Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

ShinyHunters heeft opnieuw 1 miljoen records aan gestolen Odido-data gepubliceerd. De hackersgroepering gaf al aan dat zij iedere dag een nieuwe batch zal publiceren tot Odido betaalt. Have I Been Pwned heeft de eerste miljoen records toegevoegd aan zijn database.

ShinyHunters heeft een tweede txt-bestand met Odido-data op zijn darkwebsite gepubliceerd. Het gaat om een bestand met 1 miljoen records van 9,60GB, gecomprimeerd tot 307MB. Gisteren zette de ransomwarebende de eerste miljoen records online. ShinyHunters gaf toen aan dat het dagelijks 1 miljoen nieuwe gegevens zou publiceren, tenzij Odido betaalt. Volgens de hackgroep zijn er in totaal 21 miljoen records gestolen.

Odido liet in een reactie weten 'niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren'. Op zijn site dreigt ShinyHunters om vanaf zaterdag iedere dag 2 miljoen records te publiceren. "Dit vanwege het recente standpunt van Odido om geen losgeld te betalen." De gestolen gegevens omvatten onder meer mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en documentnummers, maar ook bsn's van zakelijke klanten en privacygevoelige aantekeningen over klanten. ShinyHunters zegt steeds gevoeligere gegevens te gaan publiceren.

ShinyHunters Odido

In de database van Have I Been Pwned zijn ondertussen de miljoen records toegevoegd die ShinyHunters gisteren publiceerde. Het gaat volgens HIBP om gegevens van 668.100 klanten. Van 317.000 e-mailadressen stonden nog niet eerder gegevens in een HIBP-datalek. Odido-klanten kunnen hun e-mailadres opzoeken in de database om erachter te komen of hun gegevens deel uitmaken van de eerste batch.

Have I Been Pwned Odido
Als slachtoffers zich op Have I Been Pwned hebben aangemeld voor e-mailnotificaties, zijn ze per mail geïnformeerd.

Door Kevin Krikhaar

Redacteur

27-02-2026 • 08:59

274

Submitter: Jittikmieger

Reacties (274)

274
270
99
11
0
154

Sorteer op:

Weergave:

Ik vind dit dus wel serieus eng worden. Dat een groep hackers mijn gegevens hebben, is natuurlijk al ontzettend vervelend. Maar al deze gegevens van miljoenen Nederlanders is gewoon voor alle andere Nederlanders te downloaden, doorzoeken en dus ook te misbruiken. Denk aan stalkers etc. In principe kan iedereen nu vrij eenvoudig opzoeken waar ik woon (er vanuit gaande dat ik in het gelekte bestand sta), veel meer dan een naam heb je niet nodig (er vanuit gaande dat je de gegevens makkelijk kan doorzoeken, ik heb het niet geprobeerd). Ik denk dat daar het échte gevaar in zit voor onder andere slachtoffers van stalking, huislijk geweld e.d. Phishing is maar het begin, dit is gewoon een soort openbaar GBA aan het worden voor alle 6,2 miljoen Odido klanten. Niet alleen voor professionele criminelen maar voor iedereen die nog een appeltje te schillen heeft met iemand, kun je hier heel vervelende dingen mee. Heel erg naar allemaal...
En daarom ben ik ook zo pissig over de lakse houding van Odido, mag hopen dat iedereen daar weg gaat en ze failliet gaan.

Aanvulling:

Weet iemand of het waar is dat onze wachtwoorden in plaintext waren opgeslagen? Dus niet encrypted?

[Reactie gewijzigd door mugenmarco op 27 februari 2026 10:00]

Dat van de wachtwoorden was volgens de meest recente info niet waar. Er was een veld in het klantenservicesysteem dat "password_c" als backendnaam had, maar dat was niet daadwerkelijk het wachtwoord maar iets van een controlevraag voor klantenservice.

Wachtwoorden zijn niet plaintext opgeslagen.
Voor veel mensen, inclusief mijzelf, is de stap te groot om over te stappen hierom. Al helemaal wetende dat dit bij elke andere provider ook kan gebeuren.
Ik vind het nogal makkelijk om te zeggen dat het bij een andere provider ook kan gebeuren alsof ze allemaal dezelfde mate van beveiliging hebben rond hun gegevens. Het leest voor mij een beetje als een excuus.

En als je kijkt naar wat er überhaupt gelekt is, vind ik het toch behoorlijk erop wijzen dat Odido op ontzettend veel vlakken steken heeft laten vallen. Denk bijvoorbeeld aan dat ze tot wel 10 jaar oude gegevens vasthielden.
Nee, het is geen excuus het is een reality-check.

Ten eerste hoef je echt niet naar een ander om beter beveiligd te zijn. (wellicht Freedom?)

Ten tweede is dit een call-to-action voor de AP, met name de nationale overheid, om nou eindelijk eens werk te gaan maken van serieuze controles èn boetes. Liefst op hoofdelijk bestuurlijk niveau. Alleen daarmee ga je verandering afdwingen.
Elke omgeving is hoe dan ook kwetsbaar. Al helemaal via Social Engineering waarbij geautoriseerde accounts gebruikt worden om gegevens te extraheren. Of Odido het inderdaad zo slecht op orde had moet blijken, maar veel mensen spreken erover alsof Odido de data publiek had staan zonder enige beveiliging. Shinyhunters heeft dit truckje uitgehaald bij honderden bedrijven, wie weet hebben ze gevanceerde tooling om deze data te extraheren en beveiliging vanuit Salesforce te omzeilen.

Ik ben op dit moment klant van Odido, dus Odido heeft data van mij. Dit zou bij de provider waar ik eventueel naar zou overstappen natuurlijk niet anders zijn.
Tot zekere hoogte kan je aannemen dat Odido hier nu juist extra op gefocused is en aanpassingen op uit voert, waardoor het misschien zelfs onwaarschijnlijker wordt dat het weer fout gaat bij Odido (maar dit zijn allemaal aannames dus)
Odido heeft niet veel geleerd van de boete van 1,5 miljoen van hun vorige lek dus of die focus er nu ècht is? Verder is het lek in salesforce ook al enige tijd bekend.
Dus ik verwacht dat het nog wat kan tegenvallen.
Waar mensen werken worden fout gemaakt...
Dat ben ik zeker met je eens maar laat Odido dan maar bewijzen dat sommige dingen echt fouten zijn. Oude klanten die niet verwijderd zijn laat maar zien dat dit echt in de programma zit en door een bug niet verwijderd zijn. Zoals ik het her en der lees in reacties hier op Tweakers lijkt het erop dat wachtwoorden misschien zelfs plaintext is opgeslagen. Zoiets als dit is echt wel een "fout" dat niet zou mogen gebeuren. We leven anno 2026 waar hacken vaak gebeurt dus voor zoiets als dit zou gewoon controle mogen komen bij elke update die ze daar uitvoeren. Het is geen klein bedrijfje dus waar ze misschien niet aan dingen denken of geen ervaring hebben in ICT.

Het voelt voor mij ieder geval dat ze op de verkeerde plek hebben zitten te besparen en dit niet toe willen geven.
Probleem is deze dat het fout op fout op fout.
Niet alleen Odido. Ik ga ervanuit dat andere providers ook even wat audits zullen uitvoeren om te voorkomen dat zij ook zo'n grote PR-drama krijgen.
Reken maar dat de NCSC en andere toezichthouders er nu bovenop zitten, dit laat de NCSC ook weten in hun communicatie. Dit zal zich ook doorvertalen naar andere providers indien daar wordt geconstateerd dat het niet op orde is.
Als iedereen weggaat geeft dat een heel duidelijk signaal richting de anderen bedrijven.

Dat het kan gebeuren dat klopt. Dat de anderen bedrijven meer gefocust zullen zijn om dit niet te laten gebeuren. Zeker als de consequenties zijn voor het bedrijf dat ze failliet gaan.
Het gaat er niet om dat het gebeurd. Het kan inderdaad overal gebeuren. Maar het is de lakse houding en minimale berichtgeving naar de getroffen klanten zelf (vooralsnog maar 1 mailtje ontvangen van ze). Ook de manier hoe ze met de data omgaan, niks versleuteld, bewaren ver voorbij hun zelf vastgestelde termijnen etc.

Ik heb zelf inmiddels ook de overstap in gang gezet, terwijl ik heel lang klant ben geweest.
Ik snap dat overstappen vaak niet wenselijk is maar het is echt geen grote stap. Overlaatst via Belsimpel gedaan en daar werd eigenlijk alles wel voor me geregeld.

Helaas naar Ben overgestopt
Ik zit naar KPN te kijken.

Ik zit helaas nog even vast aan Odido maar einde contract is over naar KPN.
Ik kan mij niet voorstellen dat overstappen zoveel gedoe is. Al helemaal met e-sims ben je binnen een paar minuutjes klaar.
Over de lakse houding, wat kàn Odido doen dan? Wat zou jij als ceo anders doen hierin?
Ze zouden kunnen beginnen de waarheid te vertellen over wat er in het lek zit en niet verbaasd doen als de NOS ze een datadump laten zien waar meer in zit dan ze zelf rapporteerden.

Pro-actief meewerken met de politie/gemeenten/etc. om kwetsbare mensen te beschermen zou ze ook sieren.

Een eigen datalek-zoekmachine opzetten waar je als (ex)-klant kunt verifiëren dat je in het lek zit zou ook mooi zijn. Het dichten van lekkende zoekmachines op hun website waar je kunt controleren wie er klant van ze is, zou ook mooi zijn (dat kun je mobiel wel opzoeken bij de ACM, maar vast internet niet).

Een melding op de homepage die het datalek erkent zou ook wel mooi zijn, in plaats van een reclame voor de nieuwste Samsung-telefoon.

Een uitleg voor waarom ze gegevens van klanten die al jarenlang uit hun systeem hadden moeten worden verwijderd ontbreekt ook nog. Ze lijken ook weinig geïnteresseerd in het vinden van hoe dat mis is gegaan.

Wat zou ik als CEO anders doen? Ik zal de kans niet krijgen, maar waarschijnlijk niks. Bek dichthouden, verantwoordelijkheid ontwijken, misschien een up-to-date PR-training volgen, zo hard mogelijk werken om bij de beursgang geld binnen te harken en dan een plan maken voor een pensioen of sabbatical. Dat is tenslotte waar je als CEO een riant salaris voor krijgt, het doel is om de aandeelhouders rijk te maken, niet om klanten van dienst te zijn.
ID kaarten / rijbewijzen vergoeden mochten die opnieuw aangevraagd worden.
Ik zou het als gebruiker het in ieder geval op prijs stellen als Odido mij laat weten welke gegevens er nu exact zijn buit gemaakt. Ik kom voor in de have-i-been-pwned dataset, maar het is me nog steeds niet duidelijk welke gegevens van mij er nu op straat liggen. Die duidelijkheid zou ik toch mogen verwachten?
Als het kalf verdronken is...

De gegevens liggen nu toch al op straat en door de uitgebreide media aandacht weet iedereen dat ook. Nu overstappen heeft geen zin meer. Deze geest krijg je niet meer in de fles.

Ik wacht graag het onderzoek van het OM af om te horen hoe de vork echt in de steel zit, maar nu uit blinde paniek overstappen zorgt er niet voor dat je gegevens 'poef' verdwijnen uit de dataset.
Als dat de instelling is die mensen aannemen kun je er donderdag op zeggen dat een zelfde scenario voor een andere telecomprovider niet voor nerveuze bestuursleden zorgt.

Met andere woorden, als mensen toch niet overstappen en ze krijgen niet op nauwelijks een boete dan boeit het ze ook niet dat hun beveiliging niet op orde is, en hoeven ze er ook geen geld aan uit te geven.
Ik denk in sommige gevallen dat dit zeker is, maar in de meeste gevallen niet.
Als een helpdesk accounts aanmaakt wil menig helpdesk ze nog wel eens als notitie zetten, dus dat zal vast wel een keer gebeurd zijn maar daar moeten ze een reden voor hebben gehad. Misschien een bulk aanvraag voor een zakelijke klant. Ik denk dat bij de meeste zaken dit niet het geval zal zijn want de wachtwoord systemen van de klant zullen buiten z'n helpdesk pakket staan.
Wachtwoord informatie is wel echt het minst boeiende dat er gelekt is. Je hoort gewoon een password manager te gebruiken.

BSN, NAW, rek. nr., allemaal veel problematischer.
Als het gaat om bedrijfsgegevens, dan betalen de meeste bedrijven gewoon. Nu gaat het om klantgegevens: boeiuh!

Alsof niemand snapt dat het normale 'niet betalen advies' gebaseerd is op bedrijfsgegevens en niet op half nederland waarvan het adres ineens publiekelijk is.

En de prijs was lager dan de prijs die ze nu betalen voor deze 'experts'. Man man man.

[Reactie gewijzigd door DealExtreme2 op 27 februari 2026 10:00]

Wat jij schetst is niet de waarheid. De NCSC (Overheid) adviseert standaard niet in te gaan op deze chantage.
Yep. Standaard. Maar we weten allemaal als de prijs 1 euro was geweest dat het een no-brainer was om te betalen. Het is niet alsof Odido zelf niet OOK verantwoordelijk is.

Stel jij leent je fiets aan mij uit en zegt: ik ga er echt zorgvuldig mee om! En vervolgens zet je hem midden in de stad met een touwtje op 'slot'. Natuurlijk, mensen moeten eraf blijven, maar in dat geval verwacht ik dat jij gewoon die euro gaat betalen aan de dief, zodat ik mijn fiets weer heb.

Natuurlijk, nuance, de diefstal is digitaal en kopieën, maar er is nuance.
De enige reden waarom ze dat adviseren is omdat je criminaliteit dan lonend maakt. Dat neemt niet weg dat het voor bedrijven, afhankelijk van de data, goedkoper kan zijn om wél te betalen.
En terecht. Hopelijk stoppen meer en meer bedrijven met betalen en nemen de hacks op klantgegevens daarom af.

Van mij mogen ze betalen per wet verbieden.
Het zijn niet alleen de gegevens van de huidige klanten maar ook van voormalige klanten.


Ik vind met name de lakse houding van het bedrijf vervelend worden. Gelijk het “ach er is niks aan de hand, kan gebeuren” terwijL als het andersom is. Is het vooral jou schuld.

Daarbij ook nog de lakse houding van de overheid die haar mond vol heeft van bescherming van gegevens. Die hadden Odido gewoon moeten aanpakken. Dit als voorbeeld voor de rest.
Idd oud klant kom ik iig nooit meer terug. Mijn verzoek om nu mijn data te verwijderen loopt ook voor geen meter. Na 2 weken reactie van een noreply dat ik op mijn Odido kan inloggen om mijn gegevens in te zien en verwijderen verwijzen ze naar de officiële formulieren op hun website. Die officiële formulieren zaten keurig in mijn verzoek erbij en ze sturen me gewoon weer weg met kluitje in het riet. De afgelopen weken heeft Odido niets laten zien privacy van zijn klanten belangrijk te vinden.
Vroeger konden mensen dat ook al opzoeken waar je woonde en het telefoonnummer. Dat heette de Telefoongids. Ik vind het dus niet heel speciaal die basisgegevens, maar het digitaal bewaren van identiteitsgegevens is een kwalijkere en gevaarlijkere zaak. Een reden om toch eens te herzien of private ondernemingen uberhaubt wel dit soort documenten zouden moeten kunnen en mogen vragen.


Wat betreft de data in een telefoongids:

Familienaam, Voornaam, Voorletters, Straatnaam en nummer, Postcode, telefoonnumer (vaste aansluitingen alleen)

Dat was de volgorde van data in de telefoongids vroeger.
En ook van bekende Nederlanders, kun je telefoonnummers opzoeken.

Dit gaat nog erg lang en vervelende consequenties hebben, voor veel mensen.
Inderdaad, ik geef je helemaal gelijk. Ben er ook helemaal klaar mee met Odido. Ik ben daar al meer dan 5 jaar weg, maar toch hadden ze nog mijn gegevens. Mijn gegevens staan dus al gelekt als ik Have I been powned check.

Vooral zou ik nu willen weten wat er van mij gelekt is (zonder zelf opzoek te moeten gaan via illegale wegen) want ik was dus ooit zakelijke klant met een BSN als BTW nummer. Maar Odido zelf geeft niet thuis natuurlijk.
Maar vind jij het erg wat hackers doen? Het zijn immers hackers. Of vind je het erger wat ODIDO heeft nagelaten, daarom bestaat cybersecurity.

Odido was tot medio 2022 een dochteronderneming van Deutsche Telekom, een organisatie die op securitygebied de processen heel goed op orde heeft, the best sofar I have seen. Ergens is ODIDO van het spoor afgegleden en hebben ze besloten het anders te gaan doen, en was kennelijk nooit op orde. Want je glijdt niet directe van het spoor af.

In mijn ogen is dit een groot probleem voor ODIDO, vraag mij af of het OM het ook zo ziet. Zal vreemd zijn als dat niet zo is.
Dit is gewoonweg heel dom van Odido, ze hadden direct die 1 miljoen dollar moeten betalen. Dat is kleingeld, LESGELD. klaar. Dit soort groepen deleten het erna, anders zijn ze bij volgende slachtoffers de sjaak.

Maar een groep cybersecurity teams en Odido management die dan koppig doen en de held uit willen hangen. Dit gaat ten koste van de bevolking (gedupeerden).

Dat losgeld had direct betaald moeten worden. Punt. Klaar. Hoe oneerlijk & klote het ook is.
Vroeger kreeg iedereen in Nederland ieder jaar een telefoongids in de brievenbus, met alle namen, adressen, en telefoonnummers.
Maar daar stonden weer geen documentnummers of BSN's in. Tevens was er destijds geen sprake van verregaande automatisering en identiteitsdiefstal zoals vandaag bestaat. Als je handmatig een heel telefoonboek wilt gaan scammen ben je best een paar maanden bezig voor één regio. En dat is toch iets anders dan een paar miljoen mensen geautomatiseerde mails sturen.
Er is een periode geweest kon je dit gewoon aanschaffen op CD's :)
Deze lijkt niet helemaal goed te werken? Ik heb wel een email gehad van HaveIBeenPwned maar deze website geeft aan dat mijn email niet gelekt is...
Omdat de hackersgroep nog niet alle data tegelijk online heeft gezet.
Als HaveIBeenPwned het al heeft is het dus wel online gezet.
Bij mij geven beide sites aan dat er niks gelekt is. Mag hopen dat dat zo blijft. Vind het wel absurd dat Odido zélf zo slecht communiceert hierover naar mij toe als klant.
Ik heb hetzelfde. HaveIBeenPwned geeft aan dat ik gelekt ben, datagelekt.nl geeft aan dat ik niet gelekt ben.
Misschien dat haveibeenpwnd ook al de tweede dataset heeft meegenomen en die datagelekt website alleen die van gister?
Op basis van de screenshots online wat tests gedaan. Lijkt enigszins goed te werken, maar hij kan vanwege hashing alleen directe matches vinden.

Als je zoekt op naam op die site, zoek dan "V.L. Achternaam" (twee spaties!). Zoek ook op "V.L. Achternaam(Inactive)" en "X.X.X.X.X. Achternaam".

Telefoonnummers werken ook alleen met directe match dus probeer zowel 06 als +316.

Mailadressen lijkt hij nie altijdt te vinden, misschien dat daar ook een spatiefout in zit. Ik kan het de site niet kwalijk nemen, de data is nu eenmaal niet goed genormaliseerd door Odido, dus als je het datalek direct hasht, kun je als controlesite weinig doen.

[Reactie gewijzigd door GertMenkel op 27 februari 2026 09:56]

Meerdere personen (zie topic op het forum) waaronder ik hebben melding gehad van haveibeenpwned dat data gelekt is, maar nooit enig bericht van odido gehad. Hun eerdere statement dat iedereen binnen 48 uur een mail zou krijgen als data gelekt was is dus gewoon een leugen gebleken. Niet verrassend gezien de totaal incapabele wijze waarop ze dit aanpakken, maar wat mij betreft wel noemenswaardig om aan het artikel toe te voegen.
Vraag mij overigens wel af hoe accuraat dat haveibeenpwned is. Ik heb vorig jaar een mailadres aangemaakt en dit gebruikt voor odido. Nu dacht ik, ik ga eens kijken met dat mailadres, blijkt dit mail adres al in een gehackte database te zitten van 2019?

Lijkt mijzelf wel heel bijzonder.
Ik kreeg vannacht inderdaad ook een email van haveibeenpwned. Een paar geleden klant geweest, maar natuurlijk ook niks gehoord. Ronduit bizar vind ik het.
Ja precies, ik heb zelf ook geen bericht gehad maar zie mijzelf nu wel op de website staan, is wel kwalijk.

Ben inmiddels overgestapt naar een andere provider, natuurlijk zal dat dit niet oplossen, maar sinds dat het geen T-Mobile meer is het alleenmaar gezeik geweest (en t-mobile was ook niet alles hoor...).

Echt jammer dit.
Bij dit soort dingen tref je meer de gewone burger dan het bedrijf waar de persoons gegevens vandaan komen, bedrijf zal het niet heel veel interesseren dat iemand zijn leven totaal over hoop of kapot word gemaakt door fraude.
Precies. Als de aandeelhouders maar tevreden zijn. Ze stellen het zelfs uit. Stel je voor dat hun schade lijden door de hack. Liever de klanten dan hun.

https://www.dutchitchannel.nl/news/724648/odido-stelt-beursgang-uit
PRIMA dat ze niet betalen. Poot stijf houden.

Waarom loven ze geen miljoen uit voor info die leidt tot arrestatie en veroordeling? Mag zoiets in Nederland?

[Reactie gewijzigd door masterfragger op 27 februari 2026 09:01]

Wikipedia: ShinyHunters
On June 25, 2025, French authorities announced that four members of the ShinyHunters cyber criminal group were arrested in multiple French regions for cyber crime activities. The coordinated global law enforcement effort targeting the 'ShinyHunters', 'Hollow', 'Noct', and 'Depressed' aliases.[143]
It is believed that the French have arrested an affiliate of the ShinyHunters cyber criminal group and not the ring leader, as they are still active.[144][40]

Er is dus al actief onderzoek en vervolging van deze Franse groep. Maar blijkbaar zijn ze "slim" ge-organiseerd in kleine groepjes die elkaar niet kennen.
Je stelt de verkeerde vraag. Waarom loven ze geen vergoeding uit aan klanten?
En hoe helpt die vergoeding jou, Odido of de rechtsgang?
Om blijk van goede wil te geven. Maar beter nog zouden ze met een fatsoenlijk excuus komen. Ik heb nu welgeteld één mail gehad, en alleen toen het aankomende lek de media haalde. Maar het was een totaal onduidelijke mail en het kwam door de afstandelijke bewoording ook niet over alsof het ze veel kon schelen. Maar daarna is alles helemaal stil gebleven. En mijn moeder hebben ze als ex-klant al helemaal niet benaderd, terwijl zij nog niet zo lang geleden is overgestapt, en dus haar gegevens nog hadden. Ik zou willen dat ze nu in elk geval een nieuw mailtje sturen en daarin ook wat compassie verwerken. Dat ze vinden dat ze goed gehandeld hebben door de criminelen niet te betalen, is discutabel (ik sta er zelf 50/50 in), maar ze kunnen op zijn minst excuses aanbieden voor de te lang bewaarde gegevens en gebrekkige communicatie.

[Reactie gewijzigd door TheVivaldi op 27 februari 2026 10:32]

Uhm, nieuwe documenten aanvragen gezien er data van is gelekt? Nieuw 06, etc.

Is niet gratis, daarnaast is immateriële schade ook Europees erkend als schade waar een vergoeding voor mag worden geeist.
Klopt allemaal. Alleen valt het mij op dat men wel heel gretig is op die vergoeding...
Concludeer wat je wilt, maar mijn gegevens zijn al jaren geleden gejat uit diverse hacks en dat is echt niet zo life-changing en dramatisch. Spam filters draaien overuren en op mijn telefoon krijg ik hoogst zelden spam calls. Dus ja...je kunt er heel dramatisch over doen, maar zo vreselijk is het niet.

Of er documentnummers zijn gelekt is volgens mij onduidelijk. De ene bron zegt wel, de andere niet. Maar met een documentnr alleen kun je niets. Waar ze je documenten willen zien, willen ze dat document zien, niet het nummer horen. Met een bankrekeningnr kunnen ze ook niet heel veel, dankzij onze goed beveiligde bankapps en overboekingsprocedures.
Gretig? Ik vind het niet meer dan normaal. Het is knap brutaal hoe snel Odido naar buiten kwam met een statement dat niemand recht heeft op een schadevergoeding, dat is gewoon eigen rechtertje spelen. Daarnaast moet het ook een keer klaar zijn met dit soort taferelen, in de VS krijg je enorme lawsuits waarmee je als bedrijf al gauw wat meer investeert in de IT afdeling, gunstig voor de medewerkers en creeert banen die ook toe doen. Hier wordt bij elk datalek gewoon gezegd “ach wat jammer, maar het bedrijf is evenveel slachtoffer als jij hè”, terwijl er aantoonbaar fouten worden gemaakt (geen segmentatie, encryptie of rate limiting met alerts in het kader van Odido).

Odido heeft zelf gezegd in de mail van wel en de eerste lekken tonen dat ook aan. En wat je zegt over het willen zien van documenten, je kon al met Photoshop kwade kunstjes (dus die nou niet alsof dit onmogelijk is) en dat kan tegenwoordig met AI nog makkelijker (Qwen Image Edit bijv). BSN gaat een bedrijf toch nooit zien en ben je ook niet plichtig af te geven, dus die is ook niet nodig, en voor verificatie heb je met alle andere gegevens dus nu voldoende.
Ik denk niet dat het je persoonlijk helpt. Maar meer dat het een signaal wordt naar bedrijven die onze persoonsgegevens verwerken.

De rechtsgang is vrij duidelijk,
U heeft alleen recht op schadevergoeding bij een datalek als aan drie voorwaarden is voldaan:
  1. De organisatie heeft de AVG geschonden (bijvoorbeeld slechte beveiliging van uw gegevens).
  2. U heeft schade geleden (financieel of immaterieel, zoals aantasting van eer, goede naam of stress door reële vrees voor misbruik).
  3. Er is een duidelijk verband tussen die AVG-schending en uw schade.
Een datalek op zichzelf is niet genoeg; u moet kunnen aantonen dat de organisatie fout zat én dat u daardoor schade heeft.
(https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/slachtoffer-van-een-datalek-dit-kunt-u-doen)

Als je aan die voorwaarde voldoet en je kunt de geleden schade bewijzen dan kun je dat claimen.
Precies dit. Geld is niet de oplossing. Beter dat er een strenge toezichthouder owrdt aangesteld om ervoor te zorgen dat dit niet meer kan gebeuren. Zelfs als een medewerker toegang zou verlenen aan een onbekende. Waarom niet éénrichtingsverkeer van gevoelige informatie? Medewerker voert de nodige gegevens in, die worden op de backend opgeslagen. Bij een latere verificatie vult de medewerker de benodigde gegevens in, en de backend controleert en geeft alleen aan dat het klopt, of dat er aanvullende informatie nodig is vanwege bijvoorbeeld een afwijkend adres, bankrekeningnummer of identificatiebewijs. Die gegevens kunnen dan op dat moment aangepast worden, maar bij een eerstvolgende bezoek niet direct beschikbaar. Zo ingewikkeld kan dat niet zijn.
Ook belangrijk. Maar goed mijn data is tot nu toe 17x buitgemaakt bij breaches. Ik wil graag dat zulke lui worden gepakt en zit persoonlijk minder te wachten op een vergoeding. Ben minder nijdig op Odido dan op deze criminelen.
Want?
Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?

Odido vraagt allerlei gegevens van je en is 100% verantwoordelijk voor het veilig bewaren/verwerken daarvan, dat hebben ze niet gedaan. Odido is toch écht wel de partij die hier de grootste schuld heeft.
Het is duidelijk dat Odido hier ook steken heeft laten vallen. Maar primair zijn het de criminelen die schuld hebben.

Als ik mijn voordeur open laat staan, mag er nog steeds niet iemand naar binnen lopen om mijn tv mee te nemen.

Als ik mijn deur en alle ramen op slot heb zitten, maar een inbreker weet toch binnen te komen is er niemand die mij daarvan de schuld geeft. Ook als daarbij de grasmaaier die ik van mijn buurman heb geleend gestolen wordt en ik die al terug had moeten brengen.

Als Odido data van hun klanten heeft die ze daadwerkelijk nodig hebben en ze hebben deze op redelijke wijze beschermd, dan hebben ze niets misdaan.

Nu blijkt dat er ook veel oudere gegevens in staan van oud klanten die al lang verwijderd hadden moeten zijn. Dat is de schuld van Odido.

En er moet gekeken worden of ze de deur toch wel goed dicht hadden gedaan (om terug te komen bij mijn vergelijking).

[Reactie gewijzigd door Eldunari op 27 februari 2026 09:32]

Vraag je verzekering eens om geld uit te keren voor je gestolen fiets als je hem niet afsluit. Of mijn een niet goedgekeurd slot afsluit. Of geen tracker erop hebt.

Je bent altijd zelf primair verantwoordelijk om je spullen te beveiligen.

Wat Odido heeft probeert te doen is het equivalent van "De Directie stelt zich niet aansprake voor diefstal" bordjes. Maar die bordjes betekenen niks, en deze digitale equivalent ook niet. Odidio had hun spullen degelijk moeten beveiligen en heeft dat nagelaten.
Goed, laat ik even meegaan in de vergelijking die je trekt van de voordeur en een inbraak.

Als jij je voordeur open laat staan (of een zwaar ondeugdelijk slot op de deur hebt) terwijl er in de buurt regelmatig inbraken gepleegd worden, en het bekend is dat jij een flinke hoeveelheid gouden sieraden hebt, dan is de kans heel erg groot dat een verzekering niet tot uitkering van de schade zal overgaan omdat je niet alle noodzakelijk maatregelen hebt getroffen. Dat ze binnen zijn gekomen via een klantenservicemedewerker en zoveel data hebben kunnen stelen is in mijn ogen gelijk aan onvoldoende beveiliging - per definitie. Odido zal in toekomstige verklaringen wel aan gaan geven dat het een "ingewikkelde hack" was etc maar gezien het steeds maar weer moeten aanpassen van hoeveel en wat er naar buiten gekomen is neem ik dat met een korrel zout.

Met security is het altijd zo dat je moet zorgen dat het bij jou lastiger is om binnen te komen dan bij de buurman, waarbij de mate van "lastiger maken" evenredig is met de bezittingen die je hebt.

Hierin is Odido in mijn ogen nog steeds ernstig tekort geschoten, laat staan de andere zaken die niet kloppen aan hun handelswijze:

- Waarschijnlijk niet iedereen ingelicht (er zitten mailadressen in het gelekte bestand die nooit op de hoogte gebracht zijn door Odido)

- Gegevens die langer dan nodig/gerechtvaardigd/aangegeven bewaard zijn


[Opm: mijn reactie was ik begonnen met typen voor je wijziging]

[Reactie gewijzigd door Calypso op 27 februari 2026 09:57]

Precies. In weze ben ik het natuurlijk eens dat je van andermans spullen moet afblijven, ook als de voordeur openstaat. Maar als bekend is dat er veel inbraken gepleegd worden en je laat de voordeur desondanks openstaan, dan is dat natuurlijk niet slim. De boef is uiteraard de grootste schurk, maar toch is het niet handig.

Waarmee ik niet wil zeggen dat Odido de deur open liet staan, want dat zal eerst moeten worden onderzocht. Wat wél beter kan is de communicatie. Als een boef door mijn openstaande voordeur naar binnen glipt en de grasmaaier van de buurman — die ik in bruikleen had — meeneemt, zou ik na het inlichten van de politie toch ook de buurman op de hoogte brengen.

[Reactie gewijzigd door TheVivaldi op 27 februari 2026 10:05]

. Dat ze binnen zijn gekomen via een klantenservicemedewerker en zoveel data hebben kunnen stelen is in mijn ogen gelijk aan onvoldoende beveiliging - per definitie.
Dit inderdaad!. Met alleen de voordeursleutel hebben ze ook de kluis kunnen openen. Wat ook erg is dat dit ook niet opgemerkt is totdat de hackers contact opnamen. Dus ook niemand keek op de camera's die de kluis bewaken.

Overigens vind ik Salesforce en de partners die Salesforce hebben geïmplementeerd bij Odido hier ook een gedeelde verantwoordelijkheid in hebben. Blijkbaar kan je een online only systeem als Salesforce zo inrichten dat 1 account alles kan raadplegen wat natuurlijk als security uitgangspunt al heel erg discutabel is. Op deze risico's moet een klant gewezen worden.

[Reactie gewijzigd door Danfoss op 27 februari 2026 10:17]

Je haalt hier, net als @ApexAlpha overigens, voor het gemak even twee zaken door elkaar. Je hebt het over een verzekering. Die kunnen aanvullende voorwaarden stellen om uit te keren, waaronder aanvullende beveiligingsmaatregelen (om in de vergelijking verder te gaan, een slot met bepaald keurmerk bijvoorbeeld).

Dat neemt echter niet weg dat je gewoon aangifte kan doen bij de politie, en (als ze gepakt worden) de daders verantwoordelijk zullen worden gesteld voor inbraak/diefstal/computervredebreuk/whatever. Dat staat echter geheel los van de verzekering.

Dus: de criminelen hebben schuld. (En ja, het lijkt erop dat Odido ook zeker de nodige steken heeft laten vallen en daar moet zeker naar gekeken worden, maar dat neemt niet weg dat de criminelen schuld hebben voor het stelen én lekken van de data)

[Reactie gewijzigd door vosManz op 27 februari 2026 10:49]

Ik vind wel dat Odido er met jouw blik easy vanaf komt.

Bedrijven van deze omvang mogen van mij toch wel aantonen dat zij hun schapen droog hebben staan.
  1. Wordt personeel getraind? (als blijkt dat het voordoen als ICT medewerker klopt; au!)
  2. Hoe zit de IT beveiliging in elkaar? (lijkt mij onlogisch dat 1 persoon aan de frontoffice rechten zou moeten hebben een complete dump te maken van je CRM pakket zonder 1 alarmbel)
  3. Zijn de juiste protocollen gevolgd? (of zijn deze er niet)
Als men echt binnen gekomen met zichzelf voordoen als een IT medewerker, dan vrees ik het ergste.

Wat zou onze overheid hiervoor moeten doen?
  1. Allereerst de verhuizing van ons DIGID per direct stopzetten, als we dat met computerchips doen om China, dan is dit soort data ook niet handig om naar de VS te laten gaan.
  2. Regels en gevolgen vaststellen als blijkt dat je als bedrijf nalattig bent geweest.
  3. Burgers 'gratis' voorzien van nieuwe documenten als blijkt dat dit een incident van deze omvang is.
  4. Bedrijf laten opdraaien voor allerminst de kosten van de vervanging van punt 3 als punt 2 van toepassing is. Anders misschien een soort punten systeem dat begint tot max minimaal 75% vergoeden.
Dit soort regels zal bedrijven waarop ze van toepassing zijn dwingen over veiligheid na te denken. Ik heb zakelijk met de Windows 10 > 11 migratie tevaak gehoord: geen budget en er gebeurd toch nooit iets.

Zolang bedrijven geen pijnprikkel registeren en deze voelt men alleen in de vorm van banksaldo reductie, zullen onze gegevens altijd wel te graaien zijn.

Deze kan weer in het ritje van grote hacks. Wie is de volgende... want als de overheid besluit nu niets te doen, dan zal er een nog grotere volgen.Al is het alleen voor dit soort groepen om Fame te doen. Als dit soort groepen in ons vriendelijke Rusland/China bevinden, dan is berechten zeer lastig, dat weten we allemaal.

Preventie is nu op z'n zachtst gezegd optioneel, we zijn een heel datarijk land, wellicht dat we daar meer regels aan moeten verbinden.

[Reactie gewijzigd door logix147 op 27 februari 2026 10:24]

Het is duidelijk dat Odido hier ook steken heeft laten vallen. Maar primair zijn het de criminelen die schuld hebben.
Tja, criminelen dragen altijd schuld. Het zit al een beetje in de naam. Dat is een beetje een open deur intrappen natuurlijk. Het is hetzelfde als zeggen dat vogels schuldig zijn aan het onderpoepen van je auto.
Als ik mijn voordeur open laat staan, mag er nog steeds niet iemand naar binnen lopen om mijn tv mee te nemen.
Dat is de theorie. In de praktijk weet je dat als je je deur open laat, je tv op een gegeven moment weg is.
Als ik mijn deur en alle ramen op slot heb zitten, maar een inbreker weet toch binnen te komen is er niemand die mij daarvan de schuld geeft.
En dat is bij Odido dus precies niet het geval. Dat de daders met social engineering zijn binnengekomen, is één ding, maar dat ze vervolgens ongelimiteerd overal bij konden komen, is niet bepaald "al je ramen en deuren op slot hebben". Nog even los van het feit dat Odido data verzamelde, waar ze geen grondslag of doelbinding voor hadden en waarbij ze het principe van dataminimalisatie, volstrekt negeerden.

En dan is er nog het ontbreken van data lifecycle management, waardoor ook mensen die al lang geen klant meer zijn, nu ook getroffen zijn door dit lek.

Als je als bedrijf de feiten zo negeert en je beroept op onwerkelijke theoretische scenario's, dan ben je gewoon keihard schuldig, in mijn ogen.

Het argument dat je de criminelen beloont, door te betalen, is in mijn ogen ook gewoon nonsens. Vergelijk het met een gewapende overval. Zeg je dan ook keihard nee, omdat je anders de criminelen beloont? Je moet afwegen of de consequenties van niet betalen, opwegen tegen wel betalen. In dit geval zijn de consequenties vooral voor de klanten van Odido.

Het is bovendien ijdele hoop om te denken dat criminelen wel zullen stoppen met dit soort praktijken, wanneer niemand nog betaalt. Er is altijd een kans dat ze wel betalen en het gaat tenslotte ook om de kick en de roem.

Mijn conclusie is dan ook dat Odido gewoon had moeten betalen. Niet omdat de criminelen beloont moeten worden, maar om alles te doen om de data van hun klanten te beschermen.
Ik denk dat betalen het juist in stand houdt. Ik denk dat het geld dat een Odido nu had kunnen betalen beter uitgegeven kan worden, middels wetgeving en regels (die er nu niet zijn), om getroffen gebruikers schadeloos te maken: dus door als overheid te beseffen dat dit soort documenten gewoon vervangen moeten worden preventief.

Als we dat gaan doen, is de impact kleiner, financieel en stop je ook dit soort criminaliteit. Lijst met documentnummers op een interpol lijst ofzo en iedereen die dit gegevens gebruikt kan je vanuitgaan dat ze geen zuivere bedoelingen hebben.

Ander voordeel is dat je zo ook zakelijk in elk geval bedrijven dwingt te investeren in de beveiliging, dat is nu een vijfde wiel aan de wagen. Bedrijven die het wel doen ervaren wellicht zo oneerlijke concurrentie van andere partijen die even groot zijn, maar dat maakt niemand wat uit, tenzij het nu groot in nieuws komt.

Gevolg is dat je als getroffen persoon altijd de landing over je heen krijgt en bedrijven komen er vaak ongeschonden vanaf of met een figuurlijke tik op de vingers.
Maar de hackers braken in bij Odido, moeten zij dan maar vrijuit gaan? Ik bedoel Odido heeft fouten gemaakt, maar zij zetten de boel niet op het darkweb... laten we wel de echte dieven blijven volgen.

Dat onnodige data bij Odido aanwezig is/was is natuurlijk ook slecht, maar er is ook een gedeelte dat de overheid hier heeft laten liggen in de vorm van de controlerende instanties die te weinig budget heeft voor het tijdig uitvoeren van hun taken. Deze instanties zijn in principe opgesteld om het Nederlandse volk te beschermen, en daar is ook gefaald mijnsinziens.
Zoals ik het zie:
Hackers zijn zeker fout, zeker gezien zij in eerste instantie van de gegevens af hadden moeten blijven.
Maar Odido is hier minstens zo fout omdat ze hun zaken niet op order hadden / hebben.
En het beveiliging van het systeem begint met een goede personeelsinstructie.

Het grootste probleem wat ik heb, is dat geen van beide partijen hier direct de slachtoffer van is.
Odido en de Hackersgroep wachten tot dit overwaait en dan is het voor hun een afgesloten hoofdstuk.

Terwijl de klanten die O'di(L)do vertrouwden, hun gegevens zien belanden op straat wat op ieder moment in de (nabije) toekomst tegen hun gebruikt kunnen worden.

Wat dacht je van de combo naam / adres / BSN en IBAN? (zeker zzp'ers of kleine eenmanszaken wat voor 2020 een abonnement hebben afgesloten)

Verder horen we niets direct vanuit Odido. En een F-Secure licentie voor 2 jaar (op aanvraag) vind ik erg dunnetjes.

En ik mis een officiële verontschuldigingen naar hun klanten.
Tja, het is misschien net als een bankoverval waarbij de bank meer had kunnen doen, maar het is toch echt de schuld van de overvallers dat ze er misbruik van maken. Je hebt helemaal niks te zoeken in die gegevens en de enige motivatie voor ze is om er geld aan te verdienen waarbij ze de levens van miljoenen mensen negatief beïnvloeden. Dan ben je gewoon een klootzak hoor.

Verder kan Odido er ook weinig aan doen dat er zo weinig gegevens zijn om iemand te identificeren waarbij ze deze echt wel nodig hebben om te zorgen dat ze hun geld krijgen, dat ze weten met wie ze te maken hebben en dat ze zaken kunnen en mogen blijven doen (want een deel is ook wettelijk verplicht).

Je hebt gelijk dat de klanten meer slachtoffer zijn dan Odido en dat het hun vooral PR kost en een deel van de klanten zal weggaan. Maar alsnog is het toch echt de schuld van de hackersgroep. Die willen ten koste van de slachtoffers die hier nog jaren sores van hebben geld eruit slaan. Dat ze nu druppelend de gegevens naar buiten brengen is nog een laatste strohalm om te kijken of ze er nog wat geld uit kunnen halen. Maar dat gaat niet lukken en dat is ook gewoon terecht (anders maak je jezelf alleen maar een groter doelwit voor de toekomst)
Precies, waarom is de communicatie zo slecht? Als het nu ging om een eenmansbedrijfje met 1000 klanten, kan ik me voorstellen dat het moeite kost om die allemaal op de hoogte te brengen, maar een groot bedrijf als Odido heeft genoeg personeel en geautomatiseerde verzendsystemen om deftige berichten te versturen aan hun klanten.
dat schrijft hij toch niet. Vind je reactie asociaal, Odido is nalatig, bewust en nu doen of hun neus bloed. Er is niemand die zegt dat de hackers er mee weg moeten komen maar Odido /T-mobile is de grootste schuldige.

Odido zijn uiteindelijk ook dieven, ze hebben data in bezit waar ze geen recht meer op hadden. Het bestuur en de degene die de data te lang liet bewaren en degenen die niet zorgde dat het goed genoeg beveiligd was zijn smerig tuig. Heel smerig spel, data voor geld boven de regels en de consument, ontsla ze allemaal en vervolg ze persoonlijk. En pas hun BVG aan.

Reken maar dat er dan beter opgelet gaat worden.
Dus als iemand je portemonnee steelt dan doe je ook geen aangifte omdat je deze maar beter had moeten opbergen? Of als er een inbreker je huis binnenkomt dan zegt de politie toch ook niet dat je je huis maar beter had moeten beveiligen want er is alsnog iemand binnen gekomen.

Natuurlijk heeft Odido ook steken laten vallen en als ik op Ivebeenpwnd kijk dan zie ik dat nog veel meer bedrijven dat hebben gedaan waarvan ik het niet eens wist... Maar die hackers brengen het naar buiten, niet Odido.
Kromme vergelijking. Met 6,2 miljoen gevoelige data mag je hogere security verwachten, dan bij een gewoon huis. Eigenlijk hebben ze dus zo veel dat niet goed achter slot en grendel gezet maar gewoon in huis laten slingeren. Dat is wat anders dan spullen van 1 persoon..
Precies. Als we dan tóch voor de gebouwbeveiliging gaan, zou ik eerder een bank als voorbeeld nemen. Als die alle goudstaven pal achter de voordeur legt die beveiligd is met een brakke MasterLock en alleen nepcamera's ophangt, zodat het alleen lijkt alsof er gefilmd wordt, zou de verzekering na inbraak dan uitkeren of zeggen: u had het bankgebouw beter moeten beveiligen?
Shinyhunters zijn de grote criminelen. Maar Odido gaat ook zeker niet vrijuit. Als ze zich gewoon netjes aan de AVG gehouden hadden was de schade aanzienlijk kleiner geweest. Het grootste deel van de gegevens in het lek mocht Odido niet eens in bezit hebben. Daarnaast had Odido gewoon hun beveiliging niet op orde.
Ik ben dan wel benieuwd naar welke gegevens je doelt? De AVG is bewust enorm vaag over hoe lang je gegevens mag behouden.
Ten eerste de bewaartermijnen zijn ver overschreden.Daarbij hoidt Odido gegevens bij over gedrag van klanten en hoe klanten op dat moment over komen. Zaken als "Onder invloed", "Klant gaat door een moeilijke periode" Odido is geen GGZ instelling. Dit zijn zaken waar een winkel of callcenter medewerker totaal niets mee te maken heeft en gaat ook ver buiten hun bevoegdheden.

Daarbij gaf Odido op hun eigen website aan wat hun bewaartermijnen waren. En die hebben ze alles behalve nagelefd.

[Reactie gewijzigd door asset185 op 27 februari 2026 10:29]

Volgens de AVG mag je ze misschien niet lang bewaren, maar voor bepaalde processen moet je ze wel degelijk wettelijk opvragen en verwerken voordat je ze weg doet, versleutelt of gedeeltelijk nog bewaard voor verificatie.
Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt omdat hij geduwd word door onbekend iemand en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?

Hier.. verbetering van je opmerking vergeleken met de realiteit gezien jouw situatieschets van geen kanten klopte.
En ja.. mensen mogen ZOWEL boos zijn op degene die hem geduwd heeft (aka, Shinyhunter) en de kinderopvang die duidelijk beter had moeten opletten en je kind niet alleen had moeten laten met een onbekend iemand (Odido)
Odido is inderdaad 100% verantwoordelijk dat ze het zo ver hebben kunnen laten komen dat er zoveel persoonlijke gegevens zijn buitgemaakt.
Maar je vergelijk gaat ook mank, het bankje kan er niet actief voor zorgen dat je kind er vanaf valt en een hersenschudding krijgt.

De dieven hebben willens en wetens schade willen berokkenen.
Zij zijn de echte criminelen.

Desondanks niet te min, zou de directie van Odido van mij een jaartje of wat in de petoet mogen belanden.
Gewoon als signaal aan bedrijven dat het een serieuze zaak is en dat je als directeur van een multinational niet je handen af kan trekken van de verantwoordelijkheid om de gegevens van je klanten te beschermen op een dusdanige manier dat een breach van deze omvang niet mogelijk is.
Daarom onderzoekt het OM de hack ook of Odido nalatig is geweest. Er kan ook zijn - en ik zegt niet dat dat hier ook het geval is - dat ze al het mogelijke hebben gedaan om dit te voorkomen.

Er zit een grens aan wat redelijk en billijk is. Als er in je huis wordt ingebroken en je had veiligheidssloten, een waakhond, een alarminstallatie en camera's, dan zou je ook niet accepteren dat de verzekering zegt dat je 100% verantwoordelijk bent omdat je geen rolluiken en tralies hebt geïnstalleerd.

De hackers zijn 100% verantwoordelijk voor de hack en het lekken en dat is toch écht de partij die de grootste schuld heeft, de rol van Odido wordt nog onderzocht en de klanten zijn de sjaak, zonder dat ze er iets aan hebben kunnen doen.
Want?
Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?
Ik ben wel benieuwd op wie je dan boos bent?

a) Op je kind omdat hij van het bankje is gevallen?
b) Op jezelf, omdat je te weinig onderzoek hebt gedaan naar het bankje bij de kinderopvang?
c) Of heb je nog een andere optie?
Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?
Het gaat er hierbij dat je kind van het bankje is geduwd. Maar goed nieuws: de dader belooft aan andere ouders hun kinderen iets van het bankje te duwen als ze geld geven. Ben jij dan blij als die andere ouders betalen?

Ik weet dat het controversieel is, maar persoonlijk heb ik moeite met het financieren van criminele organisaties. Ze gaan niet minder hacken als ze meer geld krijgen; ze worden er professioneler van.

[Reactie gewijzigd door 84hannes op 27 februari 2026 09:42]

Hadden ze bij de betaling niet een volgtrucje kunnen inbouwen, zoals Kees van der Spek dat doet om de locatie van oplichters te achterhalen?
Als iemand de afgesloten deur van die kinderopvang zou forceren en jouw kind iets zou aan doen, dan zou je niet boos zijn op degene, maar alleen op de kinderopvang? 8)7
Het klinkt mij eerder als,
Als ik mijn kind naar een kinderopvang doe en iemand bij die kinderopvang binnenloopt en daar mijn kind van een bankje af duwt en het kind daardoor een hersenschudding heeft, ga ik boos zijn op de kinderopvang want ze hebben die persoon niet tegegengehouden, maar ik ga zeker ook boos zijn op de persoon wie mijn kind heeft geduwd.
Serieus?
Ik ben tegen criminaliteit maar in mijn ogen is Odido de grootste oorzaak van deze hack.
Zij hebben verzaakt hún beveiliging op orde te brengen en zijn dus zelf de boosdoener.
Daarbij hebben ze hun klanten nog geen Euro compensatie toegezegd terwijl dit toch wel het minste is wat ze hadden moeten doen.
Vanaf dag 1 hebben ze deze hack gebagatelliseerd totdat duidelijk werd wat er allemaal gestolen is.
Van mij mogen bedrijven de maximale boetes en straffen gaan krijgen voor nalatigheid.
Nee, een winkelmedewerker was de grootste oorzaak. Via social engineering zijn ze binnen gekomen. Hoe wil je dat gaan beveiligen? Dat is een kwestie van opvoeden van medewerkers. Nu is mijn ervaring dat die toch weinig gemotiveerd zijn en er vooral staan omdat de verdiensten de rekeningen thuis betalen.
Dat is lekker, afschuiven op je eigen medewerkers. Als bedrijf ben je daar verantwoordelijk voor. Je neemt ze aan, je screent ze, je toetst of ze voldoende geschoold zijn, geeft een passend salaris, zorgt dat ze verplichte security awareness training volgen. Doet security awareness test (kijken of medewerkers info uitgeven). Allemaal verantwoordelijk als je een toke runt die zoveel data heeft. Dit kan je echt niet afschuiven op de individuele medewerker die gehapt heeft.
Dat ben ik niet met je eens. De winkelmedewerker was inderdaad de sleutel tot toegang. Echter waren er geen veiligheidssystemen die in de weg stonden als er een databasedump van 210GB gemaakt word. Ten eerste zou een winkelmedewerker niet eens toegang moeten hebben tot zo’n actie en daarnaast zouden alle alarmbellen af moeten gaan op het moment dat zoiets gebeurd.
Wat gaat een vergoeding helpen? Oke hier heb je 100 euro, is dat opeens minder schadelijk? Je gegevens liggen nog steeds op straat.

Ik ben voor het bestraffen van bedrijven die nalatig zijn. Maar dat ze hun klanten geen euro compensatie hebben gegeven is geen argument. Het kwaad is al geschied.
Er zou een wet moeten komen dat zodra een bedrijf gehackt is dat een ieder zijn contract meteen mag opzeggen. Dan kunnen wij als consument een bedrijf tenminste echt aanpakken.

Al hoewel sommige users hier alsnog zeggen dat dit bij een andere provider ook gebeurd en dat er geen enkel bewijs is dat andere providers/bedrijven het beter voor elkaar hebben :')

Of niet @bzuidgeest
Ik kan jouw gegevens zo op zoeken. Maria zuidgeest.
Als jij je geld en bezittingen in een fysieke kluis bij de bank hebt gedeponeerd, en deze blijkt gestolen te zijn omdat de medewerkers per ongeluk de deur van de kluis op een kiertje heeft laten staan.

Wie is dan de meest schuldige?
Wettelijk gezien is er maar één schuldige en dat is de inbreker. Tweakers zien dat anders, maar feiten zijn feiten.
De verantwoordelijke van de kluis.
minder nijdig op odido?

Als Odido fatsoenlijk werk had geleverd en met de juiste zorg omgaat met alle gegevens die ze hebben dan was deze lek nooit gebeurt. Odido is zeer nalatig en laks. Criminelen arresteren is belangrijk maar als we criminelen geen kans geven dan wordt er ook niets gestolen
Daarbij komt dat dit lek ontstaan is door menselijk falen, niet door de techniek. Alsof ze gewoon aan de bewaking gevraagd hebben de kluis te openen.

Had het anders gemoeten? Zeker! De software (webinterface) zou geen kritieke/privacygevoelige informatie moeten ontvangen en zou éénrichtingsverkeer voor dat soort zaken moeten zijn. Medewerker klopt iets in wat privacygevoelig is, backend controleert en geeft groen licht om door te gaan of zorgt voor aanvullende verzoeken om meer informatie aan te leveren. Eenmaal ingevoerd is het van geen enkele waarde om dat nog in een winkel te tonen. Maar dat is het euvel met zoveel van dit soort toepassingen, niet alleen bij Odido.
Echter de techniek liet het toe om bij alles te komen door slechts enkel een mens te kunnen misbruiken.

In jouw voorbeeld zou je dan toegang krijgen tot een kluis die enkel slechts met 1 code te openen is en daarna toegang geeft tot praktisch alles. Als je in een kluis gaat van een bank, heb je daarin weer losse kluisjes. Dus daar moet je door meerdere sloten heen. Dit lek is ontstaan doordat ze langs 1 onderdeel zijn gekomen daarna was de weg volledig open en dat is wel degelijk nalatigheid.
Ja, leuk dat je 17x bent buitgemaakt. Maar er is wel even een verschil tussen je email gelekt en letterlijk al je sensitieve persoonlijke informatie.

Ik ben een stuk meer nijdig op de faalhazen van odido dan op deze online gangsters. Ken de de parabel van de kikker en de schorpioen?
Sterker nog, ze kunnen klanten amper nog helpen. Was ingelogd, stel ze een vraag over facturen vanuit hun omgeving, krijg ik een bericht "bel even met de klantenservice". Na drie keer opgehangen te worden iemand aan de lijn: ja meneer, we moeten een hele strenge verificatie doen. Uh jah, omdat u uw spullen al heeft teruggestuurd kan ik de verificatie niet verder doorlopen en mag ik u niet meer helpen. Ok nou success met uw aanmaningen van uw al zes maanden geleden opgezegde contract die we niet goed hebben verwerkt hè!

Een grote chaos daar nu, ze vertrouwen nu niks meer, omdat ze de gegevens die ze hadden om iemand te helpen, op straat hebben gegooid. Hopelijk worden zowel Odido als de hackers keihard aangepakt voor deze zooi. Je kunt je niet meer identificeren bij hun, omdat iedereen dat kan doen. Joh!

[Reactie gewijzigd door barbarbar op 27 februari 2026 09:11]

Je zal maar als klantenservice daar nu de boel moeten oplossen. Ik had mn spullen gepakt
Lijkt me geen probleem? Aangezien ze er neem ik aan vanuit gaan dat de hackers enkel data hebben gedownload en niet gewijzigd (anders heb je hele andere problemen), kan er prima een verificatie naar telefoonnummer, e-mailadres of zelfs post worden gestuurd. Met dat nummer, in combinatie met een ander gegeven, weet je redelijk zeker dat de persoon is wie hij zegt dat hij is
Vertel dat maar aan de klantenservice dan ;) Post mogen ze sturen, maar daar wonen we niet meer, en laat je het adres nou niet kunnen wijzigen, omdat ze dat uit voorzorg niet toestaan. Ze werken zichzelf verder in de nesten. Telefoonnummer vertrouwen ze ook niet, heb volgens mij iets van zes dingen doorgegeven, en nog is dat niet genoeg. Ze willen het nummer van je modem nu weten. Ja heel handig, die is al terug gestuurd handige harries.
Beter, als klanten daadwerkelijk de dupe worden van fraude hierdoor, odido aanklagen al dan niet via een collectieve rechtzaak.
Dat is toch een sigaar uit eigen doos. Die wordt weer terugverdiend door de tarieven te verhogen.
Als Odido niet gaat betalen verdienen ze wel een gigantische boete hoor. De beveiliging was vrijwel niet aanwezig en het blijkt dat ze van miljoenen mensen illegaal gegevens bewaren.

Nu is 30% van Nederland de pineut in plaats van dat het bedrijf er ook maar iets aan doet.

En ja, criminelen betalen is slecht daar ben ik het mee eens. Maar nu worden een hele hoop mensen straks opgelicht door extreem gepersonaliseerde oplichtingstrucs, dus ook het crimineel circuit lacht zich kapot...
en het blijkt dat ze van miljoenen mensen illegaal gegevens bewaren.
Waar blijkt dat uit?
Er worden onder andere paspoortnummers bewaard en data van oude klanten die al lang niet meer bij Odido zitten. Ik ben geen expert op het gebied van AVG maar volgensmij is het niet de bedoeling dat ze deze gegevens onbeperkt bewaren. Zoals te zien uit verschillende rapportages over de data worden ook gegevens bewaard over financiele situatie (wanbetalers etc. terecht dat ze deze gegevens bezitten maar geen idee of daar een bepaald termijn aan zit) en zelfs de reden van overlijden.

Genoeg gegevens iniedergeval die niet helemaal onder het gerechtvaardigd belang vallen!
Ik ben ook geen expert op het gebied van AVG, maar het lijkt me juist onhandig dat de (officiële) informatie vaag is:
Om een goede administratie te kunnen bijhouden, moeten organisaties bepaalde persoonsgegevens een tijd bewaren. Maar bewaren van persoonsgegevens mag niet langer dan noodzakelijk is. In de Algemene verordening gegevensbescherming (AVG) staat geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Wel zijn er concrete bewaartermijnen in andere wetten waaraan organisaties zich moeten houden. Bijvoorbeeld in belastingwetgeving.
Het uitgangspunt is dat u persoonsgegevens niet langer dan noodzakelijk mag bewaren. Wat noodzakelijk is, hangt af van de situatie. Vandaar dat u zelf moet vaststellen wat in uw situatie passend is.
In plaats dat hier gewoon (en ik zeg maar wat) staat "klant informatie mag gedurende contract periode + 2 jaar" oid opgeslagen worden, is het dus aan ieder bedrijf om daar een eigen interpretatie over te hebben.
Als je je een heel klein beetje in de AVG verdiept dan weet je dat het grootste gedeelte van de gegevens die zich in het lek bevonden al lang verwijdert hadden moesten zijn of simpelweg zelfs nooit opgeslagen hadden mogen worden.
Als je je een heel klein beetje in de AVG verdiept dan weet je dat het grootste gedeelte van de gegevens die zich in het lek bevonden al lang verwijdert hadden moesten zijn of simpelweg zelfs nooit opgeslagen hadden mogen worden.
Ik kan me vergissen, maar is het grootste gedeelte niet gewoon informatie om klanten te kunnen identificeren, addresseren, dienstverlening aan te bieden, betalingen te regelen, etc? Naam, adres, telefoonnummer, email, rekening nummer, etc.
Plus een hele berg persoonlijke notities. Daar had de NOS een dag voordat de criminelen op hun darkwebsite gingen publiceren al over bericht.

Daarnaast zijn veel gegevens gewoon van 10 jaar terug. Toen de naam Odido nog niet eens bestond maar het nog T-Mobile heette. Daarbij zitten mensen die al jaren geen klant meer zijn.

En gisteren bleken er weldegelijk BSN nummers tussen te zitten. Van zakelijke eenmanszaken. Omdat bij deze onderners tot 2020 het BSN nummer in het BTW nummer was verwerkt. Het gaat hier dus om oude gegevens van voor 2020.

[Reactie gewijzigd door asset185 op 27 februari 2026 10:50]

Ik denk dat als ze via social engineering ditzelfde bij andere bedrijven proberen dat je bijna overal wel binnenkomt. Mensen doen veel privé dingen op hun werkcomputer en daarnaast zijn er genoeg die op een linkje klikken om deel te nemen aan een: zakenreis, ipad, etc.
Het feit dat een klantenservicemedewerker toegang heeft tot al deze gegevens zonder enige verificatie is niet helemaal de bedoeling. Dat ze deze informatie kunnen opzoeken voor 1 persoon begrijp ik nog wel, maar dat je met zo weinig rechten gewoon de volledige hap kan downloaden is toch wel echt belachelijk.
Zeker is dat zo. Dit zou je dan in je CMS moeten laten bouwen want ik begreep van een Salesforce admin dat dit geen standaard functionaliteit is van dit pakket. (dus elk bedrijf met salesforce kan zonder extra maatregelen enorme datasets laten opvragen door hun medewerkers).
Odido heeft wel schijt aan security richtlijnen gehad: RDI legt Odido boete op van ruim 1,5 miljoen vanwege onvoldoende beveiligd aftapsysteem. Dit was als klant eigenlijk al een aanwijzing dat je bij dit bedrijf geen klant zou moeten willen zijn.
Wie gaat die boete opleggen dan? En met welk bewijs? Want wat Shinyhunters op de darkweb zet, kan een combinatie zijn van gegevens die ze bij Odido buit hebben gemaakt of een verwerking ervan. Stel ze hebben de wachtwoorden wel gehashed en gesalt, maar de versleuteling is ook buit gemaakt, dan is deze te decrypten bv. En het is allemaal illegaal verkregen dus je mag daar als politie echt niks mee doen voor een rechtszaak.

[Reactie gewijzigd door Martinspire op 27 februari 2026 10:38]

Bor Coördinator Frontpage Admins / FP Powermod @masterfragger27 februari 2026 09:20
Waarom loven ze geen miljoen uit voor info die leidt tot arrestatie en veroordeling? Mag zoiets in Nederland?
Helaas is de pakkans nog altijd erg klein. Veelal opereren dit soort groeperingen vanuit landen waar we geen verdragen mee hebben rond het uitleveren van mensen, is de groepering wereld wijd en wisselt de samenstelling. Hoe ga je bv iemand veroordelen die zich in Rusland oid bevindt als je er al achter komt wie je moet hebben?

De hele reden waarom dit soort afpersing bestaat is dat er een grote kans op betaling is, de afpersers een ander moreel kompas hebbeb (kuch kuch) en dat de pakkans erg klein is.
De hele reden waarom dit soort afpersing bestaat is dat er een grote kans op betaling is, de afpersers een ander moreel kompas hebbeb (kuch kuch) en dat de pakkans erg klein is.
En omdat er tegenwoordig methodes zijn om te betalen die niet naar een persoon te traceren zijn. Zonder coins bestond deze tak van misdaad niet (of was op zijn minst veel kleiner).
Inderdaad. Het is best vervelend dat mijn gegevens erbij zitten, maar dit soort gedrag moet je niet belonen.
Odido is onverantwoord met onze gegevens omgegaan en hebben de verantwoordelijkheid om deze gegevens veilig te houden.

Dit is niet een kwestie van belonen, maar van verantwoordelijkheid nemen voordat de schade voor de klant die zijn vertrouwen in jou stelde nog erger de dupe wordt.

Het is leuk om in absolute en idealistische termen te praten, maar ik kan al die gegevens die nu op straat liggen niet terug in het doosje stoppen. Mijn BSN, geboortedatum, volledige naam etc. liggen nu op straat en kunnen voor decennia gebruikt blijven worden. Zelfs als ik verhuis en van rekening, e-mail en telefoonnummer verander blijf ik enorm kwetsbaar, en als je de verhalen hoort van andere mensen die hun identiteit gestolen hebben gehad kunnen die daar voor duizenden uren aan rotzooi van krijgen omdat er creditcards, leningen etc. op hun naam zijn aangegaan, en dan mag je leuk aan alle deurwaarders vertellen en bewijzen dat jij dat geld niet schuldig bent. Dit kan een enorme nachtmerrie zijn voor getroffenen.

Odido kan dit bedrag makkelijk betalen en heeft de morele verantwoordelijkheid dit te doen. Het is toch absurd dat de partij die in gebreke is weigert om hun klanten te beschermen omdat de enige die met de puinhoop blijven zitten diezelfde klanten zijn? Ze willen gewoon het risico niet lopen dat ze de daders nooit identificeren en het geld niet kunnen verhalen.

Wat mij betreft mag de politiek een wet aannemen dat in geval van schade met een herleidbare bron van datalekken deze bron 50 jaar lang aansprakelijk blijft voor de gevolgen van deze datalekken. Het is idioot dat wij allemaal zijn overgeleverd aan de moraal van een bedrijf terwijl dat bedrijf in de realiteit alleen maar interesse heeft in geld.

Ik sta hier als slachtoffer buitenspel en compleet machteloos, en kan alleen de rest van mijn leven met de verbrande peren zitten.
Ik ben ook slachtoffer, maar sta er anders in. Odido heeft zijn zaakjes niet op orde, daar mogen ze best een behoorlijke boete voor krijgen. De overheid heeft in deze ook boter op zijn hoofd, die moet bij bedrijven controles doen over dit soort zaken en bij overtredigen boetes uitdelen. Maar in Den Haag zien ze de noodzaak niet om hier geld voor uit te trekken.

Ik vind het goed dat er niet betaald is. Er zijn genoeg voorbeelden dat na betaling alsnog de data verkocht is (al dan niet verrijkt met data uit andere hacks). Daaruit concludeer ik dat betalen alleen maar uitstel van executie is. Die data gaat toch wel de markt op. Nu weet ik straks welke data van mij gelekt is en kan ik daar gericht op controleren/beveiligen.

Daarbij kan ik me niet voorstellen dat de gegevens die van mij gelekt is (waarschijnlijk NAW + IBAN) niet allang door tientallen webshopjes is gelekt zonder dat daar een melding van is gedaan. Het enige verschil is dat er nu een heel mediacircus van gemaakt wordt, wat wel weer goed is voor de awareness van het grote publiek.

Om nog even terug te komen op Den Haag: wat volgens mij goed zou zijn is dat er boetes bij lekken van gegevens worden uitgedeeld. En dan ook per gegevensveld. bijvoorbeeld 1 euro voor een voornaam, 1 euro voor een achternaam, 5 euro voor een adres, 5 euro voor een email-adres. 15 voor een IBAN. Dan is er voor de CFO van dergelijke bedrijven een noodzaak om zo min mogelijk gegevens op te slaan en deze gegevens te verwijderen als ze overbodig zijn. Die gegevens bewaren zijn dan namelijk een gigantische potentiele kostenpost. Nu is het verwijderen een (veel kleinere) kostenpost omdat dat man-uren kost.
De overheid heeft in deze ook boter op zijn hoofd, die moet bij bedrijven controles doen over dit soort zaken en
De overheid (politie?) moet bij bedrijven de databeveiliging gaan checken? Wat kan er fout gaan?
Volgens mij hebben we een Autoriteit Persoonsgegevens die dat hoort te doen, maar door Den Haag onderbetaald wordt. Misschien kunnen ze met die lek-boetes hun eigen budget aanvullen. Dat zou betekenen dat hoe groter de lekken, hoe meer mogelijkheden AP heeft.
Jij hebt het idee dat het met een miljoen af kan worden gekocht? Je weet nooit wat ze met je gegevens doen, ook niet als er betaald is. En over hackers die een reputatie hoog te houden hebben wil ik het al helemaal niet hebben.
Het probleem is dat de manier waarop het hele identificatieproces voor een dienst op dit moment werkt gewoon inherent onveilig is. En deze megalek heeft dat hele systeem feitelijk totaal onbruikbaar gemaakt.

Met deze gegevens kan iemand een automatische incasso uitvoeren bij jouw bank. En bedrijven die nu nog steeds op dezelfde manier een klant proberen te identificeren kunnen heel makkelijk denken dat ze met jou inplaats van met de boef te maken hebben.

Dit lek gaat verstrekkende maatschappelijke gevolgen hebben. Want de manier waarop we al jeren dingen hebben gedaan en wat al jaren heel slecht werkte. Werkt nu dus totaal niet meer.
Dat heb ik dus ook. En wat kan je anders doen?Overstappen naar een andere provider wat hetzelfde kan gebeuren?
Ik zou het wel fijn vinden dat Odido klanten gaan informeren welke specifieke gegevens van hen zijn gelekt. Ik heb namelijk geen idee welke gegevens ze over mij hebben verzameld.
Je kan natuurlijk gewoon kijken in de dataset van ShinyHunters.
Bor Coördinator Frontpage Admins / FP Powermod @ocn27 februari 2026 09:21
Dat kan maar zoals Arnoud hier al aangaf:
Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.
Zoals gister al aangegeven. Dit is niet waar en alleen het feit dat Arnoud het zegt maakt het ook niet waar.
Bor Coördinator Frontpage Admins / FP Powermod @fvdberg27 februari 2026 10:07
Dat je het er niet mee eens bent is duidelijk. Dat jij het anders ziet maakt het niet opeens "niet waar" of je eigen interpretatie de absolute waarheid want daar valt ook nog wel het e.e.a. op af te dingen. Deze discussie hebben we al op meerdere plekken gezien. Uiteindelijk is het voor voor een jurist en laat Arnoud dat nou net zijn. Over het algemeen geldt; wees voorzichtig met wat je doet want aan je acties kunnen zo maar onbedoelde consequenties hangen; nog los van het punt dat hoe meer mensen deze data downloaden en verspreiden hoe groter het probleem voor de slachtoffers kan worden.
Mensen ik ga hoe het echt zit vandaag niet herhalen. Doe je vooral je eigen onderzoek. Bij deze man staat het licht aan maar is er niemand thuis.
Arnoud is niet de enige jurist met kennis van zaken. Je vaart naar mijn idee iets teveel op een autoriteitsargument hier.
Zelfs voor journalisten zou dit verboden moeten zijn als ze weten om welke content het gaat. Want als elke journalist dit gaat downloaden staat die informatie straks op elke pc ongeencrypt en is je data ineens nog veel onveiliger geworden. Ondanks dat het al gelekt is.
Maar volgens GDPR is data over mij mijn eigendom, niet?

Dus alleen op jezelf zoeken om te checken wat erin staat zou dan wel mogen.

Niet dat dat makkelijk kan want de dataset is één bestand van 10GB, maar toch. Moet toch even checken of mijn familie erin staat.
Bor Coördinator Frontpage Admins / FP Powermod @ApexAlpha27 februari 2026 10:08
Dat kan o.a. op haveibeenpwnd. Daarvoor hoef je de dataset niet zelf te downloaden.
Maar dan is volgens jou HaviIBeenPwned dus crimineel bezig?

Bovendien laat HaveIBeenPwned niet al je gegevens zien.

[Reactie gewijzigd door ApexAlpha op 27 februari 2026 10:15]

Je bedoelt dat ze met de billen bloot moeten en laten zien wat ze allemaal van iedereen hebben? Dat zou inderdaad leuk zijn! Als ik Odido was zou ik braaf betalen en hopen dat daarmee de kous af is.
Niet alleen leuk, dat zou mijn inziens je recht moeten zijn. Je moet nu formulieren ondertekenen en scannen om je eigen gegevens op te vragen. Het zou verplicht gesteld moeten worden die op een makkelijke manier in te kunnen zien.

Uiteraard alleen van jezelf 😉

[Reactie gewijzigd door jemson op 27 februari 2026 09:12]

Dus jij zou liever betalen en afwachten tot een jaar later alsnog de data via kleine routes weggesluisd word?
Door te betalen heb je geen garantie en je beloond criminelen met geld waardoor ze nog verder kunnen uitbreiden en nog meer crimineel publiek in de markt brengen...

Ja.. slim
Het zou mooi zijn als de verantwoordelijke mensen bij Odido vervolgt worden. Kennelijk zijn de consequenties niet genoeg om te voorkomen dat dit soort lekken gebeuren... En dan heb ik het niet over de mensen die gebruikt zijn voor het lek, maar de mensen die verantwoordelijk zijn voor de beslissingen dat er zoveel vastgelegd wordt en dat dit op grote schaal beschikbaar is.
Ik vraag me af waarom je het liever hebt over 'leuk'. Verwachting dat het bedrijf klamten behoorlijk informeert komt voort uit wettelijke eisen. Het bedrijf heeft de keuze gemaakt dat alleen het lekken al genoeg reden is klanten te informeren. Daarbij stellen ze zelf dat ze niet weten van wie er precies gegevena gelekt zijn en ze geen redenen hadden om verder misbruik aan te nemen. Het publiceren is wettelijk verder misbruik. En aangezien het om de gegevens gaat waar het bedrijf verantwoordelijk voor is hebben ze dus ook plicht om de klant te informeren als hun gegevens verder misbruikt zijn.

Daarbij staat je stelling dat jij zou betalen en hopen dat de criminelen zich aan hun woord houden haaks op je eerdere stelling dat betalen niet zorgt voor ander gedrag bij dit soort criminelen.
Eh, ja! ik betaal verdorie voor een abonnement bij hun en dan is het van meh, jammer je gegevens zijn gelekt. Succes.

Criminelen betalen in welk opzicht dan ook moet illegaal zijn, volgens mij is het eigenlijk al niet legaal om te doen maar staat het niet zo in de wet. Afpersen is een misdrijf, afbetalen faciliteert het misdrijf, kan het verergeren (ze komen terug) of je kan als medeplichtig aangemerkt worden. Vandaar ook dat het aankopen en/of inzien van de data van ODIDO als een misdrijf wordt gezien zoals Arnoud eerder heeft aangegeven.

Als Odido of wie dan ook betaald dan moet er wat mij betreft direct een dubbel zo hoge boete volgen. Die boete mag dan onder de klanten verdeeld worden zodat ze eventuele acties kunnen verrichten zoals het vervangen van ID bewijzen indien gewenst of nodig.
Is het BSN nou wel of niet gelekt van gewone klanten, daar heb ik discussie over met de familie. Ik dacht van niet, omdat ze uberhaupt geen reden hebben om het te verwerken. Maar goed, er zijn natuurlijk ook gegevens gelekt van mensen die 10 jaar geleden klant waren, dus dat zegt niet zoveel. :P

[Reactie gewijzigd door dehardstyler op 27 februari 2026 09:11]

Voor zover ik weet zijn er verschillende e-mails verstuurd, geen idee wat de precieze reden achter de verschillende e-mails zijn. Ik heb een e-mail ontvangen waarin niet benoemd is dat mijn bsn/documentnummer(s) zijn uitgelekt. Echter gaan er ook e-mails rond waarin wél staat aangegeven dat deze zijn gelekt.
Nee, klanten hoeven ook nooit een BSN op te geven. Het is eigenlijk de schuld van de KvK Belastingdienst die jaren lang het BSN in het btw-nummer heeft verwerkt (nu al een aantal jaar niet meer).

Dat btw-nummer is wel gelekt en daarbij dus ook het BSN van die klanten die nog een btw-nummer met BSN hadden.
edit:
Overigens, de oude btw-nummers zijn vernieuwd zodat ze geen BSN meer hebben, maar Odido had dat gegeven nog van oud-klanten.

[Reactie gewijzigd door TomONeill op 27 februari 2026 09:46]

Dat is niet de schuld van de KvK maar van de belastingdienst.
Sorry, je hebt gelijk. Ik pas m'n bericht aan.
In dit artikel op Tweakers staat BSN van zakelijke klanten. Ik hoop een fout want ik zou hier weten waarom Odido deze op zou moeten slaan.
BTW-nummer bevatte ook je BSN.
Dan moet je het artikel lezen.

De overheid heeft namelijk ooit bedacht dat een kvk nummer voor een ZZP'er gelijk is aan je BSN nummer.(dat is inmiddels niet meer zo maar die info kan nog wel bekend zijn).
Welk artikel?

Dat van dit BTW-nummers was ik even vergeten. Ook eigenlijk een groot datalek van de overheid.
Niet het kvk nummer maar het btw nummer van eenmanszaken tot 2020.
Volgens mij alleen bij zakelijke klanten.
BTW-nummers zijn gelekt. En voor ZZP-ers was tot voor kort het BTW-nummer gelijk aan het BSN (met een volgnummer).

[Reactie gewijzigd door eindgebruiker op 27 februari 2026 09:42]

Mijn gegevens staan in het tweede datalek, maar m’n BSN staat er niet in.
Odido gaf aan dat dit "tientallen BSNs van ZZPers" betrof. Hoe dat kan, zie onder.

Vroeger zat in het BTW nummer van ZZPers het BSN (Burger Service Nummer) van deze persoon. Wat sowieso dom was, want dat "moest" je met allerlij klanten en leveranciers communiceren. Het was dus alles behalve een geheim en lag al op straat (stond op briefpapier en websites van ZZPers) en in allerlij administraties. Dus ook Odido.

Foutje van de Belastingdienst, AP wees ze er op en ze gebruiken nu een ander nummer.
https://www.autoriteitper...n-btw-identificatienummer

[Reactie gewijzigd door Barryke op 27 februari 2026 09:34]

Gezien het bedrag wat ik op internet lees tussen de 500.000 tot 1 miljoen euro en de enorme berg aan persoonsgegevens betreurt het me dat ze niet betaald hebben.

Misschien een impopulaire mening, maar ik vind dat Odido heel hard op de blaren moet zitten. Nee, ik weet het... het is niet 100% garantie dat ze ook de boel verwijderen, maar ik vind het een dusdanig grote zaak dat als er wel enigszins garantie is boven de 50% dat ze het gewoon hadden moeten doen.

Ik lees op internet veel berichten dat deze "hackers" een soort van betrouwbaar kunnen zijn. De gevolgen kunnen individueel veel groter zijn. Misschien niet voor de gemiddelde tweaker, omdat hij of zij scherper hierin is. Maar de gewone werkende inwoner van Nederland.

Maar goed misschien komt het ook een beetje doordat tot deze hack mijn gegevens volgens Have I Been Pwned nog maar zeer weinig uitgelekt was.... en nu in een klap een enorme hoeveelheid.
Gezien het bedrag wat ik op internet lees tussen de 500.000 tot 1 miljoen euro en de enorme berg aan persoonsgegevens betreurt het me dat ze niet betaald hebben.
Zodat de hackers met dat geld weer verder kunnen met andere bedrijven te hacken? Zolang er geld verdient wordt aan deze ongein blijven ze doorgaan. Heel sterk daarom van Odido om dit juist NIET te doen. En mijn steun hebben ze, ook al zit mijn data hier ook tussen.
[...]


Zodat de hackers met dat geld weer verder kunnen met andere bedrijven te hacken? Zolang er geld verdient wordt aan deze ongein blijven ze doorgaan. Heel sterk daarom van Odido om dit juist NIET te doen. En mijn steun hebben ze, ook al zit mijn data hier ook tussen.
Ja, die gaan gewoon door. Odido is slechts een van de velen die gehackt zijn. Het is een illusie dat ze stoppen. Deze hackgroep is internationaal actief en heeft genoeg andere slachtoffers die hun levensvatbaarheid prima in stand houden. Je kan dit alleen bestrijden als je internationaal strafbaar maakt en samen hier tegen beleid op voert. Maar dat gaat natuurlijk nooit gebeuren.
Je moet principeel nooit ingaan op chantage.
Als ingaan op chantage strafbaar zou zijn, zou chanteren veel minder gebeuren.
Je moet principeel nooit ingaan op chantage.
Als ingaan op chantage strafbaar zou zijn, zou chanteren veel minder gebeuren.
En wat als je principieel ook gewoon alles aan moet doen om persoonsgegevens veilig te houden? Dan zijn deze twee principes in conflict.
Dan houd je dit systeem toch in stand, dit had bij zoveel bedrijven kunnen gebeuren. Odido heeft net de pech dat zij gepakt zijn maar heel veel bedrijven hebben dit niet op orde. Als iedereen blijft betalen dan schiet je niets op, echt op de blaren zitten is gewoon alles naar buiten brengen en zorgen dat mensen zelf goed leren om te gaan met digitale en telefonische communicatie. Het is ook een utopie om te denken dat alle bedrijven dit op orde gaan hebben, dat gaat gewoon niet gebeuren zoals je hier ziet is een menselijke fout snel gemaakt.
Dan houd je dit systeem toch in stand, dit had bij zoveel bedrijven kunnen gebeuren. Odido heeft net de pech dat zij gepakt zijn maar heel veel bedrijven hebben dit niet op orde. Als iedereen blijft betalen dan schiet je niets op, echt op de blaren zitten is gewoon alles naar buiten brengen en zorgen dat mensen zelf goed leren om te gaan met digitale en telefonische communicatie. Het is ook een utopie om te denken dat alle bedrijven dit op orde gaan hebben, dat gaat gewoon niet gebeuren zoals je hier ziet is een menselijke fout snel gemaakt.
Het is een utopie inderdaad dat het ergens anders beter is. Daarom moeten bedrijven stoppen om zo laks te zijn en persoonsgegevens beter beschermen! Tot die tijd vind ik dat het koste wat kost persoonsgegevens beschermd moeten worden. Ook als deze al uitgelekt zijn.

Betaal, leer van de fouten en voorkom de volgende keer! Maar zorg er niet voor dat potentieel veel individuele slachtoffers komen. Want dat zal nu wel gebeuren.
betreurt het me dat ze niet betaald hebben.
Ik ben juist blij dat ze niet betalen. De enige reden dat hackers dit doen, is omdat er dus kennelijk genoeg bedrijfen wel betalen. Als niemand meer zou betalen hebben de hackers geen reden meer om dit te doen.
[...]

Ik ben juist blij dat ze niet betalen. De enige reden dat hackers dit doen, is omdat er dus kennelijk genoeg bedrijfen wel betalen. Als niemand meer zou betalen hebben de hackers geen reden meer om dit te doen.
Precies "Als". Daar zit de hele crux in. Dat gaat nooit gebeuren en dus zullen deze hackers altijd blijven bestaan. En dat gaat deze miljoen geen verschil uitmaken.

Kijk... als alleen e-mailadressen waren uitgelekt i.c.m. naam of dergelijks snap ik heel goed dat je niet gaat betalen. Maar nu is er zo ontzettend veel uitgelekt over personen. En daar zitten ook kwetsbare personen bij.
Op de blaren zitten? Betalen aan per definitie onbetrouwbare criminelen?

Odido zit al op flinke blaren nu het imago totaal ingestort is. Hun hele campagne rond de Olympische Spelen is weggegooid geld. Daarnaast lijkt het erop dat ze mogelijk in strijd met de AVG hebben gehandeld wat ook nog een boete gaat opleveren. En dan nog het aantal klanten wat weggelopen is en zal weglopen komende tijd.

Onderhandelen met criminelen is het in stand houden en financieren van dit soort praktijken. Hiertoe oproepen vind ik kortzichtig. Ook ik zit erbij en hoop dat Odido geen cent gaat betalen. Vanwege mijn werk loop ik extra risico maar dan nog steeds vind ik dat je nooit moet betalen.

Je kan zelf heel wat mitigerende maatregelen nemen tegen cybercrime.

Zelfs de omvang van de hack zou geen criterium moeten zijn om wel te betalen.
De omvang niet, maar de inhoud waar in ruim 6 miljoen individuen zijn blootgesteld wel degelijk.

Begrijp me niet verkeerd, het is verre van dat ik het wil aanmoedigen, maar als er een kans is om potentieel enorme schade voor (kwetsbare) personen te voorkomen dan moet dat gewoon gedaan worden.

De reputatie van Odido kan mijn niks boeien, sterker nog... daar wordt je eerder als consument voor benadeeld. Aandeelhouders pakken hun financieel verlies, maar gaan weer door. Iemand die identiteitsfraude te maken krijgt daarentegen niet. Die krijgt onwijs veel ellende.

Het gaat hier niet om mij, of jou, maar om je oudere buurman/buurvrouw, ouders of andere mensen die minder waakzaam zijn.
Nee, nee en nog eens nee.

Criminelen ga je geen geld betalen. Zeker niet voor dit soort zaken.
Het is namelijk een verdienmodel, en als elk bedrijf miljoenen gaat betalen dan zullen dit soort criminele activiteiten een enorme vlucht gaan nemen, en dan zijn je gegevens écht nergens meer veilig.

Dat Odido hiervoor keihard aangepakt moet worden lijkt mij evident. Maar losgeld gaan betalen aan criminelen is echt niet de oplossing).
Nee, nee en nog eens nee.

Criminelen ga je geen geld betalen. Zeker niet voor dit soort zaken.
Het is namelijk een verdienmodel, en als elk bedrijf miljoenen gaat betalen dan zullen dit soort criminele activiteiten een enorme vlucht gaan nemen, en dan zijn je gegevens écht nergens meer veilig.

Dat Odido hiervoor keihard aangepakt moet worden lijkt mij evident. Maar losgeld gaan betalen aan criminelen is echt niet de oplossing).
Misschien moeten bedrijven dan maar eens kappen om zo onzorgvuldig om te gaan met de gegevens van mensen. Het is allang een verdienmodel wat allang in stand gehouden wordt door bedrijven waar jij en ik geen grip op hebben.

Er mag wel eens gestopt worden om maar blijvend persoonlijk informatie te harken, te bewaren en te gebruiken. Je kan haast niet weigeren, want dan wordt je zwaar beperkt in het afnemen van diensten.

Wil ik dat criminelen in stand blijven? Nee zeker niet, daarom moet er ook veel meer geld naar cybercrime toe gaan. Maar voor nu moet je de schade beperken.

Net zoals bij onze spanningen met VS moet je pappen en nathouden tot je herhaling kan voorkomen en zorgen dat je leert.
Is het niet een idee om een website te maken waar je voor één euro je e-mailadres invoert? Alle inzendingen worden gebundeld in één dataset en vervolgens beschikbaar gesteld aan de hackers, zodat zij de gegevens verwijderen.

Uiteraard zonder garantie maar op dit moment ligt alles toch al volledig op straat 8)7
Hoewel ik er achter sta dat ze niet betalen vind ik het wel kut dat ik wakker werd met een Have I Been Pwned mailtje.

Odido zwijgt in alle kleuren van de regenboog. Er staat niets op de homepage, ik heb welgeteld één mailtje gehad en je moet zelf je informatie maar zoeken op een willekeurig woord achter odido.nl/

Ik ben ook nog steeds wel benieuwd naar de reactie van Odido hoe het mogelijk is dat na een succesvolle phishing actie het mogelijk is dat er via een klantenservice medewerker 1. bsn en/of paspoort nummers beschikbaar zijn en 2. dat er geen alarmbel gaat rinkelen als iemand 6 miljoen records download.

[Reactie gewijzigd door iAR op 27 februari 2026 09:09]

Als ik naar de Odido website ga zie ik een groene balk meteen bovenaan de pagina met informatie over het lek. https://www.odido.nl/veiligheid
Die zal dan wel door mijn adblocker weggehaald worden...
Zeker geen losgeld betalen; criminaliteit moet niet lonen.

Maar klanten zijn gedupeerd en de wet is niet goed nageleefd.

Huidige klanten compenseren op materiële wijze, zoals contract mogen opzeggen + x maanden gratis internet. En een pijnlijke boete voor gemaakte fouten zoals klantgegevens ouder dan 2 jaar bewaren of meer bewaren dan nodig is.

Dat schrikt andere bedrijven hopelijk ook af. Uiteindelijk zijn het nooit de criminelen, maar de bedrijven die zich niet houden aan regels en doelmatigheid (medewerkers met beperkte toegang).

Om te kunnen reageren moet je ingelogd zijn