Hackers zetten eerste batch met gestolen Odido-data online - update

De ransomwarebende Shinyhunters heeft gegevens van Odido-klanten online gezet. Het gaat om een relatief beperkte batch, die desondanks 9GB aan data bevat, met 1 miljoen records van klanten. De groep zegt dat Odido niet heeft onderhandeld.

Op de darkwebsite van Shinyhunters is inmiddels een eerste batch te downloaden met records van klanten van de provider, die eerder deze maand werd gehackt. "Odido heeft de verkeerde keuze gemaakt, op iedere mogelijke manier", zeggen de criminelen. "We hebben jullie de kans gegeven dit stil en binnen een paar dagen op te lossen, maar in plaats daarvan kozen jullie ervoor om te vertragen."

De bende heeft een beperkte batch online gezet. Het gaat om een txt-bestand van 9,34GB dat gecomprimeerd is naar 264MB. Dat bestand bevat 1 miljoen records. Dat is slechts een fractie van de gegevens die zijn gestolen; Shinyhunters heeft het zelf over in totaal 21 miljoen records. Voortaan publiceert de groep dagelijks 1 miljoen nieuwe records, tenzij Odido betaalt, zeggen de hackers.

Odido werd eerder deze maand gehackt, maar heeft nog niet gezegd of het onderhandelt met de criminelen. Odido moest de afgelopen week nog rectificeren welke data er was gestolen. De NOS ontdekte dat er onder andere gevoelige data over klanten met problemen was buitgemaakt, waarvan de provider aanvankelijk zelf niets wist.

Odido bevestigt in een update dat het geen losgeld aan de hackers heeft betaald. "Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren. We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen."

Update, 12.06 uur – Reactie van Odido toegevoegd.

Odido Shinyhunters

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 26-02-2026 11:43
581 • submitter: RobinNL

26-02-2026 • 11:43

581

Submitter: RobinNL

Lees meer

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
Oplichtwebsite over Odido-datalek is niet meer bereikbaar
Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Beveiliging en antivirus Odido

Reacties (581)

-Moderatie-faq
581
568
219
27
5
282
Wijzig sortering

Sorteer op:

Weergave:
roawser 26 februari 2026 12:46
Hier de 257 velden die in de vrijgegeven files zitten.

AANVULLING:

Ten eerste, ik ga niet in op vragen als 'waar staat dit' en 'kun je mij een kopietje sturen'. Ik heb de data zelf niet eens.

Ten tweede, wie denkt dat het een excelletje is die is bijzonder naief. Shinyhunters zegt 21 miljoen records te hebben, en heeft er vandaag een klein deel van gepubliceerd. Vanuit professioneel oogpunt weet ik dat zulke bestanden makkelijk tientallen gigabytes groot kunnen zijn. Die open je niet zomaar even op je laptopje of telefoon.

Zinloos dus om dergelijke vragen hier te posten, ga buiten spelen.
  • Id
  • IsDeleted
  • MasterRecordId
  • Name
  • Type
  • RecordTypeId
  • ParentId
  • BillingStreet
  • BillingCity
  • BillingState
  • BillingPostalCode
  • BillingCountry
  • BillingGeocodeAccuracy
  • ShippingStreet
  • ShippingCity
  • ShippingState
  • ShippingPostalCode
  • ShippingCountry
  • ShippingGeocodeAccuracy
  • Phone
  • Fax
  • AccountNumber
  • Website
  • PhotoUrl
  • Industry
  • AnnualRevenue
  • NumberOfEmployees
  • Description
  • Rating
  • OwnerId
  • CreatedDate
  • CreatedById
  • LastModifiedDate
  • LastModifiedById
  • SystemModstamp
  • LastActivityDate
  • LastViewedDate
  • LastReferencedDate
  • IsActive
  • SourceSystemIdentifier
  • IsPartner
  • IsCustomerPortal
  • ChannelProgramName
  • ChannelProgramLevelName
  • Jigsaw
  • JigsawCompanyId
  • AccountSource
  • SicDesc
  • ConnectionReceivedId
  • ConnectionSentId
  • IsPriorityRecord
  • vlocity_cmt__AccountPaymentType__c
  • vlocity_cmt__AutoPaymentAmount__c
  • vlocity_cmt__AutoPaymentCardType__c
  • vlocity_cmt__AutoPaymentMethodId__c
  • vlocity_cmt__BillDeliveryMethod__c
  • vlocity_cmt__BillFrequency__c
  • vlocity_cmt__BillingEmailAddress__c
  • vlocity_cmt__CLTV__c
  • vlocity_cmt__Churn__c
  • vlocity_cmt__ContactPreferences__c
  • vlocity_cmt__DateFounded__c
  • vlocity_cmt__DirectoryListed__c
  • vlocity_cmt__Disclosure1__c
  • vlocity_cmt__Disclosure2__c
  • vlocity_cmt__Disclosure3__c
  • vlocity_cmt__EnableAutopay__c
  • vlocity_cmt__IsPersonAccount__c
  • vlocity_cmt__IsRootResolved__c
  • vlocity_cmt__LegalForm__c
  • vlocity_cmt__NetWorth__c
  • vlocity_cmt__NumberofLocations__c
  • vlocity_cmt__PartyId__c
  • vlocity_cmt__PersonContactId__c
  • vlocity_cmt__PremisesId__c
  • vlocity_cmt__PrimaryContactId__c
  • vlocity_cmt__RootAccountId__c
  • vlocity_cmt__SLA__c
  • vlocity_cmt__Status__c
  • vlocity_cmt__TaxID__c
  • vlocity_cmt__vCustomerPriority__c
  • vlocity_cmt__vSLAExpirationDate__c
  • vlocity_cmt__vSLASerialNumber__c
  • vlocity_cmt__vSLA__c
  • Account_Relationship_Owner__c
  • Account_Salesforce_ID__c
  • Chamber_Of_Commerce_Number__c
  • Customer_Code_Legacy_System__c
  • Is_B2B_Account__c
  • House_Number_Extension__c
  • House_Number__c
  • Main_Address__c
  • Number_Of_Employees_Range__c
  • Password__c
  • Segment__c
  • Sizo_Key__c
  • Tax_ID__c
  • Billing_Address__c
  • PO_Box_Number__c
  • PO_Box__c
  • Service_Aggregator_ID__c
  • Trade_Name__c
  • Billing_Line_2__c
  • AccountRecordTypeFormula__c
  • Business_Segment__c
  • Flash_Message__c
  • NumberOfVoiceSubscription__c
  • UserProfile__c
  • LID__LinkedIn_Company_Id__c
  • Ident_prep_flag__c
  • UserRole__c
  • SObjectLog__c
  • CorrelationID__c
  • Sales_Channel__c
  • Financial_Subscriptions__c
  • VIP_Customer__c
  • Data_Subscriptions__c
  • Total_Subscriptions__c
  • PowerTeamName__c
  • Siebel_Customer_ID__c
  • LastNCRefreshTimestamp__c
  • Bank_Account_Holder_Name__c
  • Bank_Account_Number__c
  • Paper_Invoice__c
  • Payment_Method__c
  • Payment_Terms__c
  • Subscriber_statement__c
  • Sum_Sheet__c
  • VAT_Statement__c
  • Payment_responsible__c
  • VAT_On_Invoice__c
  • Account_shielding__c
  • Chamber_Of_Commerce_Formula__c
  • City__c
  • CountryCode__c
  • Num_Active_Assets__c
  • Num_of_Active_Child_Accounts__c
  • Num_of_Child_Accounts__c
  • Power_Team_Name__c
  • Paper_Invoice_Charge__c
  • ParentAccuntName__c
  • Parent_Account_Type__c
  • Postal_Code__c
  • ResBus__c
  • Send_Outbound_Message__c
  • Street_Address__c
  • AccountManager_ReadOnly__c
  • Bank_Details_Check__c
  • Bill_Day__c
  • Branche_ReadOnly__c
  • CurrentHeirarchyLevel__c
  • Customer_Level__c
  • Divert_Code__c
  • HasInvoiceContact__c
  • HasInvoiceNotification__c
  • Invoice_Charge_Indicator__c
  • Invoice_Charge__c
  • ExpenseManagementIsActive__c
  • Partner_ReadOnly__c
  • Payment_Method_Check__c
  • Publication_Method_Indicator__c
  • ReportingGroup_ReadOnly__c
  • SalesDepartment_ReadOnly__c
  • SalesTeam_ReadOnly__c
  • SegmentOverwrite_ReadOnly__c
  • Segment_ReadOnly__c
  • Total_Data_Voice_Subscriptions__c
  • Unbilled_Airtime__c
  • External_Reference_Number__c
  • Brand_Type__c
  • Customer_Brand_Type__c
  • ExpenseManagement_ReadOnly__c
  • vlocity_cmt__AutoPaymentLimitAmount__c
  • vlocity_cmt__BillCycle__c
  • vlocity_cmt__BillFormat__c
  • vlocity_cmt__BillNumberOfCopies__c
  • vlocity_cmt__CreditRating__c
  • vlocity_cmt__CreditScore__c
  • vlocity_cmt__CustomerClass__c
  • vlocity_cmt__CustomerOfBrand__c
  • vlocity_cmt__Juridsiction1__c
  • vlocity_cmt__Jurisdiction2__c
  • vlocity_cmt__PreferredLanguage__c
  • vlocity_cmt__PrepayReloadThreshold__c
  • vlocity_cmt__TaxExemptionEndDate__c
  • vlocity_cmt__TaxExemptionPercentage__c
  • vlocity_cmt__TaxExemptionStartDate__c
  • vlocity_cmt__TaxExemptionType__c
  • KvK_Number__c
  • Num_of_Assets_LifeCycle__c
  • Num_of_Non_Inactive_Assets_LifeCycle__c
  • Last_Opportunity_Close_Date__c
  • Num_Of_Open_Opportunities__c
  • Password_Flag__c
  • Activation_Date__c
  • Business_Type__c
  • Contract_Sign_Date__c
  • Customer_Type__c
  • Room__c
  • Brand_logo__c
  • Max_Network_auth_Setting__c
  • Part_of_invoice_in_MTM__c
  • vlocity_cmt__BillingAccountStatus__c
  • vlocity_cmt__CustomerSinceDate__c
  • vlocity_cmt__FraudReason__c
  • vlocity_cmt__HasFraud__c
  • Customer_Classification__c
  • Service_Manager__c
  • Pilot_Status__c
  • Distributor__c
  • Partner_Manager_ReadOnly__c
  • Partner_Manager__c
  • Power_Team_ReadOnly__c
  • Power_Team_Tele_Name__c
  • Sales_Team_ReadOnly_Tele2__c
  • Pilot__c
  • sales_team_tele2__c
  • Cluster_Account__c
  • VispBillCycle__c
  • vlocity_cmt__CustomerPriority__c
  • vlocity_cmt__UpsellOpportunity__c
  • Operational_Partner_Manager__c
  • Partner_Type__c
  • Segment_Indicator__c
  • Block_Status__c
  • Dealer_Code__c
  • Password_Formula__c
  • IsConverted__c
  • Owned_by_Salesforce__c
  • Partner_Authorization__c
  • Sugar_Contact_Id__c
  • Customer_Segment_Profile__c
  • ispId__c
  • Customer_Segment_Profile_ReadOnly__c
  • HasSensitivityDataPermission__c
  • Root_Account_Link__c
  • NoPenaltyReason__c
  • NoPenaltyUntil__c
  • Billing_Scenario__c
  • coosto__Facebook_Id__c
  • coosto__Instagram_Id__c
  • coosto__LinkedIn_Id__c
  • coosto__Twitter_Id__c
  • coosto__WhatsApp_Id__c
  • coosto__Youtube_Id__c
  • Eligibility_check_skipped_reason__c
  • Eligibility_check_skipped_until__c
  • HasB2BSensitivityDataPermission__c
  • Flolive_account__c
  • Customer_Channel_Profile__c
  • Is_Channel_Profile_Manually_Changed__c
  • Customer_Channel_Profile_ReadOnly__c
  • InactivationDate__c
  • Has_Insurance__c
  • Chubb_insurance__c
  • Inflation_Correction__c
  • attributes_type

[Reactie gewijzigd door roawser op 26 februari 2026 15:28]

Reageer
Heaget @roawser26 februari 2026 14:15
Tool om files te checken. Let wel op dat je zelf de dump-files moet downloaden.

GitHub - datasafari-org/Odidoviewer: HTML5 viewer to display the Odido breach files by ShinyHunter
Reageer
roawser @Heaget26 februari 2026 14:23
De community weet me iedere keer te verbazen. Ik kan je niet vertellen of het werkt, ik heb de data niet en geen belang erbij (nooit Odido klant geweest). Ik kwam achter de veldnamen en vond die relevant voor een techforum, bv de m.i. terechte conclusie van SunnieNL in 'Hackers zetten eerste batch met gestolen Odido-data online - update' Maar hoe dan ook heb je waarschijnlijk een flinke gamer-rig nodig om alles in te kunnen laden.
Reageer
Heaget @roawser26 februari 2026 14:33
Ik werk als Cyber Security Analist, en ik kan vertellen dat deze tool werkt. Daarnaast worden de files van 250mb per stuk in een goeie 2-3 seconden geparsed. Dit is een knappe tool en zeer snel gemaakt.
Reageer
ZinloosGeweldig @roawser26 februari 2026 16:16
Voor door een paar honderdduizend records heen zoeken heb je een flinke gamer-rig nodig? :?
Reageer
Justevo @roawser26 februari 2026 15:52
Duurde 30 seconde op een oud Macbookje.

Dan doet je uitspraak me wel ernstig twijfelen aan je kennis en kunde eerlijk gezegd.
Reageer
Heaget @Justevo26 februari 2026 15:56
Sorry ik zit te slapen...

[Reactie gewijzigd door Heaget op 26 februari 2026 15:57]

Reageer
SebasFM @roawser26 februari 2026 16:26
Een dataset van 21 miljoen records is voor een gemiddelde DBA peanuts en zeker niets geks.
Reageer
De_Daapse @Heaget26 februari 2026 15:31
Een link naar de tool, maar niet naar de files. Voelt aan alsof ik nu de bankrekening heb om mijn hoofdprijs van de Staatsloterij op te laten storten, maar ik nog helemaal geen winnend lot heb.
Reageer
HenkEisDS @roawser26 februari 2026 13:14
Ik herken deze namen bijna allemaal als Salesforce veldnamen. Alles wat __c achter de veldnaam heeft is een custom veld, iets dat niet in standaard Salesforce zit. Vlocity was een bedrijf dat een industriespecifieke laag op Salesforce heeft gebouwd, dat bedrijf is later door Salesforce overgenomen en heet tegenwoordig Industries Cloud.
Reageer
MaZo @HenkEisDS26 februari 2026 13:37
Dat kan kloppen. Salesforce wordt specifiek benoemd door Shinyhunters...
Reageer
HenkEisDS @MaZo26 februari 2026 13:42
Ja dat was al bekend inderdaad. Shinyhunters richt zich erg op Salesforce klanten. Recente KLM hack was ook door hen, maar de lijst van getroffen bedrijven is erg groot.
Reageer
SanderBos @HenkEisDS26 februari 2026 16:12
Maakt dit het dan niet onwaarschijnlijker dat het met screenscraping is gedaan. Kun je als gewone Salesforce gebruiker in een klantenservice rol deze veldnamen zien?

(misschien in de HTML bron?)
Reageer
dubstepjoris @roawser26 februari 2026 13:22
Ik zie ook Password__c staan, is dat die oude passphrase van T-Mobile / Tele2 of is dit een ander wachtwoord iets?
Reageer
AuteurTijsZonderH Nieuwscoördinator @dubstepjoris26 februari 2026 13:30
Dat is het 'contractwachtwoord' dat je inderdaad zelf op kon geven als je telefonisch iets wilde laten wijzigen aan je contract. Goede beveiliging tegen simswapping.
Reageer
SebasFM @TijsZonderH26 februari 2026 15:56
Kan iemand vertellen of dit nog steeds gebruikt wordt? Ik wist van het hele bestaan hiervan niet af, maar wellicht handig tegen SIM swapping ja.
Reageer
AuteurTijsZonderH Nieuwscoördinator @SebasFM26 februari 2026 16:00
Ik heb dit toevallig een half jaar geleden nog moeten gebruiken omdat mijn e-sim niet werkte. Toen was ik m'n wachtwoord overigens vergeten en lieten ze me ook niets veranderen, dus het werkt wel. Ben bijna blij dat Shinyhunters dit lekt, kan ik m'n wachtwoord weer opzoeken.
Reageer
SebasFM @TijsZonderH26 februari 2026 16:03
Dat moet ik dan ook eens laten instellen, aangezien ze mijn nummer ruim een half jaar geleden probeerden over te nemen. Ik kreeg namelijk een nummerportering code per SMS toegestuurd. Heb daar toen melding van gemaakt bij Odido dat ik dat niet was en ze zouden daar een aantekening van maken, maar ze hebben mij nooit verzocht om een extra wachtwoord o.i.d. in te stellen. Ga ik een dezer dagen meteen regelen!
Reageer
AuteurTijsZonderH Nieuwscoördinator @SebasFM26 februari 2026 16:13
Ik heb het ook ooit ingesteld toen het nog T-Mobile was. Volgens mij is dit zo'n legacyding dat ze vroeger aanboden maar inmiddels niet meer heel actief, want ik hoor ze er ook nooit meer over. Maar het is de moeite waard het uit te zoeken!
Reageer
gertvdijk @TijsZonderH26 februari 2026 16:04
Ben bijna blij dat Shinyhunters dit lekt, kan ik m'n wachtwoord weer opzoeken.
Jamaar gelukkig (?) hebben ze die check nu maar gewoon helemaal uitgezet. 😅
Zodra we hoorden dat deze codewoorden in het lek voorkwamen, is de telefonische verificatie op basis van deze codewoorden direct stopgezet.
(onderaan in de Q&A bij https://www.odido.nl/veiligheid)
Reageer
ict @TijsZonderH26 februari 2026 13:45
Goede beveiliging tegen simswapping.
Normaliter wel. Tenzij dat wachtwoord nu dus door nalatigheid op op het web staat.
Reageer
Zenomyscus @ict26 februari 2026 14:07
Ik mag hopen dat het een password hash is en niet een plaintext password. Met een hash is er weinig aan de hand, mits er een goed algoritme is gebruikt. Je kunt dan niet het wachtwoord zelf herleiden, dus de hash is in principe onbruikbaar (met de huidige rekenkracht bij moderne encryptiestandaarden).
Reageer
wuzzy @Zenomyscus26 februari 2026 14:12
Volgens Shinyhunters zelf was het plaintext. Als ik het goed begrijp moest het wachtwoord over de telefoon genoemd worden dus dan moet de servicemedewerker ook het wachtwoord kunnen lezen en bevestigen.


Toevoeging: ja als je het plaatje onderaan het artikel bekijkt zie je dat ze het over plaintext passwords hebben. Dat zal hem zijn.

[Reactie gewijzigd door wuzzy op 26 februari 2026 14:13]

Reageer
Zenomyscus @wuzzy26 februari 2026 14:16
Hm ja dat is een goed punt. Al moet je dat soort data alsnog versleuteld opslaan. In plaats van een hash kun je het gewoon versleutelen en kan het aan de medewerker getoond worden wanneer dat nodig is. Zo moeilijk is dat niet. Ik sla zelf alles versleuteld op zodra het ook maar iets met klanten te maken heeft. Het enige nadeel is dat je niet op die gegevens kunt zoeken. Je zult dus moeten zoeken op klantnummer bijvoorbeeld, dat is dan het veld wat niet versleuteld is. De rest, naam, email, adres, echt alles kun je gewoon versleutelen. Helaas gebeurd dat dus te weinig.
Reageer
Davey400 @Zenomyscus26 februari 2026 14:24
Niet om het goed te praten, maar bij een via de stem door te geven password is opslaan als hash een stuk lastiger in de controle, omdat je dan bij controle ook exact dezelfde spelling (inclusief hoofd/klein en leestekens) moet aanhouden om een hash-match te krijgen.

Dat is wel te doen, maar niet heel praktisch.
Reageer
Zenomyscus @Davey40026 februari 2026 14:29
Handig is het misschien niet nee, maar je zou dan voor versleuteling kunnen kiezen ipv hashen. Maar ook met een hash moet het lukken. Je kunt de input opschonen, door bijvoorbeeld alles lowercase te maken en whitespace eruit te halen. De medewerker heeft een invoerveld, die stuurt dat naar de server waar vervolgens de input weer opgeschoond en gehasht wordt. Dan vergelijk je die hash. Uiteindelijk zijn er genoeg opties te bedenken, zelfs wanneer je zou willen hashen. Al is gewone versleuteling in dit geval handiger. Het probleem is dat veel bedrijven / ontwikkelaars daar vanaf het begin al geen rekening mee houden.
Reageer
The Third Man @Zenomyscus26 februari 2026 14:31
Het kan nog steeds tijdens/via de hack ontsleuteld zijn. Hoe het nu op het net is gedumpt hoeft niet de exacte weergave van de originele opslag te zijn.
Reageer
Dakdak @Davey40026 februari 2026 15:39
Je kan toch bij de eerste keer invoeren van de wachtwoord tekst toch melden dat leestekens worden genegeerd en hoofd- of kleine letter niet uitmaken? Laat de user gewoon iets invullen en laat op de regel eronder zien hoe dat in het systeem wordt opgeslagen. Dan kun je prima een zin met spaties en hoofdletters erin hebben.

Je kunt ook slechts een beperkte set tekens toelaten. Desnoods met een specifiek schermtoetsenbord.

De telefonische check van het wachtwoord later via de klantenservice kan op dezelfde manier werken. Dus toestaan dat hele zinnen worden ingevoerd door de klantenservice en dan worden de leestekens er automatisch uitgehaald.

Je kan ook een wachtwoord aan laten maken door verplicht drie verschillende duidelijke woorden te kiezen uit een roterende lijst. Die moet de klant dan onthouden voor zichzelf.
Reageer
ZinloosGeweldig @Zenomyscus26 februari 2026 16:21
In plaats van een hash kun je het gewoon versleutelen en kan het aan de medewerker getoond worden wanneer dat nodig is.
En dus ook aan de cybercriminelen die een medewerker account gekaapt hebben.

Het feit dat deze gegevens ontfutseld zijn, is op geen enkele manier bewijs dat de gegevens niet at rest encrypted waren.

At rest encryption beschermt tegen diefstal van gegevens direct vanaf de storage, niet tegen diefstal van gegevens via een interface waarbij de data niet meer "at rest" is.

[Reactie gewijzigd door ZinloosGeweldig op 26 februari 2026 16:24]

Reageer
ict @wuzzy26 februari 2026 14:42
Als je dacht dat het niet erger kon, chapeau odido |:(
Reageer
937mako @wuzzy26 februari 2026 14:43
Als het wel plain text is dan konden de servicemedewerkers er waarschijnlijk niet zomaar bij. een servicemedewerker van Odido heeft mij namelijk een keer letterlijk aan de telefoon om mijn wachtwoord gevraagd. En nee het was geen scammer/phisher, maar het was écht de klantenservice van Odido |:(

[Reactie gewijzigd door 937mako op 26 februari 2026 14:43]

Reageer
The Third Man @ict26 februari 2026 14:29
Zolang je het maar niet hergebruikt is dat niet erg. Elk normaal woord staat wel in een gelekte passwordatabase, maar dat haalt de beveiliging niet onderuit als ik nu Granaatappel of Bakfiets als contractwachtwoord zou instellen.
Reageer
ict @The Third Man26 februari 2026 14:45
als het wachtwoord moet beschermen tegen simwapping en dat wachwoord in plaintext op het web staat dan is dat dus geen:
Goede beveiliging tegen simswapping.
Reageer
Triblade_8472 @ict26 februari 2026 14:32
[...]

Normaliter wel. Tenzij dat wachtwoord nu dus door nalatigheid op op het web staat.
Nalatigheid?

Ik bedoel dus niet of het wel- of niet versleuteld is. Jij zegt nu dat het door nalatigheid komt, dat het 'op het web staat'. Ik zie dat ook op andere fora met minder technisch onderlegde mensen.

Wat van deze hack vindt jij nalatig van Odido?
Reageer
ict @Triblade_847226 februari 2026 14:50
Ik ben waarschijnlijk inderdaad minder technisch onderlegt dan de meeste hier, goed opgemerkt. Maar heb inmiddels genoeg gelezen (op tweakers/dit fora) dat odido het nodige heeft nagelaten om de omvang en schade van de hack te beperken. In mijn ogen is te weinig doen om schade te beperken terwijl je dat wel had moeten doen omwille van de risico's en gevoelige data nalatig. Als je wilt dat ik details noem wat ze precies hebben nagelaten dan moet ik daar even rustig voor gaan zitten.
Reageer
Triblade_8472 @ict26 februari 2026 14:58
Voor wat ik gelezen heb is de beveiliging vrij standaard geweest, niks om nalatig over te zijn iig.
Username, password en MFA.

De zwakke schakel was de mens die zich op alle vlakken liet inpakken. Dat kan je Odido niet kwalijk nemen wat mij betreft.


Wat wél kwalijk is, is onversleutelde wachtwoorden en te lang bewaarde gegevens. Maar dat staat buiten deze discussie.
Reageer
dubstepjoris @TijsZonderH26 februari 2026 13:39
Dank voor de toevoeging!
Reageer
willemb2 @roawser26 februari 2026 13:15
Jigsaw

JigsawCompanyId
?? Jigsaw voorheen Google Ideas? Jigsaw de dating app? Jigsaw de ransomware?
Reageer
SunnieNL @roawser26 februari 2026 13:17
Dan is hierbij in ieder geval bekend dat het daadwerkelijk salesforce is en dat dit een database extract is en geen screenscraping. In dat laatste krijg je een groot deel van deze velden niet.
Reageer
Malarky @roawser26 februari 2026 14:21
Als Odido haar verantwoordelijkheid neemt informeert ze vandaag nog alle 100,000 klanten welke data van hen sinds vandaag online staan, maar dat gaan ze niet doen en de overheid gaat ze daartoe ook niet toe aansporen. Het is dus moreel volledig te verantwoorden dat je zelf download en verifieert vanavond omdat de overheid die als taak heeft ons te beschermen dit laat lopen.
Reageer
Beat The Best @roawser26 februari 2026 16:22
Ik zie in deze lijst dan weer geen documentnummers tbv identificatie.
Reageer
roawser @barkeeper3026 februari 2026 13:22
Die manier is er, maar ga ik zeker niet gebruiken. Ik zit in het securityveld en begeef me al in een grijs gebied. Deze informatie is (vind ik) nuttig op een tech-forum maar de rest bewaar ik niet en verspreid ik niet.

AANVULLING: ja sorry, als je me dan via DM gaat vragen kun je ook je rickroll krijgen https://h1.nu/shinyhunters

[Reactie gewijzigd door roawser op 26 februari 2026 14:37]

Reageer
johanneslol @roawser26 februari 2026 13:33
Weet je toevallig ook of het al ergens op staat zoals pwned ? Ik wil graag zien of ik er zelf ook tussen zit.
Reageer
Caldera @johanneslol26 februari 2026 14:15
Dit is nogal een omvangrijk lek dus ik denk wel dat Troy Hunt het zal toevoegen aan haveibeenpwned, of hopelijk dat Odido zelf het voortouw neemt en gebruik zal maken van haveibeenpwned of misschien zelfs de tool van die Politie om iedereen op een makkelijk bereikbare manier zelf te laten inzien wat er van hun gelekt is.
Reageer
roawser @johanneslol26 februari 2026 13:48
Ik kom nooit op pwned. Als je zelf niet weet waar zoiets te vinden is, heb je er ook niks te zoeken. En dit is maar een klein percentage wat vandaag gepubliceerd is. De kans dat je precies daar in staat is zowiezo klein. En of Shinyhunters de rest nog gaat publiceren moet ik straks even aan mijn glazen bol vragen, die is nu in onderhoud.
Reageer
Brainfaal @roawser26 februari 2026 15:11
Bij deze enorm bedankt voor je aanvullende inkijk in deze zaak en het risico wat je bereid bent te nemen om ons verder in te lichten waar een (bijvoorbeeld) Odido verzaakt :)
Reageer
patjem @roawser26 februari 2026 15:29
Nu ben jk dus al de hele middag dat liedje aan het neuriën. Zonder te klikke
Reageer
Arnoud Engelfriet 26 februari 2026 13:02
Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.
Reageer
Rixard @Arnoud Engelfriet26 februari 2026 13:23
Maar hoe kan ik weten of ik er zelf in voor kom, zonder het te downloaden? Ik wil die zekerheid graag hebben, aangezien ik geen e-mail heb gehad van Odido, terwijl ik voor zowel vast als mobiel al jaren klant bij ze ben en ik me niet kan voorstellen dat ik niet tussen die 6 miljoen klanten/records zit.
Reageer
sll @Rixard26 februari 2026 13:32
Vroeg of laat (nu dus nog niet) wordt je mailadres doorzoekbaar op https://haveibeenpwned.com/

Je kunt je mailadres nu al invullen en kijken of deze niet eerder is gelekt... Er wordt aangegeven welke lek het betreft.

Dit is een betrouwbare site. Andere organisaties (bijvoorbeeld Firefox) gebruiken deze site ook om te waarschuwen bij datalekken.
Reageer
Rixard @sll26 februari 2026 13:56
Helaas werkt haveibeenpwned niet voor mij, aangezien ik voor ieder bedrijf/website een ander e-mailadres gebruik (in dit geval dus odido@[mijndomeinnaam.tld]). Aangezien ik alleen al meer dan 500 accounts heb, zal ik een veelvoud hiervan aan e-mailadressen hebben. Ik kan geen wildcardsearch doen, maar moet dan voor elk mogelijk e-mailadres een eigen api-call doen. Boven de 500 unieke adressen begint dat bovendien ook nog eens aardig duur te worden.
Reageer
Wolly @Rixard26 februari 2026 14:10
Je kan gewoon een domain alert instellen op haveibeenpwned
Reageer
Rixard @Wolly26 februari 2026 14:16
Je kan gewoon een domain alert instellen op haveibeenpwned
Dat dus niet 'gewoon'
Reageer
Wolly @Rixard26 februari 2026 14:29
Hoezo niet? Kwestie van inloggen en instellen.
Reageer
Rixard @Wolly26 februari 2026 15:19
Hoezo niet? Kwestie van inloggen en instellen.
Nee, helaas.

Als er meer dan 10 mailadressen van een domein voorkomen, gaat haveibeenpwnt er vanuit dat je een bedrijf bent en moet je een (behoorlijk dure) betaalde dienst van ze afnemen. Inmiddels zijn er ruim meer dan 10 adressen van mijn domein bekend (denk aan de lekken van LinkedIn, Adobe, Soundcloud, Duolingo, Abondonia, River City etc.)
Reageer
stenkate @Rixard26 februari 2026 15:33
Wat je zegt klopt, bij >10 e-mailadressen binnen een domein moet je betalen om in de haveibeenpwned database te zoeken.


Maar:

Als je een alert op je domain instelt, dan krijg je wel elke keer een mail dat er een e-mailadres gevonden is, met daarin context van de breach. Je zal niet zien om welke e-mailadres het gaat, maar wel bijvoorbeeld zien 'breach: Odido'.
Reageer
Rixard @stenkate26 februari 2026 16:25
Die alert of notificatie zoals haveibeenpwnd het noemt geldt alleen voor het mailadres waar je mee aangemeld bent en dus niet voor het odido-mailadres. Ik zou een apart account kunnen aanmaken voor het odido-mailadres als alternatief, dan weet ik in elk geval of ik straks in het lek zit.
Reageer
JustVodka @Wolly26 februari 2026 14:57
Tot 10 adressen per domain is grais, daar boven moet je een subscription nemen. Die zijn er in verschillende staffels.

https://haveibeenpwned.com/Subscription

Boven de 500 is het $163 per maand.

Maar ze gaan pas klagen als er meer adressen dan waar je voor betaald (meer dan 10 als je niks betaald) in hun database voorkomen.

Ik heb ondertussen meer dan 10 adressen die in lekken voorkomen, dus ik zie niks meer. Alleen dat er x aantal adressen voor komen. Je ziet dus niet welke adressen meer.
Reageer
Tjidde @Rixard26 februari 2026 14:15
Je kunt als het goed is bij haveibeenpwned een account aanmaken en dan via een tijdelijke DNS record dat account koppelen aan een domein. Een volledige domein check doen.Ik weet niet wat daar de limieten van zijn.
Reageer
Rixard @Tjidde26 februari 2026 15:21
10 mail-adressen is de gratis limiet. Helaas val ik daar al (ruim) boven.
Reageer
sll @Rixard26 februari 2026 14:17
Tja, dat is ook een nadeel van veel mailadressen gebruiken, de administratie... Ik vermoed dat niet al je adressen zijn uitgelekt door het Odido-lek...

Buien de API heb ik nu ook momenteel niets. Misschien zijn er 3rd-party beveiligingsproducten (wachtwoordmanagers etc.) die alle entry's kunnen checken? Anders zou ik het ook niet weten.
Reageer
Rixard @sll26 februari 2026 14:24
Het voordeel is juist dat ze enkel m'n odido-mailadres hebben. Maar aangezien ze m'n voornaam en achternaam en bankgegevens ook hebben kunnen ze mijn echte mailadres of het mailadres van bijvoorbeeld mijn bank ook wel ongeveer raden. Dus het helpt wel tegen spam, maar niet tegen zo'n omvangrijk lek als dit.
Reageer
beerse @Rixard26 februari 2026 14:53
Ooit ben ik ook zo begonnen toen ik ging internetten via demon.nl. Dat werkt, ondertussen bij freedom.nl nog steeds goed. In dit geval zal ik bij odido mijn mail adres aanpassen van tmobile@mijndomein.freedom naar odido@mijndomein.freedom en in mijn mail omgeving tmobile@mijndomein.freedom direct naar de bittenbak sturen.
Reageer
Rixard @beerse26 februari 2026 15:11
Precies. Of in elk geval het tmobile-adres een apart label geven zodat je extra op let bij mail aan dit adres. Dat is wat ik doe.
Reageer
beerse @Rixard26 februari 2026 14:46
Je hoeft niet te weten of je zelf in de lijst voor komt. Het beste kan je er van uit gaan dat je in de lijst voor komt. En ga uit van het beroerdste scenario: met alle gegevens die je ooit aan die club (of diens voorgangers) heb doorgegeven. Dus ga er van uit dat je iets meer gerichte spam krijgt. En ga er van uit dat je voor phising en dergelijke ook wat vatbaarder bent.

Dat je geen bericht hebt gekregen van Odido zou kunnen inhouden dat ze van jou een oud mail adres hebben of zo iets. Of dat ze om (vage) redenen denken dat jij niet in de dataset zit.
Reageer
Memori @Rixard26 februari 2026 16:07
Beter nog, ik kan mij voorstellen dat je graag je eigen gegevens zoals die gelekt zijn wilt zien.
Reageer
Rixard @Memori26 februari 2026 16:26
Zeker!
Reageer
fvdberg @Arnoud Engelfriet26 februari 2026 13:24
Erg zwart witte uitspraak dit. Het downloaden is niet strafbaar. Het is een ontiegelijk grijs gebied dat ben ik eens, maar het doel waar je het NA het downloaden voor gebruikt bepaald pas of het strafbaar is.
Reageer
sll @fvdberg26 februari 2026 13:46
Onzin: downloaden is hartstikke strafbaar: ga maar na, iedereen is (terecht) boos dat hun data is uitgelekt, maar jij wilt weten of er erin staat, dus je downloadt alle data. Hiervoor moet je naast je eigen uitgelekte regel, ook de 6.199.999 andere regels downloaden... Waarom zou jij meer rechten hebben dan de hackgroep of iedere toekomstige misbruiker om wel om de privacy van je mede-slachtoffers te schenden?
Reageer
fvdberg @sll26 februari 2026 13:47
het staat in de wet zelf:

Artikel 139g van het Wetboek van Strafrecht

Lid 2: "Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben [...] van de gegevens vereiste."
Reageer
Morrowind3 @fvdberg26 februari 2026 13:59
Sleutelwoord daar is Algemeen Belang. Je eigen interesse valt daar moeilijk onder te schuiven, denk ik.

Je kunt met dit soort grijs gebieden maar beter voorzichtig zijn. Als de verkeerde persoon het niet eens is met je creatieve interpretatie heb je mogelijk een groter probleem dan een Tikkie van het CJIB
Reageer
fvdberg @Morrowind326 februari 2026 14:15
het is geen 'creatieve interpretatie'

het is de letterlijke wettekst die bedoeld is om de security community te beschermen

als digital forensics specialist is mijn werk het vaststellen van feiten. wanneer een provider als odido herhaaldelijk moet rectificeren omdat ze de omvang van hun eigen lek niet kenden, is onafhankelijke validatie (OSINT) geen 'eigen interesse', maar noodzakelijke maatschappelijke controle.
Reageer
SirRosencrantz @fvdberg26 februari 2026 15:54
Ik denk dat Arnoud vooral "gewone" burgers bedoelt, niet iemand die zich professioneel bezighoudt als digital forensics specialst. Ik heb bijvoorbeeld (behalve dat ik zelf potentieel in de data sta) geen enkele reden om deze data te downloaden. Ik kan er als burger niks mee. Dat jij het als professional download is mogelijk in de rechtbank te verantwoorden zoals een journalist dat ook doet. Maar als burger zou ik het risico niet nemen en wacht ik liever op een expert die dit deugdelijk ontsluit, of het nou een journalist is of haveibeenpwnd.
Reageer
fvdberg @SirRosencrantz26 februari 2026 16:00
ik begrijp je punt, maar de wet maakt dat onderscheid tussen expert en burger niet zo hard.

artikel 139g lid 2 kijkt naar de handeling en het belang, niet naar je kvk-inschrijving.
als een burger aantoont dat een provider onjuiste info geeft, dient zijn verificatie ook het algemeen belang.

Voor de 'gewone' burger is artikel 40 Sr (noodtoestand) juist essentieel
als jij niet kunt vertrouwen op de info van odido en je wilt voorkomen dat je morgen slachtoffer bent van sim swapping of je een wazige BKR registratie voor een lening op je naam hebt dan is zelfhulp (het verifiëren van je eigen risico) juridisch gewoon keihard verdedigbaar als noodtoestand.

het probleem met wachten op een expert of HIBP is dat de schade dan vaak al geleden is.
de wet biedt juist die ruimte zodat je niet lijdzaam hoeft toe te kijken hoe je digitale identiteit wordt misbruikt terwijl odido zich in stilte hult of nog meer verwarring zaait.
Reageer
SirRosencrantz @fvdberg26 februari 2026 16:06
En hoe ga je dat voorkomen dan? Want zelfs als ik weet dat ik in deze dump zit, dan kan ik nog steeds niks meer dan ik nu doe: waakzaam zijn voor spam/scam/phishing, rekeningnummers in de gaten houden en eventueel een nieuw paspoortnummer aanvragen. Persoonlijk vind ik dat Odido trouwens op zijn minst de mogelijkheid moet geven om kostenloos je telefoonnummer te wijzigen, maar goed dat is een andere discussie.
Reageer
fvdberg @SirRosencrantz26 februari 2026 16:14
een nieuw paspoort gaat je niet helpen omdat je BSN (veld TaxID) permanent is. en daarmee juist een argument voor de download. het downloaden van je eigen records is geen 'preventie', het is bewijsvoering.

bewijsvoering voor aansprakelijkheid:
Als er over drie jaar fraude wordt gepleegd met jouw BSN, moet jíj bewijzen dat die data door de schuld van odido op straat is beland. Tegen die tijd is de dump offline en heeft odido de logs gewist.
de dataset is jouw bewijs om de schadeclaim terug te leggen bij de veroorzaker. Odido

Instanties of je bank doen helemaal niets op basis van 'ik stond misschien in een lek'.
ze willen weten welke velden er precies gelekt zijn.
alleen met die feiten kun je een dossier openen dat je beschermt.

de wet (Art. 40 Sr) erkent dit recht op zelfverdediging. het veiligstellen van bewijsmateriaal over je eigen identiteit in een situatie waarin de verantwoordelijke partij (odido) de omvang niet kan of wil erkennen, is de enige manier om niet levenslang achter de feiten aan te lopen.
Reageer
SirRosencrantz @fvdberg26 februari 2026 16:17
Er is alleen herhaaldelijk gezegd door mensen die de data gezien hebben (waaronder journalisten van deze site) dat er geen BSN in de gegevens staat, alleen documentnummers. Jij zegt nu dus dat taxid bsn-nummers omvat?

[Reactie gewijzigd door SirRosencrantz op 26 februari 2026 16:20]

Reageer
fvdberg @SirRosencrantz26 februari 2026 16:24
mijn fout , maar dat is niet de kern van het probleem ik pakte het slechts even als voorbeeld
Reageer
Jerie @fvdberg26 februari 2026 14:33
Dat is dan op te lossen door direct alle records die niet van jou zijn te verwijderen. Weet jij hoe dat moet? Ik betwijfel het. Plus, om tot dat niveau te komen, moet je eerst de complete dataset downloaden. En die wil je niet in je bezit hebben.

Een betere benadering is de volgende:

1) Aanname dat Odido niet gaat betalen.

2) Komende weken komt er iedere dag een deel van de paste online. Ben jij klant (geweest) bij Odido? Dan sta je er in. Dus in de komende weken wordt je data gelekt.

3) Persoonlijk ga ik dan ook een nieuw paspoort aanvragen. Nieuw IBAN was ik toch al van plan.

4) Laat de notificatie aan HIBP en politie.
Reageer
fvdberg @Jerie26 februari 2026 14:38
Onderbuikgevoelens. Verder gaat het om wat deze data toe voegt aan data wat al in eerdere lekken is vrijgekomen. De combinatie is namelijk het echte gevaar. En om dat vast te stellen heb je deze gegevens nodig.
Reageer
sll @fvdberg26 februari 2026 13:54
Hier staat dus dat het downloaden wel het "algemeen belang" moet dienen. Tenzij je journalist of Troy Hunt bent, zou je dat moeilijk aan kunnen tonen. Slechts uit interesse downloaden, of om te checken of je er zelf in staat (betreft dus alleen je eigen belang) is dan geen geldige reden.
Reageer
fvdberg @sll26 februari 2026 14:04
het algemeen belang is niet exclusief voor journalisten. als een telecomprovider onjuiste informatie verstrekt over de ernst van een lek is onafhankelijke verificatie door de security community (OSINT/forensics) een essentieel maatschappelijk goed. we kunnen niet blind varen op de pr afdeling van een gehackt bedrijf

lid 2 is er juist om te voorkomen dat professionals die de impact analyseren, juridisch gelijkgesteld worden met de criminelen
Reageer
sll @fvdberg26 februari 2026 14:12
Het onderzoek van Odido is nog bezig en kan nog maanden of nog langer duren. Om nu al te zeggen dat ze onjuiste informatie hebben verstrekt is denk is wel snel. Gisteren werd nog bekend dat Odido niet wist dat er meer vertrouwelijke data is gelekt...
Reageer
fvdberg @sll26 februari 2026 15:23
hier raak je precies de kern.

als een provider maanden nodig heeft om de feiten boven tafel te krijgen, terwijl de data al op straat ligt, is de schade voor de klant al onherstelbaar.

artikel 40 Sr (noodtoestand) erkent dat je op dit moment niet stil hoeft toe te kijken. het zelfstandig vaststellen van het risico is dan geen interesse, maar een noodzakelijke handeling om de impact te beperken.
Reageer
DonJunior @fvdberg26 februari 2026 13:53
Maar als jij die dataset download heb je naast (mogelijk) je eigen gegevens. Ook ineens de beschikking over (laten we zeggen) mijn gegevens en die van duizenden anderen.
Ik zie ook niet hoe het in het algemeen belang is dat jij deze dataset gaat downloaden?
Reageer
fvdberg @DonJunior26 februari 2026 13:57
Zodra data op een publieke dumpsite staat is de vertrouwelijkheid al geschonden.je kunt niet "inbreken" op een bestand dat door de dief op een presenteerblaadje wordt gezet. De wetgever heeft voor het bezit van die data een ander artikel gemaakt: 139g (heling). en dat is de uitzondering van lid 2.
Reageer
DdeM @fvdberg26 februari 2026 14:00
Algemeen belang != persoon belang. Ofwel "Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact." maar jij mag het niet. Dat jij mijn gegevens voorhanden heeft dient namelijk geen enkel algemeen belang.
Reageer
fvdberg @DdeM26 februari 2026 14:21
je maakt een denkfout door te denken dat alleen de journalistiek het algemeen belang dient. de journalistiek duidt de gebeurtenis, maar de security community duidt het technische risico.

het algemeen belang is dat we exact weten welke vleden (vlocity_cmt__TaxID__c, Password__c) gelekt zijn, zodat er passende adviezen gegeven kunnen worden

een journalist kan die data niet forensisch valideren daar zijn specialisten voor nodig

zonder die download is er geen bewijs en geen accurate risico analyse

het feit dat jouw data in die set zit, is een technische onvermijdelijkheid van het onderzoek.net zoals een rechercheur die een gestolen vrachtwagen doorzoekt ook de pakketjes van derden voorhanden heeft. dit is geen privacy-schending, maar noodzakelijke waarheidsvinding.
Reageer
DdeM @fvdberg26 februari 2026 14:41
Dat can journalist was uiteraard alleen een voorbeeld van een groep die het wel mag, in bepaalde gevallen. Daar zit geen denkfout in, dat er andere groepen zijn die het ook mogen lijkt me vrij voor de hand liggend, maar we zien hier op een "tech" nieuws site dus dat Arnoud een journalist als voorbeeld naam is logisch.

Dat veranderd er niets aan dat iemand vanuit zijn persoonlijke interesse het nog steeds niet zomaar mag downloaden en aangezien jij in je eerdere post niet aangaf een digital forensics specialist te zijn en het evt vanuit die rol te downloaden lijkt het me niet vreemd dat is daar dus ook niet van uit ging.
Reageer
fvdberg @DdeM26 februari 2026 14:50
maar mijn rol maakt hier niet uit.

we gaan het nog even concreter maken.

als een bedrijf jouw data verliest, moeten ze je informeren over de aard van de gelekte gegevens.
wanneer een bedrijf (zoals odido) vaag blijft of de omvang herhaaldelijk bijstelt, ontstaat er een vacuüm.

dat vacuüm is al voldoende belang om niet meer te vertrouwen op het contacteren van odido haar data officer en is al voldoende recht om het bestand NA downloaden in te zien. LET OP! alleen om je eigen gegevens op te zoeken! de rest moet je wettelijk gezien negeren.

dit valt onder noodweer. of nog specifieker: Art. 40 Sr

[Reactie gewijzigd door fvdberg op 26 februari 2026 14:52]

Reageer
DdeM @fvdberg26 februari 2026 15:11
Art 40 gaat over overmacht, niet noodweer (dat is artikel 41 en gaat specifiek over fysieke aanranding). Enfin dat is hier niet het geval, Odido heeft aangegeven tot welke gegevens de hackers toegang hadden en ik betwijfel te zeerste dat het feit dat er laten bleek bij bepaalde mensen ook aantekeningen gelekt te zijn voldoende is om van overmacht te spreken.
Reageer
fvdberg @DdeM26 februari 2026 15:17
artikel 40 Sr beslaat inderdaad de overmacht, maar specifiek de noodtoestand (een conflict van plichten). het gaat erom dat de burger het recht heeft zichzelf te beschermen wanneer een instituut faalt in zijn zorg en informatieplicht.

je zegt dat odido heeft aangegeven wat er gelekt is maar gisteren bleek juist dat hun eerdere verklaringen onvolledig waren als een provider pas na externe druk toegeeft dat er meer gevoelige data op straat ligt is het vertrouwen in hun aard van de gegevens technisch en juridisch geschaad

Het zelfstandig verifiëren van je eigen risico in een vacuüm van betrouwbare informatie is de letterlijke wettelijke definitie van een proportionele handeling onder noodtoestand.

Je wacht toch ook niet tot het huis is afgebrand omdat de brandweer (odido) zegt dat het wel meevalt met de rook.
Reageer
Sangreall @fvdberg26 februari 2026 13:57
Raar dat jouw comment geen hogere waardering heeft maar de ongenuanceerde van Arnoud +3. Je hebt helemaal gelijk.
Reageer
Wannial @Sangreall26 februari 2026 15:28
Omdat Arnoud jurist is (specifiek op it vlak) en tweakers regelmatig van informatie voorziet.

Het is dus geen ongenuanceerde uitspraak.
Reageer
fvdberg @Wannial26 februari 2026 15:36
dat iemand een gerespecteerd jurist is, betekent niet dat een specifieke uitspraak in een specifieke context automatisch genuanceerd is.

juist een jurist zou moeten weten dat de wet niet ophoudt bij de definitie van een delict, maar pas echt begint bij de strafuitsluitingsgronden.

het noemen van een verbod zonder de wettelijke uitzonderingen voor het algemeen belang (139g lid 2) of de noodtoestand (Art. 40 Sr) is per definitie ongenuanceerd.

zeker in een zaak waar de bron (odido) zelf toegeeft de controle en het overzicht kwijt te zijn.

autoriteit is geen vervanging voor de volledige wettekst.
Reageer
MarcMK2 @fvdberg26 februari 2026 16:22
Ik denk dat de waarschuwing van Arnout in dit geval wel op deze manier gedaan moet worden want hier op tweakers zullen er genoeg mensen zijn die deze set kunnen achterhalen maar niet een security analyst (of soortgelijk) zijn. Hierdoor zullen ze niet precies weten wat de wet als uitzonderingen erin heeft staan en is het beter om duidelijk te communiceren dat in de basis dit strafbaar is.
Reageer
fvdberg @MarcMK226 februari 2026 16:27
Misschien tijd voor diezelfde tweaker om ook eens binnen de grenzen van de wet te leren tweaken dan... want de wet kennen behoort tot je burgerplicht
Reageer
fvdberg @Sangreall26 februari 2026 14:26
Dat zijn we na al die jaren op tweakers wel gewend. En eerlijk? Mij maakt het niet uit wat die score is. Men kent blijkbaar de wet niet terwijl elke Nederlander de wet behoort te kennen. Onderbuik gevoelens voeren in de moderatie de boventoon. Is menselijk. Voel me er dan ook niet door aangevallen. Het hoort bij een groot onderdeel van mijn werk
Reageer
roawser @fvdberg26 februari 2026 13:51
138c Sr:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
Je kunt twisten over de semantiek van 'niet-openbaar' maar het is in beginsel gewoon strafbaar.
Reageer
fvdberg @roawser26 februari 2026 13:52
Nee want de publicatie maakt het openbaar
Reageer
roawser @fvdberg26 februari 2026 13:54
dus onder 2, 3 en 4 zijn ook niet van toepassing als ze 'gepubliceerd' zijn? Eigenlijk zeg je dat het hele wetsartikel zinloos is.
Reageer
fvdberg @roawser26 februari 2026 14:27
Dat zeg ik niet. Ik zeg alleen dat het uit maakt wat het doel is NA de download.
Reageer
TeunVR @Arnoud Engelfriet26 februari 2026 13:26
Ik neem aan dat Odido nu een exact overzicht aan mij gaat geven met welke data er gelekt is van mij?
In plaats van dat vage mailtje van ze.
Reageer
lucatoni @Arnoud Engelfriet26 februari 2026 13:44
Helemaal gelijk, maar volgens mij is er altijd iets als een "slachtoffer" perspectief, waardoor wederrechtelijkheid moeilijk te bewijzen valt. Daarnaast is het maatschappelik niet opportuun om hierop mensen te vervolgen. Maargoed, dat maakt het geen wettelijke uitzondering, hoogstens een verzachting van omstandigheden. Ik denk dat ieder daar zelf een keuze over moet maken.
Reageer
banaj @Arnoud Engelfriet26 februari 2026 13:49
Waarom zou dit strafbaar zijn? Artikel 138c spreek over "niet-openbare gegevens". De gegevens zijn nu openbaar, met (TOR-)browser te downloaden voor iedereen die daar zin in heeft...
Reageer
n00bs @Arnoud Engelfriet26 februari 2026 14:23
Goed punt. Ik zou graag ter verificatie willen weten of mijn gegevens hier tussen zitten en zoja welke, hoe ga ik daar nu achter komen?
Reageer
Beastelson @Arnoud Engelfriet26 februari 2026 13:21
Hoe kan iemand dan het beste controleren of zij tot de vrijgegeven database behoren? Als één van de gedupeerden zou ik graag willen weten of ik 1) onderdeel van deze batch ben en 2) wat er nou precies van mij gelekt is
Reageer
G. B. @Beastelson26 februari 2026 13:43
Vroeg of laat komt de dataset beschikbaar op https://haveibeenpwned.com/ en https://www.politie.nl/informatie/checkjehack.html hier kan je dan zonder de dataset te downloaden checken of je gegevens gelekt zijn.
Reageer
dutchgio @G. B.26 februari 2026 13:48
Maar dat is niet anders dan wat je nu al weet; als Odido je heeft geïnformeerd zal je er ongetwijfeld in zitten. Die sites gaan ook niet per account aangeven welke gegevens er in zitten, alleen dat ze er in zitten.
Reageer
Caldera @dutchgio26 februari 2026 14:21
Ik vertrouw Odido nu niet echt enorm dat ze iedereen hebben geïnformeerd die dat moet worden aangezien ze niet eens doorhadden dat er meer informatie was gelekt dan ze eerst zeiden. Hopelijk kunnen ze op zijn minst met de Politie heel snel een oplossing maken met die tool om een lijst te laten zien met welke persoonlijke gegevens er precies bij zitten
Reageer
xzaz @G. B.26 februari 2026 14:25
haveibeenpwned mag deze data ook gewoon niet hebben. Sowieso raar dat ze al die data vasthouden.
Reageer
aap @xzaz26 februari 2026 15:20
haveibeenpwned slaat alleen e-mailadressen op en wachtwoorden in een aparte lijst, zodanig dat er geen koppeling tussen mailadressen en wachtwoorden is.

Bovendien kun je alleen zoeken of een mailadres in de lijst staat; je kunt niet een volledige lijst met gehackte e-mailadressen ophalen.

https://haveibeenpwned.com/FAQs

Het zal allemaal wel legitiem zijn, anders waren ze intussen al lang aangepakt.
Reageer
Wilke @Beastelson26 februari 2026 13:27
Precies dit. Ik wil die dataset helemaal niet hebben, maar wil graag wel weten (van iemand anders dan Odido zelf, want nul vertrouwen) of er gegevens van mij in voorkomen.
Reageer
Beastelson @Wilke26 februari 2026 13:35
Exact. En ik zou graag actie nemen voordat het op https://haveibeenpwned.com/ komt te staan. Als dat nog een maand duurt, terwijl mijn paspoortnummer nu vrij te downloaden is, heb ik een probleem
Reageer
gimbal @Beastelson26 februari 2026 13:50
Die wil is heel erg te begrijpen. Maar rechtvaardigt niet het downloaden van de persoonsgegevens van vele andere mensen.

Nu mag je gaan bewijzen dat je een degelijk mens bent en niet iets doet enkel omdat je dat zelf wil. Zo werkt de wet niet.
Reageer
ict @Arnoud Engelfriet26 februari 2026 13:47
Denk dat dit bij potentiele gedupeerde (oud)klanten ook wel van toepassing is.

En anders is er nog altijd dit:
De titel 'journalist' is in Nederland en België in principe niet wettelijk beschermd; iedereen mag zich journalist noemen, wat bijdraagt aan de persvrijheid.
Reageer
padapada @Arnoud Engelfriet26 februari 2026 14:21
Lijkt mij dat je als klant en dus belanghebbende mag controleren of je erbij zit. De bad Guys doen het toch al.
Reageer
TouW @Arnoud Engelfriet26 februari 2026 16:20
Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.
Kleine juridische nuance: art. 139g Sr gaat over gegevensheling; art. 138c Sr gaat over het opzettelijk en wederrechtelijk overnemen of doorgeven van niet-openbare gegevens.

In de Memorie van Toelichting bij Computercriminaliteit III wordt expliciet gemaakt dat deze strafbepalingen, die zien op niet-openbare gegevens, niet bedoeld zijn om het downloaden strafbaar te stellen wanneer data al publiek via internet is gepubliceerd; de kernvraag is dus of zo’n dump in strafrechtelijke zin nog “niet-openbaar” is, bijv. afgeschermd/besloten, of feitelijk vrij toegankelijk.

Tegelijk: als (voormalig) klant heb je, net als journalisten, een legitiem belang om te weten welke persoonsgegevens van jou zijn gelekt, zeker als Odido daar niet volledig transparant over communiceert. De veilige route is om Odido formeel om inzage te verzoeken in welke exacte persoonsgegevens van jou zijn gelekt (bijv. via een AVG-inzageverzoek/recht op inzage), in plaats van de dump zelf te downloaden.
Reageer
phoenix2149 26 februari 2026 12:09
We are not to blame for this.

Natuurlijk. Ja het is niet mijn schuld dat je deur makkelijk te openen was en ik je huis leeg haalde.

Goed van Odido, je moet criminelen niet belonen. Kunnen dat geld beter steken ik het compenseren van de slachtoffers als er fraude plaatsvindt.
Reageer
CelisC 26 februari 2026 11:51
Dus die hackers stelen de data, of hebben die data op andere wijze verkregen terwijl ze daar geen recht toe hadden, kloppen vervolgens bij Odido aan om hen feitelijk af te persen. Odido gaat niet mee met hun eisen en vervolgens zeggen de hackers "We were reasonable".

Ongeacht van wat we van de situatie vinden, acht miljoen Nederlands zijn nu dus de dupe (als we de Ben gegevens meerekenen). Ik heb overigens nog helemaal geen bericht van Odido voorbij zien komen sinds hun eerste mailronde naar gedupeerden toe, dus ik weet ook niet wat ik nu verder wel of niet kan doen.

Wat een schijnvertoning...
Reageer
Richardus27 @CelisC26 februari 2026 12:05
Die hele tekst heeft een soort toon van "wij zijn de good guys die een corrupt bedrijf hebben betrapt en ze hebben aangespoord om te verbeteren" of iets dergelijks.

Het zijn gewoon criminelen die op hun eigen gewin uit zijn. Odido treft blaam voor het slecht beschermen van gegevens, die van mij zitten er ook tussen en ik ben er absoluut niet blij mee. Maar deze smeerlappen zijn degenen die miljoenen Nederlanders in de problemen brengen. "We are not to blame for this, Odidio is". Nee, jullie misdaad blijkt niet te lonen en gooien alle gegevens op straat als een kind dat z'n zin niet krijgt. Ik hoop echt dat ze keihard worden aangepakt als ze worden gevonden.

Neem je IT skills gewoon mee naar een bedrijf en ga werken voor je geld.
Reageer
dbs1 @Richardus2726 februari 2026 13:09
Odido is gewoon verantwoordelijk. Ik ga even zoeken of mijn gegevens ertussen zitten, maar ik hoop echt op een hele flinke dikke claim. Odido treft hier alle blaam. En ze zouden gewoon moeten hebben betaald. Minder dan 1 euro per klant. En dan durven ze nog te beweren dat ze klantgericht zijn? Laat me niet lachen.

Iedereen die Odido hier in bescherming neemt moet zich echt diep en diep schamen.

EDIT: Iedereen die de dataset wilt inzien, DM mij maar even. Ik mag de onion link waarschijnlijk niet delen hier. Wat eigenlijk ook achterlijk is, maar goed.

[Reactie gewijzigd door dbs1 op 26 februari 2026 13:17]

Reageer
Nico Klus @dbs126 februari 2026 13:22
Dus als er bij jou ingebroken wordt ben jij daar ook zelf verantwoordelijk voor?

Dan had je je beveiliging maar beter op orde moeten hebben.


Nee, het uitgangpunt is dat iedereen met zijn tengels van andermans spullen af moet blijven.
Reageer
joassens @Nico Klus26 februari 2026 13:27
Ik zou zeggen, als je de voordeur op slot doet, maar de achterdeur wagenwijd open laat, dan zal de verzekering ook niet willen uitkeren.
Reageer
mash_man02 @joassens26 februari 2026 13:43
Dan zal er wel iets gestolen moeten worden, anders hoef je niets te claimen bij je verzekering.

En is het dan zo dat diegene die naar binnen gewandeld is en iets van jou meegnomen heeft gevrijwaard is van alle blaam want dat is wat deze gasten zeggen. Wij stelen, maar als het lukt is het jouw schuld, maakt niet uit hoe.

Natuurlijk is er een verantwoordelijkheid, maar er is in beide gevallen een heldere grens overschreden, en dan is alleen de bestolene aan te spreken is nooit het volledige verhaal.
Reageer
Chorro @Nico Klus26 februari 2026 13:28
De crux zit 'm als je het mij vraagt in het feit dat er naar verluid data tussenzit van personen die al JAREN geen enkele relatie tot Orange/T-Mobile/Odido hebben gehad. Dan ben je als Odido zijnde gewoon compleet malafide als het ook nog eens zó makkelijk is om zo'n extreme set aan diverse type data van klanten te exporteren door onbevoegden.

Ook hun hele attitude in de mail (die ik overigens rond 20:00 uur ontving en het dus in het nieuws als eerste moest vernemen) die ze gestuurd hebben zint mij totaal niet.

Nee; de inbraak zelf zijn zij niet tot nauwelijks verantwoordelijk voor. Wat er gestolen is en hoe zij hierop acteren is echt om te janken en kan Odido niet erg genoeg voor gestraft worden als je het mij vraagt.
Reageer
mrtak @Nico Klus26 februari 2026 13:28
Odido heeft al een paar keer het keurmerk 'Onveilig wonen' gekregen van de politie.

Je huis of fiets goed op slot doen is een vereiste. Meer kun je niet doen. Minder wel.
Reageer
iGeoffrey @Nico Klus26 februari 2026 13:29
Dat is zeker het uitgangspunt, maar helaas werkt dat niet zo.
De gemiddelde verzekeraar wil niet voor niets dat je alles op slot zet wat op slot kan.

Als je de voordeur open laat staan en vervolgens je TV weg is zal je verzekeraar ook zeggen. Eigen schuld.
Reageer
Alex Boom @Nico Klus26 februari 2026 13:33
Juist, en door te betalen geef je ze meer geld om het daarna bij iemand anders ook weer te doen. Ik zeg opsporen en levenslang opsluiten, ze hebben geen idee wat andere criminelen met deze info bij zoveel mensen aan ellende kunnen veroorzaken
Reageer
KeiFront @Nico Klus26 februari 2026 13:47
Nee het uitgangspunt is dat bedrijven correct omgaan met privacy gevoelige data en hun security op orde hebben.
Reageer
asset185 @Nico Klus26 februari 2026 14:02
Alleen bevat het lek talloze gegevens die Odido al lang had moeten verwijderen of die ze zelfs niet eens mochten hebben. Odido is in heel veel zaken in gebreke gebleven.

Er is genoeg op Odido aan te merken. Daarbij had Odido gewoon een verantwoordelijkheid omtrent beveiliging.

[Reactie gewijzigd door asset185 op 26 februari 2026 14:03]

Reageer
bzzzt @dbs126 februari 2026 14:15
En ze zouden gewoon moeten hebben betaald.
En dan hebben de hackers geld nodig en dreigen nog een keer. Nu 'maar' 2 euro per klant. En dan nog een keer. Er is geen enkele manier waarop je zekerheid krijgt dat het dan klaar is. Er blijft altijd een enorm risico dat de data alsnog een keer op straat belandt.
Reageer
dbs1 @bzzzt26 februari 2026 16:05
Wat een onzin. Dan hebben die gasten geen enkele poot meer om op te staan.
Reageer
bzzzt @dbs126 februari 2026 16:12
Waarom onzin? Welke garantie biedt zo'n hackers groep dat ze de data ook echt verwijderen? Of sowieso niet al verder gelekt hebben. Het kan ook best gebeuren dat iemand in zo'n groep er met de data vandoor gaat, nadeel van dergelijke losse criminele verbanden. Die gasten hebben echt niet allemaal netjes hun erewoord gegeven en een VOG ingeleverd of zo...
Reageer
Ypho @dbs126 februari 2026 13:49
Iedereen die de dataset wilt inzien, DM mij maar even. Ik mag de onion link waarschijnlijk niet delen hier. Wat eigenlijk ook achterlijk is, maar goed.
De dataset downloaden is illegaal (zie reactie hierboven van Arnoud), het delen ervan zal in het verlengde ervan ook strafbaar zijn.
Reageer
dbs1 @Ypho26 februari 2026 16:06
Het feit dat de dataset inzien om te kijken of je eigen data ertussen staat strafbaar is en het lekken van de data door Odido niet zegt natuurlijk al genoeg. Wij hebben het recht om te weten of wij ertussen staan. Wat een idiote reactie is dit zeg.
Reageer
Ypho @dbs126 februari 2026 16:15
Noem mijn reactie idioot, maar ik heb de regels/wetgeving niet verzonnen.

Overigens benoem ik heel specifiek downloaden en het delen ervan. Niet over het inkijken (op wat voor manier dan ook), want hoe dat zit weet ik niet.
Reageer
Isegrimm @dbs126 februari 2026 16:23
Je post heeft een hoog rel-gehalte.
  • Odido heeft fouten gemaakt. Dat daardoor de hackers geen blaam zouden treffen voor hun daad is een onjuiste aanname.
  • Delen van de dataset op die manier is illegaal
  • De illegaliteit van een bepaalde handeling achterlijk vinden, is stemmingmakerij.
Reageer
n4m3l355 @Richardus2726 februari 2026 14:07
Ik denk dat niemand hier denkt dat de hackers iets goed doen. Echter Odido doet toch alles fout wat men fout kan doen. Ze verzamelen teveel data (vraag me zelfs af of deze data verzameld woede legaal is), ze slaan data slecht op, ze hebben slechte data beveiliging, slecht opgeleide customer service die hackers makkelijk kunnen exploiteren, slechte communicatie richting klanten na de data theft en vervolgens stellen ze zich ook nog eens bot op door geen verantwoordelijkheid te nemen in deze hele afgang.

Ik hoop dat de hackers worden gepakt, maar tegelijkertijd hoop ik ook dat Odido zoals sommige bedrijven hier aan ten onder gaan. Een bedrijf dat zo groot en tegelijkertijd zo slecht functioneerd en daarmee miljoenen mensen in de problemen brengt hoort niet te bestaan.
Reageer
iAR @CelisC26 februari 2026 13:02
Het is de omgekeerde wereld. Maar goed, we hebben het hier over criminelen. Die handelen niet vanuit "onze" richtlijnen.

Odido had laatst ook niets meer op de website staan rond dit gebeuren. Ik had soms wel eens gewild dat ik zo makkelijk van dingen af kwam. Stel je voor dat je op je werk kunt zeggen: ik heb mijn werk af en ik heb dit heel goed gedaan, mijn focus ligt bij het blij maken van mijn werkgever. En dan heb je in werkelijkheid niets gedaan en ga je dat ook niet doen.
Reageer
reikz @CelisC26 februari 2026 15:01
Oh, arme multi biljoen bedrijf /s. Odido is verantwoordelijk, Het is geen gratis service wat ze bieden, als het niet deze groep was, dan was het een ander groep hackers geweest.
Reageer
Marty007 @CelisC26 februari 2026 15:17
Laat odido dan alle klanten in ieder geval een nieuw paspoort of id bewijs vergoeden, maar dat doen ze ook niet.
Odido wil sowieso niet betalen of het nu de hackers of hun klanten zijn, zal hun een zorg zijn, jammer joh, maar odido blijft maar concurrenten overnemen, het is een zooitje, dat blijkt nu wel.
Ook data die ze niet mochten opslaan of data die al lang verwijderd had moeten worden.

Ook de diensten zijn al gestript ondertussen, waar ik eerder via tweak een mooie gb lijn up en down had, zit je met odido op een glasvezel vpn, je deelt dus uiteindelijk nog de verbinding die die router heeft, en dus geen eigen lijn zoals bij tweak was.

Ik hoop niet dat odido hier zomaar mee weg komt
Reageer
onok 26 februari 2026 11:52
"We were reasonable" ook :+

Tuurlijk. Je bent crimineel, je steelt persoonsgegevens, heel redelijk allemaal. Ik hoop dat Odido z'n poot stijf hout en geen cent overmaakt aan dit tuig. Mijn gegevens lagen toch al op straat na eerdere hacks bij facebook en linkedin.
Blijf veilig mensen. Zorg voor 2FA, passwordmanager, en het komt allemaal wel goed.
Reageer
Croqy @onok26 februari 2026 12:13
Precies. Merkwaardig dat ik zover in de comments moest scrollen om dit tegen te komen. Er is sprake geweest van gerichte misleiding om aan inloggegevens te komen waarmee vervolgens onrechtmatig inbraak is gepleegd. Dan leggen ze in hun commentaar de bal volledig bij de bestolene, daardoor zullen ze misschien iets beter slapen, wetende dat er verschillende instanties naar ze op zoek zijn...
Reageer
KoffieAnanas @Croqy26 februari 2026 13:48
Reasonable criminals :+

Dat Odido tekort schiet is duidelijk, dat betekent geen vrijbrief voor criminele activiteiten. Of enig sympathie. In dat geval had je contact opgenomen met Odido om hun te wijzen op hun slechte beveiliging. Eventueel licht je de pers in met wat info hierover om druk te zetten op Odido. Maar we hebben het hier over afpersing, een criminele activiteit. Punt.
Reageer
Toonen1988 @onok26 februari 2026 12:08
Een 2FA beschermt alleen tegen ongeautoriseerd inloggen op individuele accounts. Het voorkomt dat iemand met een gestolen wachtwoord je account binnendringt.

Maar hier gaat het niet om accounts, het gaat om een hack van een database. Hackers hebben direct toegang tot de opgeslagen gegevens van klanten, ongeacht of 2FA is ingeschakeld. Zelfs met 2FA zouden de privégegevens nog steeds gelekt worden als de database niet goed beveiligd is.

De angst is hier ook niet dat iemand op jouw account inlogt, maar dat jouw gegevens worden gebruikt door criminelen. Dit staat los van 2FA.

[Reactie gewijzigd door Toonen1988 op 26 februari 2026 12:10]

Reageer
onok @Toonen198826 februari 2026 12:23
Voor een deel klopt het wel wat je zegt, maar uiteindelijk proberen criminelen meestal dmv. fishing/social engineering je accounts in te komen, of ze laten je geld overmaken. Dit is waar ze die gegevens voor gebruiken: hoe meer gegevens ze hebben, hoe betrouwbaarder ze overkomen. Het klopt dat 2FA geen bescherming heeft geboden tegen het stelen van je gegevens, maar het beschermt je wel (deels) tegen de gevolgen daarvan.
Reageer
Genosha @onok26 februari 2026 13:23
Gebruik geen sociale media, gebruik unieke e-mail adressen en wachtwoorden. Vul bij websites waar je nooit gaat bestellen of een dienst afneemt gewoon het adres van het gemeentehuis/politiebureau in. Hoe minder je online zichtbaar bent, hoe beter.
Reageer
ict @onok26 februari 2026 13:41
1 miljoen als bug bounty program voor de omvang van deze nalatigheid van odido te patchen is een schijntje en hadden ze met beide handen moeten aangrijpen om de 6+miljoen klanten te beschermen.
Reageer
William_H @onok26 februari 2026 14:03
Tuurlijk. Dus omdat jou gegevens al gelekt zijn bij twee massief invasieve bedrijven die niks geven om privacy, moeten mijn gegevens ook maar op straat liggen.

Was het maar zo simpel. Genoeg bedrijven en instellingen die genoegen nemen met de gegevens die nu gelekt zijn om mijn identiteit te controleren.
En ik heb niks te zeggen over het identitficatiebeleid van die instellingen en bedrijven. Dus helaas gaat je oplossing niet werken. Totdat bedrijven en instellingen verplicht worden je te identificeren met andere gegevens of op een andere manier (ik heb wel ideeën, maar dat is een andere discussie).
Reageer
Jerie @onok26 februari 2026 14:44
Voor hun maatstaven waren ze redelijk. Die maatstaven zijn een honor among thieves. Ongeschreven wetten in het criminele circuit. Een voorbeeld in het Nederlandse milieu van zware criminaliteit is 'wie praat die gaat'.

Ze gebruiken ook FAFO als nomenclatuur, dat is opmerkelijk, die stamt namelijk uit Amerikaanse leger. Wat een taalvouten staan er trouwens in deze tekst. Citisen of Nederlands. Moet wel haast expres zijn gedaan. Als je kijkt naar de verdere opbouw van de zinnen zie ik diverse artifacts die duiden op een lazy taal (lees: Russisch). De vraag is dan nog of dit een statelijke actor is of een civiele maar gezien Rusland een criminal enterprise is maakt dat niet zoveel uit. Overigens werken bij THTC specialisten in linguistics.

Mijn take is: het doel is niet direct geld; het doel is de Nederlandse maatschappij te ontwrichten. En dat wijst naar Russische hybride oorlogsvoering.
Reageer
magnifor @onok26 februari 2026 14:59
Al die dingen die jij opnoemt gaat niet helpen tegen identiteitsfraude. Je gehele NAW inclusief tel nummer en identiteitsbewijs nummers liggen op straat. Het gevaar is niet dat men ergens in een accountje kan inloggen, het gevaar is dat men 1 zeer gerichte aanvallen kan uitvoeren op specifieke personen want alle controlegegevens kloppen en 2 dat men zich kan voordoen als jou want alle controlegegevens kloppen. 2fa, passwordmanagers en de hele mik mak doet hier echt 0 tegen.
Reageer
Anonymoussaurus 26 februari 2026 12:00
@TijsZonderH Odido heeft zojuist een update geplaatst op hun website: https://www.odido.nl/veiligheid
Onze focus ligt altijd bij onze klanten, en dat blijft zo. Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren. We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen.

[Reactie gewijzigd door Anonymoussaurus op 26 februari 2026 12:00]

Reageer
Genosha @Anonymoussaurus26 februari 2026 13:22
Als Odido vanaf het begin eerlijk en duidelijk was geweest welke en hoeveel informatie er gestolen was dan had ik ze het voordeel van de twijfel nog kunnen geven. Maar er is veel meer buitgemaakt dan Odido in eerste instantie melde. Vervolgens was de reactie van Odido dat klanten een gratis veiligheidspakket kregen en geen compensatie.

Wat een pauperfirma.
Reageer
iGeoffrey @Genosha26 februari 2026 13:45
Ik had ze aan de lijn voor zo'n voucher code. Puur, omdat ik wilde uitzoeken hoe dit proces te werk ging.
De code ook ontvangen uiteindelijk, maar het bijzonder eraan is. Ik moest nu extra vragen beantwoorden om aan te tonen dat ik IK ben. Allemaal antwoorden die "gewoon" te vinden zijn als je momenteel in deze dataset zit die uitgelekt is.
Dus naam, adres, postcode, e-mailadres, laatste 4 cijfers van je de IBAN en installatiedatum van mijn Odido Thuis verbinding.

Dit schiet dus niet op.

Nou komt het mooiste. Aan het eind van het gesprek was er nog de durf om mij te vragen om mijn telefoonnummer op de marketing en promolijst te zetten om te kunnen bellen als er acties zijn.
Ik vrees dat we voorlopig sowieso kunnen lastiggevallen worden ;-)
Reageer
Genosha @iGeoffrey26 februari 2026 14:52
Die jongens en meisjes in het call center die gewoon hun draaiboek moeten doorlopen en hun targets moeten halen is natuurlijk weinig te verwijten. Ze moeten ergens in het gesprek een sales moment plakken wat natuurlijk niet te doen is nu.

Wel schandalig dat je dus moet bewijzen dat jij jij bent met gelekte data. Ze hadden ondertussen wel die half miljoen brieven kunnen versturen met een unieke code erin die gebruikt kan worden voor verificatie. Maar laksheid is het eerste wat bij mij op komt met Odido.
Reageer
The Zep Man
@Anonymoussaurus26 februari 2026 12:32
Onze focus ligt altijd bij onze klanten, en dat blijft zo.
(...)
We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen.
Leuke marketingspeak. Als dat zo was, dan kon men niet met zoveel records aan de haal gaan.

[Reactie gewijzigd door The Zep Man op 26 februari 2026 12:33]

Reageer
Anonymoussaurus @The Zep Man26 februari 2026 12:33
En ook: als dat zo was, hadden ze hun klanten netjes ingelicht over deze hele heisa, ook ex-klanten van jaren terug.
Reageer
The Zep Man
@Anonymoussaurus26 februari 2026 12:34
Ze geven nergens aan dat ze zich inzetten voor hun ex-klanten. :|
Reageer
Anonymoussaurus @The Zep Man26 februari 2026 12:35
Bestaande klanten hebben ook geen mail gekregen wat ik heb begrepen uit reacties onder de artikelen.
Reageer
Sam Barendsma @Anonymoussaurus26 februari 2026 12:49
ik heb op 12 feb een nette mail ontvangen over alles wat er gelekt is en wat je kan doen om te voorkomen dat je benadert wordt door scammers.

het was natuurlijk gewoon een zakelijke mail zonder veel inhoud het blijft immers een groot it bedrijf maar de mails zijn zeker verzonden naar actieve klanten
Reageer
Anonymoussaurus @Sam Barendsma26 februari 2026 12:55
@Styreta I stand corrected, then. Maar wat was er dan precies loos? Er was namelijk veel kritiek over de manier waarop Odido dit communiceerde (of naja, amper communiceerde...)
Reageer
Styreta @Anonymoussaurus26 februari 2026 13:02
Ik denk dat het euvel is dat het lang duurt voordat je vanuit Odido iets hoort en de communicatie nogal onvolledig is. De pers is elke keer sneller en vollediger met hun informatie.
Reageer
kabelmannetje @Sam Barendsma26 februari 2026 13:17
Meer dan "je gegevens zijn MOGELIJK gelekt", heb ik nooit ontvangen. Eén nikszeggend mailtje. Wat een dramatisch slechte communicatie.
Reageer
Styreta @Anonymoussaurus26 februari 2026 12:46
heb ik en vele wel hoor. En ook ex klanten, zo kwam heel veel geneuzel juist aan het licht, dat mensen die al jaren geen klant meer waren ook een mailtje kregen met "uw data is gelekt".

Niet dat je ook maar iets aan dat mailtje had....
Reageer
Rapedapeda @Anonymoussaurus26 februari 2026 13:30
.

[Reactie gewijzigd door Rapedapeda op 26 februari 2026 13:30]

Reageer
kdemetter @The Zep Man26 februari 2026 12:56
Klopt, maar het zou nog erger zijn indien ze die criminelen betaald hadden.
Dus dat laatste was op zich een juiste beslissing.
Reageer
William_H @kdemetter26 februari 2026 14:00
Dat kun je je afvragen. Niet dat ik het aanmoedig, maar bij de hack van Pornhub zijn uiteindelijk geen gegevens op straat terecht gekomen. Toch opmerkelijk dat zo'n bedrijf meer bereid is te doen voor z'n "klanten" dan een "respectable" bedrijf als Odido.
Reageer
ict @The Zep Man26 februari 2026 13:36
klinkt ook als meineed als ze dit bij een rechtszaak (die ongetwijfeld gaat komen) met een strak gezicht herhalen.
Reageer
AuteurTijsZonderH Nieuwscoördinator @Anonymoussaurus26 februari 2026 12:09
Staat erbij!
Reageer
Jaldea @Anonymoussaurus26 februari 2026 12:56
Oftewel, we hebben geprobeerd het onder de mat te vegen, maar zijn niet slim genoeg en nu de sjaak, hierbij onze excuses.
Reageer
iAR @Anonymoussaurus26 februari 2026 13:03
Treurig dat je dat op de homepage niet van ziet. En dat je een random arbitrair zelfstandig naamwoord achter een / moet plaatsen...
Reageer
olafmol @Anonymoussaurus26 februari 2026 13:04
Cyber! Rian van Rijbroek kom er maar in! ;)
Reageer
Toonen1988 26 februari 2026 12:02
Ze zeggen dat zij niet verantwoordelijk zijn en dat de schuld bij Odido ligt. Maar zij zijn wel degene die de gegevens hebben gestolen, online hebben gezet en Odido proberen te chanteren. Daarnaast publiceren ze zonder enige terughoudendheid privégegevens van onschuldige mensen. Als deze groep werkelijk geen schuldige wilde zijn of geen deel van het probleem wilde zijn, hadden ze Odido kunnen informeren zonder te chanteren of persoonlijke gegevens openbaar te maken.

De klant is de enige onschuldige en die worden het hardst getroffen.
Reageer
CriticalHit_NL @Toonen198826 februari 2026 12:09
Het is de omgekeerde wereld, de bankrover uithangen en dan zeggen dat ze hun geld moeten afstaan om de spullen terug te krijgen. :+

Niks anders dan financieel gewin als doel.
Reageer
Erebos @CriticalHit_NL26 februari 2026 13:44
Primair is Shinyhunters hier natuurlijk fout maar ook Odido heeft hele grote steken laten vallen die ze erg goedkoop hadden kunnen opvangen door wel te betalen. Als ik mijn fiets niet op slot zet dan roept ook iedereen dat het mijn eigen schuld is dat die gejat is en zegt de verzekering ook zoek het maar uit. Odido had "de fiets" terug kunnen kopen voor een schijntje van de waarde maar zegt: ach ik gebruikte hem toch niet dus laat iemand anders er gelukkig mee worden.

Als shinyhunters het losgeld had ontvangen en toch data gepubliceerd dan hadden ze de volgende keer zeker geen losgeld ontvangen dus ik verwacht dat ze zich wel aan de deal hadden gehouden.
Reageer
CriticalHit_NL @Erebos26 februari 2026 13:55
Dat Odido hier met zijn werkwijze fout zit staat buiten kijf, maar er is ook zoiets principieels dat je niet aan andermans spullen zit of inbreekt als de deur niet op slot zit of het raam open staat. Helaas werkt het internet niet zo met deze principes en met name omdat men niet ter plaatse is van het delict.

Maar men is hier principieel tegen het belonen van chantage, dat kan ik best begrijpen, anders creëer je een drijfveer om dit soort criminaliteit nog verder te laten groeien omdat het toch makkelijk geld is, mits je de kennis hebt.

Nu snap ik je beredenering ook, maar niemand voorkomt dat ze gewoon onder een andere naam doorgaan zonder dat men weet dat het onder een andere naam opereert waardoor ze alsnog losgeld gaan ontvangen.

Het gevoel van onschendbaarheid op het internet is het grootste gevaar wat men makkelijker tot dit soort acties laat overgaan dan een bank te beroven, deels omdat het succesvoller is en je niet fysiek direct in gevaar bent en als je ook nog eens in een land als Rusland woont die het niet boeit wat men elders uitspookt. :+

Maar laat dit een wake-up call zijn voor andere bedrijven, want er zullen er vast genoeg zijn die dringend veranderingen moeten doorbrengen om dit te voorkomen en anders kopje onder gaan als ze slachtoffer worden want alles wat aan dit schimmige internet vasthangt is een uithangbord als uitnodiging voor criminaliteit.
Reageer
Erebos @CriticalHit_NL26 februari 2026 14:43
Laat ik het dan zo zeggen: Als Odido betaald had en verder net zo veel informatie zou delen met haar klanten als dat ze nu doen had niemand geweten van de hack (even uitgaande van mijn eerdere stelling dat Shinyhunters woord zou houden). Wat mij betreft mogen ze nu een boete krijgen voor het behouden van data die ze niet hadden mogen bewaren, die een veelvoud is van wat ze hadden kunnen betalen aan SH.


Het is makkelijk om principieel zijn als het je niets kost ( of in dit geval minder dan in het belang van je klanten te opereren) Als het Odido werkelijk om principe gaat dan bieden ze iedere klant vervanging van ID en/of RBW waarvan de nummers ge lekt zijn maar die verantwoordelijkheid nemen ze ook niet dus ik geloof niet zo veel meer van de goede bedoelingen van Odido
Reageer
Mathijs Kok @Erebos26 februari 2026 15:00
Primair is Shinyhunters hier natuurlijk fout maar ook Odido heeft hele grote steken laten vallen
Daar weten we gewoon nog niets van. Welke fouten heb jij het over? Als het account van een databeheerder is gehackt, ligt alles open. Dan is er amper een methode om het scrapen van de HELE dataset te verhinderen.

De haat tegenover ODIDO is diep maar amper gebaseerd op feiten. Gelukkig zie ik nu dat user moderatie daar tegen in gaat.
Reageer
Erebos @Mathijs Kok26 februari 2026 15:15
Data bewaren van klanten die al meer dan een eventuele bewaar plicht weg zijn lijkt mij een heel mooi voorbeeld.


Al is het bewaren van persoonlijke ID gegevens zonder dat daar een juridische reden voor is nog veel erger.

En, nee voor een SIM only abonnement hoeft dat echt niet.
Reageer
Mizgala28 @Toonen198826 februari 2026 12:17
Het is inderdaad Odido hun schuld niet dat deze groep besloten heeft gegevens van hun te stelen.

Het is echter wel Odido hun schuld dat de beveiliging zo extreem laks was dat er zoveel gesloten is.

En leven kennende gaat Odido hier niks van leren, en ze zijn dan niet de eerste of laatste bedrijf die dat doet.
Reageer
Mathijs Kok @Mizgala2826 februari 2026 15:00
Het is echter wel Odido hun schuld dat de beveiliging zo extreem laks was dat er zoveel gesloten is.
Vertel, blijkbaar weet jij wat er gebeurt is!
Reageer
Casejunky @Toonen198826 februari 2026 12:05
Ze zeggen dat zij niet verantwoordelijk zijn en dat de schuld bij Odido ligt. Maar zij zijn wel degene die de gegevens hebben gestolen, online hebben gezet en Odido proberen te chanteren. Daarnaast publiceren ze zonder enige terughoudendheid privégegevens van onschuldige mensen. Als deze groep werkelijk geen schuldige wilde zijn of geen deel van het probleem wilde zijn, hadden ze Odido kunnen informeren zonder te chanteren of persoonlijke gegevens openbaar te maken.

De klant is de enige onschuldige en die worden het hardst getroffen.
Ja ze hebben wel een beetje White Knight syndroom hoor, net doen alsof ze het beste voorhebben met de getroffenen terwijl ze zelf met hun vuile fikken aan spullen hebben gezeten waar ze niet aan horen te zitten.

Als je niks fout doet hoef je je ook niet te verschuilen achter de fouten van een ander.
Reageer
ict @Toonen198826 februari 2026 13:39
als we kijken naar alle lijntjes waar odido buiten heeft gekleurd zie ik ze eerder als een groep white hat hackers die met een fooi van een miljoen beloond hadden kunnen worden als bug bounty program om deze grove nalatigheid van odido aan de kaak de stellen en te patchen
Reageer
FairPCsPlease @Toonen198826 februari 2026 15:58
Precies. "Odido heeft de verkeerde keuze gemaakt, op iedere mogelijke manier", zeggen de criminelen. Die criminelen hebben zelf de verkeerde keuze gemaakt, door op deze manier geld te willen 'verdienen'. Ik zet hier verdienen tussen haakjes, want ze hadden de keuze kunnen maken om geld te verdienen, maar ze kozen ervoor om data te roven en als ze daar geld voor krijgen is het geroofd geld.

En ik als klant van Ben, waarvan ook gegevens gestolen zijn, ben het eens met de mensen die klant zijn van Odido en hier stellen dat je never nooit moet betalen voor afpersing, want zo hou je het verdienmodel in stand en beloon je de criminelen voor hun criminele gedrag.
Reageer
munitqua 26 februari 2026 12:34
Nou ik had liever dat ze gewoon betaald hadden het gaat immers wel om mijn gegevens. Dan moet je je zooi maar beter securen. Ze betalen niets aan de hackers en ze wimpelen ons klanten af met 2 jaar F-Secure en van "oh ja je gegevens staan op straat dus je moet maar even extra oppassen voor phishing attacks". Geen 50% korting voor de komende 2 jaar of kosteloos mn ID te vervangen. Nee, ze doen het lekker goedkoop en we zien wel waar het schip strand. Slecht.

Omtrent de discussie of je hackers nu wel of niet moet betalen. Aan de ene kant als elke hackergroep de gegevens na betaling nog steeds op straat gooit heeft hun business model ook geen waarde meer. Als odido wel had betaald hadden ze in ieder geval aan hun kant wel " alles voor de klant gedaan" en qua marketing zou ik dat eerder accepteren.

Nu doet Odido dus helemaal niets en dat is het ergste.

[Reactie gewijzigd door munitqua op 26 februari 2026 13:01]

Reageer
[Remmes] @munitqua26 februari 2026 14:31
Nou ik had liever dat ze gewoon betaald hadden het gaat immers wel om mijn gegevens
Ja en dan deze criminelen vertrouwen dat zij die gegevens verwijderen. Dan word er altijd gezegd "ja dat doen ze wel anders zullen de volgende slachtoffers nooit meer betalen" klinkt zeer overtuigend natuurlijk, maar niets weerhoudt hun om deze gegevens gewoon jaren te bewaren, of gedeeltelijke gegevens alsnog te verkopen. Nee deze mensen moet je vooral niet gaan belonen (en dat zeg ik als een van de vele Odido klanten)

Ik wacht wel op het onderzoek van ministerie die wellicht kan zeggen dat Odido wel moet betalen voor vervangen van ID/Passpoort etc.

[Reactie gewijzigd door [Remmes] op 26 februari 2026 14:32]

Reageer
Vaatdoek82 @munitqua26 februari 2026 14:04
Inderdaad, op zijn minst een vergoeding voor een nieuw paspoort/ID.
Reageer
Jerie @munitqua26 februari 2026 15:09
KPN geeft bij KPN Internet al jaren 5 F-Secure licenties. Hebben ze overgenomen van Xs4all. Die deden dat al tientallen jaren (3 licenties).
Reageer
Mbb15 26 februari 2026 11:44
Is er ergens te achterhalen welke gegevens van jou zijn gelekt? Dan weet ik welke maatregelen genomen kunnen worden...

Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe. Of het verstandig is om hackers te betalen is een tweede maar als je moet kiezen tussen 2 kwaden weet ik het antwoord wel.
Reageer
Silentek @Mbb1526 februari 2026 11:46
RTL had iets meer details erbij staan:

"De gestolen gegevens bevatten informatie uit het klantensysteem van Odido. Het gaat om de gegevens van zo'n 680.000 personen en 320.000 bedrijven. In de gelekte data zijn onder andere te vinden:
  • Volledige namen
  • Woonadressen
  • Telefoonnummers
  • E-mailadressen
  • IBAN's
  • Aantekeningen van klantenservice
  • Wie er aanmaningen of sommaties krijgt 
    "
bron: https://www.rtl.nl/nieuws/binnenland/artikel/5571885/odido-data-dark-web-oud-klanten-shinyhunters
Reageer
Bekers @Silentek26 februari 2026 12:01
Ik ben wel benieuwd naar de daadwerkelijke gegevens die (mogelijk) van mij gelekt zijn. (dus niet de categorie) Ik ben al lang klant bij Ben/T-Mobile/Odido en ik heb bijvoorbeeld geen idee welk documentnummer ze van mijn ID hebben liggen. Dus ik weet ook niet of het zin heeft een nieuwe te halen, want misschien is het wel al een oud nummer... (en of het überhaupt zin heeft een nieuwe te halen?)

Trouwens, in de mail die ik kreeg vanuit Odido hierover stond trouwens expliciet:
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
  • ...
  • etc.
Maar ik ben dus toch benieuwd welk nummer gelekt is (adres/e-mail/IBAN/etc. is natuurlijk duidelijk, maar gegevens van m'n ID weet ik dus niet.

En ik denk dat ook @Mbb15 dat bedoelt.
Reageer
gitaarwerk @Bekers26 februari 2026 12:09
Ga er vanuit dat alles gelekt is. Hoewel ik het zwaar klote vind, is het ook zo dat je als Odido beter niet kunt betalen. De imagoschade is meer dan ze lief is al. Als ze wel zouden betalen, dan is het alsnog mogelijk dat de gegevens uitlekken, en zijn we ook nog eens een provider kwijt. Ik wil nog steeds liever niet naar een andere provider als KPN die me persoonlijk hebben genaaid. Als de gegevens bekend zijn, dan moeten we hier wat mee... Gebeurt het hier niet nu, dan later ergens anders. Groot datalek zorgt voor de nodige verandering, ipv vele kleintjes (hoop ik). Ik hoop dat we hiervan kunnen leren. En met "we" bedoel ik niet wij als gebruikers, maar vooral grote bedrijven en overheden om na te denken over een beter systeem.

(En ja, hoop is uitgestelde teleurstelling :P )
Reageer
asset185 @gitaarwerk26 februari 2026 12:28
Alleen gaat dit verstrekkende gevolgen hebben.

Het systeem van automatische incasso's werkt niet meer zoals het gewerkt heeft. En de beveiligingsvragen die vaak telefonisch gesteld worden zijn ook waardeloos geworden.

Phising is nog nooit zo makkelijk geweest. Allerlei kleine boefjes kunnen nu grasduinen in gevoelige informatie waar zelfs uit te halen is wie mogelijk kwetsbaar is voor oplichting.
Reageer
J_van_Ekris @asset18526 februari 2026 12:45
Alleen gaat dit verstrekkende gevolgen hebben.
Nee eens. En ik denk eerlijk gezegd dat dat een goede stap is.
Het systeem van automatische incasso's werkt niet meer zoals het gewerkt heeft. En de beveiligingsvragen die vaak telefonisch gesteld worden zijn ook waardeloos geworden.
De huidige systemen zijn naief: als je mijn naam en bankrekeningnummer kent, kun je een incasso starten of bij Zalando dingen op afbetaling kopen. Gewoon absurd dat je met info die plaintext op mijn bankpas staat dit soort bevoegdheden kunt claimen. Bij bedrijven staat het zelfs op het briefpapier. We moeten af van het hebben van specifieke kennis over een persoon automatisch leidt tot bevoegdheden. In deze tijd is dat concept volledig achterhaald.

Dus ja het zuigt enorm dat er veel data op straat ligt. Maar dat is na enkele grote hacks toch al het geval. Maar de wereld waarin authenticatie gebaseerd is op "geheime informatie" is voorbij, omdat dat altijd kan lekken. Hopelijk is dit een wakeup call dat we naar een nieuw wereldbeel toemoeten waar we beter omgaan met toestemming voor riskante handelingen dan vragen hie je kat heet.
Reageer
asset185 @J_van_Ekris26 februari 2026 13:14
Je hebt zeker gelijk. De huidige systemen zijn naief. En werken al langer iet meer.

Eigenlijk is het bijzonder dat nu de gegevens van ruim 6 miljoen Nederlanders op straat liggen er niet per direct door de banken gestopt wordt met het op deze manier afhandelen van transacties. Voordat dat gaat gebeuren zal er nog wel heel wat fraude gepleegd moeten worden.

Maar het is eigenlijk zot hoe makkelijk het geworden is. Vandaag een Tor browser downloaden, even een beetje moeite doen om te zoeken naar het onion adres van deze club. En je kunt vanavond al allerlei criminele activiteiten ontplooien. Zonder enige echte ICT kennis. Cybercriminalitiet is nog nooit zo makkelijk geweest. En sterker nog. Je hoeft niet eens voor deze gegevens te betalen. Je kunt ze zo gratis downloaden. Dus geen gehannes met Bitcoin. Maar alleen even de Tor Browser downloaden en eventjes zoeken naar het onion adres.

Het is toch te idioot voor woorden dat onze digitale infrastructuur qua veiligheid een houwtje touwtje oplossing is waardoor cybercriminaliteit makkelijker geworden is dan fietsendiefstal.

[Reactie gewijzigd door asset185 op 26 februari 2026 13:26]

Reageer
SkillZ4LollZ V2 @gitaarwerk26 februari 2026 12:11
Nobele instelling, maar ik denk dat jij een van de enige bent die de huidige situatie voor lief neemt. En dat het gebeurt is een ding an sich, maar de response van Odido alleen al zou bij "not done" zijn.
Reageer
aaten @SkillZ4LollZ V226 februari 2026 12:19
Ik ben ook odido klant voor zowel mobiel als internet/tv dus mag ook een duit in het zakje doen.

Nooit maar dan ook nooit betalen. Als iedereen zich aan die standaard houdt dan is het namelijk snel afgelopen met deze ongein. Je weet nooit of de data achteraf alsnog gelekt gaat worden en je betaalt om het systeem in stand te houden. De reactie van Odido is wat mij betreft de enige juiste en zou door iedereen gehanteerd moeten worden.
Reageer
nevyn67 @aaten26 februari 2026 12:22
En als Odido gebruiker waarvan ook data zal lekken. Ik ben het ook helemaal mee eens.

NIET BETALEN!
Reageer
Rhinosaur @aaten26 februari 2026 12:23
Je bent echt ongelofelijk naïef als je denkt dat niet betalen de hackers gaat stoppen. Ze hadden gewoon verlies moeten nemen hier.
Reageer
Calypso @Rhinosaur26 februari 2026 12:30
Je bent net zo naief als je denkt dat betalen de hackers gaat stoppen of publicatie gaat voorkomen.

Het verschil? In 1 van de 2 gevallen hou je in elk geval het losgeld.
Reageer
TheBull @Rhinosaur26 februari 2026 12:31
Als je denkt dat betalen de hackers gaat stoppen, dan ben je pas naïef !!!!.
Dan houd je hun verdienmodel in stand.
Goede zaak van Odido om niet te betalen. (Ja, ik ben ook Odido klant ...)
Reageer
aaten @Rhinosaur26 februari 2026 12:33
Misschien mijn tekst nog eens doorlezen? Je lijkt het punt namelijk niet te begrijpen.

Niemand, maar dan ook echt NIEMAND zou ooit moeten betalen. Dat zou de standaard moeten zijn.

Je mag best werk voor me doen, dan ga jij een bedrag eisen en ik betaal niet. Dan ga je werk voor een ander doen, jij eist weer een bedrag en diegene betaalt niet. Vervolgens doe je weer werk voor iemand en gaat een bedrag eisen en diegene betaalt ook niet.
Ben je dan echt zo dom om een vierde keer weer werk te gaan doen terwijl je weet dat je niet betaalt gaat worden?
Reageer
Nickstyle @aaten26 februari 2026 12:40
Die ongein zal nooit stoppen. Die data blijft geld waard, nu gaan andere dat miljoen wel ophalen in via phishing en identiteitsfraude. Criminelen passen zich aan, nu doet een andere partij die fraude als we nooit betalen gaan die 2 partijen samenwerken.
Reageer
aaten @Nickstyle26 februari 2026 12:42
De grap is dat het dan vele malen minder waard wordt omdat je veel meer werk hebt terwijl de inkomsten in verhouding 0 zijn. Het is vrij naïef om dan te denken dat dingen nooit stoppen.

Beetje hetzelfde als denken dat de V&D nooit zou ophouden met bestaan.
Reageer
Nickstyle @aaten26 februari 2026 12:57
Deels heb je een punt alleen het gebeurt uit lage lonen landen en met phishing en fraude kun je wel meer als een miljoen binnenharken.

Doordat Odido niet betaald en accepteerde dat alles gepubliceerd wordt van 1/3 d Ed bevolking. Voor de fraudeurs heeft een nieuwe hack weinig waarde ze hebben ruim voldoende data om mee te gaan werken. Dat haalt iig de waarde voor de hack fors onderuit, alleen helemaal stoppen zal het nooit denk ik.

Als consument alleen als je bij die 1/3 zit is wel zuur, die groep zit de komen maanden/jaren met de risico’s.
Reageer
Geim @aaten26 februari 2026 14:08
Beetje hetzelfde als denken dat de V&D nooit zou ophouden met bestaan.
Slecht voorbeeld: https://www.vd.nl/ :)
Reageer
i-chat @aaten26 februari 2026 12:55
En dan verkoop je de data aan oplichters die betalen in de regel wat minder maar je gaat er niet van hoeven stoppen met hacken

Juist omdat dit zo goed verdient blijft onze data soms toch min of meer veilig

Een hacker die losgeld eist en het dan toch vrijgeeft is snel zijn gouden bergje keijt dus doorgaans gaat dat wel goed en kennelijk ook verbazend professioneel

Een betere optie zou zijn dat we de impact van dit soort hacks verkleinen

Geen bsn nunner maar een pgp-key om te bewijzen wie je bent een key die ook gewoon weer ingetrokken kan worden na een hack en zo zijn er tientallen maatregelen te bedenken
Reageer
Mathijs Kok @aaten26 februari 2026 15:06
Misschien mijn tekst nog eens doorlezen? Je lijkt het punt namelijk niet te begrijpen.Niemand, maar dan ook echt NIEMAND zou ooit moeten betalen. Dat zou de standaard moeten zijn
We snappen je punt wel, maar het is eenvoudig onzinnig om te denken dat dit ooit gaat gebeuren. Wetten om het betalen van losgeld strafbaar te maken hebben nog nooit gewerkt.

Als ik moet kiezen tussen het failliet gaan van mijn bedrijf of het betalen van geld, dan betaal ik. Net zoals jij dat zou doen.
Reageer
tommien @Rhinosaur26 februari 2026 12:31
Ik denk ook niet dat ze zouden stoppen als je wel betaald. Dan kunnen ze namelijk snel geld verdienen. :)
Reageer
kodak
@Rhinosaur26 februari 2026 12:45
Wat is er volgens jou naief aan de stelling? Want het verdienmodel van de criminelen is betaling krijgen door afpersing.

Natuurlijk kun je stellen dat de criminelen ook andere verdienmodellen kunnen toepassen. Maar dat is niet zomaar lucratief genoeg en dus geen zekerheid. Het is eerder naief om te denken dat betalen de criminelen stopt terwijl je er geen enkele zekerheid over hebt. Dat is ook waarom Odido geen verantwoordelijkheid neemt als de gegevens wel misbruikt worden. Het valt niet zomaar te bewijzen dat het toch uit dit lek komt. Hopen dat het niet uit dit lek komt omdat er wel betaling is gedaan is wensdenken om het goed te praten criminelen geld te geven en laten afpersen.
Reageer
hottestbrain @Rhinosaur26 februari 2026 13:22
Dus jij gelooft de afpersers hier op hun blauwe ogen? Ik zou in dat geval anderen niet als naïef wegzetten.
Reageer
JizLt82 @aaten26 februari 2026 13:16
Ook van mij is alles gestolen, incl. Documentnummer. En ook ik zeg: nooit betalen!
Behalve aan mij natuurlijk....
Reageer
ict @aaten26 februari 2026 13:54
Maar door deze wanvertoning bied odido nu alle klanten gratis 'digitale bescherming' (wat natuurlijk 100% garantie is dat je niets overkomt /s) nieuws: Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Back on topic, door de wanvertoning van odido hebben ze al betaald d.m.v. damage control in de vorm van een schijnvertoning.

En dat terwijl de oplossing die een stuk meer bescherming voor klanten bood voor het oprapen lag.

O(lie)dido(m)
Reageer
Croga @aaten26 februari 2026 14:10
Nooit maar dan ook nooit betalen. Als iedereen zich aan die standaard houdt dan is het namelijk snel afgelopen met deze ongein.
Nope. Losgeld is bijvangst. Ze verkopen deze data aan andere partijen die het gaan gebruiken om de slachtoffers échte schade te berokkenen. Of Odido nou had betaald of niet maakt de hackers echt maar heel weinig uit; het echte geld zit in de data, niet in het losgeld.

Odido heeft gelijk dat ze niet betalen. Maar dat gaat er op geen enkele manier voor zorgen dat dit soort dingen niet meer gebeuren.
Reageer
gitaarwerk @SkillZ4LollZ V226 februari 2026 12:38
Ik snap je reactie. Ik vind, net als de reageerders onder jouw reactie dat Odido niet moet betalen. Ik ben misschien wat lief omtrend de rest. Odido hun reactie verder naar klanten toe is wat mij betreft ook niet voldoende. Ik hoef zeker geen firewalls en antivirus, gratis gegeven, die wellicht meer tracking in zich hebben dan ik zelf al tegen houd... ;). Nee, dat is niet voldoende. Ik ben echt een voorvechter van privacy en in dagelijks werk hier veel mee bezig. Hoe we in algemeenheid werken is ondermaats, ver ondermaats... maar dit is niet alleen issue bij Odido, maar overal. Zelfs als er wel focus op is, is er nog zoveel te doen.

Ik vind dat we als maatschappij veel te veel willen vastleggen en meten en diigtaal willen doen, omdat het handiger/goedkoper is. In geval van het laatste, betekent het ook vaak dat er minder mensen meer beslissingsbevoegdheid hebben en minder controles (of niet toereikend). Maar Odido alleen gaat dat niet oplossen. Stel dat dit zou gebeuren bij de overheid. Zeg... DigiD heeft teveel informatie, en dat gaat wellicht zo allemaal naar de USA. Dan zijn we ook klaar. Ik weet niet wat ik erger vind, eigenlijk....

Er is een oplossing tegen dit soort issues, dat is gewoon niet je gegevens achterlaten. Maar dat wordt een lastig bestaan... de eisen van diensten en overheden zijn te hoog... voor naar de UK gaan is het invullen van de ETA is ook ingrijpend qua privacy. Ik vind het echt niet normaal hoeveel daar gevraagd word, en maar niet te spreken over de kwaliteit van de software... Enige optie is niet meer naar de UK te gaan.

Je bent gewoon de klos als burger; en we laten het ook gebeuren door allemaal gewoon door te gaan met mobiele telefoons blijven kopen, meer willen voor minder. En dan maakt het ook alleen maar aannemelijker dat we alles zullen accepteren. Bankieren zonder smartphone is bijna onmogelijk gemaakt. Diezelfde telefoon die automatisch facebook lite bijvoorbeeld installeert en activeert (en afluisters). Nog maar niet te spreken wat andere mensen meebrengen.

Sorry voor mijn spreekbeurt.. ik ben niet heel optimistisch,... maar ik hoop op verandering doort dit soort massale lekken.
Reageer
J_van_Ekris @SkillZ4LollZ V226 februari 2026 12:34
Nobele instelling, maar ik denk dat jij een van de enige bent die de huidige situatie voor lief neemt. En dat het gebeurt is een ding an sich, maar de response van Odido alleen al zou bij "not done" zijn.
Hier nog een Odido klant (zelfs 3x). De ellende dat ik nu structureel BKR en bankrekening in de gaten moet houden heb ik toch al. Ik vertrouw die hackers zowieso voor geen centimeter en voor hetzelfde geld zit ik in een "voorproefje" van de dataset. Dus als klant heb ik de pijn al.

Laat Odido dat geld maar uitgeven om mij als klant beter te helpen met schadebeperking (wat mogelijk ook langer houdbaar is dan deze ene hack) dan criminelen te belonen voor hun criminele gedrag.
Reageer
cem. @gitaarwerk26 februari 2026 12:18
Imago van Odido is al beschadigd afgelopen dagen daarom betaalt Odido helemaal niets. Odido heeft schijt aan de klanten, Odido houdt liever miljoenen voor zich zelf dan al het gegevens van klanten op straat komt.
Reageer
divvid @cem.26 februari 2026 12:26
die komen toch wel op straat. rechtstreeks of via de achterdeur. Als klant kan je beter met je portemonnee hierover een mening geven, dat helpt meer
Reageer
ict @divvid26 februari 2026 14:03
Mijn odido internet thuis abonnement gaat pas over een paar weken in, monteur moet nog langskomen. €110 cashback is al binnen. Mobiel abonnement is al ingegaan. iPhone 16 (voor €280 gekocht door korting via odido) ook binnen, dat abonnement loopt nog wel bijna twee jaar maar deze hack/nalatigheid is contractbreuk van odido toch (contract zegt vast wel ergens dat ze mijn gegevens niet op straat gooien)? Ik zou dus als klant zonder boete alles kunnen opzeggen(?)
Reageer
kw_nl @cem.26 februari 2026 12:30
Je weet toch wel hoe dit werkt? Je hebt 0 garantie dat als je betaalt dat het dan klaar is. De kans dat ze over een half jaar weer geld vragen met het zelfde dreigement is reëel.
Reageer
Prince @cem.26 februari 2026 12:32
Het is erg dubbel.

Betalen ze, dan zetten ze deze groep aan om dit vaker te doen bij anderen.

Nu blijkt het toevallig zo te zijn dat Odidoo data bewaarde die ze al hadden moeten weg doen, maar dit wist de groep ook maar pas nadat ze deze data hadden. Ze minimaliseren hun criminele gedrag omdat Odidoo ergens oude gegevens niet opgeruimd hadden.

Niet onderhandelen met criminelen of terroristen is de beste zet. Geen geld betalen, niet toegeven aan dwang of de eis om losgeld te betalen.

Je mag er zeker van zijn dat Odidoo helemaal doorgelicht gaat worden door de juiste instanties en boetes zullen krijgen voor de inbreuken die ze gemaakt hebben. Dit neemt niet weg dat deze hacker-groep crimineel is en zelf ook een correcte straf moeten krijgen voor de inbreuken die zij gemaakt hebben.
Reageer
ict @Prince26 februari 2026 14:15
Niet onderhandelen met criminelen of terroristen is de beste zet. Geen geld betalen, niet toegeven aan dwang of de eis om losgeld te betalen.
Maar de zelfde overheid die dit altijd hoog van de toren blaast doet het zelf wel geregeld.

Google: overheid betaald losgeld terroristen
Je mag er zeker van zijn dat Odidoo helemaal doorgelicht gaat worden door de juiste instanties en boetes zullen krijgen voor de inbreuken die ze gemaakt hebben.
De boetes die de Autoriteit Persoonsgegevens (AP) oplegt zijn doorgaans peanuts en als ze al tot een boete komen is het nog maar de vraag of die in stand wordt gehouden.

nieuws: Raad van State houdt AVG-boete voor DPG in stand, maar verlaagt die met de helft

en vervolgens eindigt het geld van de boetes niet bij gedupeerden maar bij de overheid die vervolgens de AP in de kou laat staan:

nieuws: Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging
Reageer
Thijs_Rallye @cem.26 februari 2026 14:49
Odido heeft schijt aan de klanten
Dat was wel duidelijk als ze zo schofterig omgaan met die gegevens.
Reageer
LightningWave @gitaarwerk26 februari 2026 12:25
Waarom zouden we een provider kwijt raken als ze betalen?
Reageer
66JustMe819 @gitaarwerk26 februari 2026 12:37
Of Odido betaald de hackers of Odido vergoed getroffenen de kosten voor nieuwe identiteitsbewijzen en wat dies meer zij om de gestolen informatie irrelevant te maken. Aangezien Odido geen van beide doet en ook niet van plan lijkt te zijn zijn alle praatjes in de zin van "betalen is contraproductief" excuuspolitiek en iedereen die daar intrapt, mijns inziens, nogal goedgelovig op zijn minst. Als klant betaal je gewoon dubbel, je abonnementskosten en de schade die door deze hack veroorzaakt wordt, als Odido (aandeelhouder) loop je 0 risico.....
Reageer
gitaarwerk @66JustMe81926 februari 2026 12:43
Ik zie nog steeds liever dat Odido niet betaalt aan de hackers. Aan vervanging van identiteitsbewijzen, lijkt mij ook een goed idee.

Als klant betaal je zeker dubbel, en als burger driedubbel. AVG boetes komen ook niet bij ons terecht. En dan niet te spreken over de gemaakte uren om je in te dekken en controles. Maar als consument zijn je uren niets waard.
Reageer
BzR @gitaarwerk26 februari 2026 13:03
Bij je principe blijven is natuurlijk goed maar Odido naait jou nu ook, dan wel niet persoonlijk maar hebben er geen moeite mee om hun ex klanten te naaien door gegevens langer te bewaren als nodig of zoals het naar lijkt, ook gegevens over klanten hun persoonlijke situaties en betaalgedrag en wie zegt dat ze dat niet van jou hebben zonder dat je het weet? Het is een onbetrouwbare club.

Die informatie hebben zij totaal niet nodig voor hun dienstverlening dus eigenlijk zou de ACM nu moeten optreden en Odido keihard moeten aanpakken of zelfs moeten sommeren hun activiteiten in Nederland te stoppen.

Die hack is al heel dom dat met een mooie praatje je blijkbaar heel makkelijk aan gegevens kan komen maar goed dat kan bij andere providers misschien ook wel gebeuren maar informatie bewaren van ex klanten die allang al weg zijn of nog erger, persoonlijke situaties en betaalgedrag van klanten bewaren is misschien nog wel erger als het data lek zelf.
Reageer
gitaarwerk @BzR26 februari 2026 14:40
Helemaal mee eens. Ik moet het ook beetje op mij in laten werken en wat voor gevolgen dit mogelijk voor mij gaat hebben. In verhouding met KPN laten ze me niet betalen voor niet geleverde diensten en tegen willen en wetens bepaalde praktijen uitvoeren waar ze onder hun dienstverlining uitkomen. Fatsoen laat ik even achterwege in vergelijking met Odido :+

Het meer data bewaren dan nodig is, klopt. Maar deels. Niet alle data valt over een kam te scheren. Sommige data heb je nodig voor je wettelijke bewaartermijn voor de belastingdienst. Dan heb je meer systemen. En ieder systeem, mits goed getagerosieerd heeft hun eigen doelstelling met de daarbijbehorende wettelijke bepalingen. De ene harder dan de andere, afhankelijk van het privacy beleid, wetgeving en voorwaarden. Mijn kennis rijkt niet verder dan dat ik weet wat er bij komt kijken, maar niet in detail hoe dit zit.

Die hack is inderdaad "dom", maar vergis je niet hoe gemakkelijk je overal kan komen met een babbeltruc, een linkje, etc. Overigens als medewerker van een bedrijf op bepaalde posities kan je beter die gegevens niet op linkedIn zetten. Maar iedereen vind dat we dit moeten doen. Dit is een goudmijn voor social engineering. Daar kan ik ook een aardige rant over houden, maar denk dat hier op tweakers een bekend verhaal is.

Ik vind wel dat je bepaalde data echt wel nodig is voor je dienstverlening. Maar gevoeligere data, bijvoorbeeld van bekende/beruchte Nederlanders, of speciale gevallen, door teams gedaan moeten worden met meer bevoegdheden. Daar zou je ook niet zomaar bij kunnen komen.

Best practise is ook vaak gelaagdheid in deze priveleges. Zowel in de interfaces, als in APIs met bijbehordene authenticatie en authorisatie. Daar gaat het vaak mis, mede door artificiele deadlines en shortcuts met ondoordachte risicoanalyse.

En... bedrijfscultuur helpt soms wel/niet mee.
Reageer
NeverSettle @gitaarwerk26 februari 2026 13:10
Als ze wel zouden betalen, dan is het alsnog mogelijk dat de gegevens uitlekken, en zijn we ook nog eens een provider kwijt.
Geen idee hoe het zit met de groep ShinyHunters, maar er zijn hacker groepen die zich wel aan de deal houden. Als zij dat niet doen dan zijn zij niet meer geloofwaardig en betalen de volgende gehackte slachtoffers (organisaties/bedrijven) niet.

Aan de andere kant kan ik Odido ook wel begrijpen, zij hebben al reputatie schade opgelopen. Door te gaan betalen voor de gelekte data is dat ook min of meer een uitnodiging voor toekomstige hacks.
Reageer
gitaarwerk @NeverSettle26 februari 2026 14:43
Klopt.. een hoop hacks zijn gewoon businessmodels. Het is eigenlijk te gek voor woorden. Maar overheden en bepaalde bedrijven doen dit bijna ook openlijk. NSO-group bijvoorbeeld. Overheden maken hier ook graag gebruik van. En niet vergissen, ook overheden hebben belang bij aankoop van dit soort data. Ik gok dat bepaalde grote landen hier rustig voor willen betalen. Zowel vijanden,...als bondgenoten. En dat klinkt allemaal heel alu-hoedje; wellicht is het ook een beetje? who knows...
Reageer
bArAbAtsbB @gitaarwerk26 februari 2026 15:47
het is veel erger dat men 9 MILJARD winst heeft gemaakt in 2024 (2025 nog niet bekend) maar hun beveiliging gewoon niet op orde hebben!

Ze zijn direct verantwoordelijk voor alle gevolgschade, en dat gaat mogelijk meer kosten dan 1 miljoen losgeld!
Reageer
Snuitebolletje @Bekers26 februari 2026 12:30
Hier ook erg benieuwd wat er van mij gelekt is. Mobiel, vast, oude tele2 en t-mobile gegevens....
Ik kreeg op email adressen die >8 jaar geleden gebruikt zijn voor een t-mobile abonnement nog een waarschuwing.

Toch ben ik blij dat ze niet betaald hebben. Niet laten afpersen, daarmee hou je het alleen maar in stand.
Reageer
keepbeep @Bekers26 februari 2026 12:51
Daar ben ik inderdaad ook erg benieuwd naar. Welk id hebben ze van mij bewaard en is die nog geldig? Alleen dan weet ik wat ik moet vernieuwen.
Reageer
Hansie9999 @Silentek26 februari 2026 12:19
Aantekeningen van klantenservice
Daar ben ik wel benieuwd naar, of er veel mensen gaan kunnen kijken of ze officiëel een "McEnroe" zijn :)

Als ze daar eens in gaan neuzen gaan denk ik nog de meeste "schandaaltjes" boven komen :)
Reageer
HijDieAllesWeet @Silentek26 februari 2026 12:27
Als de data toch openbaar raakt is er misschien een handige jongen die er een telefoongids website van maakt. Kan nog best handig zijn.
Reageer
Mathijs Kok @HijDieAllesWeet26 februari 2026 15:13
Als de data toch openbaar raakt is er misschien een handige jongen die er een telefoongids website van maakt. Kan nog best handig zijn.
Als al mijn data daarin zou staan, zou ik daar niet erg blij over zijn.
Reageer
Upr0ar @Silentek26 februari 2026 13:04
Goed om te weten, dan hebben ze nu dus alleen nog maar mijn volledige naam en woonadres - de rest heb ik inmiddels al gewijzigd.
Reageer
scramados @Mbb1526 februari 2026 11:46
Mijn gegevens zitten er ook tussen en toch wil ik dat Odido niet betaalt. Het betalen van zulke hacker groepen geeft 0 garantie en zorgt er wel voor dat ze nog meer geld hebben om de volgende hack uit te voeren.
Reageer
mugenmarco @scramados26 februari 2026 11:51
Mijn gegevens zitten er ook tussen en toch wil ik dat Odido niet betaalt. Het betalen van zulke hacker groepen geeft 0 garantie en zorgt er wel voor dat ze nog meer geld hebben om de volgende hack uit te voeren.
Het verleden leerde ons dat hackers vaak data niet online zetten als ze betaald krijgen, waarom zou dat nu anders zijn?

Juist als ze betaald worden en alsnog alles online gooien krijgen ze een 'slechte reputatie' (ja, ze hebben al een slechte reputatie maar in dat geval zal niemand nog betalen 'want ze gooien alles toch wel online').

Het is niet alleen de imago schade, maar ook dat ze het vertrouwen van veel klanten kwijt zijn geraakt door niet te betalen of zo'n enorm lakse houding aan te nemen.
Reageer
Acroynum @mugenmarco26 februari 2026 11:53
Als je nooit betaald, dan hebben ze ook geen reden om te hacken.
Behalve om schade aan te richten aan een bedrijf.

Wanneer ze nooit betaald krijgen, wat heeft het hacken dan zin?
Je hebt links- of rechtsom bij zo'n hack reputatieschade.

[Reactie gewijzigd door Acroynum op 26 februari 2026 13:07]

Reageer
Bomb-el @Acroynum26 februari 2026 12:16
Zo werkt het toch gewoon niet, snap niet dat iedereen met deze redenering een +2 krijgt.

Die gasten hebben ook gewoon een business model. En ja, je weet uiteraard nooit of ze de data niet alsnog lekken of verkopen, maar je weet nu in elk geval zeker dat je 8 miljoen huishoudens in de stress en mogelijk in de problemen brengt. Dat is half Nederland.

Het is gewoon principieel doen over de rug je klanten terwijl je zelf de boel hebt verkloot. Of denken we nu echt dat hackers er mee gaan stoppen? Zo naïef zijn we niet met zijn allen toch? |:(
Reageer
BRAINLESS01 @Bomb-el26 februari 2026 12:34
Het is naïef om te denken dat criminelen zich netjes aan de afspraak gaan houden als je ze betaald. Odido had hierin nooit een keuze, zodra iemand er met de data vandoor gaat is het te laat. Die stress bij 8 miljoen huishoudens was niet meer te voorkomen, maar Odido heeft het zo netjes mogelijk opgelost door de hack te melden en in het nieuws te brengen. Er zijn ook bedrijven die proberen het te verbergen, dat wordt gelukkig steeds lastiger.

Odido had meer moeten doen om te voorkomen dat de data gejat kon worden, dat is het enige dat je ze kwalijk kunt nemen. Betalen is het domste wat je kunt doen, zodra de eerste betaling binnen is krijg je de volgende mail voor de volgende betaling.
Reageer
Bomb-el @BRAINLESS0126 februari 2026 12:46
Oprechte vraag, ben jij klant van Odido? Ik wel en ik ken er genoeg en er is werkelijk niemand die vindt dat ze dit netjes hebben opgelost.

Ze hebben welgeteld 1 mail verzonden naar hun klanten. En vervolgens een dag of twee later gezegd dat je niet hoef te rekenen op compensatie. Dit verborgen houden was natuurlijk nooit een optie met een lek van deze omvang, dus daarin hadden ze ook weinig keuze. Damage control, bang voor imagoschade, maar geen enkel invoelend vermogen getoond naar de klanten.

Ze hebben elke stap in de proces vooral aan zichzelf gedacht. Ik vind dat behoorlijk kwalijk, schrijnend eigenlijk.
Reageer
BRAINLESS01 @Bomb-el26 februari 2026 14:08
Nee, maar dat maakt ook niet zoveel uit. Ik heb het nieuws gelezen, het was overduidelijk dat Odido hier ook niet blij mee is en dat ze er achteraf niet zo gek veel meer aan kunnen doen. Odido had weinig opties en het kost ze hoe dan ook al een enorme bak geld, naast de imagoschade. Ik snap wel dat ze niet ook nog financiële compensatie aan klanten willen (of kunnen) geven, uiteindelijk is het geld een keer op. Bovendien zijn klanten niet echt geholpen met een paar euro compensatie, hoeveel moet je dan bieden voordat mensen zoals jij tevreden zijn? Ze hebben netjes een mail gestuurd waarin ze aangeven wat er gestolen is, ze hebben de pers netjes op de hoogte gebracht en gehouden, en ze hebben de afpersers niet betaald. Wat wil je nog meer?

Overigens bieden ze wel compensatie, in de vorm van een gratis 2-jarig F-Secure abonnement. Jij kiest er schijnbaar voor om dat niet te gebruiken. Dat zou ik waarschijnlijk ook niet doen, dus ik snap je keuze. Toch is het dan niet netjes om te doen alsof er helemaal geen compensatie is.
Reageer
Bomb-el @BRAINLESS0126 februari 2026 15:22
Dat laatste klopt, maar dat hebben ze niet eens actief naar de klanten gecommuniceerd. Dat was toch wel het minimale wat ze hadden kunnen doen. Ik denk dat we een andere definitie hebben over wat netjes is

En het is basis van mijn eerdere berichten denk ik wel duidelijk wat ik persoonlijk vind wat ze (nog meer) hadden kunnen en moeten doen. :)
Reageer
Jerie @BRAINLESS0126 februari 2026 15:16
Doorgaans doen criminelen die het om het geld gaat dat wel. Dat is een honor among thieves. Doen ze dat niet dan hebben toekomstige klanten slachtoffers minder motivatie om te betalen. Daar gast hun verdienmodel.

Tenzij het de criminelen niet om het geld gaat (statelijke actor). Dat vermoeden heb ik hier.
Reageer
aaten @Bomb-el26 februari 2026 12:20
De enige reden waarom hackers er niet mee stoppen is omdat bedrijven vaak betalen. Als niemand meer betaald en er goede vervolging op is dan houdt het inderdaad vanzelf op. Dat heeft niets met naïviteit te maken maar met het businessmodel.

Je doet werk omdat je betaald krijgt, krijg je niet betaald dan stop je met dat werk.
Reageer
Bomb-el @aaten26 februari 2026 12:28
Als jij denkt dat het vanzelf gaat ophouden omdat niet iedereen betaalt, dan je dus wel naïef. Sterker nog, ze zullen waarschijnlijk proberen nog gevoeligere data te gaan stelen. Ze hadden gewoon de boel op orde moeten hebben en weigeren nu op de blaren te gaan zitten. Dat mogen wij doen.

Nogmaals, het is gewoon principieel doen over de rug van je eigen klanten. En ook nog voor een waanzinnig laag bedrag, voor de orde van grootte van het bedrijf.
Reageer
aaten @Bomb-el26 februari 2026 12:30
Even mijn tekstje nog een keer lezen zou ik zeggen. Dat is namelijk niet wat ik zei.
Reageer
liberque @aaten26 februari 2026 13:32
Als een bedrijf niet betaalt dan verkopen ze toch gewoon de datasets aan de hoogste bieder? Een bedrijf de mogelijkheid geven om dit voor te zijn en er dan in 1 keer een mooi bedrag voor te vangen neemt niet weg dat die data op de zwarte markt ook het nodige waard is. Dat Odido nu niet betaalt maakt an sich voor de hackers niet uit. Ze krijgen toch wel geld dus nee; het houdt niet vanzelf op.
Reageer
nevyn67 @Bomb-el26 februari 2026 12:25
Harddrugsverkopers hebben ook een verkoopmodel - dan ook maar toestaan?

Wanneer je criminaliteit normaliseerd - dan gaat het pas echt achteruit met de maatschappij...
Reageer
Bomb-el @nevyn6726 februari 2026 12:36
Wie heeft het hier over toestaan? Het blijft nog steeds illegaal en hopelijk worden ze gepakt. Die kans lijkt me overigens bijzonder klein, maar dat terzijde.

Het is imo gewoon veel te makkelijk van odido om het zo maar principieel af te doen. Het is niet zo dat er niet vaker met criminelen of terroristen wordt onderhandeld. Dat is nooit wat je wil, maar helaas heb je soms geen keuze.

Maar goed, blijkbaar zit niet iedereen er hetzelfde in.
Reageer
Metalfreak @Bomb-el26 februari 2026 12:45
Simpel: als je betaalt ben je onderdeel van het probleem. Strikt gezien mag je in het kader van know your customer hier dan ook niet eens zaken mee doen en ben je op dat moment net zo illegaal bezig.

Mijn gegevens als ex-klant zitten er ook in en ik vind het een goede zet dat ze niet betalen of onderhandelen.
Reageer
ict @Bomb-el26 februari 2026 14:20
Zodra mijn moderatiestatus het toelaat te stemmen kom ik hier terug, ben het volledig met je eens! Naïviteit is de kern waar het fout gaat.
Reageer
drdelta @Acroynum26 februari 2026 12:23
Dergelijke data sets worden op de zwarte markt ook gewoon verkocht om mensen mee op te lichten.

Wellicht betaald Odido niet, maar dat wil niet zeggen dat een groep scammers er niet voor zou betalen.
Reageer
raceeend9 @Acroynum26 februari 2026 12:57
ze kunnen de data altijd nog verkopen. waarom denk je dat Facebook/google zo groot is? nog maar niet te spreken over informatie die kruidvat doorvekoopt over aankopen.
Waarschijnlijk lekt deze data dan wel uit door het te verkopen aan data handelaren of op het deep-web.
Reageer
Dennism @mugenmarco26 februari 2026 11:57
Het is niet alleen de imago schade, maar ook dat ze het vertrouwen van veel klanten kwijt zijn geraakt door niet te betalen of zo'n enorm lakse houding aan te nemen.
Dan werk je dus mee aan 'misdaad loont', een imho zeer gevaarlijke ontwikkeling. Van mij zou het betalen van dit soort afpersing wettelijk verboden mogen worden met zeer hoge straffen, inclusief persoonlijke aansprakelijkheid voor bestuurders, wanneer instanties of bedrijven het toch zouden doen om inbraken 'stil' te houden.

Verder denk ik dat de houding nog de grootste invloed zal hebben op het vertrouwen van de klanten. Het niet betalen zie ik eerder als pluspunt, ook al zijn mijn gegevens mogelijk gelekt.
Reageer
drdelta @Dennism26 februari 2026 12:27
Laten we het dan eerst strafbaar maken, en mensen persoonlijk aansprakelijk stellen, wanneer dit soort informatie überhaupt in deze vorm kan lekken.

Als Odido (et al) al hun klant data nou eens niet in een online omgeven zouden zetten waardoor miljoenen records persoonlijk identificeerbare data zo kunnen lekken. Zelfde met de medische data die bij Clinical Diagnostics kon lekken.
Reageer
Apiekool @drdelta26 februari 2026 12:47
Wie maak je dan strafbaar? De CEO? Head of IT? Of de systeembeheerder die een vinkje vergeten is te zetten (been there, done that, got the T-shirt).

Het is altijd lekker makkelijk vanuit de onderbuik te redeneren. Zo makkelijk is het allemaal niet.
Reageer
drdelta @Apiekool26 februari 2026 13:54
Wie maak je dan strafbaar? De CEO? Head of IT? Of de systeembeheerder die een vinkje vergeten is te zetten (been there, done that, got the T-shirt).
Het lijkt me logisch om te beginnen met de CEO, en het hoofd van IT afdeling, en je kunt inderdaad een discussie hebben over hoe "diep" je moet willen gaan. Als één enkel vinkje deze hack veroorzaakt heeft is het systeem en de manier waarop toegang geregeld wordt volgens mij inherent ontoereikend.
Het is altijd lekker makkelijk vanuit de onderbuik te redeneren. Zo makkelijk is het allemaal niet.
Mogen we niet meer verwachten van miljarden bedrijven, die continue onze persoonlijke data lekken, door hun gebrekkige beveiliging?
Reageer
Apiekool @drdelta26 februari 2026 14:31
Natuurlijk mogen we meer verwachten, zeker op het gebied van "wie mag waarbij". Maar na tientallen jaren werken in de IT weet ik dat niet alles altijd is af te dekken.

In dit geval zijn er door phising usernames/passworden ontfutseld. Ook na alle mogelijke training en awareness campagnes kan dit gewoon gebeuren. Het is rot, maar het is gewoon zo.
Reageer
Mathijs Kok @drdelta26 februari 2026 15:19
Het lijkt me logisch om te beginnen met de CEO,
Dus voor elke overtreding die een bedrijf maakt, is de CEO verantwoordelijk? Neem een groot bedrijf als Shell, ik kan je verzekeren dat die elke dag wel ergens op de wereld een boete krijgt. En al die overtredingen moeten dan op het conto van de CEO? Dat is onzinnig en daarom werkt de wet ook niet zo.
Reageer
Metalfreak @drdelta26 februari 2026 12:47
Laten we het dan eerst strafbaar maken, en mensen persoonlijk aansprakelijk stellen, wanneer dit soort informatie überhaupt in deze vorm kan lekken.
Het is natuurlijk kwalijk wat er gebeurd is, en zeker op deze schaal, maar zoals jij het stelt zou nooit meer iemand een foutje mogen maken in zijn of haar werk. En dan is het strafbaar, voel jij je dan beter uit een soort wraakgevoel? De gegevens liggen alsnog op straat. Laten we vooral leren van deze hack.
Reageer
drdelta @Metalfreak26 februari 2026 13:48
[...]

Het is natuurlijk kwalijk wat er gebeurd is, en zeker op deze schaal, maar zoals jij het stelt zou nooit meer iemand een foutje mogen maken in zijn of haar werk.
Iemand heeft een systeem bedacht waarmee alle klant data, onversleuteld, door één gebruiker, vanaf het internet, downloadbaar is. "Een foutje maken" staat compleet niet in verhouding tot de schaal waar we het hier over hebben.
En dan is het strafbaar, voel jij je dan beter uit een soort wraakgevoel? De gegevens liggen alsnog op straat.
Dit heeft niets met wraak te maken. Alleen strafbaarstelling zorgt er voor dat dit niet slechts een kosten/baten analyse blijft, zoals dat nu is. En waardoor het nu keer op keer fout blijft gaan.
Laten we vooral leren van deze hack.
Wat gaan we leren uit deze hack, en de volgende hack? Dat bedrijven zoals Odido onze persoonlijk identificeerbare gegevens niet veilig kunnen opslaan? Dat zal ze leren.. :z
Reageer
Dennism @drdelta26 februari 2026 13:09
Hier is sprake geweest van phishing volgens de berichtgeving, kwalijk, maar lastig met 100% te voorkomen. Ik denk dat een foutje maken door een medewerker strafbaar maken niet de oplossing is.

Wel denk ik dat inderdaad dit soort gegeven beter afgeschermd moeten worden, ik snap dat zelfs een helpdesk medewerker veel van deze gegevens nodig heeft om het werk te moeten doen. Zorg er dan echter voor dat het inderdaad niet 'zomaar' vanaf internet te benaderen is, maar enkel via beveiligde omgevingen waar de medewerkers enkel met een andere set credentials in kunnen komen en alleen via beveiligde verbindingen kunnen benaderen.
Reageer
drdelta @Dennism26 februari 2026 13:59
Hier is sprake geweest van phishing volgens de berichtgeving, kwalijk, maar lastig met 100% te voorkomen. Ik denk dat een foutje maken door een medewerker strafbaar maken niet de oplossing is.
Een enkele fout van een medewerker moet ook niet deze impact kunnen hebben.
Wel denk ik dat inderdaad dit soort gegeven beter afgeschermd moeten worden, ik snap dat zelfs een helpdesk medewerker veel van deze gegevens nodig heeft om het werk te moeten doen. Zorg er dan echter voor dat het inderdaad niet 'zomaar' vanaf internet te benaderen is, maar enkel via beveiligde omgevingen waar de medewerkers enkel met een andere set credentials in kunnen komen en alleen via beveiligde verbindingen kunnen benaderen.
Geen enkele (helpdesk) medewerker heeft onbeperkte toegang tot alle informatie van 8 miljoen klanten nodig.
Reageer
CAPSLOCK2000
@Dennism26 februari 2026 12:43
Van mij zou het betalen van dit soort afpersing wettelijk verboden mogen worden met zeer hoge straffen, inclusief persoonlijke aansprakelijkheid voor bestuurders, wanneer instanties of bedrijven het toch zouden doen om inbraken 'stil' te houden.
Ik ben fel tegen betalen, maar het verbieden zal zorgen dat de afgepersten geen aangifte meer durven doen en geen hulp kunnen vragen bij professionals (die op hun beurt aangifte zouden moeten tegen hun klant) als zelf denken dat betalen de beste/enige optie is.

Laten we al onze energie richten op preventie (oa door dataminimalisatie), niet op slachtoffers nog verder onder druk zetten. Grote druk op het slachtoffer is in het voordeel van de afpersers.
Reageer
ict @Dennism26 februari 2026 14:31
Naast dat de overheid gewoon losgeld aan terroristen en consorten betaald loont misdaad toch gewoon? Anders hebben wij een heel ander wereldbeeld. Vrede en eerlijkheid bestaan niet. Genoeg bedrijven die de de samenleving/het milieu/de wereld/enz. benadelen en er met een schijntje vanaf komen als ze al bestraft worden. En dan heb ik het nog niet eens over dat belastingontwijking technisch gezien geen ontduiking is maar dat het (o.a. d.m.v. lobbyen) wel mogelijk wordt gemaakt om hiervan gebruik te maken, alsof dat het minder kwalijk maakt. Kijk recentelijk naar die 'vrijheidsbijdrage', bedrijven hebben het meeste last van onrust en toch mogen de burgers onevenredig de rekening betalen en uiteraard betalen de rijkste relatief minder dan de armste.
Reageer
pixeled @mugenmarco26 februari 2026 12:07
Het verleden leerde ons dat hackers vaak data niet online zetten als ze betaald krijgen [...]
Is dat zo? Mag ik vragen waar je dat baseert? Wie zegt dat hackers jaren later niet alsnog de boel lekken of verkopen? Voor hen is dat zeker de moeite waard, het levert dubbele inkomsten op.
Reageer
demianmonteverd @pixeled26 februari 2026 12:11
Het is al voorgekomen dat men betaald en de gegevens toch nog een keer verkoopt. Niet betalen is de enige oplossing. Het is pijnlijk en vernederend, maar het is niet anders.
Reageer
vlieger200 @mugenmarco26 februari 2026 12:03
Je gegevens staan links om of rechts om toch al op het dark web. Denk je echt dat Odido het eerste bedrijf is dat gehackt is? Nee, alleen tegenwoordig heb je een meldplicht in Nederland en voorheen niet. We hebben het nog niet eens over je gegevens bij buitenlandse bedrijven. Daarnaast zijn er ook genoeg gegevens al gestolen zonder dat de bron hier vanaf weer omdater niet altijd een afpersing plaats vind.

[Reactie gewijzigd door vlieger200 op 26 februari 2026 12:04]

Reageer
bzuidgeest @mugenmarco26 februari 2026 12:09
Het verleden leert ook dat vaak later stukken alsnog op het internet verschijnen. Groepen vallen uit elkaar. Leden en ex leden stelen van elkaar. De groep kan opgeheven worden en dan doet de opvolger wat anders.

Misdaad mag niet lonen. Dus niet betalen vind ik als odido klant de beste optie. ondanks het gevaar ervan.
Reageer
DdeM @bzuidgeest26 februari 2026 13:07
Groepen hoeven er niet eens eerst voor uit elkaar te vallen: https://www.phishlabs.com/blog/ransomware-groups-break-promises-leak-data-anyway

Het verleden leert gewoon dat ook bekende groepen zich niet aan afspraken houden. Je zou bijna denken da lt het criminelen zijn.........
Reageer
bzuidgeest @DdeM26 februari 2026 13:08
Kijk mooie toevoeging, ik had zo vlug niet een link.
Reageer
kozue @mugenmarco26 februari 2026 12:27
Als niemand zou betalen heeft deze vorm van criminaliteit geen zin meer en sterft het vanzelf uit. Door te betalen laat je zien dat hiermee geld te verdienen valt en trekt het andere criminelen aan om hetzelfde te doen.
En je maakt van je bedrijf een target voor andere hackers. Als je niet betaalt is de motivatie bij anderen niet aanwezig om jou aan te vallen,
Reageer
mhnl1979 @mugenmarco26 februari 2026 12:29
Het verleden leert ook dat er geen garanties zijn. Het blijven criminelen. Voor hetzelfde geldt betaalt Odido (gaat de maandelijkse prijs omhoog) en worden de gegevens verpatst aan andere criminele organisaties.
Reageer
Biggg @mugenmarco26 februari 2026 13:26
Dus ze zetten dan jouw (de consument) gegevens niet online, maar hebben wel weer een aantal miljoen om mensen in te huren zodat ze elders jouw gegevens kunnen stelen.
Reageer
checkpointx @scramados26 februari 2026 12:25
Wat een onzin dat het 0 garantie geeft dat de gegevens niet alsnog naar buiten komen. Het hele business model van dit soort hackersgroepen is dat ze betrouwbaar zijn. Als ze nu de gegevens van Odido alsnog naar buiten zouden brengen als er betaald is, dan zal een volgende partij die ze hacken zeker niet betalen.

Het merendeel van dit soort hackersgroepen is vrij professioneel en betrouwbaar, vaak hebben ze ook gewoon een soort "klantenservice" waar je mee praat en onderhandelt als getroffen bedrijf en ook kan er onderdeel van de deal zijn dat ze het getroffen bedrijf helpen om de beveiliging op te schroeven om een volgende hack te voorkomen.

Het klinkt allemaal leuk van "we onderhandelen niet met hackers" maar dit ligt echt veel genuanceerder. Je moet ook het belang van de mensen niet vergeten van wie de data gelekt is. Aangezien dat hier aanzienlijk lijkt te zijn vind ik het wel erg makkelijk om te zeggen "goed dat ze niet betalen".
Reageer
Zoidberg_AvG @checkpointx26 februari 2026 13:08
Wat een onzin dat het 0 garantie geeft dat de gegevens niet alsnog naar buiten komen. Het hele business model van dit soort hackersgroepen is dat ze betrouwbaar zijn. Als ze nu de gegevens van Odido alsnog naar buiten zouden brengen als er betaald is, dan zal een volgende partij die ze hacken zeker niet betalen.
Je kan simpelweg niet van garantie spreken als je überhaupt niet weet wie de hackers zijn, er is nul garantie dat de gegevens na betaling gewoon bewaard worden en over x jaar alsnog op het dark-web verkocht worden. Het enige wat we kunnen vaststellen is dat het om een club mensen met een slecht werkend moreel kompas gaat, ik hang zelf weinig waarde aan de beloften van dit soort mensen.
Het klinkt allemaal leuk van "we onderhandelen niet met hackers" maar dit ligt echt veel genuanceerder. Je moet ook het belang van de mensen niet vergeten van wie de data gelekt is.
Het belang van de mensen van wie de data gestolen is en de mensen van wie de data in de toekomst gestolen gaat worden is dat er geen winst te halen is met het stelen van data.

Het "we onderhandelen niet met hackers" rust op hetzelfde principe als "we onderhandelen niet met terroristen", Je helpt de situatie op korte termijn mij houdt ondertussen het probleem in stand.
Kennelijk leveren de gegevens veel minder op op het darkweb dan het miljoen dat ze van odido vragen, anders hadden ze er wel direct voor gekozen de gegevens te verkopen.

Nooit betalen == minder geld voor dit soort clubs om hun activiteiten van te betalen == op termijn minder hacks.
Ik zit zelf niet bij Odido maar als dat wel zo was zou ik alsnog willen dat ze niet betalen, liever mijn gegevens openbaar dan dat ik indirect meebetaal aan de volgende hack.
Reageer
ict @Zoidberg_AvG26 februari 2026 14:38
Het "we onderhandelen niet met hackers" rust op hetzelfde principe als "we onderhandelen niet met terroristen", Je helpt de situatie op korte termijn mij houdt ondertussen het probleem in stand.
Waarom blijft de overheid het dan doen? (Google: Nederland betaald losgeld terroristen)
Kennelijk leveren de gegevens veel minder op op het darkweb dan het miljoen dat ze van odido vragen, anders hadden ze er wel direct voor gekozen de gegevens te verkopen.
Dit klinkt als een aanname, of weet jij uit welke ethische belangen deze partij opereert? Het is toch alom bekend dat betalen & publiceren de partij in zijn eigen voet schiet. Daarnaast moeten bedrijven de beveiliging op orde hebben. Wees blij dat er hackers zijn die hier aandacht voor vragen en zelfs een oplossing bieden, een incentive vanuit de overheid komt er niet hoor.
Reageer
Zoidberg_AvG @ict26 februari 2026 16:17
Waarom blijft de overheid het dan doen? (Google: Nederland betaald losgeld terroristen)
Omdat de Nederlandse overheid niet perfect is.

Een link naar een Google search ga ik trouwens niet eens naar kijken, als je een punt wil maken kom je maar met links naar artikelen.
What's next, moet ik ook nog even naar de lokale bibliotheek om te kijken of er in de boeken nog iets te vinden is dat bij jouw standpunt past?
Dit klinkt als een aanname, of weet jij uit welke ethische belangen deze partij opereert?
Ze willen geld, dat heeft weinig met etnische belangen te maken. Uit niks wat ShinyHunters in het verleden hebben gedaan blijkt dat iets anders dan geld verdienen als motivatie hebben.
Reageer
ceekah @scramados26 februari 2026 11:51
Vervelend! Dit ook al bekend op https://haveibeenpwned.com/ ?
Reageer
Comilion @ceekah26 februari 2026 11:55
Staat deze er al op? Ik ben al een lange tijd klant van odido of eerdere overnames, en heb nog altijd 0 berichtgeving ontvangen. Lijkt me sterk dat ik er niet tussen zit. Ook op haveibeenpwned sta ik er niet tussen.
Reageer
jpsch @ceekah26 februari 2026 12:05
Staat iedereen daar niet op, via de LinkedIn hack?
Reageer
DonJunior @jpsch26 februari 2026 12:56
0
Data Breaches
Good news — no pwnage found! This email address wasn't found in any of the data breaches loaded into Have I Been Pwned. That's great news!
Denk het niet dus..
Reageer
scramados @ceekah26 februari 2026 12:10
Ik bedoelde dat mijn gegevens er ergens tussen staan, ik weet nog niet of het ook echt in de eerste batch zit. Mijn eerdere bericht was daar niet helemaal duidelijk over.
Reageer
xxs @ceekah26 februari 2026 12:31
Ah, HIBP. De grootste heler in gestolen data van dit moment.
Reageer
DdeM @ceekah26 februari 2026 13:10
Nope, laatste keer dat mijn email is gelekt volgens hun is afgelopen december bij SoundCloud. 😬
Reageer
Jaldea @scramados26 februari 2026 11:57
De garantie is er WEL, want als ze zich niet aan hun woord houden, is er uberhaupt geen insentief om te betalen toch? Als de gegevens toch gelekt worden? Een gijzeling werkt alleen als je die niet alsnog dood.
Reageer
DdeM @Jaldea26 februari 2026 13:12
Het zal niet de eerste keer zijn dat gijzelnemer ls iemand alsnog doden na het krijgen van losgeld, net zoals gegevens gewoonweg niet verwijderd worden maar danwel verkocht, danwel opnieuw gebruikt om je nog een keer af te persen https://www.phishlabs.com/blog/ransomware-groups-break-promises-leak-data-anyway


Het zijn criminelen, de enige garantie die je hebt is dat ze crimineel gedrag vertonen.
Reageer
lenwar
@Mbb1526 februari 2026 11:50
Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe.
Lees dit zelf is. Wie denk je dat die 1 miljoen betaald. De klanten van Odido. Odido is 'maar een bedrijf'. Al het geld dat zij hebben wordt betaald door hun klanten.

Ik snap het sentiment hoor, maar het betalen van losgeld, stimuleert dit soort malloten om hiermee door te gaan.
Reageer
Bomb-el @lenwar26 februari 2026 11:58
Jij verwacht echt dat odido het lef zou hebben dit door te rekenen aan zijn klanten? Ze raken er nu al een heleboel kwijt en dan zouden ze wel kunnen opdoeken. Ze moeten gewoon jaarcijfers publiceren, dus dat zou 100% zeker uit zijn gekomen.
Reageer
lenwar
@Bomb-el26 februari 2026 12:05
Ze zullen het inderdaad niet direct in de boeken doorbelasten naar de klanten. Maar onder aan de streep is het een kostenpost, die linksom of rechtsom betaald moet worden. Het scheelt een beetje dat Odido (nog) een BV is, en niet een NV. Dus er wordt niet 'allen maar' naar kwartaalcijfers gekeken.

Bij die jaarcijfers is er straks dan (bijvoorbeeld) 1 miljoen minder winst. Het jaar daarop zal Odido hun prijzen verhogen. Voor 'investeringen in het netwerk' of wat dan ook. Dan nemen ze dit daar gewoon in mee.
Reageer
Bomb-el @lenwar26 februari 2026 13:13
Nee dat snap ik, ik bedoelde meer dat ze de eerstkomende prijsverhoging wel verdomd goed mogen onderbouwen, willen ze niet nog meer klanten gaan verliezen.
Reageer
lenwar
@Bomb-el26 februari 2026 13:40
Denk je dat dit incident in februari 2027 nog heel erg bij mensen actief op het netvlies staan? (of zelfs al in oktober dit jaar.) Mogelijk dat Tweakers het nog aanhaalt als vulling of discussievoer in het artikel, maar ik denk niet dat er over een paar maanden nog veel mensen mee bezig zullen zijn.

https://haveibeenpwned.com/PwnedWebsites - Hoeveel van deze 'pwns' heb je nog actief in je geheugen zitten. (en dan bedoel ik uiteraard van de grotere/algemenere diensten, en niet over een één of andere Amerikaanse Universiteit of Automarktplaats of zo, maar de algemenere diensten waar Nederlanders/Belgen ook redelijkerwijs accounts kunnen hebben. (Instagram, SoundCloud, pi-hole, LinkedIn, Vodafone, Adobe, en dat soort diensten.))
En dat zijn alleen maar de lekken die bij die HIBP zijn afgegeven. https://tweakers.net/nieuws/zoeken/?keyword=datalek#filter:q1bKTq0szy9KUbJSSkksScxJzVbSUSopT03MTkosTvVMKVayilYyNdA1NjczUIqtBQA - Albert Heijn, Postcode Loterij, CZ (de verzekeraar), en ga zo maar door.

Over een paar maanden is iedereen dit weer 'vergeten' (afhankelijk van hoe het blijft na-etteren, natuurlijk.), en gaat dit echt geen impact hebben op de publieke opinie bij de volgende tariefsverhoging.
Reageer
Metalfreak @Bomb-el26 februari 2026 12:51
Denk je nu echt dat je dan een kostenpost op je rekening ziet staan met "Compensatie hack" o.i.d.? Je bent niet zo bekend met hoe bedrijven werken zeker?
Reageer
Bomb-el @Metalfreak26 februari 2026 13:11
Lees eerst maar even wat beter
Reageer
jpsch @Metalfreak26 februari 2026 14:53
vrijheidsbijdrage?
Reageer
nehal3m @lenwar26 februari 2026 11:58
Of de CEO pakt een miljoentje minder dit jaar. Lijkt me niet onterecht.
Reageer
scramados @nehal3m26 februari 2026 12:12
Goed idee, maar ik ben bang dat de wereld helaas niet zo werkt.
Reageer
nehal3m @scramados26 februari 2026 12:26
Nee, ik zie het ook somber in hoor, gerechtigheid wordt ‘m waarschijnlijk niet. Maar het zou wel verfrissend zijn.
Reageer
Zezura @scramados26 februari 2026 12:36
Misschien moeten we daar dan iets aan doen.
Reageer
ict @lenwar26 februari 2026 14:41
die 1 miljoen is peanuts vergeleken bij de 'damage control' die ze tot op heden gedaan hebben. die overigens echt belachelijk laag en onvoldoende is maar dat terzijde. Denk dat alleen al deze schijnvertoon/schijnveiligheid meer kost: nieuws: Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming
Reageer
lenwar
@ict26 februari 2026 15:05
Denk je?
Ik weet niet hoe die licenties uitgegeven worden, maar als (vrijwel) niemand het gebruikt, kost het Odido ook niets. Bij KPN en Freedom krijg je bij glasvezel ook 'gratis F-Secure' erbij. Ziggo geeft Safe Online XL 'gratis' (wat ook vast F-secure is), als je ook Vodafone hebt.
Reageer
cracking cloud @Mbb1526 februari 2026 11:51
Je hebt een mail gehad van odido met daarin wat er is gelekt. Bij mij stond er bv geen bsn in (want die heb ik nooit gedeeld met odido) maar bij sommige anderen stond dat er wel expliciet bij vermeld.
Reageer
Tomac5 @cracking cloud26 februari 2026 11:58
Ik zit bij Odido (zakelijk) en heb geen mail gekregen. Kan me haast niet voorstellen dat wij niet getroffen zijn eerlijk gezegd
Reageer
vosManz @Tomac526 februari 2026 12:04
Zakelijke klanten zitten niet in het lek (volgens https://www.odido.nl/veiligheid, bijna onderaan)
Reageer
HarryDeCowboy @vosManz26 februari 2026 13:06
Er staat bij dat de eindgebruikers niet getroffen zijn door het lek. De accounthouder zelf wel is me ook bevestigd door Odido zelf (ben zelf zakelijke klant).
Reageer
Tomac5 @HarryDeCowboy26 februari 2026 14:38
Aha. Ik ben de accounthouder en enige eindgebruiker. Dus dan ben ik ook gewoon de pineut.
Reageer
ronaldvd_nl @vosManz26 februari 2026 12:29
Er staat: "Voor zakelijke klanten zijn de gegevens van eindgebruikers niet gelekt."
Hieruit begrijp ik dat de gegevens van degene die het contract heeft afgesloten, en dus geen eindgebruiker hoeft te zijn, wel gelekt kunnen zijn.
Reageer
Dennism @cracking cloud26 februari 2026 12:00
Weet je dat zeker? Ik heb bijvoorbeeld als klant alleen een mail gehad op 12 februari, waar een aantal zaken stonden die mogelijk gelekt zijn en een aantal zaken die niet gelekt zijn. Maar ik heb daarna geen verdere opvolging meer ontvangen waarin Odido uitsluitsel geeft over welke data van mij exact gelekt is.
Reageer
Mirved @cracking cloud26 februari 2026 12:02
Nee in die mail staat wat mogelijk gelekt is. Niet wat precies. Ik weet dus niet of rijbewijs of paspoort gelekt is. Er staat:

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Reageer
vosManz @Mirved26 februari 2026 12:09
https://www.odido.nl/veiligheid
Ik heb gezien dat er verschillende soorten e-mails worden gestuurd met betrekking tot de data die mogelijk gelekt is, heb ik wel de juiste mail gekregen?

Wij hebben 4 varianten van dezelfde e-mail persoonlijk naar onze klanten gestuurd. Per klant verschilt welke data mogelijk is gelekt. Deze 4 varianten zijn: 
  1. Alleen naam en adresgegevens zijn gelekt
  2. Naam en adresgegevens en bankgegevens zijn gelekt
  3. Naam en adresgegevens en ID-gegevens zijn gelekt
  4. Naam en adresgegevens en ID-gegevens en bankgegevens zijn gelekt.
Het zal voorkomen in een huishouden dan wel onderneming dat er meerdere verschillende soorten e-mails zijn verstuurd. Dit komt doordat er meerdere accounts op 1 adres kunnen voorkomen. In zijn algemeenheid geldt dat alle tips die we geven om extra voorzichtig te zijn voor alle varianten raadzaam zijn om te volgen. Extra voorzichtigheid is altijd beter.
Als je dus een mail hebt ontvangen waarin de identificatiegegevens worden genoemd kun je er denk ik wel vanuit gaan dat die onderdeel waren. Anders vermoed ik dat Odido ze niet heeft en dus geen onderdeel zijn van het lek.
Reageer
Mirved @vosManz26 februari 2026 12:11
en dan weet je nog niet of het een rijbewijs of paspoort is geweest.
Reageer
cyclone @cracking cloud26 februari 2026 12:11
Is er nog een reden om Odido te geloven op hetgeen wat ze zeggen?

Is natuurlijk aan een ieder om dat voor zichzelf te bepalen, maar inmiddels hebben ze te lang hun mond gehouden (men wist al bijna een week gehackt te zijn voor ze hier melding van hebben gemaakt), zich niet aan wet en regelgeving gehouden (de melding had direct bij constatering van de hack gedaan moeten zijn zo dicteert de NL wet en regelgeving en als klap op de vuurpijl blijkt nu dat men klant gegevens langer bewaard dan ze zelf beloven en wettelijk is toegestaan).

Odido heeft zich hiermee aangetoond een onbetrouwbare partij te zijn die zich niet aan haar eigen beloftes houdt en lak heeft aan wet en regelgeving.

Ik geloof ze niet (meer).
Dus alle mooie mails (ik heb ze ook ontvangen) zijn in mijn beleving loze frases / valse beloftes / even onbetrouwbaar als ze gebleken zijn te handelen.
Reageer
DdeM @cyclone26 februari 2026 13:30
De wet stelt dat ze het zo snel mogelijk moeten melden wanneer duidelijk is dat er een lek is geweest. Het lek is in het weekend van 7-8 februari gebeurd en op 11 februari hebben ze het publiekelijk gemeld nadat ze hadden vastgesteld op welke systemen er was ingebroken. Dit is wettelijk gezien nog binnen de marge, want ze mogen eerst vaststellen of ze überhaupt klanten moeten informeren.
Reageer
wooha @cracking cloud26 februari 2026 12:33
BSN ? Misschien bedoel je de nummers van identificatiebewijzen?

Waarom zou Odido op hun “veiligheid” pagina expliciet benoemen dat ze geen BSN (mogen) verwerken en dat die dus niet gelekt zijn en tegelijk klanten mailen dat hun BSN wel is gelekt ?
Reageer
InfiniteSpaze @Mbb1526 februari 2026 11:48
je kan https://haveibeenpwned.com/ gebruiken voor je emailadres. Misschien als deze ertussen zit dan zit al je andere data er mogelijk ook tussen de gelekte gegevens. Ik weet alleen niet hoe snel die site is met het toevoegen van breaches.
Reageer
Luoar @InfiniteSpaze26 februari 2026 11:49
Ik wilde net zeggen, kunnen we mooi van de gelegenheid gebruik maken om te kijken hoe snel https://haveibeenpwned.com/ bijgewerkt wordt.. :X
Reageer
P1nGu1n @InfiniteSpaze26 februari 2026 11:53
In februari zijn tot nu toe 11 websites toegevoegd aan HIBP, maar Odido zit daar (nog) niet tussen:
https://haveibeenpwned.com/PwnedWebsites
Reageer
tedades @InfiniteSpaze26 februari 2026 12:05
Je kunt daar ook notificaties aanzetten voor een email adres. Dan krijgt dat email adres een mail zodra hij gevonden is geworden in een nieuw lek.
Reageer
Romborum @Mbb1526 februari 2026 11:50
Omdat mensen die denken zoals jou ervoor zorgen dat dit soort praktijken doorgaan.

Laat ze maar alles lekken. Weet je wat, we kunnen beter alles zelf als bevolking lekken. Als er niets te stelen valt, dan is het allemaal waardeloos. Het stopt pas als ze er geen geld mee verdienen. Ik vind zelfs dat betalen zwaarder bestraft moet worden dan het datalek zelf.
Reageer
Bomb-el @Romborum26 februari 2026 11:56
Jij bent lekker, consequenties voor odido zijn dus nul komma nul. Lekker over de rug van al je klanten principieel gaan lopen doen terwijl je zelf de boel slecht op orde had. Ze doen niet eens een poging om het te voorkomen.

En dan hebben het over een bedrag van 1 miljoen euro, hoewel ik ergens heb gelezen dat het 500.000 euro was.
Reageer
demianmonteverd @Bomb-el26 februari 2026 12:12
Betalen geeft geen garantie of het niet alsnog verder word ingezet. Dus wat je er ook van kan vinden, de enige juiste actie is niet betalen.
Reageer
Bomb-el @demianmonteverd26 februari 2026 12:24
Pertinent niet waar. Wat hier juist is, is voor iedereen anders. Het zou imo juist zijn als odido na deze shithow de risico's tot het maximale had geprobeerd te mitigeren en dat hebben ze nu bewust niet gedaan. Iedereen heeft nu last, behalve odido zelf. Die overigens, even terzijde, nul komma nul hebben gecommuniceerd naar de gedupeerden behalve 1 enkele mail.

Iedereen snapt dat het geen garantie geeft. Maar we hebben nu wel een andere garantie. 8 miljoen huishoudens in de rats.

Jij bent ongetwijfeld geen klant
Reageer
demianmonteverd @Bomb-el26 februari 2026 14:07
Inderdaad geen klant. Maar je kunt mij in andere lekken vinden als je wilt. Ik sta bijv. in het lek van openai, allekabels, linkedin en nog vele andere (ik list degene die het nieuws op tweakers hebben gehaald).
Reageer
GeeBee @Bomb-el26 februari 2026 12:33
Romburom zegt zwaarder bestraft, dus niet meer dan 0 bestraft.
Reageer
mexicanburribo @Romborum26 februari 2026 11:56
Of een beter idee: zorgen dat er ingezet wordt op betere beveiliging en encryptie bij dit soort belangrijke gegevens en zorgen dat er alleen wordt opgeslagen wat er daadwerkelijk nodig is. (de controlevraag is namelijk meestal de laatste 3 of 4 cijfers van je iban, daar heb je niet je volledige iban voor nodig.) Dat wellicht juist strafbaar stellen. Dan is en de data waardeloos als die wel uit een dump wordt getrokken, loont het ook minder om dit soort tokos aan te vallen en komt het je privacy ten goede.

Je argumentatie leest in ieder geval als een 'ik heb niks te verbergen'.

[Reactie gewijzigd door mexicanburribo op 26 februari 2026 12:02]

Reageer
PCG2020 @Romborum26 februari 2026 12:31
Wil je even je bankrekeningnummer en pincode aan mij "lekken", dan? Want je vindt het blijkbaar geen probleem dat ik even jouw rekening leeg trek, die is immers toch "waardeloos".

O wacht, dat wil je niet? Goh :+
Reageer
Martinspire @Mbb1526 februari 2026 11:51
Wat voor andere maatregelen ga je nemen dan?

Verder is er geen garantie dat die gegevens niet uiteindelijk toch nog lekken. De vraag is verder of ze nog wat voor hun klanten gaan betekenen. Daarnaast lijkt het mij logisch dat met zoveel aandacht je nooit meer gaat betalen, want dan maak je van jezelf alleen maar een groter doelwit. Door niet te betalen geef je duidelijk aan dat er geen geld te verdienen valt. Bovendien kan het nog zijn dat niet alle lekken gedicht zijn en je jezelf alleen maar kwetsbaarder maakt.
Reageer
MeNot2 @Mbb1526 februari 2026 11:55
Ik ook. Ik zou zeker geen miljoen betalen aan criminelen, waarna ze dit dan kunnen gebruiken om nog meer slachtoffers te maken. Dat maakt in mijn oogpunt Odido gewoon een financierder van criminele activiteiten.

[Reactie gewijzigd door MeNot2 op 26 februari 2026 11:56]

Reageer
Bender @Mbb1526 februari 2026 12:05
Waarom Odido niet betaald om een hackers bedrijf te financieren, lijkt me voor de hand liggend..

Je financiert een toekomst van meer hacks, ze hebben immers het geld om personeel te betalen om meer hacks te doen.. zelfs meer personeel aan te nemen.
Reageer
Audioot @Mbb1526 februari 2026 12:07
Het gaat denk ik niet om het geld maar om het gevaar dat de hackers niet zo "eerlijk" zijn om niet alsnog de gegevens online te zetten of achteraf nog meer geld te willen.
Reageer
SgtElPotato @Audioot26 februari 2026 12:23
De vrij dreigende tekst duidt daar ook op. Dit soort partijen moet je NIET betalen. Hoe kwalijk de zaak ook.
Reageer
m.z @Mbb1526 februari 2026 11:54
Nou goede vraag, we moeten nu op mails van Odido en (vooral vanuit) bronnen vanuit gaan hoe en wat. Odido heeft alleen bevestigd wat gebeurd is en wat gelekt is, maar ik vind het een kwalijk zaak dat andere partijen mij moeten vertellen, beter gezegd zelf moet a achterkomen, wat er (mogelijk) op straat komt te liggen en/of gestolen is.
Reageer
Steven030 @m.z26 februari 2026 12:08
Dit. En ik wil vooral tips van wat ik nou zelf echt zou moeten ondernemen. Loop ik echt geen risico als ik alles zo laat? Of is het toch handiger om een nieuw paspoort te nemen? Waarbij het mooi is als zij het zouden betalen, maar alleen al de tip en dat ik vervolgens zelf een nieuw paspoort betaal is al meer dan welkom.
Reageer
m.z @Steven03026 februari 2026 12:15
Nou, dat vraag ik me ook af. Ik zelf weet niet hoeveel baat het heeft als nieuw id zou laten aanmaken, gezien gegevens vanuit vorige id, op kaart nummer na, identiek zijn? En, hoe dwing je dan iemand af dat alleen de recente ID wordt gebruikt.

Ik zelf heb digitaal een klik-en-klaar abonnement genomen, vrij vlak nadat ik nieuw paspoort kreeg….. al kan ik me helaas niet 123 herinneren welke gegevens zijn verwerkt tijdens aanvraag aan Odido. BSN? BSN + documentnummer? 🤔
Reageer
Steven030 @m.z26 februari 2026 15:03
Documentnummer en verloopdatum zijn gelekt. Bij sommigen ook het BSN-nummer.
Reageer
m.z @Steven03026 februari 2026 15:50
Bizar veel, nogal slechte communicatie vanuit Odido dan.

Thanks voor de update
Reageer
Linux gebruiker @Mbb1526 februari 2026 12:10
Is er ergens te achterhalen welke gegevens van jou zijn gelekt? Dan weet ik welke maatregelen genomen kunnen worden...

Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe. Of het verstandig is om hackers te betalen is een tweede maar als je moet kiezen tussen 2 kwaden weet ik het antwoord wel.
Inderdaad, bijzonder hufterig van Odido om hun klanten zo te laten stikken, snap hun redenering dat je niet aan criminelen toegeven moet, in dit geval gaat het om een aanzienlijke maatschappelijke schade op termijn, wat je niet kunt verantwoorden tegenover je klanten. De directie, raad van bestuur zouden het gevraagde bedrag uit eigen zak moeten ophoesten, zou ik denken.
Reageer
Carlos0_0 @Mbb1526 februari 2026 12:12
Jij denkt dat je dan 100% zekerheid heb die hackers niks doen ?, er zullen echt wel paar in die groep zitten die niks doen.
maar je heb 0% garantie, dat er niet een paar echt slechte bij zitten, die al lang een eigen kopietje hebben en het als nog online gooien erna.
Reageer
vlieger200 @Mbb1526 februari 2026 12:15
Reactie van Odido en in lijn met wat de NCSC standaard adviseert: "Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren."
Reageer
jak600 @Mbb1526 februari 2026 12:21
ik ben juist blij dat ze niet betalen.

als niemand ze betaalt wordt de drang om dit te doen ook minder want het kost tijd en energie en het levert niks op.
Reageer
Rob_lyreco @Mbb1526 februari 2026 12:26
Als je eenmaal betaald is het hek van de dam.

Nooit onderhandelen met terroristen. Opsporen en ~per ongeluk~ van de trap laten vallen.

Zeker bij digitale diefstal weet je nooit of die info bij een 100 andere mensen ligt due ook 1 miljoen willen hebben.
Reageer
gamezfreak @Mbb1526 februari 2026 12:26
Is er ergens te achterhalen welke gegevens van jou zijn gelekt? Dan weet ik welke maatregelen genomen kunnen worden...

Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe. Of het verstandig is om hackers te betalen is een tweede maar als je moet kiezen tussen 2 kwaden weet ik het antwoord wel.
Omdat je alsnog niet weet of ze de gegevens publiceren of niet. Ga er maar van uit dat ze dat wel doen, ook al krijgen ze een grote zak met geld en alles wat ze willen, zolang zij over die gegevens beschikken, weet je niet wat ze ermee gaan doen. Ze kunnen wel zeggen dat als je betaald, dat ze de gegevens niet online gooien, maar dan moet je ze op hun blauwe (of rode) ogen geloven.

Daarnaast kunnen ze de gegevens niet online zetten (lees: open internet), maar door verhandelen via het darkweb, totdat de hogere machten (FBI, Politie, Interpol, Europol) weer een serverpark offline halen. In 2023 stonden mijn gegevens op Genesis Market
In het begin kreeg ik veel spam mails en vaak dreigend, nu krijg ik onzin mails die ik negeer, verder af en toe een telefoontje die met een robot stem zegt dat ik op een vacature heb gereageerd en meer info moet opgeven.

Om je even een idee te geven, je mailadres zit een dataset die verkocht wordt. het kan best zijn dat je mailadres in tientallen datasets zit en dus door verschillende groepen wordt gebruikt. Elke keer dat een dataset wordt gevonden en in beslaggenomen, betekent het dat je mailadres meerdere keren gelekt is.

Er geldt natuurlijk geen garantie dat de datasets die hackers kopen, dat ze werken. Het is gewoon bulk / batchverwerking wat ze doen en naar iedereen zo'n mail afsturen. Houd daarom de meest belangrijke accounts veilig met MFA (al is dat ook te omzeilen), passkey of iets als een Yubikey, mits het ondersteund wordt.

Offtopic:
Was het niet gewoon handiger dat je alles middels DigiD kon doen en dat de verwerker een OK of niet OK terug krijgt?
Reageer
martwoutnl @Mbb1526 februari 2026 12:33
En dan betalen ze en gaat het alsnog online. Je hebt 0,0 garantie.
Reageer
JPK1960 @Mbb1526 februari 2026 12:40
Omdat bij een volgende gelegenheid hws meer zal worden geëist.
Reageer
Polydeukes @Mbb1526 februari 2026 12:44
Waarom betaald (sic) Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe.
Het is ook een enorm dilemma. Enerzijds wil je niet dat criminaliteit loont, dus als niemand nog losgeld betaalt, verdwijnt langzaam die prikkel. Tegelijkertijd heb je geen enkele garantie dat de criminelen zich aan hun woord zullen houden. Je hebt geen controle over wat ze alsnog met die data zullen doen. Verkopen op t darkweb levert mogelijk meer op dan die 1 miljoen losgeld. Er zijn geen garanties. En tot slot, de schade is al geleden, namelijk reputatieschade. Dit kost Odido veel klanten en dat kost ook een hele hoop geld. En die 1 miljoen losgeld gaat dat niet voorkomen.

Nu is er ook een stroming die zegt dat als criminelen niet betrouwbaar zijn en alsnog de data verkopen of lekken, ze zichzelf in de voet schieten en daarom zich aan hun woord moeten houden, maar het bewijs stapelt zich op tegen hen. Te vaak is gebleken dat ondanks het betalen van losgeld, data alsnog gelekt wordt en er geen garanties zijn.

Daarom is de consensus in securityland om geen losgeld te betalen. Het levert te weinig op en je kunt je gedupeerde klanten helemaal niks garanderen. Je lot ligt in handen van criminelen.
Reageer
crptc @Mbb1526 februari 2026 12:45
En dan? Dan nog zijn je gegeven in handen van criminelen. Nu zijn we allemaal opgevoed met het idee van Robin Hood en dat criminelen eerlijk zijn achter hun boeven tronie, maar dat is niet zo. Betalen is de deur open zetten naar de volgende geld-eis van een partij die de gegevens ook al heeft.

Het is zuur, maar ik sta, als klant van Odido die hoogstwaarschijnlijk ook nu de sjaak is, achter de beslissing van odido. Dat ze gehakt zijn doordat er een medewerker belazerd is is ook gewoon zuur voor hun. We kunnen allemaal heel boos worden op Odido, en er is vast wel iets te zeggen van de security die ze hadden en beter had gekund. Maar zij zijn ook slachtoffer.

Als een oud vrouwtje haar portemonnee op haar rollator heeft liggen zouden we ook niet zeggen dat ze het verdiend bestolen te worden, hoe erg het ook voor het grijpen ligt. De crimineel is degene die hier fout zit.
Reageer
Nickname55 @Mbb1526 februari 2026 12:45
Waarom betaald Odido niet gewoon die 1 miljoen
En wie geeft je de garantie dat er dan niets gebeurt met die data? Die data word dan alsnog verkocht en gebruikt. Ga daar maar vanuit.
Reageer
Superkanjo 26 februari 2026 11:47
Wat mij opvalt op de diverse platformen dat het enkel gaat over Odido, dat ze steken hebben laten vallen en moeten bloeden. Ja, Odido heeft steken laten vallen, absoluut, niet goed te praten.

Maar het is natuurlijk de hackersgroep die in mijn ogen ook wel wat aandacht mag krijgen, dit gaat imo veel grenzen over wat zij nu doen.
Reageer
inorde @Superkanjo26 februari 2026 11:58
Het ging de grens al over toen ze bewust probeerde binnen te komen in een systeem waar ze niks te zoeken hebben. Het hele statement is onzin. Odido had de beveiliging niet goed op orde en bewaart te lang gegevens. Tuurlijk kun je ze dat kwalijk nemen. Terechte kritiek en wellicht aankomende schadevergoedingen.

Inbreken en gegevens publiceren is 100% het werk van een criminele organisatie en iedereen die erbij betrokken is moet de bak in. Zelfs al zou de data praktisch publiek staan, het geeft niemand het recht om de boel te gaan chanteren en dan de boel te publiceren. Dit zijn simpelweg criminelen die nu aan het janken zijn omdat ze er momenteel geen geld mee verdienen.

Geef ze in godsnaam geen aandacht online, maar alleen van instanties die ze kunnen vinden en opsluiten. Want elk bericht online is alleen maar aandacht.

Als organisaties consequent niet betalen wordt het verdienmodel ook minder lucratief, dan moeten ze de boel namelijk proberen te verhandelen aan andere criminelen.
Reageer
Stukfruit @Superkanjo26 februari 2026 11:49
En vergeet niet de providers waaruit Odido is ontstaan.
Reageer
SterkeYerke @Stukfruit26 februari 2026 12:14
Hier heb je best een punt. Al die data die veel te lang is bewaard, werd onder T-Mobile (blijkbaar) ook al veel te lang bewaard. Je kunt je afvragen of dat bij T-Mobile in andere landen dan beter voor mekaar is, terwijl de AVG voor alle EU-landen geldt.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq