmee vind jij art 40 sr van toepassing. Daar ligt volgens mij de nuance. Ik weet niet of je je hier namelijk op overmacht / gedwongen gedrag als rechtvaardiging kan beroepen in alle gevallen. Want hoe ben je nu daadwerkelijk gedwongen als doorsnede gebruiker? Is de actie om alle gegevens te downloaden proportioneel (imho zeker niet in alle gevallen) en zijn er geen alternatieven (media , haveibeenpwnd etc)?

Verwijderd @Bor • 27 februari 2026 11:46

Nee bij wet is art 40 sr leidend hier. Ik vind dat niet. Het is het comulatief

Martinspire @Verwijderd • 24 februari 2026 10:40

Mja het is mij nog niet helemaal duidelijk welke informatie ze nu hebben, want het lijkt dat het hier om meer gaat dan waar Odido in eerste instantie mee kwam. Als mijn legitimatie is gecompromitteerd, dan denk ik dat ik een nieuwe ga aanvragen.

Wat mij verder doet denken dat het wellicht handig is als de overheid een korter geldig legitimatiebewijs zou kunnen uitbrengen die je vooral gebruikt om online je identiteit te verifiëren en voor zaken waar je de boel niet helemaal vertrouwt (qua beveiliging). Zo ben je minder lang kwetsbaar, indien er toch wat uitlekt.

Verwijderd @Martinspire • 24 februari 2026 19:28

Het gaat niet om de exacte data het gaat om wat het aan de al gelekte bestaande data in osint databases toevoegt. Als het nieuwere gegevens zijn kan je oudere ermee verifiëren, ook kan je uitbreidingen op bestaande data gebruiken om de profielen te verbeteren, maar ook om links te leggen naar minder complete lekken.

Het totaalplaatje zeg maar. Hoe meer bronnen hoe zuiverder en verifieerbaarder het profiel van de persoon die je zoekt, en daarmee kan je veel schade aanrichten

DNA_Saint 24 februari 2026 07:39

Ik ben nu zeer benieuwd wat odido gaat doen. Tot nu toe zijn ze zeer karig geweest qua communicatie. Ze zijn vast wel intern druk bezig om alles op de rit te krijgen, maar wij als klanten merken daar bar weinig van.
Gaan ze nu betalen zodat onze data niet wordt gepubliceerd? Of gaan ze de "wij onderhandelen niet met criminelen" kaart spelen?

Ulysses @DNA_Saint • 24 februari 2026 07:47

Dat is geen 'kaart' dat is je enige werkbare lange termijn strategie. Anders word je een speelbal van dit soort tuig. Dus als ik de baas was daar wist ik het wel en zou ik ze zeggen dat Odido niet verantwoordelijk is voor de daden van criminelen en dat geen enkel bedrag dit ook kan verhinderen. Tot ziens en succes in de cel waar zij ongetwijfeld gaan belanden.

downtime @Ulysses • 24 februari 2026 08:41

Ja, vooral lekker principieel zijn over de rug van je eigen klanten. Je hebt ze al een keer belazerd, geef ze nog een trap na door op hun kosten de moraalridder uit te hangen.

Ulysses @downtime • 24 februari 2026 08:44

Al gaf je ze meteen een miljard, voorkomt het niets. Pure logica. Geen emotionele overwegingen zoals jij die ziet dus. Daarnaast moeten klanten die niet zijn weggelopen nu die rekening betalen. Dus dat is fair?

Senaxx @Ulysses • 24 februari 2026 10:03

Deze groepen vallen en staan met hun reputatie. Uit eerdere hacks is al gebleken dat als er betaald wordt de gegevens niet gelekt worden of de ransomware decryptie sleutel vertrekt wordt.

Als Odido nog enige goodwill bij de klanten wil hebben gaat ze dat geld veel kosten. Zij hebben hun shit niet voor elkaar gehad en waarschijnlijk meerdere bewaartermijnen overschreden, anders had de dataset een stuk beperkter geweest. Ze kunnen niet verwachten 21 miljoen records te lekken met zeer gevoelige informatie en daar zelf geen financiële schade van te ondervinden.

Als de gegevens dan alsnog gelekt worden kan Odido in ieder geval aangeven "we hebben het geprobeerd" en zijn ze minder de boeman dan nu. Want als ze niet betalen wordt het toch afgeschilderd als dat Odido niets om hun klanten geeft.

@Senaxx • 28 februari 2026 13:52

Uit eerder hacks is gebleken dat er niet naar het grote publiek gelekt wordt. Dat de gegevens alsnog gewoon verhandelt worden op het dark web heeft niemand het over.

Losgeld is een false flag operatie en is voor dit soort partijen een grappige bijvangst. Het echte geld zit aan de andere kant van de gemeenschap en dit is een absolute goudmijn.

Of Odido wel of niet betaald is deze partij echt een rotzorg. Het geld is al lang binnen via andere wegen. Het maakt dus ook geen drol uit, noch voor het idee of ze door zullen gaan, noch voor de inkomsten van deze partij. En het wordt tijd dat Odido en de politie het ook zo brengen zodat voor iedereen duidelijk is dat hier niemand in de steek gelaten wordt. Althans niet wat losgeld betreft...

Naafkap @Ulysses • 24 februari 2026 07:50

Odido heeft wel een verantwoordelijkheid voor haar klanten. Gewoon maar niet betalen en doen alsof je niet verantwoordelijk bent is gewoon niet juist en naïef en zeer schadelijk voor je klanten.

En ongetwijfeld in de cel belanden van de daders? Dat is een wel heel naïeve gedachte.

drakiesoft @dbs1 • 24 februari 2026 08:31

De eerste wappie is ook alweer van slag.
Ik zou me vooral zorgen maken om AI, dat is het echte gevaar. Spoofen/hacken wordt kinderspel en je baan wordt ook nog eens ingepikt. Kwestie van tijd voordat boze burgers demonstreren bij de eerste de beste en dan zwaarbeveiligde AI datacenter.

Morress @DNA_Saint • 24 februari 2026 08:06

Ben is NOG kariger geweest met info. 1x een mail.

HoppyF @Morress • 24 februari 2026 09:15

Zelfs dat niet.
Als oud Ben klant heb ik 1x een SMS ontvangen.

BiG-GuY Moderator Wonen & Mobiliteit 24 februari 2026 07:38

Voor zover bij mij bekend. Bestaat het wachtwoord wat beschreven wordt niet voor mij. Nergens in mijn Odido account kan ik een wachtwoord instellen om telefonisch wijzigingen door te voeren.

Heb het afgelopen jaar nog telefonische wijzigingen doorgevoerd en dat kon aan de hand van de controle van de gegevens die wel in het lek zouden zitten...

vrow @BiG-GuY • 24 februari 2026 07:46

Dat is ook meteen het probleem. Als iemand echt wil, krijgen ze al jouw data wel bij elkaar maar de combi geboortedatum, rekeningnummer en eventueel paspoortnummer is op ‘normale’ wijze toch lastig te verzamelen.

Nu zitten al deze gegevens netjes bij elkaar, en kunnen ze dus elk bedrijf bellen en doen alsof ze jou zijn want de controlevragen bestaan altijd uit een combi van deze gegevens.

Ring bijvoorbeeld doet dat beter, als je hen belt dan kun je inderdaad een code uit de app doorgeven of ze mailen je een code. Ook dat is in theorie te hacken natuurlijk, maar toch al een heel stuk veiliger.

BiG-GuY Moderator Wonen & Mobiliteit @vrow • 24 februari 2026 07:55

MFA is wel sinds ergene vorig jaar verplicht, maar die wordt enkel gecheckt bij online en in de app inloggen en bij wijzigingen. Maar telefonisch kan je inderdaad met alles aan de haal.

Moet mijn bank nog bellen of ik op een makkelijke manier mijn bankrekening nummers kan veranderen, want dan kan je met de overige data niet veel, want bij IBAN controle faalt het dan. Wel veel gekut, want ben afgelopen jaar juist weggegaan bij Bunq door gedoe bij die bank.

Eventuele Automatische Incasso's worden sowieso aangekondigd bij ASN en kan ik weigeren als ik het niet ken. En ontvang notificaties bij transacties.

[Reactie gewijzigd door BiG-GuY op 24 februari 2026 08:52]

AnonymousGerbil

@BiG-GuY • 24 februari 2026 08:15

Eventuele Automatische Incasso's worden sowieso aangekondigd bij ASN en kan ik weigeren als ik het niet ken.

Je kan het bij de asn zelfs omdraaien door de incasso's standaard te laten weigeren met een aparte goedkeuringslijst voor als je het wél kent.

Heerlijk.

evilhomer87 @BiG-GuY • 24 februari 2026 08:10

Mogelijk is het een combinatie van postcode/geboortedatum

1234ab01011998

Zo kan een medewerker de controle vraag snel doen. Ik weet ook niets van een wachtwoord.

Ik hoop trouwens wel dat ze betalen, het minste wat ze kunnen doen voor de gedupeerden.

Blijft dat het lekken op deze manier nooit had gehoeven als de systemen op orde waren. Hoe kan een medewerker gewoon bij alle records.. geen limiet. Zo overbodig en slecht.

Brainfaal @BiG-GuY • 24 februari 2026 10:40

Dit moet je, helaas, ook telefonisch doen. Dan zetten ze een 'wachtwoord' of wachtwoordzin op je klantkaart die ze naast de algemene persoonscheck ook moeten vragen. Kun je het wachtwoord of de wachtwoordzin niet doorgeven mogen ze je niet verder helpen (behalve met algemene info)

redniels 24 februari 2026 08:36

Heads up: Er zijn absoluut ook wachtwoorden gestolen. Odido zwetst.

Hoe ik dat weet? Direct na de odido hack zijn er diverse inlogpogingen gedaan op geabonneerde diensten waar ik dezelfde naam/wachtwoord combinatie had. (Ja, ja: ik weet het.) Gelukkig heb ik op alles 2fa aan staan.

Het grootste probleem zijn de gelekte iban nummers. Daar maak ik mij het meest zorgen om.

Gosat @redniels • 24 februari 2026 09:08

Heads up: Er zijn absoluut ook wachtwoorden gestolen. Odido zwetst.

Hoe ik dat weet? Direct na de odido hack zijn er diverse inlogpogingen gedaan op geabonneerde diensten waar ik dezelfde naam/wachtwoord combinatie had. (Ja, ja: ik weet het.) Gelukkig heb ik op alles 2fa aan staan.

Het grootste probleem zijn de gelekte iban nummers. Daar maak ik mij het meest zorgen om.

De data lijkt nog niet gepubliceerd te zijn, dus het lijkt me sterk dat het vanuit de hack van Odido komt. Je weet niet de bron, tenzij je een specifiek e-mailadres gebruikt voor Odido.

ZinloosGeweldig @redniels • 24 februari 2026 15:08

Woorden als "absoluut" dienen over het algemeen voor een bewezen causaal verband, niet voor een correlerende gebeurtenis die het vermoeden van een verband opwekken.

redniels @ZinloosGeweldig • 24 februari 2026 21:02

Ik kan al even tellen en 1+1= toch echt 2.

Odido lek, dag later: Apple, Netflix Disney+:

probeert U in te loggen vanuit NY state?

Neuh.

Maar sure, er is geen "causaal" verband.

doeka @redniels • 24 februari 2026 09:05

Blijkbaar ook paspoort nummers

michel130 @doeka • 24 februari 2026 09:38

Die begrijp ik ook niet, je krijgt een email van Odido ze hebben geen paspoort gegevens etc.. maar wie moet je nu geloven.
Ik vind het zo wie zo gek dat wij als nederlanders overal de bsn nummers hebben staan want in geen enkel land is dat. Daarbij zijn we als nederlanders heel slecht beschermd tegen criminelen en onze gegevens want ze kunnen zo iets openen of kopen omdat ze teveel gegevens hebben van ons bij alle instantie etc.

Cihan1988 24 februari 2026 08:02

Als ik Odido was zou ik het bedrag direct over maken. Want dit is gewoon hun fout. En door de betalen laat je zien dat je je klanten toch meer ellende wilt besparen.

dutchgio @Cihan1988 • 24 februari 2026 09:26

Tja anderzijds steun je dan criminaliteit, dat kun je ook niet goed praten.

Sluuut @Cihan1988 • 24 februari 2026 09:51

Als ik Odido was, zou ik dat zeker niet doen. Je houdt namelijk crimineel gedrag in stand. Als je hen hiermee beloont, zullen ze meer middelen inzetten voor toekomstige hacks.

Daarnaast biedt betalen geen enkele garantie dat de data niet alsnog wordt doorverkocht om nog meer geld binnen te halen. De kans dat je gegevens alsnog worden gelekt en misbruikt, is dus groot.

ethrellik @Sluuut • 24 februari 2026 12:33

De kans dat de gegevens alsnog gelekt worden, bestaat altijd... maar niets doen betekent gegarandeerd dat ze publiekelijk beschikbaar komen. Voor Odido, met een omzet van 2,3 miljard euro in 2024, is een bedrag van één miljoen euro relatief beperkt. Het betalen zou bovendien een duidelijk signaal zijn: Odido neemt haar verantwoordelijkheid serieus en doet alles om verdere schade aan klanten te voorkomen.

Annihlator @Sluuut • 24 februari 2026 12:36

Ik geef je geen ongelijk, maar klaarblijkelijk willen sommige bedrijven niet afdoende investeren in preventie, zélfs wanneer er een reëel risico is, en de enige manier dat dit uitkomt is door zo'n hack...

Dat is zegmaar het enige punt waarop ik "blij" ben dat het gebeurt is.

En allerpijnlijkst: de communicatie vanuit Odido geeft mij tot zover alles-behalve vertrouwen in de zaak.

CrocoDuck 24 februari 2026 07:49

Met meer dan 6.000.000 klanten is dat eenmalig een kleine 17ct per klant. Goedkope afkoopsom, alhoewel ik onderhandelen met criminelen afkeur. Ook mijn gegevens zitter er tussen.

@CrocoDuck • 24 februari 2026 08:07

Mijn gegevens ook, maar niet betalen lijkt mij beter. Dan werk je ook niet mee met het in stand houden van het netwerk. Inmiddels is er al heel wat tijd geweest om voorzorgsmaatregelen te treffen.

lucatoni @donkerlicht • 24 februari 2026 08:40

Het is wel een fabel dat niet betalen ervoor zorgt dat dit soort hacks afnemen. Die mensen blijven doorgaan met hacken. De enige juiste oplossing is investeren in Cyber. Laten we hopen dat de concurrenten van Odido hier direct mee aan de slag gaan. Want of je wel of niet betaald, wanneer je systemen vulnarable zijn wordt je uiteindelijk toch slachtoffer.

Martymarty @lucatoni • 24 februari 2026 09:13

Idd beter.
Anders is het hetzelfde om te zeggen dat je niet je telefoon/portemonnee afgeeft als je onder schot wordt gehouden. Want anders help je dit soort criminaliteit in stand te houden. Extremer voorbeeld, maar wel om het duidelijk te maken.
You win some, you lose some..

@Martymarty • 24 februari 2026 11:27

Slechte vergelijking. Hier heb je al ruim een week de tijd gehad om tegenmaatregelen te treffen. Bij een straatroof logischerwijs niet, dan is het gevaar er direct.

Martymarty @donkerlicht • 24 februari 2026 13:03

Hoe zie je dat voor je?
Tegenmaatregelen, mooi scrabble woord btw.

@Martymarty • 24 februari 2026 13:25

Alerter zijn op phishingpogingen en ik heb direct een nieuw telefoonnummer en bankrekening aangevraagd. Mailadressen en wachtwoorden zijn veranderd op de accounts waarvan ik een mail ontving. Dan kunnen ze daar ook niets meer mee. Verder een nieuw paspoort aangevraagd waardoor nummer en verloopdatum niet meer gebruikt kunnen worden. Dus ook al lekt het uit, de combinatie van gegevens klopt niet meer.

[Reactie gewijzigd door donkerlicht op 24 februari 2026 18:00]

CrocoDuck @lucatoni • 24 februari 2026 11:50

Er is geen fabel. Door te betalen is er meer incentive om wel te hacken. Het is een kwestie van “wat levert het me meer op”. Proberen Odido chanteren of direct verkopen op de criminelen markt. Geen idee wat ze daar over hebben voor deze buit gemaakte dataset. Maar mijn gevoel zegt dat ze er op die markt minder voor krijgen.

Ze publiceren die apersing om via social media en nieuws een betere onderhandelingspositie te krijgen. Niet uit eer gevoel of whatever.

HollowGamer 24 februari 2026 08:28

Wait? Staat daar nu wachtwoorden in plain text? Dat anno 2026 bedrijven dit nog doen is bizar. Je kunt hier andere oplossingen voor gebruiken, laat staan waarom je überhaupt moet inloggen op iemand anders zijn account.

Ik heb het ook bij mijn sportschool gezien, die zei vrolijk wat mijn wachtwoord was, echt wie verzint dit. Odido kan toch betere programmeurs betalen lijkt me?

[Reactie gewijzigd door HollowGamer op 24 februari 2026 08:29]

Verwijderd @HollowGamer • 24 februari 2026 08:35

Lost in translation. Het lijkt te gaan om verificatiewoorden.

Volgens de woordvoerder zijn de 'wachtwoorden' die de criminelen zeggen te hebben, hoogstens identificatiemiddelen zoals een controlevraag: "Om jezelf te identificeren wanneer je als klant met Odido belt, hebben sommige klanten een verificatiewoord."

HollowGamer @Verwijderd • 24 februari 2026 08:36

Ah dat verandert het wel, al kun je die nu overal wel gaan resetten.

_Bailey_ @HollowGamer • 24 februari 2026 08:36

Odidio kán prima betere betalen. Maar waarom zouden ze? die kosten alleen maar extra geld.
Dit is prima zo volgens Odido, wachtwoorden in plain txt. Veiligheid is iets van de 17e eeuw bij die club.

Om te kunnen reageren moet je ingelogd zijn