Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker Sijmen Ruwhof is een crowdfundingactie gestart waarmee hij geld hoopt op te halen om het losgeld te betalen aan de hackers die Odido-data publiceren. Ruwhof wil 250.000 euro ophalen op een eigen bankrekening, in de hoop daarmee verdere datadumps te voorkomen.

Ruwhof schrijft op zijn eigen blog over de actie. De ethisch hacker, die onder andere bekend is van initiatieven zoals de stichting die kritiek had op verkiezingssoftware, heeft een aparte bankrekening geopend bij bunq waarop hij geld wil inzamelen. Ruwhof zegt samen te werken met 'andere bezorgde securityexperts', maar zegt dat die 'vanwege de kritiek die gaat komen niet met naam en toenaam genoemd willen worden'. "Ik vang de eventuele klappen op", zegt Ruwhof tegen Tweakers.

De crowdfunding gaat bewust niet via crowdfundingwebsites zoals GoFundMe, omdat die veel transactie- en verwerkingskosten rekenen. Ook een stichting oprichten wil Ruwhof niet. "Een stichting oprichten en bijbehorende bankrekening aanvragen kosten dagen tijd. Die tijd is er niet omdat nu een miljoen klantgegevens per dag lekt", schrijft hij.

Die tijd is volgens Ruwhof slechts een paar dagen. Het idee is het geld snel in te zamelen en het losgeld binnen een paar dagen te betalen, om zo de verdere schade te beperken. Shinyhunters, de hackersgroep achter de hack op Odido, heeft donderdag en vrijdag al een deel van de informatie gepubliceerd en dreigt dat verder te blijven doen zolang Odido niet betaalt. Odido heeft eerder al gezegd dat niet van plan te zijn.

"Als we pas over drie dagen genoeg geld hebben ingezameld, is misschien de helft van de gegevens uitgelekt", zegt Ruwhof tegen Tweakers. Om die reden schat hij in 250.000 euro nodig te hebben. Dat is een kwart van het losgeld dat de hackers eisen van Odido.

Contact met hackers

Ruwhof heeft nog geen contact met de hackers, dus hij weet niet zeker of die akkoord zouden gaan met dat bedrag. "We willen eventuele onderhandelingen die Odido zou kunnen voeren met de hackers niet in de weg zitten. Dat zou Odido ons kunnen verwijten." Odido zegt overigens niet te onderhandelen. Ruwhof verwacht dat Shinyhunters de media in de gaten houdt. "Ik verwacht dat ze zelf een keer contact met ons gaan opnemen in de komende dagen", zegt hij.

Geld dat uiteindelijk niet gebruikt wordt, gaat volgens Ruwhof weer terug naar de donateurs. Ruwhof zegt dat journalisten kunnen meekijken op de rekening 'om te controleren of alles zuiver en eerlijk verloopt'.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 27-02-2026 14:08 243

27-02-2026 • 14:08

Lees meer

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026

Oplichtwebsite over Odido-datalek is niet meer bereikbaar

Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Beveiliging en antivirus Hack Odido

Reacties (243)

243

236

131

10

0

74

Wijzig sortering

Auteur

TijsZonderH Nieuwscoördinator 27 februari 2026 13:58

Sijmen zit op Tweakers onder @sruwhof, hij wil hier als hij tijd heeft wel wat verdere vragen over beantwoorden in de reacties!

SgtElPotato @TijsZonderH • 27 februari 2026 14:13

Politie etc adviseren Odido niet te betalen, maar deze 'ethische hacker' denkt dat betalen wel de oplossing is?

PtrO @SgtElPotato • 27 februari 2026 14:22

De politie heeft dan ook een ander belang en taak dan (hoe verwerpelijk ook) slachtoffers hiermee zullen willen proberen te voorkomen. Het is als de winkelier die geld betaalt aan jongeren zodat ze zijn ruiten niet ingooien. Dan kan je nog zo principieel zijn maar de opgehoogde verzekering keert na 3x echt niet meer uit.

vlieger200 @PtrO • 27 februari 2026 14:26

Zo werken onderzoeken niet. Als je data en bewijs wil zal je voor een langere termijn iets moeten doen.

EncroChat hack door de politie heeft ook niet alle liquidaties voorkomen (wel zo veel mogelijk geprobeerd) in die tijd maar ze hebben wel +40 dagen gehad om allerlei informatie te verzamelen om van veel criminelen een profiel op te stellen en zo het bron gevaar weg te nemen. Anders hadden de criminelen nu nog steeds rond gelopen en liquidaties kunnen uitvoeren.

PtrO @vlieger200 • 27 februari 2026 14:55

Jij en ik als burger mogen ons ten bewijze geen data toe-eigenen die mogelijk anderen betreft.
De politie heeft andere bevoegdheden die toegespitst zijn op vervolging en niet om reeds aangedane slachtoffers te helpen beschermen.

Zonder die dataset kan ik als mogelijk slachtoffer bij een aangifte nooit aannemelijk maken dat ik door deel uit te maken van die data slachtoffer ben (geworden). Kortom het bewijs kan niet worden toegepast en is in bezit daarvan zelfs strafbaar.

arbraxas @SgtElPotato • 27 februari 2026 14:18

Helaas het denken van veel techneuten. Het is technisch mogelijk, dus altijd doen.
Nou is technisch in deze context wel heel losjes gebruikt, maar ik zie t zo vaak hier op tweakers.

Gewoon niet doen, als niemand betaald is kosten/baten/risico ineens een heel andere berekening en bloed het vanzelf dood. Echt 0 meerwaarde deze actie.

vlieger200 @SgtElPotato • 27 februari 2026 14:18

De 'ethische hacker' kan hiermee zelfs een politie onderzoek dwarsbomen / verstoren doordat eventuele communicatie / sporen daardoor ineens verdwijnen. Na het belonen van crimineel gedrag lijkt me dat ook zeker geen slimme set.

sruwhof @SgtElPotato • 27 februari 2026 15:04

De overheid adviseert altijd om niet te betalen. Ook als je bedrijf op slot gezet is via een gijzelvirus en je backups zijn versleuteld. Je bedrijf kan dan failliet gaan als je niet betaald. De politie zegt dan "goed gedaan" als je je bedrijf failliet laat gaat.

downtime @sruwhof • 27 februari 2026 15:23

Er is natuurlijk wel een reden waarom de overheid adviseert maar betalen niet verbiedt. Uiteindelijk moet de ondernemer zelf een inschatting maken.

Chrisz @sruwhof • 27 februari 2026 15:30

Je uitspraak is feitelijk juist, maar je omschrijft nu dan ook wel een heel ander scenario dan wat nu speelt. In het geval van een gijzelvirus wordt er ook veel vaker betaald: https://www.ransomware.live/nego. Daarbij maken bedrijven een weloverwogen keuze of ze betalen om niet failliet te gaan of zodat het hun minder geld kost doordat ze weer snel aan de bak kunnen.

In dit specifieke scenario kan je juist beter niet betalen: de gegevens liggen al op straat, daar kan je niks meer aan doen. Zelfs al betaal je, is er alsnog geen enkele garantie.

[Reactie gewijzigd door Chrisz op 27 februari 2026 15:31]

Caayn @TijsZonderH • 27 februari 2026 14:31

Ik mis wat kritische vragen:

1) Wat gebeurd er met het geld als het doel niet is behaald? Hoe wil hij iedereen terug betalen of staat hij garant voor het verschil?
2) Sijmen gebruikt een privé bunq rekening. Is Bunq op de hoogte? Bunq heeft niet perse de beste reputatie en wat doet hij in het geval dat Bunq de rekening op slot zet vanwege de hoeveelheid transacties die deze actie als gevolg kan hebben?
3) Wat van mensen die getroffen zijn maar het eens zijn met de keuze en advies van Politie, Justitie en andere cybersecurityexperts?

[Reactie gewijzigd door Caayn op 27 februari 2026 14:36]

TERW_DAN @Caayn • 27 februari 2026 14:44

Helemaal mee eens
En als belangrijke aanvulling hierop, hoe weet je wat er met het geld gebeurt? Want als Shinyhunters contact zou leggen en zeggen dat ze inderdaad 250k willen hebben, dan gaat dat vast niet via een normale bankoverschrijving, maar vast via een of andere crypto. Dus zelfs als hij journalisten laat meekijken op die rekening, als het in een cryptowallet wordt gestort, dan is het daarna ineens een stuk lastiger om te zien wat er mee gebeurt.

Ik ga uit van naïeviteit en niet van opzet, maar deze opzet lijkt me erg fraudegevoelig. Hier zou niemand aan moe moeten werken, nog afgezien van het feit dat criminelen betalen geen goed idee is. Zeker niet als je er geen partij in bent .

zx9r_mario @Caayn • 27 februari 2026 14:45

Bunq heeft de rekening inmiddels geblokkeerd zo te lezen.

Llopigat @zx9r_mario • 27 februari 2026 15:37

Inmiddels alweer unblocked helaas.

neonite @TijsZonderH • 27 februari 2026 14:29

Hoe zie jij zelf de rol van de media bij dit soort lekken? Zou het anders moeten? Zonder communicatie in de media zou de schade voor Odido en de slachtoffers lager uitvallen. Minder mensen zouden opzoek gaan naar de gelekte data en Shinyhunters zou dan een minder goede positie onderhandelingspositie hebben.

Auteur

TijsZonderH Nieuwscoördinator @neonite • 27 februari 2026 14:36

Weet je wat, ik ga daar een nieuwsblog over schrijven. Dat is veel te veel en te interessant om hier in een comment te noemen. Ik zit hier namelijk heel genuanceerd in.

ComputerGekkie @TijsZonderH • 27 februari 2026 14:46

Hier ben ik ook wel benieuwd naar. Ik vermoed dat het uitdraait op een paradox.

@TijsZonderH • 27 februari 2026 14:59

Ik ben hier ook reuze benieuwd naar, ik kijk uit naar je artikel $_/-\o_$

Ulysses @TijsZonderH • 27 februari 2026 15:14

Chips & Cola - en onverminderde interesse.

@TijsZonderH • 27 februari 2026 15:36

Yassssss nu al zin in!

pven @TijsZonderH • 27 februari 2026 14:13

@sruwhof

Ik heb slechts een vraag: waarom?

Dit neigt namelijk naar het belonen van criminelen. Ja, de gevolgen van dit lekken zijn wel wat vervelend, maar je krijgt nou eenmaal geen garanties na het betalen van het losgeld. (En ja: ik heb vier abonnementen bij ze lopen, dus ik loop wel wat risico.)

-Elmer- @pven • 27 februari 2026 15:12

Ik denk dat enige nuace wel op z'n plaats is.

Ja, het betalen houdt het verdienmodel inderdaad in stand. Maar wat het verdienmodel écht in stand houdt zijn bedrijven als Odido die geen zier geven om de privacy van hun klanten en security totaal niet op orde hebben.

Principieel ben ik het niet eens met betalen. Maar betalen verkleint wel de kans dat de slachtoffers toekomstige schade lopen door misbruik van hun data. Krijg je garanties? Zeker niet, maar op basis van vergelijkbare casusses is het aannemelijk dat ermee wordt voorkomen dat de data publiek op het darkweb terecht komt. En ook al wordt de kans op schade maar 10% kleiner, dan lijkt mij dat betalen in dit geval de minst slechte keus is. Soms moet je principes tijdelijk laten varen.

Tweakez @TijsZonderH • 27 februari 2026 14:43

Het is een beetje jammer dat een IT Security Researcher zoiets als dit bedenkt. @sruwhof - geeft me Rian van Rijbroek vibes dit.

StefanJanssen @TijsZonderH • 27 februari 2026 15:08

@sruwhof kan ik jou betalen om geen geld aan criminelen te geven?

edit:
Ik heb inmiddels ook aangifte gedaan bij de politie voor het financieel steunen van georganiseerde misdaad

[Reactie gewijzigd door StefanJanssen op 27 februari 2026 15:23]

Bigidagoe @TijsZonderH • 27 februari 2026 15:14

Zie hem niet veel beantwoorden, beetje schuw geworden na de kritiek?

Tralapo @TijsZonderH • 27 februari 2026 15:25

In het artikel en in de blogpost wordt gesproken over een bunq-rekening, maar de getoonde IBAN is van een Revolut rekening? NL19 REVO.

MikeyMan 27 februari 2026 14:12

Kansloze exercitie... Als je betaalt heb je alsnog nul garantie dat je gegevens niet in het geheel of in delen doorgespeeld wordt. Het is een groep loshangend zand. Knappe jongen die daar iets aan garanties van gaat krijgen.

Je koopt hooguit hoop. Hoop is geen strategie. Spul ligt op straat; deal with it.

[Reactie gewijzigd door MikeyMan op 27 februari 2026 14:14]

ApexAlpha @MikeyMan • 27 februari 2026 14:14

Hun reputatie is alles voor ze. Als je één keer gegevens wel online zet na betalen is je reputatie weg en verdien je geen geld meer.

MikeyMan @ApexAlpha • 27 februari 2026 14:15

Wie is hun? En ze? Hebben ze een adres? Een kantoor?

ApexAlpha @MikeyMan • 27 februari 2026 14:19

De hackersgroep, ShinyHunters: Wikipedia: ShinyHunters

Ja ze hebben een eigen (internet)adres, daar staan nu de 2 bestanden van vandaag en gister. En van alle andere bedrijven die niet betaald hebben.

[Reactie gewijzigd door ApexAlpha op 27 februari 2026 14:20]

MikeyMan @ApexAlpha • 27 februari 2026 14:42

Dat is het punt helemaal niet. Het is een groep die geen enkele binding heeft. Wie ga jij aanspreken als ze zich er niet aan houden?

PtrO @MikeyMan • 27 februari 2026 15:01

De paradox daarin is, wie hoef je als bedrijf niet aan te spreken wanneer het hier bij - afbetalen - blijft ?

En je natuurlijk als de wiedeweerga maatregelen neemt die herhaling voorkomt en (eventuele) slachtoffers ter zijde staat.. Er is nu een probleem met gevallen appels en men moet dit niet aangrijpen om dit met toekomstige peren te gaan vergelijken.

Dylan_R @ApexAlpha • 27 februari 2026 14:18

Onzin dan veranderen ze weer de groepsnaam. Reputatie is leuk onder criminelen niet onder de normale man.

sympa @Dylan_R • 27 februari 2026 14:29

"Wij zijn groep B en hebben ingebroken bij Shinyhunters"...

xStunned @ApexAlpha • 27 februari 2026 14:18

Zou je denken, maar dan gaan ze uiteindelijk gewoon weer onder een andere naam verder.

RobbyDoozy @xStunned • 27 februari 2026 14:46

Dan moet je je hele reputatie weer opnieuw opbouwen?

Als je als hackersgroep kunt aantonen dat er x bedrijven zijn geweest waar je gegevens hebt buitgemaakt, en na betaling niks is gelekt, dan is dat je garantie naar het volgende bedrijf dat betalen openbaarmaking van de gegevens voorkomt.

Daarbij wil ik gezegd hebben dat ik het absoluut niet eens ben met de werkwijze en verdienmodel van zulk soort groepen. Maar ik voel mee met de spanningen van de slachtoffers in deze zaak (zelf geen Odido klant)

RobertMe @ApexAlpha • 27 februari 2026 14:20

Die data van nu kunnen ook over 5 of 10 jaar nog uitlekken. En de vraag is hoe relevant de reputatie van deze groep over langere tijd is. Of zelfs een soort killswitch. Dat als de groep wordt opgepakt dat alles dat ze hebben vervolgens automatisch geopenbaard wordt.

Daarnaast zouden ze de data ook weer op het darkweb kunnen doorverkopen. Onherleidbaar naar het originele lek. Nu is / zou het al lastig zijn om te bewijzen dat schade uit de nu publiekelijke data te herhalen bij Odido / deze groep. Laat staan als de gegevens alleen ergens op het darkweb rond gaan en alleen "bovengronds" gebruikt worden bij misbruik. Dan kun je echt niet meer bepalen dat dit lek er aan ten grondslag lag.

phoenix2149 @ApexAlpha • 27 februari 2026 14:21

Bla bla reputatie etc.

Het zijn criminelen en het is strafbaar om te chanteren en in het verlengde daarvan moet het betalen van losgeld ook strafbaar worden gemaakt.

PtrO @phoenix2149 • 27 februari 2026 15:02

Betalen van losgeld is hier en nu NIET strafbaar (noch gesteld).

vlieger200 @ApexAlpha • 27 februari 2026 14:21

Klopt en als de gegevens over 2 tot 5 jaar toch lekken, aan hun hacks hebben ze dan al genoeg verdiend. Dan heb je betaald en een uitstel van excecutie gehad. Of men gaat over 5 jaar weer dreigen de zelfde gegevens online te zetten om weer geld te eisen omdat je het de vorige keer ook betaald hebt.

watercoolertje @ApexAlpha • 27 februari 2026 14:24

Helemaal eens! Maar wat als ze (de hackergroep) ermee stoppen, doet die betrouwbaarheid er dan nog toe?

Of opgepakt worden en een failsafe hebben die 'omdat ze een maand lang niet op een bepaalde link/knop drukken' ineens een torrentje online zet met alle data?

[Reactie gewijzigd door watercoolertje op 27 februari 2026 14:25]

Schway @ApexAlpha • 27 februari 2026 14:24

reputatie? Die hebben ze niet. ze zijn per definitie niet te vertrouwen.

Wie zegt dat een van de scriptkiddies er niet vandoor gaat met de data en het nogmaals probeert. Of de groep wordt ontbonden en ander neemt de data over.

Zoop @ApexAlpha • 27 februari 2026 14:25

Regelrechte onzin, volgens mij is dit een gerucht dat deze hackers de wereld in hebben geholpen en je ziet bij elk van dit soort berichten altijd minstens 1 iemand deze onzin napraten.

Reputatie is alles voor ze, wat een kolder, dan veranderen ze van naam en gaan ze vrolijk verder met een "verse reputatie". En alsof je ook maar iets van garantie heb over interne disputen, dat iemand daar wegloopt met data (tegen wensen van de rest van groep in). Of dat ze het een paar maanden/jaren alsnog uitlekken.

Die lui gewoon _nooit_ betalen, en idioten zoals de "etische hacker" even goed aanspreken of beboetten.

stijn014 @ApexAlpha • 27 februari 2026 14:46

Ze hoeven het niet online te zetten. Gewoon verkopen.

Bigidagoe @ApexAlpha • 27 februari 2026 15:16

Wie zegt dat deze gegevens niet gewoon al achter de schermen met veeltallen gedeeld wordt? Heb uberhaupt nog geen bewijs gezien dat hun degene waren achter hack, kunnen ook gewoon deze info op een dark-web forum gevonden hebben.

SomerenV @ApexAlpha • 27 februari 2026 15:28

Oke, dan blijkt ShinyHunters te vertrouwen en komen er nog meer van dat soort groeperingen die geld ruiken. Die deur wil je hoe dan ook gesloten houden. Geld betalen betekent de deur openen en dat is gewoon een idioot idee.

franssie @MikeyMan • 27 februari 2026 14:20

Dit dus. En hoe meer er dagelijks op straat komt (hij wil immers een aantal dagen de tijd nemen om in te zamelen en om Odido niet in de weg te zitten) hoe minder zinvol deze actie is, terwijl ik de zin ervan al niet inzie, alleen de criminelen kunnen hier beter van worden.

Hack
Beveiliging en antivirus

@MikeyMan • 27 februari 2026 14:40

Niet akkoord, het is een beetje afhankelijk van de groep die de hack uitvoert. Ja, er zijn groepen die daarna alsnog data doorverkopen of niet wissen, maar de meeste groepen verwijderen de data wel degelijk na het betalen van "losgeld", en in geval van ransomware geven ze ook de sleutel.

En ik verwacht van cybersecurity experts dat zij een goed zicht hebben op welke groepen wel te vertrouwen zijn en welke niet. Anders gaat hun eigen reputatie er ook aan.

MikeyMan @Blokker_1999 • 27 februari 2026 15:04

Die groep stelt toch niks voor? Paar lui achter een computer. Morgen zitten ze bij een andere groep, of bestaat die groep uit andere personen.

Biersteker 27 februari 2026 14:49

Beste marketing stunt zou zijn als Vodafone/LibertyGlobal en KPN allebei 125k neergooien. En dan een campagne starten met "We do care, odido didn't" :D

Flytezero 27 februari 2026 14:45

Veel kanslozer dan dit gaat het niet worden.
Zou haast zeggen dat dit strafbaar is.

Keyb @Flytezero • 27 februari 2026 14:46

Is het ook. Dat heet heling.

https://www.politie.nl/onderwerpen/heling.html

Llopigat @Keyb • 27 februari 2026 14:55

Nouja alleen heling als hij daadwerkelijk de gegevens krijgt/koopt en dat is hier niet het geval, het idee is betalen zodat ze niet bekend gemaakt worden.

Ik ben het er niet mee eens dat hij wil betalen maar heling is het niet.

[Reactie gewijzigd door Llopigat op 27 februari 2026 15:33]

ratzz 27 februari 2026 14:43

Wat een hoop negatieve reacties. Het zogenaamde belonen als argument is misschien wel uit te leggen maar aangezien tot nu toe er altijd partijen zijn die wel betalen om wat voor een reden dan ook is dat argument niet zaligmakend. Ik vind het eerder bijzonder dat Odido die steken heeft laten vallen niet voor 5 ton de boel afloopt en zichzelf nog eens achter de oren krabt en zich afvraagt of ze de zaakjes wel goed op orde hebben. Dan heb ik het nog niet eens over de maatschappelijke onrust die door de hack is ontstaan door mensen die bezorgd zijn.Niwt iedereen is tweaker "vaardig" en maakt zich "helemaal” geen zorgen dat hun informatie eventueel op straat ligt.

TERW_DAN @ratzz • 27 februari 2026 14:51

Maar het is imho aan ODIDO om te zorgen dat (oud)-klanten geïnformeerd worden en geholpen met dit soort dingen. Niet aan iemand die er niets mee te maken heeft die ineens met zoiets gaat beginnen.

En dat ODIDO er een zooitje van maakt is waar, maar dat ze niet betalen is goed uit te leggen. Als je je er dan al tegenaan wil gaan bemoeien, steek dat geld en moeite dan in om mensen te helpen, door voorlichting of hulp als er echt identiteisfraude is gepleegd. Daar wapen je de maatschappij veel beter mee, dan gewoon een bak geld naar de criminelen gooien die daarmee doodleuk naar het volgende bedrijf gaan en kijken wat ze daar kunnen halen.

berchtold 27 februari 2026 14:12

Ethisch hacker die niet ziet hoe hij een patroon in stand probeert te houden

[Reactie gewijzigd door berchtold op 27 februari 2026 15:01]

marinostrus @berchtold • 27 februari 2026 14:13

Als elk slachtoffer uit dit lek maar 4 cent overmaakt (250.000 / 6,2 miljoen slachtoffers volgens Odido), dan wordt het lekken gestopt!

Gewoon al dit stukje tekst op zijn website

twkr18526 @marinostrus • 27 februari 2026 14:56

En is hier niet een risico op een volgende Sywert van Lienden, Camille van Gestel en Bernd Damme?

Is er niet een risico dat hij het geld houdt, aangezien het niet in een stichting oid zit? ‘Zomaar’ je geld overmaken naar iemand. Of is er hier meer juridische basis om dat straks evt van hem af te dwingen?

maartenvdk @twkr18526 • 27 februari 2026 15:09

Dat denk ik niet (of, eigenlijk, dat denk ik wel, maar het zou niet legaal kunnen), ik zou dit zo zien:

In NL is een overeenkomst in principe vormvrij. Als er aanbod en aanvaarding is, dan is er gewoon een bindende overeenkomst, zie BW 6:217. Verklaringen mogen ook via app of mail, zie BW 3:37. Het lastige punt is niet of het kan, maar of je het kunt bewijzen, in een procedure geldt grofweg wie iets stelt, moet het ook aannemelijk maken of bewijzen, zie Rv 150.

De kernafspraken lijken mij hier niet betwistbaar:

Het geld is bedoeld voor het betalen van losgeld rond de Odido hack.
Als er niet betaald wordt, dan gaat het geld terug naar de gever.

Verder is het dun, dus over details zoals transactiekosten of administratiekosten kan gedoe ontstaan. Als daar niets over is afgesproken, dan kom je al snel uit bij aanvulling en redelijkheid en billijkheid, zie BW 6:248, en bij uitleg van afspraken geldt vooral wat partijen redelijkerwijs over en weer mochten begrijpen en verwachten.

Zomaar met de noorderzon vertrekken is juridisch niet te doen denk ik. Als de voorwaarde niet intreedt en er is geen rechtsgrond om het geld te houden, dan ligt terugbetaling voor de hand, dat sluit ook aan bij onverschuldigde betaling, zie BW 6:203.

[Reactie gewijzigd door maartenvdk op 27 februari 2026 15:15]

Odie @maartenvdk • 27 februari 2026 15:25

“Minus aftrek van kosten”. Niet te controleren wat hij voor kosten maakt, misschien had ie wel net een nieuwe MacBook Pro etc etc nodig. Nu wil ik hier aan hem persoonlijk twijfelen, ik kom de beste persoon niet. Maar een crowdfunding via een persoonlijke rekening via zo’n blog is … dubieus. Of onverstandig, voor beide partijen.

Nog los van dat elke betaling het businessmodel van dit de soort criminelen (de odido criminelen, voor de goede orde) in stand houdt. Niet betalen is de enige logische en verstandige optie. Wat de consequenties op de korte termijn ook zijn. Wel betalen is korte termijn-denken.

sruwhof @twkr18526 • 27 februari 2026 15:23

Mijn persoonlijke reputatie staat op het spel als ik er met het geld vandoor ga. Daarnaast: Je hebt eigenlijk meer garantie dat ik er niet met het geld vandoor ga aangezien ik als privé persoon nu aansprakelijk ben versus een stichting.

StefanJanssen @sruwhof • 27 februari 2026 15:28

Mijn persoonlijke reputatie staat op het spel als ik er met het geld vandoor ga

Die staat ook op het spel door geld te geven aan deze hackers.

Daarnaast, als je het omzet naar bitcoin is het vrijwel niet meer te traceren. Dus je hebt vrij spel als je niet betaald, maar doet alsof je betaald hebt.

[Reactie gewijzigd door StefanJanssen op 27 februari 2026 15:29]

dylan111111 @marinostrus • 27 februari 2026 14:15

Inderdaad, deze meneer staat los van de realiteit. Die gegevens gaan, vroeg of laat, gewoon online komen. Zo'n partij betalen = belonen, gaan we niet doen. (En dat zeg ik terwijl mijn naam, adres, tel, email en bankrekening de tweede batch zitten)...

DeBers @dylan111111 • 27 februari 2026 14:27

Hoe weet jij waar jou gegevens zitten? Ik wil zelf ook wel eens kijken hoe en of ik er tussen zit met mijn mobiele en internet/tv abbonement.

@DeBers • 27 februari 2026 14:39

Het is naar ik begrijp mogelijk om de dumps zelf op te zoeken, ze zijn immers gedeeltelijk vrijgegeven. Houd er alleen rekening mee dat als je dit doet dat je bij wet strafbaar bent.

Ik zou zelf aanraden haveibeenpwned.com van tijd tot tijd te controleren. De eerste dump is hier al in verwerkt. Deze website controleren is wel legaal.

[Reactie gewijzigd door Blinkin op 27 februari 2026 14:40]

Triblade_8472 @Blinkin • 27 februari 2026 14:44

Zou die site eigenlijk dan ook niet strafbaar zijn? Ze hebben immers de hele dump moeten downloaden en verwerken.

Wat is het verschil met dat ik dat doe voor mijn eigen data?

i7x @Triblade_8472 • 27 februari 2026 14:55

Politie werkt zelf met ze samen ook. Misschien dat dit technisch allemaal wel zo is, maar wie denkt nu werkelijk dat de politie tijd gaat steken in het vervolgen van iemand die z'n eigen gegevens download. Hebben niet eens de capaciteit iets aan het werkelijke probleem te doen.

Overigens mag het van mij verboden worden losgeld te betalen voor data diefstal. Zal het iig in Nederland een stuk minder aantrekkelijk maken dit soort diefstal te plegen.

Woutervugt @Triblade_8472 • 27 februari 2026 15:07

Dat jouw informatiebehoefte niet gelijke tret voert met hetgeen je jezelf toe-eigent aan informatie

Gwaihir @Triblade_8472 • 27 februari 2026 15:13

Het lijkt mij dat je zelf ook niet automatisch strafbaar bent. Het zal afhangen van de intentie waarmee je download, wat je ermee doet, en wat je vervolgens bewaart en / of laat rondslingeren.

[Ik verwacht van HIBP te gaan vernemen welke velden in mijn geval data hadden (niet leeg waren). En ik verwacht dat die data zelf direct na die vaststelling door Troy is weggegooid, op het e-mailadres na.]

[Reactie gewijzigd door Gwaihir op 27 februari 2026 15:19]

Llopigat @Gwaihir • 27 februari 2026 15:35

Je bent strafbaar maar er wordt ervoor gekozen je niet te vervolgen omdat je het verantwoordelijk doet en met een goed doel.

Maar het blijft in principe wel een strafbaar feit.

dylan111111 @DeBers • 27 februari 2026 14:37

Er wordt afgeraden zelf de dataset te downloaden vanaf het .onion adres. De beste publieke optie is toch https://haveibeenpwned.com/ te checken of je erbij zit. Op dit moment hebben ze nog alleen de dataset van gisteren erop staan helaas.

xxs @dylan111111 • 27 februari 2026 14:59

Waarom wordt dat afgeraden en door wie?

StefanJanssen @xxs • 27 februari 2026 15:01

De politie, omdat het illegaal is om deze dataset te downloaden.

xxs @StefanJanssen • 27 februari 2026 15:02

En waarom zou Troy Hunt (HIBP) dat wel mogen?

Zie discussie in:

nieuws: Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

[Reactie gewijzigd door xxs op 27 februari 2026 15:04]

drdelta @xxs • 27 februari 2026 15:12

Omdat Troy Hunt in Australië niet onder het Nederlands recht valt? Desalniettemin, interessant om over na te denken inderdaad.

xxs @drdelta • 27 februari 2026 15:22

Ik snap dat hij onder Australisch recht valt, ik heb hem er ook eens op aangesproken en hij zegt doodleuk dat hij samenwerkt met overheden internationaal dus het zal wel goed zijn. Helaas kan ik de email niet meer terugvinden.

StefanJanssen @xxs • 27 februari 2026 15:09

Ik denk dat hij dat ook niet mag :P

xxs @StefanJanssen • 27 februari 2026 15:12

Dus we worden door politie en security experts naar een website verwezen die illegaal data in bezit heeft?

Het moet niet veel gekker worden in Nederland.

Beveiliging en antivirus

@xxs • 27 februari 2026 15:23

Dus we worden door politie en security experts naar een website verwezen die illegaal data in bezit heeft?

Je kan je inlezen hoe Have I Been Pwned werkt. Ze verwerken de gelekte data eenmalig om de e-mailadressen eruit te vissen. Die e-mailadressen worden enkel als hash opgeslagen. De dataset en e-mailadressen eruit worden dus niet opgeslagen.

Matching gaat op aangeleverde e-mailadressen van gebruikers van Have I Been Pwned (eenmalig opgegeven of automatisch wanneer een lek langskomt).

Hierdoor heeft Have I Been Pwned (of vertrouwde derdr partijen) tijdelijk toegang nodig tot de gelekte data. Dit wordt enkel gedaan om een maatschappelijk verantwoorde dienst aan te bieden, die zorgt voor meer bewustzijn over datalekken.

[Reactie gewijzigd door The Zep Man op 27 februari 2026 15:24]

xxs @The Zep Man • 27 februari 2026 15:26

Waaruit maak jij op dat ik me niet ingelezen heb?

Ik weet grotendeels hoe ze zeggen te werken, blijft een feit dat ze data verwerken die van diefstal afkomstig is en dus die dataset in bezit heeft of heeft gehad.

[Reactie gewijzigd door xxs op 27 februari 2026 15:28]

JumpStart @xxs • 27 februari 2026 15:38

Er bestaat zoiets als "zwaarwegende redenen" die een rechter mag meenemen in overweging.

Een journalist die deze data set download om te gebruiken bij nieuwsgaring over de lek heeft een legitieme reden om de dataset te downloaden en onderzoeken. Een rechter kan dan besluiten dat het algemeen nut hiervan zwaarder weegt dan het strafbare feit, en dan geen straf op te leggen.

Evenzo kan iemand die iets als Have I Been Pwned runt dus ook een groter goed doel dienen. Merk daarbij verder op dat je niet de HELE database kan inzien bij HIBP. Je kan alleen in de database laten zoeken en vernemen of de zoekterm voorkomt in de dataset.

torretje2012 @dylan111111 • 27 februari 2026 15:26

de .onion linkt naar een openbare map, waar 2 datasets staan.

mgizmo @dylan111111 • 27 februari 2026 15:28

Of https://datagelekt.nl/odido bezoeken

JumpStart @DeBers • 27 februari 2026 15:19

Dan doe je, al dan niet via de voorbeeldbrief van de Authoriteit Persoonsgegevens, een beroep op jou recht om te weten wat Odido over jou in SalesForce heeft staan. Odido (en ieder ander bedrijf of organisatie die persoonsgegevens opslaat) heeft namelijk de wettelijke verplichting aan dit verzoek te voldoen.

Zie https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/recht-op-inzage

nijntje82 @dylan111111 • 27 februari 2026 15:12

Los van realiteit? Imo hij is mega slim. Wat een reclame voor hem. Beste marketing voor hem ever. 'Iedereen' in NL kent hem nu als een hacker (met een soort robin hood compas). Staan morgen op de stoep bij hem om hem in te huren.

Verder volledig eens met instand houden van patronen. De schade is klote. Maar ik ben als odido klant het eens met niet betalen, dat maakt het alleen nog maar erger. Het is te naief om te denken dat die data niet alsnog 'uitlekt'. Maar daarnaast maak je ook de volgende hacks lucratief/lopend.

[Reactie gewijzigd door nijntje82 op 27 februari 2026 15:32]

vlaag @nijntje82 • 27 februari 2026 15:16

We kunnen een hoop gek misbruik verwachten. Wat als ze mensen gaan aanschrijven en een bijdrage vragen om je van de darkweb lijst te schrappen, met een boel rechtvaardige en mooie woorden. Genoeg die niet weten wat feit en fictie is…

berchtold @marinostrus • 27 februari 2026 14:57

dat dus. deze man is heel erg naief

PainkillA @marinostrus • 27 februari 2026 15:01

er zijn al gegevens gelekt . Het is al te laat. 1 miljoen of 2 miljoen gegevens dat maakt niet meer uit

sruwhof @PainkillA • 27 februari 2026 15:24

Er is nog maar een klein deel van het totaal gelekt. Daarnaast is per slachtoffer nu niet alle data gelekt die de hackergroep buitgemaakt heeft van het slachtoffer.

Pablo @marinostrus • 27 februari 2026 14:48

Dit doet bijna vermoeden dat hij gelieerd is aan shinyhunters

MaD_co @Pablo • 27 februari 2026 15:01

Je opmerking wordt flink naar beneden gehaald, maar dat was ook het eerste wat ik dacht, geen geld krijgen van Odido, dan maar via deze constructie proberen zoveel mogelijk op te halen en dat "overmaken naar shinyhunters" vreemde actie voor een etisch hacker in ieder geval.

Net zoals mijn vriendelijke buurman misschien wel zijn pc vol verboden porno heeft staan is hij voor mij gewoon ook gewoon een persoon met een baan, en ik weet niet wat hij allemaal uitspookt op zijn pc naast het etische hacken.

hiostu @marinostrus • 27 februari 2026 14:42

Mijn gegevens zijn al gelekt in de eerste batch. Dus voor mij weinig nut helaas.

Jittikmieger @hiostu • 27 februari 2026 14:59

Yup. Hier ook. ...En ik ben al 14 maanden geen klant meer. Heb ook geen mail gehad van Odido.

Heb het account van het gelekte mailadres helemaal leeggemaakt en gebruik het nu niet meer. Enkel als vangnet voor de mails van de Nigeriaanse prinsen en p*enis enlargers die er vast op binnen gaan komen.

Gwaihir @Jittikmieger • 27 februari 2026 15:16

Als nog wel klant, vraag ik me af wat het moment is om het e-mailadres aan te passen.

Odido lijkt zo weinig te weten

. Zijn de hackers al wel buitengesloten? Of kan ik nu een nieuw e-mailadres in hun systeem zetten om morgen te horen dat ook dat gelekt is?

sjettepetJR. @hiostu • 27 februari 2026 15:26

Is het voor jou inmiddels ook duidelijk welke gegevens er zijn gelekt?

Volgens HIBP zit ik er namelijk wel in, dus het zal in ieder geval om emailadres, naam, telefoonnummer, IBAN en adres gaan, maar ik ben benieuwd of ook mijn identiteitsbewijs is gelekt.

Scriptkid @marinostrus • 27 februari 2026 15:22

Laat me raden als het "kickstarter" doel; niet gehaald word verdwijnt het geld in zijn eigen portomenee.

gitaarwerk @berchtold • 27 februari 2026 14:31

Ik volg Sijmen al tijdje.. alleen ik twijfel wel een beetje bij deze actie eigenlijk. Ik ben het met je eens... niet betalen. Mijn gegevens staan er ook tussen, laat het maar gebeuren...

Buitenaerts @gitaarwerk • 27 februari 2026 14:39

Die van mij staan al in de eerste dump, kreeg vannacht een mailtje van Have I Been Pwned. Jammer maar losgeld gaan betalen is gewoon belonen van deze mensen, dus mega dom.

gitaarwerk @Buitenaerts • 27 februari 2026 14:44

Eens. En die van mij ook, overigens. Moet ik zeggen dat die gegevens al bekend waren. Voordeel van een 'burner' nummers hebben.

amigob2 @Buitenaerts • 27 februari 2026 14:54

Zijn al jou gegevens dan al gelekt ?
en wat zijn al jou gegevens ?
Je weet het niet ik ook nog niet, ik weet dat mijn email adres gelekt is maar wat nog meer ?
Ik ga het zelf uitzoeken en ben al heel wat dingen aan het verhuizen

[Reactie gewijzigd door amigob2 op 27 februari 2026 14:57]

Buitenaerts @amigob2 • 27 februari 2026 15:03

Volgens Odido, de volgende gegevens:

Je volledige naam
Je klantnummer
Je adres en woonplaats
Je telefoonnummer
Je e-mailadres
Je IBAN (rekeningnummer)
Je geboortedatum
Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Zou de dump zelf kunnen downloaden en kunnen gaan kijken, al denk ik dat er bij mijn notes niks bijzonders zal staan.

amigob2 @Buitenaerts • 27 februari 2026 15:23

Je wwet niet of die al gelekt zijn of dat ze bv alleen de email adresen gelekt hebben ?
Behalve de personen die toegang tot de data hebben

sruwhof @berchtold • 27 februari 2026 15:18

Bij BNR heb ik uitgelegd waarom Odido's situatie een uitzonderlijke situatie is: https://sijmen.ruwhof.net/weblog/4288-radio-1-moet-odido-wel-of-niet-betalen-aan-de-hackers

SomerenV @sruwhof • 27 februari 2026 15:26

Of je legt het hier gewoon even uit in tekst in plaats van een link naar je eigen website met een embedded filmpje te dumpen.

hulseman @berchtold • 27 februari 2026 14:18

Dit dus.. wat een totaal idioot idee dit.

phoenix2149 @berchtold • 27 februari 2026 14:26

Precies. Betalen aan criminelen houd criminaliteit lonend.

Betalen aan criminelen in welke vorm dan ook zou illegaal moeten zijn. Sterker nog je kunt als medeplichtig worden gezien als je dat doet.

Odie @phoenix2149 • 27 februari 2026 15:28

Hear hear, dat roep ik ook al een tijd. Betaling van losgeld zou strafbaar moeten zijn, in ieder geval voor wat betreft datahacks en ransomware.

scribly3 @berchtold • 27 februari 2026 14:40

Zou grappig zijn als hij naast een ethische hacker te zijn ook nog banden heeft met Shinyhunters om daarna het geld te delen

croc @berchtold • 27 februari 2026 14:43

Als er geen hacks meer plaatsvinden heeft een ethisch hacker ook geen werk meer

Je financiert op deze manier hackers en incentiveert volgende hacks. Mss is de volgende hack wel veel erger dan deze, betaald door het losgeld van deze hack.

[Reactie gewijzigd door croc op 27 februari 2026 14:50]

@berchtold • 27 februari 2026 14:44

Dit is juist de meest geniale volgende stap! (daargelaten dat het not-done is natuurlijk)

Hij laat mensen "vrij" om zelf te betalen wanneer ze hun gegevens niet op straat willen hebben. Staat natuurlijk altijd los van het feit dat de gegevens simpelweg reeds in handen zijn van die criminelen. Dit is altijd een probleem en zal altijd een probleem blijven tot die gegevens er niet meer toe doen.

Maar dit laat simpelweg zien hoe simpel is het om tot het gevoel van de mens te komen, en vervolgens valse hoop te creëren. Sommige mensen hebben nu gegevens op straat liggen die in hun precaire situatie nogal een probleem kunnen vormen. Daar spelen ze nu op in. Gaat het niet in bulk bij ODIDO, dan gaat het wel afzonderlijk per persoon die z'n gegevens niet gelekt wilt hebben.

Voor een paar maanden geleden was er eenzelfde idee door een (andere?) hacker: nieuws: Belgische school slachtoffer van ransomware, hackers eisen ook losgeld ouders

Dit is eigenlijk bijna hetzelfde, maar nu krijgen de mensen zelf de "mogelijkheid" om hen te betalen via een bulk methode. De volgende stap zal zijn om iedereen afzonderlijk te mailen, bellen, etc.

kabelmannetje @InjecTioN • 27 februari 2026 14:49

Voor die paar cent per persoon, een kostbare administratieve klus. :)

masterfragger @berchtold • 27 februari 2026 14:50

Is het heel duister om te denken dat dit een, door de hackers bedachte, alternatieve route om aan geld te komen. Een soort CrowdExtortion ....

ik kan me meer voorstellen bij crowdfunding om deze criminelen op te sporen ...... graag met Odido als launching sponsor met een inleg van een miljoen

themadone @berchtold • 27 februari 2026 14:22

Je zou denken dat hij zou gaan proberen om shinyhunters te doxen met zijn skills ipv iets wat niet helemaal lekker aanvoelt qua betrouwbaarheid te doen.

Is dat geen idee? We halen de beste Tweakers/hackers bij elkaar en verklaren shinyhunters de digitale oorlog?

nl noob @themadone • 27 februari 2026 15:06

Het idee dat een ethisch hacker “ShinyHunters moet gaan doxen” klinkt heel stoer hoor, maar het gaat volledig voorbij aan wat ethisch hacken betekent. Een ethisch hacker werkt legaal, met toestemming, zonder schade te veroorzaken en volgens professionele normen en waarden. Zoals je zelf ook begrijpt is Doxen precies het tegenovergestelde, het is illegaal, het brengt mensen in gevaar en het maakt je zelf onderdeel van het probleem. Ik denk dat je dit zelf ook allemaal inziet, maar je zit hier op Tweakers, waar we het over het algemeen netjes en bij de feiten proberen te houden.

Nairu777 @themadone • 27 februari 2026 14:54

Hoe legaal is dat?

Vinnie.1234 @berchtold • 27 februari 2026 14:57

Ik snap oprecht niet dat dit een +3 krijgt want dit is domweg onzin. Hackers zijn er en hackers zullen er altijd zijn. Het is een utopie om te denken dat dit niet gebeurd als er niet betaald word. Ze blijven gewoon net zo lang door gaan tot er 1 iemand toch wel betaald. En als dat niet gebeurd hebben ze zelf ook weinig te verliezen.

Vind het een top initiatief. Dat sommige het niet zo veel waard vinden dat hun gegevens op straat liggen is aan hun, andere vinden dit wel boeiend. Ik zelf heb geen Odido, had wel TELE 2. Ga er vanuit niet geraakt te zijn door deze hack. Maar ken genoeg mensen die dat wel zijn. En die zouden met liefde allemaal 4 cent over maken om hun gegevens veilig te stellen.

Mit-46 @berchtold • 27 februari 2026 15:15

Garanties krijg je nooit. Wel is het zo dat dit soort afpersers hun eigen business model om zeep helpen wanneer zij alsnog lekken nadat er betaald is.

Daarom is het niet aannemelijk dat men alsnog de gegevens lekt wanneer betaald is, maar een garantie krijg je nooit!

Nu kan je ook niet betalen en weet je nagenoeg zeker dat alle gegevens worden gelekt.

Wanneer niemand meer betaalt zal men wellicht geen gegevens meer stelen om af te persen, maar om bijvoorbeeld meteen te verkopen.

Keuzes, want hacken zal echt niet verdwijnen aangezien er meerdere manieren zijn om geld te verdienen met gestolen data.

[Reactie gewijzigd door Mit-46 op 27 februari 2026 15:19]

supertheiz @berchtold • 27 februari 2026 15:35

Probleem is dat hij het oplost voor Odido. Als je de boel zo verkloot, zou Odido moeten betalen, niet gewoon maar de gegevens laten dumpen op internet.

Dat slachtoffer gezeik is net zoiets als met 150km/uur over de snelweg rijden, en je dan slachtoffer vinden als je een bekeuring krijgt. En die hackers: Als zij het niet waren, dan wel 10 anderen. En deze club heeft tenminste nog een historie waarbij data inderdaad niet wordt gedumpt nadat er is betaald.

Dus: Nee Sijmen, dit moet jij niet doen, dit moet Odido doen. En geen gezeur dat ze niet zouden moeten betalen want instandhouden enzo. Onzin: dit had gewoon niet bij zo'n club mogen komen, en nu los je het maar op als Odido, ik wil niet als klant van een paar jaar terug alsnog de dupe zijn van zulk ongelooflijk prutswerk.

spronoc @berchtold • 27 februari 2026 14:52

Ik zie niet in hoe het geven van geld aan criminelen ethisch verantwoord kan zijn. Ze krijgen van mij geen cent.

Odie @CAPSLOCK2000 • 27 februari 2026 15:27

Staan er mensenlevens op het spel dan bij deze hack?

berchtold @evilution • 27 februari 2026 15:02

bedankt voor deze waardevolle aanvulling. aangepast :)

THE_BASE 27 februari 2026 14:20

Ik vind het in dit geval verstandig dat Tweakers, onafhankelijk of niet, lezers afraadt om deze crowdfunding te ondersteunen. Het heeft geen enkele zin de hackers te betalen, dat is tegen alle adviezen in.

NotWise @THE_BASE • 27 februari 2026 14:25

Ik heb dit al in een ander draadje gepost en zal het hier weer even doen. NIET MEEDOEN aan deze actie.

Please Don’t Feed the Scattered Lapsus ShinyHunters

Hanging Up on ShinyHunters: Experts Detail Vishing Defenses

"There is no benefit to paying the ransom for this group," she said in a post to LinkedIn. "This is a scam by actors who will not delete their data and cannot prove they did and do have a track record of lying."

We hebben hier niet te maken met standaard (vaak Russische) bende die de data na betaling verwijderd. Deze gasten zijn niet te vertrouwen. Ik begrijp dan niet dat iemand uit de hacking scene dit niet weet.

[Reactie gewijzigd door NotWise op 27 februari 2026 14:26]

henkjobse @NotWise • 27 februari 2026 14:36

Precies, quote uit een ander artikel:

Because social media is critical to their operations, members of The Com continue to maintain an online presence, despite frequent bannings from those platforms. When ShinyHunters had no substantial criminal attack or breach to announce, they published public death threats about law enforcement, journalists, and cybercrime industry professionals to keep the industry engaged. Due to this level of constant engagement, when ShinyHunters had a substantial announcement, their message was then immediately amplified. As outlined in these guides, the intention is to prevent too much time from passing between issuing violent threats as they want to ingrain the task of habitual monitoring.

Though their posts range from unfounded to outlandish, the strategy works. This brainwashing campaign creates an inflated view of ShinyHunters, their abilities, and their true value proposition to victims. Public reporting continuously reinforces their reputation of being "extremely” dangerous.

Manipulation of the public conversation has not only misinformed victims but has also created undue pressure to pay these ransom demands. Because their ransom demands are fundamentally flawed and the promises to delete the data are untrustworthy, ShinyHunters rely on humiliation to drive their victims to payment.

Bleh! 27 februari 2026 14:11

Wat is er ethisch aan het betalen aan criminelen?

Sito @Bleh! • 27 februari 2026 14:12

Dat vraag ik me ook af. Dit is het belonen van criminelen.

SURFivor @Bleh! • 27 februari 2026 14:13

Ook mijn eerste gedachte, dan blijf je ongeoorloofd gedrag belonen. Lijkt me niet de bedoeling.

[Reactie gewijzigd door SURFivor op 27 februari 2026 14:14]

PtrO @SURFivor • 27 februari 2026 14:39

De vraag is dan of dat hier dan ook moet (ver)gelden en je je niet beter kunt richten op een andere toekomst die daarna dan dit soort keuzes overbodig maakt ?
Ik vind ook dat Odido geen recht heeft een beslissing te nemen of ze niet betalen. Het is data van klanten waar over men stoere taal uitslaat.

De daders hier hebben hier sws niets te verliezen dan hoe dan ook, pogen hun (ver)diensten binnen te halen. Deze misdadigers worden absoluut echt niet afgeschrikt door ze hierin niet (voor) te betalen).

Toekomstige daders worden vooral afgeschrikt door serieus aanscherpen van wetten, opsporing & technieken, daarmee aanzienlijk grotere risico's lopen en (on)mogelijkheden om dergelijke data nog in handen te krijgen. Sws is/was het al waanzin dat iemand zich en in deze hoeveelheden, data kon toe-eigenen.

Ik zou zelf zeggen betaal het kleine bedrag en zie of en hoe het schip dan welke koers gaat (over)varen. €1Miljoen euro lijkt mij hier totale peanuts voor de niet in te schatten gevolgen wanneer misdadigers - daarin uitgedaagd - zich verder in deze zaak gaan vergelden.

StefanJanssen @PtrO • 27 februari 2026 15:05

Als iemand die zeer mogelijk in deze gegevens staat wil ik absoluut niet dat er betaald wordt en heb ook direct een email gestuurd naar Odido om dit zeker niet te doen.

PtrO @StefanJanssen • 27 februari 2026 15:09

Is jouw goed recht maar heeft Odido daarmee dan het recht dit ook zo voor een andersdenkende te beslissen ?

Jouw keuze om risico of daarmee (g)een gezichtsverlies te lopen weeg jij anders af dan een ander.

[Reactie gewijzigd door PtrO op 27 februari 2026 15:11]

StefanJanssen @PtrO • 27 februari 2026 15:11

Ja, geld geven aan criminelen is geen verplichting dus hebben ze een recht om te zeggen "ik betaal niet"

PtrO @StefanJanssen • 27 februari 2026 15:18

De "ze" hier is dan Odido als bedrijf die daarmee dus die beslissing neemt uit naam van haar klanten neemt, die daarin geen keuze wordt gelaten. Eventuele slachoffers moeten het verder met wat uitkijken het verder zelf maar uitzoeken.

StefanJanssen @PtrO • 27 februari 2026 15:24

En dat is altijd nog beter dan zeggen: "we betalen" en volgende week heeft dezelfde groep een andere organisatie gehackt waar ze weer losgeld van krijgen...

Vinez Initez 27 februari 2026 14:17

Ik vind dit onacceptabel: het betalen van losgeld moet per wet verboden worden. Het financieren van afpersing via crowdfunding of andere kanalen maakt criminelen sterker en creëert een lucratieve markt voor toekomstige aanvallen. Door het betalen van losgeld strafbaar te stellen en expliciet te verbieden, haal je een belangrijke prikkel weg en verklein je de kans dat dit soort initiatieven überhaupt ontstaan.

Korte onderbouwing

Preventie: Als betalen strafbaar is, vermindert de financiële aantrekkingskracht voor daders en daalt het aantal succesvolle afpersingen.
Handhaving: Platforms en betaalproviders krijgen een duidelijke wettelijke plicht om verdachte inzamelingen te blokkeren en te melden.
Signaalwerking: Een verbod maakt duidelijk dat de samenleving niet meewerkt aan criminele financiering en ondersteunt opsporing en vervolging.

Mogelijke wettelijke elementen om te overwegen

Verbod op betaling van losgeld - expliciet strafbaar stellen van het overmaken of organiseren van betalingen aan afpersers.
Aansprakelijkheid van tussenpersonen - platforms en betalingsverwerkers verplichten verdachte inzamelingen te blokkeren en te melden.
Sancties en handhavingskader - duidelijke boetes en strafrechtelijke vervolging voor initiatiefnemers en faciliterende partijen.
Uitzonderingen en bescherming - waar nodig regels voor slachtoffers die aangifte doen en samenwerken met opsporing, zonder dat dit het verbod ondermijnt.

PtrO @Vinez Initez • 27 februari 2026 14:50

Heel goed verhaal voor een toekomst dat echter nu en hier (laat staan wet) nog niet van toepassing is en daarin dan ook niets oplost.

Op dit moment is (onder)handelen over aangedane misdaad niet verboden en dan dient een bedrijf zich niet de moreel gewenste positie aan te nemen dat zij die keuze dus maakt voor haar klanten en daarmee misdadigers beslist zal uitdagen om data dan maar te publiceren.

Probleem verder - van twee kanten bezien - is dat de ene klant het zelf geen probleem vindt en een andersdenkende klant - nu of later - daarin gehele andere belangen heeft of gaat krijgen. Het individuele versus maatschappelijk belang is ook anders te bekijken..
Kortom je kunt het nooit goed doen en dan lijkt mij meeveren in een uiters onaangename situatie een betere keuze dan vanwege andermans vloeibaar principe, de boel op een spits te drijven.

Beveiliging en antivirus
Hack

@Vinez Initez • 27 februari 2026 15:01

Ik vind dit onacceptabel: het betalen van losgeld moet per wet verboden worden. Het financieren van afpersing via crowdfunding of andere kanalen maakt criminelen sterker en creëert een lucratieve markt voor toekomstige aanvallen. Door het betalen van losgeld strafbaar te stellen en expliciet te verbieden, haal je een belangrijke prikkel weg en verklein je de kans dat dit soort initiatieven überhaupt ontstaan.

Denk je dat de afpersers zich daar iets van aantrekken?

Het eerste wat afpersers zeggen is "Ga niet naar de politie". Door betalen te verbieden maak je het de afpersers alleen maar makkelijker omdat het slachtoffer alleen komt te staan. Als slachtoffer is betalen altijd de aantrekkelijkste oplossing, zo niet dan is de afperser te gierig en kan die gewoon de prijs verlagen tot het wel de aantrekkelijkste oplossing is. Hoe minder uitweg het slachtoffer ziet hoe succesvoller de aanval zal zijn.

Nu gaat het hier om data maar wat als het om mensenlevens zou gaan? Mag je een afperser dan ook niet betalen? Ook niet als het maar 1 cent kost om een mensenleven te redden? Ik vind het onethisch is om dan niet te betalen. Alles daarna is alleen maar een discussie over hoeveel een mensenleven of een stuk data waard is.

Afpersers niet betalen heeft zeker de voorkeur, maar een verbod doet meer kwaad dan het goed doet.

@CAPSLOCK2000 • 27 februari 2026 15:33

Volgens mij spelen er een aantal overwegingen mee. Door losgeld de illegaliteit in te drukken maak je de incidenten nog minder transparant. Dat is denk ik schadelijk voor de maatschappij. Ik krijg al de indruk dat losgeld betalen al te vaak wordt gebruikt om de hack in de doofpot te stoppen en minder om betrokkenen te beschermen. Als je betaald komt de AP er niet achter en hoef je de AP en de betrokkenen niet te informeren lijkt soms de gedachte te zijn (onterecht overigens). Je wilt eigenlijk niet nog een reden om transparantie te verminderen.

Wat denk ik meer kans maakt is bijvoorbeeld verzekeringen die losgeld vergoeden verbieden. Als je wordt afgeperst kan je per definitie geen vrije keus maken en dat wil je niet nog een keer bestraffen denk ik. Maar een zakelijk diensverlening opzetten om structureel geld te betalen aan criminelen heb ik toch wat minder sympathie voor.

cane 27 februari 2026 14:18

https://haveibeenpwned.com/ die abonnementen verkoopt
Mensen die lollig op twitter deze tragedie farmen voor clicks, likes en blue checkmark geld
Odido die klanten de schuld geeft
Politiek die hier niets mee gaat doen
Hype is weer vergeten binnen een week
Ondertussen over periode van jaren worden mensen stiekem benaderd, gegevens door verkocht en gephished, opgelicht.

Natuurlijk bedrijfsgegevens zijn niet gelekt want geen klantcontact systeem (via Odido). De consument is weer de dupe. Het zou gewoon standaard moeten zijn dat je weet dat deze gegevens ooit een keer worden gelekt en dat je daar rekening mee houdt en of een systeem op need to know basis. De Odido site liegt je ook voor want ze zeggen dat gegevens niet bewaard zijn terwijl dat wel zo is van 10 jaar geleden.

Ik word er zo moe van.

Vinez Initez @cane • 27 februari 2026 14:28

De diensten die haveibeenpwned aanbied zijn gratis te gebruiken, als individu zal je nooit een abonnement nodig hebben.... of heb je een rede om 10 adressen per minuut te checken !?

Gebruik maken van de API kost geld, logisch. ik dank deze website vriendelijk voor wat ze doen.

cane @Vinez Initez • 27 februari 2026 14:33

Dus dan heb je altijd die data voor altijd daar ook vast staan ook over 20 jaar? Internet rot is meestal iets echts en over tijd verdwijnen dingen meestal ondanks archieven, maar hij houdt dit in stand en wat als iemand zijn site hackt? Ik snap best dat het geld kost en ik denk niet dat Troy slechte bedoelingen heeft, maar het voelt heel dubbel. Ik snap ook niet met DMCA, Brein, intellectueel eigendom noem het maar op kan het allemaal gelijk offline worden gehaald, maar met deze gehackte data niet?

grasmanek94 @Vinez Initez • 27 februari 2026 14:45

Tja ik zou een abonnement moeten nemen want ik gebruik per-service/per-doel (websiteadres.tld@mijndomein.tld) een ander e-mail adres op een eigen domein.. dus ik kan wel 1 voor 1 al mijn eigen mails (dat zijn er veel, sowieso word ik ge-rate-limit of geblokkeerd) gaan checken of ik moet betalen om mijn eigen domein te checken.

[Reactie gewijzigd door grasmanek94 op 27 februari 2026 14:46]

vlieger200 @cane • 27 februari 2026 14:33

Laat over het bewaren van gegevens de autoriteit een uitspraak doen, dit gaat zeker worden onderzocht en dan horen we welke haken en ogen er aan deze voorwaarden hebben gezeten. Het gaat overigens niet om het klant zijn maar zolang je nog maar iets van een actie over hebt zoals een support ticket of een openstaande factuur ect. beschouwd men je nog gewoon als klant. Dit staat ook nadrukkelijk op de website. Dit kan best een casus wezen in sommige gevallen.

Om te kunnen reageren moet je ingelogd zijn