Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker Sijmen Ruwhof is een crowdfundingactie gestart waarmee hij geld hoopt op te halen om het losgeld te betalen aan de hackers die Odido-data publiceren. Ruwhof wil 250.000 euro ophalen op een eigen bankrekening, in de hoop daarmee verdere datadumps te voorkomen.

Ruwhof schrijft op zijn eigen blog over de actie. De ethisch hacker, die onder andere bekend is van initiatieven zoals de stichting die kritiek had op verkiezingssoftware, heeft een aparte bankrekening geopend bij bunq waarop hij geld wil inzamelen. Ruwhof zegt samen te werken met 'andere bezorgde securityexperts', maar zegt dat die 'vanwege de kritiek die gaat komen niet met naam en toenaam genoemd willen worden'. "Ik vang de eventuele klappen op", zegt Ruwhof tegen Tweakers.

De crowdfunding gaat bewust niet via crowdfundingwebsites zoals GoFundMe, omdat die veel transactie- en verwerkingskosten rekenen. Ook een stichting oprichten wil Ruwhof niet. "Een stichting oprichten en bijbehorende bankrekening aanvragen kosten dagen tijd. Die tijd is er niet omdat nu een miljoen klantgegevens per dag lekt", schrijft hij.

Die tijd is volgens Ruwhof slechts een paar dagen. Het idee is het geld snel in te zamelen en het losgeld binnen een paar dagen te betalen, om zo de verdere schade te beperken. Shinyhunters, de hackersgroep achter de hack op Odido, heeft donderdag en vrijdag al een deel van de informatie gepubliceerd en dreigt dat verder te blijven doen zolang Odido niet betaalt. Odido heeft eerder al gezegd dat niet van plan te zijn.

"Als we pas over drie dagen genoeg geld hebben ingezameld, is misschien de helft van de gegevens uitgelekt", zegt Ruwhof tegen Tweakers. Om die reden schat hij in 250.000 euro nodig te hebben. Dat is een kwart van het losgeld dat de hackers eisen van Odido.

Contact met hackers

Ruwhof heeft nog geen contact met de hackers, dus hij weet niet zeker of die akkoord zouden gaan met dat bedrag. "We willen eventuele onderhandelingen die Odido zou kunnen voeren met de hackers niet in de weg zitten. Dat zou Odido ons kunnen verwijten." Odido zegt overigens niet te onderhandelen. Ruwhof verwacht dat Shinyhunters de media in de gaten houdt. "Ik verwacht dat ze zelf een keer contact met ons gaan opnemen in de komende dagen", zegt hij.

Geld dat uiteindelijk niet gebruikt wordt, gaat volgens Ruwhof weer terug naar de donateurs. Ruwhof zegt dat journalisten kunnen meekijken op de rekening 'om te controleren of alles zuiver en eerlijk verloopt'.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 27-02-2026 14:08 626

27-02-2026 • 14:08

Lees meer

Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort

Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort Nieuws van 2 maart 2026

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026

Oplichtwebsite over Odido-datalek is niet meer bereikbaar

Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Beveiliging en antivirus Hack Odido

Reacties (626)

626

604

337

16

0

163

Wijzig sortering

Auteur

TijsZonderH Nieuwscoördinator 27 februari 2026 13:58

Sijmen zit op Tweakers onder @sijmen-ruwhof, hij wil hier als hij tijd heeft wel wat verdere vragen over beantwoorden in de reacties!

SgtElPotato @TijsZonderH • 27 februari 2026 14:13

Politie etc adviseren Odido niet te betalen, maar deze 'ethische hacker' denkt dat betalen wel de oplossing is?

sijmen-ruwhof @SgtElPotato • 27 februari 2026 15:04

De overheid adviseert altijd om niet te betalen. Ook als je bedrijf op slot gezet is via een gijzelvirus en je backups zijn versleuteld. Je bedrijf kan dan failliet gaan als je niet betaald. De politie zegt dan "goed gedaan" als je je bedrijf failliet laat gaat.

Chrisz @sijmen-ruwhof • 27 februari 2026 15:30

Je uitspraak is feitelijk juist, maar je omschrijft dan ook wel een heel ander scenario dan wat nu speelt. In het geval van een gijzelvirus wordt er ook veel vaker betaald: https://www.ransomware.live/nego. Daarbij maken bedrijven een weloverwogen keuze of ze betalen om niet failliet te gaan of zodat het hun minder geld kost doordat ze weer snel aan de bak kunnen.

In dit specifieke scenario kan je juist beter niet betalen: de gegevens liggen al op straat, daar kan je niks meer aan doen. Zelfs al betaal je, is er alsnog geen enkele garantie. Wat wel een garantie is: Is dat je deze hackersgroepen van geld voorziet, welke daarmee vrolijk door blijven gaan.

[Reactie gewijzigd door Chrisz op 27 februari 2026 15:56]

IceQb @Chrisz • 27 februari 2026 16:53

de gegevens liggen helemaal nog niet "op straat", ze worden per dag beetje bij beetje gepubliceerd. er valt nog een hoop te redden!

PvdVen777 @IceQb • 27 februari 2026 17:19

Er valt volledig niets meer redden, de diefstal heeft al plaatsgevonden. Dat is inclusief mijn gegevens. Er moet niet ingegaan worden op afpersing.

Mschrijver88 @IceQb • 27 februari 2026 17:00

Ja, want deze hackers publiceren verder niks meer netjes volgens afspraak als ze betaald krijgen.......

Boy @Mschrijver88 • 27 februari 2026 17:12

Dat is volgens mij wel voor zover ik weet hoe het werkt. Als ze het alsnog doen, ondermijnen ze hun verdienmodel.

Laatste wat ik hoorde, zijn dit soort hackers te vertrouwen (beetje vreemd, maar is meer integriteit, zoals de mafia, zij houden ook hun woord als je betaald bijv

)

Chrisz @Boy • 27 februari 2026 17:18

Die dataset wordt gerust onder een andere naam verkocht “Leak of 10 million Dutch Citizens” iets andere tabelnamen en hop over een jaar het darkweb over voor 100€ per download. Geen haan die er meer naar kraait. Vrij naïef om te denken dat ze het daarbij houden.

roelst1 @Chrisz • 27 februari 2026 18:00

Dat zie ik hier veel gezegd worden, maar zo simpel is het helemaal niet. Elke dataset heeft een unieke digitale vingerafdruk die bestaat uit bijvoorbeeld foutjes en typos. Met die gegevens kun je vrij eenvoudig een dataset herkennen, zelfs als hij in stukjes is gehakt en wordt gecombineerd met andere datasets. Shinyhunters is een organisatie die alleen winstgevend kan zijn op het moment dat bedrijven er vertrouwen in hebben dat de data niet alsnog wordt gepubliceerd. Als ze dat dan toch doen (eventueel met een omweg) gooien ze hun eigen ramen in en werkt het hele "businessmodel" niet meer.

DdeM @roelst1 • 27 februari 2026 18:07

Net zoals deze organisaties zeker? https://www.phishlabs.com...promises-leak-data-anyway

.SnifraM @roelst1 • 1 maart 2026 10:26

.

[Reactie gewijzigd door .SnifraM op 1 maart 2026 10:26]

anboni @Chrisz • 27 februari 2026 19:21

Als er een paar handenvol email adressen als "tmobile@blabla.nl" of "odido@blabla.nl" in staan, weet je natuurlijk alsnog uit welke bron het kwam. Het bedreigt nog steeds het verdienmodel van deze club.

Chrisz @anboni • 27 februari 2026 19:43

Als er een paar handenvol email adressen als "tmobile@blabla.nl" of "odido@blabla.nl" in staan, weet je natuurlijk alsnog uit welke bron het kwam. Het bedreigt nog steeds het verdienmodel van deze club.

Dan noemen ze het wel weer het nieuwe lek van 2027. Of via een andere groep brengen ze het uit. Als er nooit eerder wat naar buiten gebracht is, weet je het toch nooit exact. Maar het zal vooral onderhands aan andere scamgroepen verkocht worden, die kijken daar niet zo nauw naar. Het gebeurd in ieder geval veel, je leest het veel.

Alekz87 @Boy • 27 februari 2026 17:33

Je financiert dus in feite hun volgende hack en die erna. De hackers moeten failliet. Dus ik zeg: never nooit betalen

HoppyF @Alekz87 • 27 februari 2026 20:13

Die hackers gaan echt niet failliet. Ze hebben meer dan genoeg geld om maanden te overleven of langer.
Ze hebben geen haast maar wachten geduldig af wat erop ze afkomt. Betaalt het bedrijf of doen ze het niet.
Daarbij tonen ze ook aan dat ze niet bluffen en laten ze zien dat de ook echte gegevens in handen hebben.
Betalen is niet leuk maar bij deze hack hebben de hackers de macht in handen en niet Odido.
Mochten de hackers opgespoord worden en voor de rechter komen krijgen ze vast en zeker straf maar kunnen ze alsnog grote hoeveelheden eerder buitgemaakte data dumpen.
Ze hebben dan niets meer te verliezen.

Boy @Alekz87 • 27 februari 2026 19:20

Zeker mee eens, maar dat is niet waar ik het over had.

Mijn gegevens hebben ze ook, maar ben tegen betalen

roooii @Alekz87 • 1 maart 2026 01:08

Hackers die failliet gaan? Huh, kan dat? Ik snap alle frustraties hier van iedereen, maar voor Odido is dit een peulenschil om te betalen. Gewoon aftikken en hopen dat de hackers zich aan hun woord houden. Odido is nalatig geweest en moet op de blaren zitten en NIET 6 miljoen klanten! Omgekeerde wereld, maar Odido moet proberen te redden wat er te redden valt.

@Boy • 27 februari 2026 18:32

Dat ze het niet publieke plaatsen wilt niet zeggen dat het niet gebeurd. Grote kans dat ze het gewoon doorspelen naar een andere groep of intern naar een andere afdeling die zich bezig houdt met whatsapp/voice/sms phishing etc. Bewijs maar dat het van hen komt als er over een jaar ineens een grote phishing actie bezig is.

De betaling wordt ook niet lager als er meer gelekt word. Je kunt er vanuit gaan dat ze steeds meer geld willen hebben. Die 250k is weggegooid geld, tijd en moeite. En door dit nieuws te brengen ondermijn je direct eventuele onderhandelingen die plaats kunnen vinden.

Kaasje123 @SunnieNL • 27 februari 2026 19:18

Welke onderhandelingen? Odido doet niks

TEAser_ @Kaasje123 • 27 februari 2026 20:27

Odido zegt dat ze niks doen, dat betekent niet dat ze ook niks aan het doen zijn

Edgarz @Boy • 27 februari 2026 23:53

Deze club heeft geen goede reputatie wat dat betreft. De gegevens kunnen alsnog verkocht worden nadat er betaald is.

Gijzelsoftware is een andere 'business'. Daar worden geen gegevens gedownload maar 'slechts' geblokkeerd. Er kan dus niets gelekt worden nadat je betaald hebt. Voor ShinyHunters valt er 2x te incasseren. En daar kun je niets tegen doen.

Boy @Edgarz • 28 februari 2026 05:15

Ah ja! Kan zijn dat ik inderdaad in de war was met de encryptiesleutel overhandigen

DdeM @Boy • 27 februari 2026 18:06

Zal het laatste wat je hoorde even bijstellen: https://www.phishlabs.com/blog/ransomware-groups-break-promises-leak-data-anyway

sijmen-ruwhof @DdeM • 27 februari 2026 21:27

ShinyHunters worden niet genoemd in dit artikel als onbetrouwbaar. Er zijn geen garanties, maar sinds op oprichting van deze groep in 2020 hebben ze nog geen data gelekt van bedrijven die betaald hebben. ShinyHunters is er alles aan gelegen om betrouwbaar te blijven om hun business model niet kapot te maken.

DdeM @sijmen-ruwhof • 28 februari 2026 01:08

Het zijn criminelen!!! Onbetrouwbaar is zo'n beetje een garantie.

echtwaar? @DdeM • 28 februari 2026 07:18

Los van het feit of je zaken wil doen met hackers betwijfel ik of criminelen onbetrouwbaarder zijn dan andere zaken partners.

williamvdh @sijmen-ruwhof • 1 maart 2026 10:03

Nou zeg, wat een keurige partij! Inmiddels hebben ze alle data al online gezet dus jouw verdienmodel gaat niet door, misschien toch iets minder keurige partij dan je dacht?. Als je de volgende keer in de media leest over een ontvoering kan je misschien ongevraagd het losgeld gaan betalen?

SgtElPotato @Boy • 28 februari 2026 09:40

Ja en de maffia komt vervolgens ook wekelijks langs om geld op te halen, en als je dan besluit niet te betalen halen ze nog steeds je wiel of woning overhoop…

ro4sho @Boy • 1 maart 2026 15:37

Ik denk dat je dan niet goed op de hoogte bent over hoe het echt gaat.

@Boy • 1 maart 2026 17:59

Of ze worden zelf weer gehacked of bestolen, gok dat ze de data niet heel sterk beveiligen (net als odido ;-). Ze gaan echt die data niet wissen na betaling. Houden ze lekker achter de hand voor als het nog een kaar handig is om met iets te kunnen dreigen of het geld op is.

Op de integriteit vertrouwen van de club die net al je data gestolen heeft lijkt me een slechte keuze.

renecl @Mschrijver88 • 28 februari 2026 21:06

Het is wel hun bron van inkomsten, het is dus voor hun beter om hun woord te houden.

Chrisz @IceQb • 27 februari 2026 16:59

De volledige dataset is al in handen van een groep mensen die er kwade bedoelingen mee heeft, dat noem ik wel degelijk dat die gegevens "op straat" liggen. Er valt niks meer te redden, er is 0 garantie. Enige wat te redden valt is dat het in de toekomst niet weer gebeurd; door niet te betalen.

[Reactie gewijzigd door Chrisz op 27 februari 2026 17:01]

sijmen-ruwhof @Chrisz • 27 februari 2026 21:29

Data ligt pas "op straat" als het vrij te downloaden is. Data in handen van ShinyHunters alleen, is een hele andere situatie. De kans dat ShinyHunter de data alsnog lekt na betaling is vrij klein. Dat helpt hun businessmodel direct om zeep waardoor ze veel minder geld verdienen uiteindelijk.

Edgarz @sijmen-ruwhof • 27 februari 2026 23:54

Nee, dat businessmodel blijft gewoon werken. Bij ransomware is het anders. Daar valt doorgaans niets te verspreiden; er wordt niets gestolen.

sijmen-ruwhof @Edgarz • 28 februari 2026 12:22

Je bent verkeerd geïnformeerd. Bij ransomware wordt naast dat alles op slot gezet wordt, de laatste jaren ook data gekopieerd en gedreigd om deze te openbaren als niet betaald wordt.

Edgarz @sijmen-ruwhof • 3 maart 2026 10:23

Het een sluit het ander niet uit, da's waar. Er zijn zeker mengvormen die voorkomen, Deze wereld is niet zwart wit.

ruben0107 @Chrisz • 27 februari 2026 17:38

Zeker bij een groep als ShinyHunters is betalen niet de beste optie. Ik vind het ook vreemd dat er zoveel mensen zijn die oproepen om te betalen. Er zijn bij die onderhandelingen echt geen koekenbakkers betrokken.

Bron waarom je bij Shinyhunters niet moet betalen: https://blog.unit221b.com/dont-read-this-blog/harassment-scare-tactics-why-victims-should-never-pay-shinyhunters?hs_amp=true

FiberSam @ruben0107 • 27 februari 2026 20:33

Ik kom deze link nu al dagenlang elke keer tegen. Maar het zegt simpelweg hélémaal niets over ShinyHunters. Ik heb weinig zin om ze goed te praten want het zijn criminelen. Maar voor zover bekend maakt ShinyHunters zich nu juist niét schuldig aan dat soort praktijken. Ze hebbben een reputatie hoog te houden om hun verdienmodel in stand te houden. En dan lijkt zich best lekker uit te betalen.

simen @FiberSam • 28 februari 2026 00:17

Ik weet niet veel over de situatie maar die blog zegt toch expliciet dat dit om ShinyHunters gaat in de eerste paragraaf?

Sowieso kan ik me niet voorstellen dat ze na betaling de data verwijderen. Daar winnen ze helemaal niks mee. Hun reputatie is ook niet veel waard, want zonder legitimatie kan iedereen zich als ShinyHunters voordoen.

In die blogpost staat ook al dat er vóór 2025 een andere groep onder dezelfde naam werkte. Slachtoffers weten uiteindelijk gewoon niet met wie ze te maken hebben en moeten er altijd vanuit gaan dat het een oppertunistische aanval is.

Ook al zou dit een groep zijn die zich aan zijn woord houdt, maak je door te betalen publiek kenbaar dat misdaad loont, en voor je het weet heb je copycats die zichzelf ook als ShinyHunters voordoen.

ruben0107 @FiberSam • 28 februari 2026 10:29

Dat is een wat verouderd concept dat ze reputatie hoog te houden hebben. Ransomware groepen zijn een stuk onberekenbaarder geworden door interne gevechten, politie actie en verraad.

Door het hele Ransomware as a Service concept in de drempel om in te stappen erg laag geworden. En ook dat zorgt ervoor dat er een stuk meer “onbetrouwbare” criminelen tussen zitten.

Beveiliging en antivirus
Odido
Hack

@Chrisz • 27 februari 2026 20:26

Ik denk niet dat die groep echt verlegen zit om geld overigens.

Nee denk eerder dat het een ding gaat zijn als er wel betaald wordt.

Ik ben het hier wel eens dat het niet zo’n goed idee is. Het businessmodel is hier daadwerkelijk anders. De data is nu gewoon gelekt, maar je continuïteit is niet in gevaar (itt ransomware). Dit is gewoon jammer maar helaas.

het oribleem is dat Shinyhunters niks te verkopen heeft. Ja dat ze de data nú niet vermarkten, maar we zien wel dat dit later via via toch uiteindelijk wel op zijn minst deels gebeurd. Verwijderding vind iig niet plaats.

MightyPig @Chrisz • 27 februari 2026 21:23

In dit specifieke scenario kan je juist beter niet betalen: de gegevens liggen al op straat, daar kan je niks meer aan doen. Zelfs al betaal je, is er alsnog geen enkele garantie. Wat wel een garantie is: Is dat je deze hackersgroepen van geld voorziet, welke daarmee vrolijk door blijven gaan.

Is ziet niet tegenstrijdig met wat er gezegd wordt in het artikel?

Want je wilt wel de hackers gaan betalen om verdere schade te voorkomen? Je zegt zelf dat het beste wat je kan doen is niet betalen?

Chrisz @MightyPig • 28 februari 2026 07:44

Wat is er precies tegenstrijdig wat ik gezegd heb? Wat er gezegd wordt in dit artikel is niet mijn mening of standpunt, dus daar kan je mijn reacties niet mee vergelijken. Ik heb ook nooit gezegd dat ik de hackers wil betalen om verdere schade te voorkomen.
Reageer je misschien op de verkeerde persoon?

[Reactie gewijzigd door Chrisz op 28 februari 2026 09:03]

MightyPig @Chrisz • 28 februari 2026 09:48

Oops, ik dacht dat jij Sijmen was 😅. Exusses! Maar jij reageerde op hem

[Reactie gewijzigd door MightyPig op 28 februari 2026 09:48]

honey @Chrisz • 27 februari 2026 22:52

Het andere scenario is dat Odido nu de schade bij de klanten kan neerleggen en ze vrijwel geen extra schade ondervinden als ze niet betalen.

Met andere woorden, belangen van de klanten kan ze niks schelen. Dat soort bedrijven mogen wat mij betreft verdwijnen.

gron74 @Chrisz • 28 februari 2026 23:54

Zo denk ik er ook over. Zamel dan geld in om deze hackers te vinden en te arresteren. Er zijn vast wel collega's die voor geld loslippig worden, zo werkt dat in het criminele circuit.

robingouw @Chrisz • 2 maart 2026 07:05

Vergeet ook niet dat als ze nu besluiten wel te betalen, ze gelijk ook makkelijker over te halen zijn met de eerstvolgende keer dat er zoiets gebeurd. Dat is daarbij ook een van redenen waarom er wordt gezegd gelieve niet te betalen.

bzuidgeest @sijmen-ruwhof • 27 februari 2026 17:32

Dat is niet het huidige scenario. Ik zal heel simpel zijn. Ik ben odido klant en mijn gegevens zijn gelekt dus. Ik wil niet dat er betaald word. Misdaad mag niet lonen.

De meeste data is ook echt zo erg niet. Adres en email? Dat is al op honderd plekken gelekt. Document nummer? Verlopen in mijn geval. En vraag anders een nieuwe aan. Die past ongelukkige aantekeningen? Jammer dan.

Ik heb het al vaker gezegd. Ik zie liever dat odido uit zichzelf of bij wet gedwongen zou zijn een identiteit fraude verzekering op de klanten te moeten nemen. Dat dekt de eventuele schade zonder de criminelen te belonen.

Ergens snap ik wel dat mensen willen betalen. Ik vind het maar gewoon laten publiceren ook wel een beetje spannend. Maar de banken letten al op gekke dingen hebben ze gemeld.

Vanuit de hackers komt er geen enkele garantie. Als iemand van de groep afhaakt en de gegevens steelt en verkoopt dan zit je er nog mee.

Ik kan dus niet anders dan hopen dat je het doel niet haalt. Ik erken echter wel je goede bedoelingen en dat is wel een pluim waard.

PhilipsFan @bzuidgeest • 27 februari 2026 19:15

De ‘misdaad’ hier is gepleegd door Odido, die hebben hun gegevens niet goed beveiligd. De ‘hackers’ (ze hebben niet eens echt gehackt) hebben misbruik gemaakt van de slechte beveiliging. Ik vind daarom dat Odido moet betalen. Ze zijn verplicht om alles te doen om het voor de slachtoffers niet erger te maken. Ze moeten zich diep schamen om zich nu achter principes te verschuilen. Die principes had je eerder moeten toepassen.

Eigenlijk vind ik dat er standaard vergoedingen moeten komen. Een bedrijf lekt mijn e-mailadres? Dan krijg ik 1000 euro. Een bedrijf lekt mijn medische gegevens? Dan krijg ik 100.000 euro. Per gelekt gegeven. Het is de enige manier waarop bedrijven gaan begrijpen dat ze databeveiliging serieus moeten nemen.

Ryunoru @PhilipsFan • 27 februari 2026 20:29

De misdaad is gepleegd door de hackers, ook al had Odido hun beveiliging niet goed op orde. En het argument dat Odido financieel verantwoordelijk is door die slechte beveiliging is één ding, dat dit geld dan juist naar de hackers - de daadwerkelijke misdadigers - gaat is iets totaal anders. Dan worden die criminelen dubbel beloond voor hun gedrag en schieten de slachtoffers er alsnog niets mee op.

Klaus_1250 @Ryunoru • 27 februari 2026 21:33

Odido had wel wat meer niet op orde als alleen hun beveiliging. Ze bewaarde gegevens van oud-klanten eveneens onnodig lang. Ook hun reactie op het geheel getuigt van weinig kunde en interesse omtrent regelgeving.

Hier horen gewoon standaard boetes op te staan. Maar ook moeten er regels komen omtrent het verhalen van schade door slachtoffers.

bzuidgeest @PhilipsFan • 27 februari 2026 19:32

Ik vind vaste bedragen niet erg slim. Want wat als je schade door fraude hoger is? Dan ben je in essentie goedkoop afgekocht. Een probleem dat bij een identiteit fraude verzekering door odido niet bestaat.

Of wat odido gedaan heeft misdadig is hangt bij mij af van of ze bewust de zaak niet in orde maakten. Voor zover ik het kan zien waren het echter gewoon menselijke fouten die heel veel organisaties kan gebeuren. Het is wat we social engineering noemen en dat kan je lastig maken, maar niet onmogelijk.

Maar hoe dan ook, of odido misdadig bezig was maakt wat mij betreft niets uit of de misdadigers wel of niet betaald moeten worden. Ze zijn niet Robin Hood, ze doen dit voor de wist. Geld vragen dat uiteindelijk de Nederlandse burger betaald. Hoe indirect ook.

Misdaad mag niet lonen. Odido of hackers groep. Het om bepaald of odido iets onwettig heeft gedaan, zo ja, zijn ze misdadigers. Van de hackers is het al zeker dat het misdadigers zijn.

PhilipsFan @bzuidgeest • 27 februari 2026 22:11

De vaste bedragen komen uiteraard bovenop de schadevergoeding. Het probleem is dat die schade vaak niet is aan te tonen. Als een scammer jou belt, vraag je dan hoe diegene aan je telefoonnummer komt? En is diegene daar eerlijk over?

Als je schade kunt aantonen, dan is een schadeclaim volledig terecht. Maar de vergoedingen waar ik het over heb, dienen om bedrijven te dwingen zich aan de regels te houden. Want uit zichzelf doen ze dat niet. Het levert immers geen geld op.

bzuidgeest @PhilipsFan • 28 februari 2026 10:30

Met een verzekering voor identiteit fraude hoef je niet aan te tonen waar het vandaan komt. Dat het gebeurt is genoeg. Dan krijg je de schade vergoed.

Vaste bedragen zijn ook nog eens minder belastend voor grote bedrijven en enorm belastend voor het mkb en de zzp. En dat is maar een van de nadelen. Ook krijgt de klant met iets eenmalig, waar een verzekering lange termijn waarde biedt aan de klant en ook niet goedkoop is voor een bedrijf als odido.

Beakzz @PhilipsFan • 28 februari 2026 08:44

Bij de laatste Radar hadden ze het er nog over hoe de online drogisten je gegevens (mail,adres en telefoonnummer) en wat je koopt (wat best persoonlijke medische problemen kan openbaren) doorgeven aan Meta en Google en bij sommige van die sites kan je niet eens de cookies weigeren.

Dus ja als we dat al gedogen dan wel niet hard genoeg aanpakken lijkt het mij dat we nog heel ver af staan van het beboeten van dit soort onopzettelijke fouten.

Item :

YouTube: Lekken webshops jouw gezondheidsdata naar Google en Meta?!

Davey400 @PhilipsFan • 27 februari 2026 21:28

Een bedrijf lekt mijn medische gegevens? Dan krijg ik 100.000 euro. Per gelekt gegeven.

En ik maar hopen dat ze mijn medische gegevens lekker dan.
Liefst elk jaar een paar.

[Reactie gewijzigd door Davey400 op 27 februari 2026 21:29]

robingouw @PhilipsFan • 2 maart 2026 07:08

"De ‘hackers’ (ze hebben niet eens echt gehackt) hebben misbruik gemaakt van de slechte beveiliging."

Dan moet je nog steeds op een manier het systeem zien binnen te komen, je kan niet simpel even connecten met een IP adresje en een poort en hoppa je bent binnen. Dus hoe wil je het dan noemen als je dit geen 'hacken' noemt?

PhilipsFan @The_Woesh • 28 februari 2026 15:27

Het is geen victim blaming, Odido had de beveiliging niet in orde. Een aanvaller kon eenvoudig aan grote hoeveelheden persoonsgegevens komen zonder dat hiervoor beveiligingen aanwezig waren. Ze zijn binnengekomen door medewerkers te vragen om hun authenticatiecode.

Dit duidt op twee grote problemen: ze hebben blijkbaar de medewerkers niet goed opgeleid en ze stellen medewerkers in staat om grote hoeveelheden klantgegevens te downloaden. Dit soort functionaliteit is voor medewerkers normaal gezien helemaal niet nodig.

Het is weer typisch Tweakers hier. Altijd op de hand van de bedrijven. Odido is een enorm internationaal bedrijf met ongelooflijke hoeveelheden poen. En dan was het te duur om medewerkers goed op te leiden en systemen zodanig aan te passen dat dit niet mogelijk was geweest? Natuurlijk is dat te duur. Elke aanpassing kost geld die niet naar de aandeelhouders kan. En nu betalen de klanten voor de ellende. En die klanten hebben het niet eens door en geven de 'hackers' de schuld. Het is om je dood te lachen.

Bedrijven die persoonsgegevens verwerken, hebben een verantwoordelijkheid voor die gegevens. Als ze die niet nemen, dan moeten ze daarvoor gestraft worden. Dat kan alleen met boetes, want een andere taal begrijpen aandeelhouders niet.

nijntje82 @PhilipsFan • 1 maart 2026 10:07

Ben ook benieuwd in deze situatie welke toezichthouders, die audits doen op bedrijven zoals of ze voldoen aan wet en regelgeving (o.a. archief wet, wat mag je hoe lang opslaan, richtlijnen m.b.t. beschikbaarheid data medewerkers etc), op de hoogte waren van de situatie en dus ergens mede verantwoordelijkheid(?). Waren deze toezichthouders op de hoogte? Waren de problemen bij Odido reeds onderkend en voorzien van een einddatum?

Odido heeft baat bij data maximaal opslaan en lang bewaren, het is tenslotte een commercieel bedrijf wat zelfs nadat je geen klant meer bent bij Odido nog belang heeft bij je data.

Kortom welke toezichthouders kunnen we hier nog op aanspreken? Want als alles in kaart was bij hun en er lagen afspraken met Odido mbt voldoen aan wet en regelgeving vanaf ik noem maar wat, 01-01-2027. Dan krijgt Odido geen boete, want dan voldoen ze alsnog aan de wettelijke afspraak die ze hebben gemaakt met de handhavers.

edit:
Opgezocht het is dus de AP volgens mij:

https://www.autoriteitpersoonsgegevens.nl/themas/internationaal/een-loket-in-de-eu/de-rol-van-de-leidende-toezichthouder

Als Odido de wet overtreed heeft en hierover niet transparant is geweest of dit heeft verborgen voor de AP dan volgt er een boete neem ik aan. Echter zo'n boete is natuurlijk een symbolische tik op de vingers. Enige boete is het massale vertrek van klanten bij Odido. Maar of het gras groener is aan de overkant...?

[Reactie gewijzigd door nijntje82 op 1 maart 2026 10:13]

magician2000 @bzuidgeest • 27 februari 2026 20:58

Als odido een identiteit fraude verzekering moet afsluiten, en daarmee dus vele andere bedrijven vermoedelijk ook, begrijp je neem ik aan dat 'wij' - de klanten - die betalen?

Overigens is het de hoogste tijd om betalen van dit soort criminelen strafbaar te stellen, zeker ook voor zogenaamde 'ethische' hackers. Want iemand die zo'n actie start valt bij mij zeker niet onder die noemen omdat die criminaliteit faciliteerd.

bzuidgeest @magician2000 • 28 februari 2026 10:26

Ja, maar dan is het een industrie brede post waar de klant in ieder geval bescherming voor krijgt. En in bulk afsluiten levert alleen kosten op als het fout gaat. Ik zeg niet dat ze er continue en moeten hebben. Alleen als ze de mist in zijn gegaan. Geld aan de criminelen is onzeker en krijgt de klant niets voor en betaald de klant nog steeds.

[Reactie gewijzigd door bzuidgeest op 28 februari 2026 10:26]

magician2000 @bzuidgeest • 28 februari 2026 20:10

Dan ligt het ook wel aan de kosten uiteraard. Maar het is geen makkelijke situatie. Minder gegevens verzamelen (en dus ook veel minder gegevens nodig hebben vanuit rechtswege - zonder afbreuk te willen doen aan belangrijke zaken) is nog altijd de beste oplossing.

Ik zie het ook op andere plekken, bij verenigingen bijvoorbeeld. Aan de ene kant kunnen ze enorm voorzichtig zijn met gegevens verzamelen of delen (ook waar dit vanuit aannemelijk belang gewoon toegestaan is), aan de andere kant doen ze dingen de op alle fronten de AVG overtreden en risico's opleveren.

Bedrijven echter zouden beter moeten weten.

bzuidgeest @magician2000 • 1 maart 2026 09:47

Beter weten voorkomt geen menselijke fouten. Wat is het spreekwoord? Waar gehakt word vallen spaanders? Het OM onderzoekt of odido iets strafbaars heeft gedaan. En als het antwoord nee is dan is het gewoon een heel naar ongeluk.

R0KH @sijmen-ruwhof • 27 februari 2026 18:36

Ik vind dit absoluut geen goed plan! Het kwaad is al geschiedt en data is al voor een deel gelekt. Criminelen zoals Shiny Hunters gewoon zijn mogen nooit beloont worden voor hun bezigheden. Dit houdt deze vorm van afpersing alleen maar in stand.

Het is ook wat gek dat als er betaald wordt en de data deels al gelekt is je of geluk of pech kan hebben wanneer jouw data er dan wel of niet tussenstaat. Degenen die hier aan bijdragen hebben ook geen enkele garantie dat hun data niet al gelekt is/wordt, voor jezelf hoef je het dus sowieso niet te doen.

Daarnaast las ik recent een interessant artikel waarom het datalek zoals deze eigenlijk helemaal niet meer zo interessant en spannend gevonden moet worden. Zoals meerdere al hebben opgemerkt ligt veel van deze data al langer op straat en zijn er hooguit wat zaken bij nu die mogelijk nog wat gevoeliger kunnen zijn, maar heel interessant is het niet meer.

@R0KH • 27 februari 2026 22:05

Zoals meerdere mensen al hebben gereageerd op een mening als die van jou;

Er zijn van enkele (ex)klanten zeer gevoelige gegevens gelekt. En dat gaat vast nog wel meer worden.

Daar gaat dat artikel ook helemaal over. Dus ja; deze data is nog steeds waardevol. Maar misschien juist minder voor cybercriminelen.

Marcel Br @ArmEagle • 28 februari 2026 09:20

Ook als je betaalt blijft de info gelekt

robvanwijk @R0KH • 28 februari 2026 16:40

Het is ook wat gek dat als er betaald wordt en de data deels al gelekt is je of geluk of pech kan hebben wanneer jouw data er dan wel of niet tussenstaat.

Die redenatie slaat echt nergens op. Er zijn niet genoeg organen voor iedereen die een transplantatie nodig heeft, dus laten we dan maar helemaal niemand helpen!? Of zullen we KPN opdracht geven om de gegevens van hun klanten ook openbaar te maken, want het is maar geluk of pech bij welke telco je een abonnement hebt?

R0KH @robvanwijk • 28 februari 2026 17:09

Blijkbaar snap je m'n punt niet. De data is al deels gelekt, criminelen zijn per definitie niet te vertrouwen, dus waarom nog betalen met de hoop dat de rest niet gelekt gaat worden. Degenen waar de data al van gelekt is heeft er geen enkele baat meer bij. Vindt jij dat we dan toch maar op hoop van zegen de rest moeten 'redden' ten gunste van deze criminelen?

Je vergelijking laat ik maar even voor wat het is...

robvanwijk @R0KH • 28 februari 2026 19:55

De data is al deels gelekt (..) waarom nog betalen met de hoop dat de rest niet gelekt gaat worden

"Er is al een boel schade, dus dan hoeven we ook niet te proberen om verdere schade te voorkomen"!?

criminelen zijn per definitie niet te vertrouwen

Waarom niet? Dat iemand ervoor gekozen heeft om op een onethische manier geld te verdienen, betekent hooguit dat je er niet op kunt vertrouwen dat ie zijn woord houdt omdat dat het juiste is om te doen. Maar er zijn andere redenen waarom iemand zich aan zijn woord kan houden, bijvoorbeeld omdat dat de manier is waarop ie zijn geld verdient. Als iemand miljoenen kan verdienen door zich aan afspraken te houden en niets te winnen heeft bij het breken van die afspraken, waarom zou ie dan zijn woord breken?

Vindt jij dat we dan toch maar op hoop van zegen de rest moeten 'redden' ten gunste van deze criminelen?

Nee, maar dat komt omdat ik het sowieso een slecht idee vind om losgeld te betalen, want daarmee hou je het "business" model in stand. Maar dat ik het met je eens ben over de uiteindelijke conclusie, betekent nog niet dat ik het eens ben met je redenatie. En dit specifieke argument vond ik dusdanig slecht, dat ik de reden daarvoor uit wou leggen.

Je vergelijking laat ik maar even voor wat het is...

Nee, leg juist wel uit wat er volgens jou mis is met mijn vergelijking. Als je dat goed uit kunt leggen: prima. Of ben je bang dat je het, als puntje bij paaltje komt, niet goed uit kunt leggen?

Muffles @sijmen-ruwhof • 27 februari 2026 17:49

Ik snap je goede bedoelingen, maar ook ik zeg als klant: niet betalen! We gaan er gewoon vanuit dat al onze gegevens op straat liggen. Jammer, maar het zij zo. Odido moet wel meer verantwoording nemen. Daar mag wel een actie tegenover staan.

HoppyF @Muffles • 27 februari 2026 20:16

Wacht verwacht je van Odido?
Met “jammer dan” neem ik geen genoegen ook niet met excuses van Odido dat ze in het vervolg beter op zullen gaan letten en hun beveiliging verder gaan aanscherpen. Dat is allemaal te laat.

Basxt @HoppyF • 27 februari 2026 20:46

Ik verwacht helemaal niks van ze. Zelfs een simpele "sorry" kan er niet vanaf.

Muffles @HoppyF • 27 februari 2026 22:26

Al het nieuws over Odido lees ik hier (dank daarvoor trouwens), ook over F-secure, wat ik nu heb. Behalve de mail dat mijn gegevens op straat liggen heb ik niets van Odido gehad. Het is een beetje als Office Space: iemand ontslaan zonder dat hij dat weet. Uiteindelijk komt er altijd iemand terug voor z'n nietmachine.

SomerenV @sijmen-ruwhof • 27 februari 2026 23:35

Heel eerlijk, in al die gevallen zijn die mensen vroeg of laat toch wel de pineut, met of zonder lek bij Odido. Een kwaadwillende ex of crimineel vindt je adres toch wel helaas. Criminelen betalen zodat slachtoffers veilig zijn is een nobel streven, maar 1: door een actie als die van jou loont de actie van de criminelen en houd je dat soort praktijken in stand en 2: zoals gezegd achterhaald men echt wel een adres of andere gegevens als ze dat graag willen, ook zonder gelekte data.

Kalief @sijmen-ruwhof • 28 februari 2026 04:26

Volstrekte kletskoek.

Er is geen verschil tussen de mensen uit die database en willekeurige andere FYSIEKE adressen. Er valt bij die mensen niets te halen en dus gaan criminelen daar geen onnodige risico's voor lopen.

Jouw ranzige geweldsfantasietjes hebben geen enkele relatie tot de werkelijke risico's en dienen alleen maar om jouw crowdfundactie te promoten.

Dat toont aan dat jij alleen maar op geld uit bent en qua 'ethiek' op één lijn zit met die hackers.

asset185 @sijmen-ruwhof • 28 februari 2026 15:18

Je zegt o.a politici.

Wat ik dan wel verbazend vind. Is dat je politici er niet of nauwelijks over hoort. Die zijn zich dus totaal nog niet bewust van de enorme risico's die ze zelf lopen. De politiek is zich dus gewoon niet bewust van veiligheidsrisico's. Ik weet niet wat ik daarvan moet denken.

Vandaag zijn er gegevens van diplomaten en ambassadepersoneel gelekt. Ik heb eigenlijk geen idee welke impact dit kan hebben. Tja, en dan wat er nog meer op komst is.

sijmen-ruwhof @asset185 • 1 maart 2026 09:21

Mensen die niet veel met datalekken bezig zijn, hebben geen weinig besef wat de impact van een lek als dit is. Vooral de omvang is wrang, daar staan heel veel VIPs in.

[Reactie gewijzigd door sijmen-ruwhof op 1 maart 2026 09:24]

bytemaster460 @sijmen-ruwhof • 28 februari 2026 10:13

Je hebt helemaal gelijk, maar het dilemma blijft. Losgeld betalen houdt het systeem in stand waardoor er op de lange duur nog veel meer mensen in de problemen kunnen komen. Je weet het gewoon niet. De keuze om wel of niet te betalen kan voordelig uitpakken of nadelig uitpakken.

licon @sijmen-ruwhof • 28 februari 2026 03:21

Hoe denk jij erover dat Totaal opgehaald tot dusver: € 1.417,77 na 86 donaties?

Gaat toch nooit lukken zo?

Nimac91 @licon • 28 februari 2026 10:16

Leuk zakcentje voor zichzelf

licon @Nimac91 • 28 februari 2026 10:18

Met al die media aandacht en dan heb je nog niks... Deel 3 is inmiddels alweer gelekt met paspoort nummers en geboortedatums.

[Reactie gewijzigd door licon op 28 februari 2026 10:19]

iAR @sijmen-ruwhof • 27 februari 2026 23:27

Ah, dus voor persoonlijk gewin is het wel oké om te betalen. Fair enough. Zo praat ik mijn illegale film downloads ook goed.

Hoe VVD wil je het hebben. Een crowdfunding voor een commercieel bedrijf die bewust de beveiliging niet op orde heeft om te kunnen concurreren. En dan criminelen betalen omdat het zielig is voor het bedrijfsleven.

bytemaster460 @iAR • 28 februari 2026 10:17

Dan kan ik ook zeggen: hoe SP wil je het hebben. Bedrijven zijn belangrijk voor de welvaart. De meeste mensen danken hun inkomen en welvaart aan werk bij een bedrijf. Je kunt ene bedrijf natuurlijk benaderen alsof het alleen om eigenbelang en aandeelhouders gaat maar bedrijven houden nu eenmaal meer dan de helft van de Nederlandse werkende bevolking aan het werk.

iAR @bytemaster460 • 28 februari 2026 16:10

Ik zie niet in hoe dit relateert tot betalen aan criminelen. Het volk moet betalen om te blijven werken?

bytemaster460 @iAR • 28 februari 2026 16:55

Het gaat erom dat het ontzien van een bedrijf of het redden van een bedrijf niet per definitie gericht is op het pleasen van de aandeelhouders of eigenaren van het bedrijf, maar heeft ook maatschappelijke relevantie.

iAR @bytemaster460 • 28 februari 2026 22:57

Dus dan is het betalen van criminelen even uit de hele context gehaald?

Nogmaals: je wilt met een burger initiatief een commercieel bedrijf helpen om eventueel iets meer schade mogelijk te voorkomen…?!

bytemaster460 @iAR • 1 maart 2026 08:18

Ik ben tegen het betalen van losgeld, maar degenen die dat wel graag willen willen dat niet om Odido te helpen. Waar jij aanvankelijk op reageerde ging erover dat politie altijd adviseert om niet te betalen, ook al kan dat het faillissement van het bedrijf betekenen. In die context reageerde ik.

downtime @sijmen-ruwhof • 27 februari 2026 15:23

Er is natuurlijk wel een reden waarom de overheid adviseert maar betalen niet verbiedt. Uiteindelijk moet de ondernemer zelf een inschatting maken.

Wereldreiziger @sijmen-ruwhof • 27 februari 2026 18:55

Misdaad mag nooit lonen. Nooit. En dat zeg ik als Odido klant, zowel persoonlijk als zakelijk. Je slaat de plank echt flink mis met deze actie i.m.h.o...

cs-tweak @sijmen-ruwhof • 27 februari 2026 22:18

Waarom staat “Opgehaald geld wat niet gebruikt wordt zal minus (bank)kosten teruggestort worden naar de donateurs” hier het haakje voor bankkosten? Verwacht je andere kosten? Van dit soort formuleringen krijg ik Sywert-vibes.

sijmen-ruwhof @cs-tweak • 2 maart 2026 16:49

Als je crypto koop, dan zijn daar kosten aan verbonden. Als we daadwerkelijk tot een deal met de criminelen zouden komen, dan moeten alle juridische en fiscale risico's nog eens goed beschouwd worden voor we er echt mee zouden doorgaan. Dat kost geld.

cs-tweak @sijmen-ruwhof • 2 maart 2026 20:25

Dat snap ik helemaal. Maar uiteindelijk is die formulering dan wat mij betreft te vaag, ik zou dat dan expliciet beschrijven bij een volgende actie. Dus eens dat je dat netjes en goed wilt doen, maar (bank)kosten suggereert voor mij niet dat je 'alle juridische en fiscale risico's nog eens goed beschouwd worden'. Dat maakt het gelijk niet heel transparant wat mij betreft en geeft ook onzekerheid. In theorie kan het geld dus dan kwijt zijn aan een risicobeoordeling met als conclusie het risico is te groot dus we doen het niet.

sijmen-ruwhof @cs-tweak • 3 maart 2026 20:58

Goed punt om dat in de toekomst voor zo'n actie nader te specificeren. Niet dat ik zo'n crowdfunding ooit nog ga doen overigens. Ik kan me vergissen, maar volgens mij is er niet veel animo voor

tenzij PornHub niet wou betalen toen ze door ShinyHunters werden gehackt (ze hebben betaald), en iedereens kijkgeschiedenis op internet zou gaan belanden. Misschien heeft het dan wel nut. Maar niet meer aan mij om dat te regelen dan.

Totibbs @sijmen-ruwhof • 28 februari 2026 01:13

Heel simpel. Onze vriend de ethische hacker heeft baat bij sterkere Black hat hackers. Dan kan hij/zij/hen de diensten verkopen aan bedrijven om te zien hoe ver ze kunnen komen met verschillende soorten hacks.

Zonder Black hats heeft de White hat geen werk.

Begrijp me niet verkeerd. Ik ben tot vorig jaar ook klant geweest bij Odildo. Ben niet benieuwd òf maar wanneer ik een mailtje krijg van HaveIBeenPwnd. En dan zien met mij, 7 miljoen anderen we wel weer verder...

Kalief @sijmen-ruwhof • 28 februari 2026 04:17

De politie zegt dan "goed gedaan" als je je bedrijf failliet laat gaat.

Ranzige stemmingmakerij, want natuurlijk zegt de politie dat niet. Nog afgezien dat je bedrijf niet zomaar failliet gaat.

Nimac91 @sijmen-ruwhof • 28 februari 2026 10:16

Ik zou ook wel een crowdfunding willen starten hiervoor. Helft aan Odido, helft voor mezelf?

Waarom ben jij betrouwbaar met het geld wat gecrowdfund wordt?

Hazalnootpuur @sijmen-ruwhof • 28 februari 2026 14:29

Ik vind het nogal laf en bangelijk om hackers te willen betalen. Daarmee toon je hun: probeer het gerust weer, want wij betalen wel. Desnoods via crowdfunding. Van de pot gerukt man! En ja, mijn gegevens zijn ook buitgemaakt, en dat kost me in elk geval een nieuwe id-kaart. Dat sucks enorm, maar no-way toegeven aan een paar zielige hackertjes.

C64Boy @sijmen-ruwhof • 28 februari 2026 21:05

Precies dat. Je kunt hier schade beperken door verder lekken te voorkomen/ toch maar te betalen. Daarna is het aan het OM om vervolging van de afpersers op te starten.

Het niet betalen mantra komt voor uit het idee “als niemand betaalt, gebeurt het niet meer, als wel betaald wordt stimuleert dit de hackers”. Ik twijfel hier sterk aan. Beter is dat bedrijven serieuzer met beveiliging omgaan. Onbestaanbaar wat Odido heeft gepresteerd. En nu kiezen ze ervoor om mensen onder de bus te smijten eigenlijk. De omvang van het lek en de aard van de gelekte data maken dat betrokkenen te maken kunnen krijgen met veel individuele aanvallen en problemen. Een veelvoud van het losgeld.

PtrO @SgtElPotato • 27 februari 2026 14:22

De politie heeft dan ook een ander belang en taak dan (hoe verwerpelijk ook) slachtoffers hiermee zullen willen proberen te voorkomen. Het is als de winkelier die geld betaalt aan jongeren zodat ze zijn ruiten niet ingooien. Dan kan je nog zo principieel zijn maar de opgehoogde verzekering keert na 3x echt niet meer uit.

vlieger200 @PtrO • 27 februari 2026 14:26

Zo werken onderzoeken niet. Als je data en bewijs wil zal je voor een langere termijn iets moeten doen.

EncroChat hack door de politie heeft ook niet alle liquidaties voorkomen (wel zo veel mogelijk geprobeerd) in die tijd maar ze hebben wel +40 dagen gehad om allerlei informatie te verzamelen om van veel criminelen een profiel op te stellen en zo het bron gevaar weg te nemen. Anders hadden de criminelen nu nog steeds rond gelopen en liquidaties kunnen uitvoeren.

PtrO @vlieger200 • 27 februari 2026 14:55

Jij en ik als burger mogen ons ten bewijze geen data toe-eigenen die mogelijk anderen betreft.
De politie heeft andere bevoegdheden die toegespitst zijn op vervolging en niet om reeds aangedane slachtoffers te helpen beschermen.

Zonder die dataset kan ik als mogelijk slachtoffer bij een aangifte nooit aannemelijk maken dat ik door deel uit te maken van die data slachtoffer ben (geworden). Kortom het bewijs kan niet worden toegepast en is in bezit daarvan zelfs strafbaar.

vlieger200 @PtrO • 27 februari 2026 15:40

Jij gaat nooit kunnen bewijzen dat de data die gebruikt is alleen maar uit de dataset van Odido komt en Odido hier dus 100% verantwoordelijk voor is aangezien je generiek je data als naam adres documentnummers etc. op meer dan één plek gebruikt. Bij voorbaad al een zinloze actie om te proberen.

vlieger200 @SgtElPotato • 27 februari 2026 14:18

De 'ethische hacker' kan hiermee zelfs een politie onderzoek dwarsbomen / verstoren doordat eventuele communicatie / sporen daardoor ineens verdwijnen. Na het belonen van crimineel gedrag lijkt me dat ook zeker geen slimme set.

sijmen-ruwhof @vlieger200 • 27 februari 2026 21:54

Huh? Wat bedoel je? Hoe zou ik een onderzoek van de politie dwarsbomen?

bytemaster460 @sijmen-ruwhof • 28 februari 2026 10:25

Bij dit soort gevallen werken slachtoffer (Odido) en Justitie nauw samen. Zij kunnen een plan opgezet hebben om de hackers zo lang mogelijk aan het lijntje te houden. De hackers hebben liever dat losgeld dan dat ze contact moeten blijven houden. Hoe meer contact hoe groter de pakkans. Het gaat daarbij natuurlijk niet alleen om het directe anonieme contact met het slachtoffer maar ook om eventuele roering tussen leden van de hackersgroep. Een derde partij die losgeld gaat betalen kan ervoor zorgen dat het contact verminderd of gestopt wordt.

bytemaster460 @sijmen-ruwhof • 28 februari 2026 12:57

Punt is natuurlijk dat je als buitenstaander niet alles weet. Justitie en Odido hebben natuurlijk geen hotline met de media waarbij ze ieder detail publiceren. Er staat ook nergens DAT je het verstoort maar dat je het KAN verstoren zonder dat je het in de gaten hebt. Ik snap je actie overigens wel. Er zijn evenveel argumenteren voor het betalen van losgeld als argumenten tegen.

arbraxas @SgtElPotato • 27 februari 2026 14:18

Helaas het denken van veel techneuten. Het is technisch mogelijk, dus altijd doen.
Nou is technisch in deze context wel heel losjes gebruikt, maar ik zie t zo vaak hier op tweakers.

Gewoon niet doen, als niemand betaald is kosten/baten/risico ineens een heel andere berekening en bloed het vanzelf dood. Echt 0 meerwaarde deze actie.

Cyb @SgtElPotato • 27 februari 2026 19:05

De enige reden waarom de politie/overheid dat adviseert is om de criminelen niet te belonen. Maar als je niet betaalt, dan kunnen ze er alsnog een verdienmodel van maken door het op het dark web te verkopen. (In dit geval doen ze dat niet, om Odido te straffen, maar daarme ook de slachtoffers extra te straffen, want gratis lekken is erger dan betaalt lekken.)

Dergelijke professionele criminelen/ransomware groepen houden ze meestal wel aan hun woord als je betaalt. Ze hebben immers hun "goede" naam te verliezen als ze dat niet zouden doen, en daarmee ook hun bedrijfsmodel.

Stel de hackers zouden een symbolisch bedrag van 1 euro vragen, dan is het eigenlijk gewoon dom als je dan niet betaalt. Ergens ligt een grens waar mensen het "te" lonend vinden voor de criminelen.

Als je kijkt naar de schade, de privacy van de helft van alle Nederlanders wordt permanent geschonden (the internet never forgets) door deze gegevens gratis openlijk beschikbaar te stellen, waar nog vele toekomstige misdrijven en leed uit voort gaan komen, of er wordt 1 miljoen euro betaald, dan vind ik die 1 miljoen euro het eigenlijk wel waard. De criminelen kunnen altijd nog later worden opgepakt, dus het is niet gegaraneerd dat ze er mee weg gaan komen, maar dat geldt niet voor de dan al gemaakte privacy schade, en dat laatste veroorzaakt ook nog eens continue stroom aan nieuwe schade/leed.

robvanwijk @Cyb • 28 februari 2026 20:01

De criminelen kunnen altijd nog later worden opgepakt, dus het is niet gegaraneerd dat ze er mee weg gaan komen

Hoe vaak komt het voor dat dat lukt? (Serieuze vraag: voor mijn gevoel is het heel zeldzaam, maar ik heb niets wat in de buurt komt van statistieken.)

T-men @SgtElPotato • 28 februari 2026 10:16

"Niet betalen" is het enige wat Odido nu nog goed kan doen !

Je wil de hacker niet belonen. Om diezelfde reden blijf ik ook bewust wél klant bij Odido. De schade is toch al een feit. Overstappen lost dát niet meer op en motiveert Odido alleen maar om wél te betalen.

Bij Odido hebben ze nu een dure les gekregen.
Ik ben er van overtuigd dat juist daar ook het management nu in de meewerkstand is gaan staan, als het om investeringen op het gebied van dataveiligheid gaat.

Dannyvdberg @SgtElPotato • 27 februari 2026 16:43

Ja maar niks doen helpt ook niet zoals je nu ziet dus tja

Jim80 @SgtElPotato • 27 februari 2026 17:32

Hij laat toch gewoon democratisch het volk stemmen met de portemonee?

sijmen-ruwhof @Jim80 • 27 februari 2026 21:55

Zo kan je het ook zien.

Jelmer106 @SgtElPotato • 28 februari 2026 09:18

Ik adviseer u het boek onderhandelen in het duister te lezen.

Sebast1aan @SgtElPotato • 28 februari 2026 20:51

Ik werk al meer dan 30 jaar in de cyber security. Laat ik de mensen hier even wakker maken:

1. Overheden en bedrijven betalen meestal in deze situaties, het komt meestal niet in het nieuws, ook één van de redenen dat ze betalen (niet in het nieuws willen komen)
2. Het is een heel lucratief systeem, als het niet zo lucratief was, dan zou het ook niet zo populair zijn onder hackers. Het gebeurt letterlijk elke dag
3. De hoogte van het bedrag is wat deze zaak een beetje bijzonder maakt. Maar dat is ook iets waar de hackers rekening mee houden. Hun doel is om betaalt te worden. Ze willen ook graag de reputatie van "als je betaald, is het probleem opgelost", want zou dat niet zo zijn, dan zouden ze niet betaald worden.

Wordt een gemiddelde gemeente of ziekenhuis ge-ransome-wared, dan vragen ze misschien 20-50.000 euro. Men betaalt en gaat hopelijk nu wel cyber security serieus nemen. In dit geval gaat het om een miljoenen-bedrijf. Dus het bedrag dat ze vragen is er dan ook naar, maar .. .het is altijd onderhandelbaar.

De realiteit is dat er weinig oplossingen zijn, behalve betalen. Je gaat die mannen niet vangen. Tenminste, het is niet onmogelijk, maar dan moet je daar weer tonnen in investeren. En het blijft een gok. Een commercieel bedrijf als Odido moet gewoon betalen. En.. dit is het belangrijkste, hun zaakjes op cyber security niveau op orde brengen. Want dat is de root cause hier.

[Reactie gewijzigd door Sebast1aan op 28 februari 2026 20:52]

roooii @SgtElPotato • 1 maart 2026 00:49

Ik vind het echt belachelijk dat Odido het, voor Odido, kleine bedrag niet betaald en hiermee gigantische schade aanricht. Het verschuilen achter het advies van de politie en andere instanties is echt te triest voor woorden. Net wat Sijmen ook zegt, hackersgroepen als deze willen serieus genomen worden bij volgende hacks. Dus als je betaald is de kans groot dat de data niet verder wordt gelekt. Dit weten adviseurs en dit weet Odido. Maar willens en wetens gooien ze nu data van 6.2m gebruikers te grabbel. De grote machtigen der aarde zoals Odido komen er weer makkelijk mee weg en de simpele klant is de dupe. En niemand grijpt in. AVG, ISO en al het andere blijkt maar weer grootste onzin te zijn. Odido zet zelf alle ramen en deuren open. Meerdere adviezen in de wind geslagen mbt security. Het zegt al genoeg dat Odido namelijk niet met een vergoeding komt om preventief iets te kunnen doen, maar met een licentie voor beschermings software. De makkelijkste goedkoopste manier om aan klanten te laten zien dat ze het zogenaamd heel erg vervelend vinden en ze hopen hiermee hun eigen reputatieschade zoveel mogelijk te beperken. Odido geeft niks om de klant, enkel om het geld dat ze maandelijks binnen harken.

[Reactie gewijzigd door roooii op 1 maart 2026 00:53]

ict @roooii • 2 maart 2026 20:05

Precies, stel odido betaald en de gegevens komen toch online dan is het een koopje geweest als campagne om te laten zien dat de propaganda van de politie 'NOOIT BETALEN' inderdaad gerechtvaardigd is.

Omnicron1 @SgtElPotato • 1 maart 2026 13:25

Nooit doen.
Anders deze zgn etiche hacker eens tekst en uitleg laten geven bij jusitie

ict @SgtElPotato • 2 maart 2026 20:03

overheid zegt ook niet onderhandelen met terroristen, 1x raden wat ze zelf doen.

pven @TijsZonderH • 27 februari 2026 14:13

@sijmen-ruwhof

Ik heb slechts een vraag: waarom?

Dit neigt namelijk naar het belonen van criminelen. Ja, de gevolgen van dit lekken zijn wel wat vervelend, maar je krijgt nou eenmaal geen garanties na het betalen van het losgeld. (En ja: ik heb vier abonnementen bij ze lopen, dus ik loop wel wat risico.)

-Elmer- @pven • 27 februari 2026 15:12

Ik denk dat enige nuace wel op z'n plaats is.

Ja, het betalen houdt het verdienmodel inderdaad in stand. Maar wat het verdienmodel écht in stand houdt zijn bedrijven als Odido die geen zier geven om de privacy van hun klanten en security totaal niet op orde hebben.

Principieel ben ik het niet eens met betalen. Maar betalen verkleint wel de kans dat de slachtoffers toekomstige schade lopen door misbruik van hun data. Krijg je garanties? Zeker niet, maar op basis van vergelijkbare casusses is het aannemelijk dat ermee wordt voorkomen dat de data publiek op het darkweb terecht komt. En ook al wordt de kans op schade maar 10% kleiner, dan lijkt mij dat betalen in dit geval de minst slechte keus is. Soms moet je principes tijdelijk laten varen.

latka @-Elmer- • 27 februari 2026 15:54

Ik denk dat we veel meer winnen door het OM bij odido naar binnen te sturen. Alles mee te nemen en laten onderzoeken. Dan de directeur en alle andere managers met goede bedoelingen op te pakken omdat ze crimineel slecht gehandeld hebben en dan het bedrijf als criminele organisatie aanmerken en de boel opdoeken. Alle abbos overzetten naar kpn/Vodafone etc. Paar directeuren veroordelen en dan gaat het klimaat misschien anders worden. Kansloos natuurlijk met een vvd in het kabinet die alles voor de ondernemer doet, maar het is echt wel nodig want ondernemers doen niet genoeg voor hun klanten blijkt maar weer.

-Elmer- @latka • 27 februari 2026 16:07

Het is dat de Cyberbeveiligingwet (NIS2) in Nederland nog niet in werking is getreden, want anders had je wel eens (deels) gelijk kunnen krijgen. Die wet stelt namelijk dat bestuurders persoonlijk aansprakelijk zijn in het geval van aantoonbare nalatigheid op het gebied van informatiebeveiliging.

Waar ik persoonlijk over twijfel is of Vodafone en KPN hun boel significant beter op orde hebben. Wie weet was het gewoon domme pech dat Odido is gehackt, maar had het voor hetzelfde geld KPN of Vodafone kunnen zijn. Er zijn maar bar weinig bedrijven die hun informatiebeveilig écht op orde hebben.

J_van_Ekris @-Elmer- • 27 februari 2026 16:49

Het is dat de Cyberbeveiligingwet (NIS2) in Nederland nog niet in werking is getreden, want anders had je wel eens (deels) gelijk kunnen krijgen. Die wet stelt namelijk dat bestuurders persoonlijk aansprakelijk zijn in het geval van aantoonbare nalatigheid op het gebied van informatiebeveiliging.

Waar ik persoonlijk over twijfel is of Vodafone en KPN hun boel significant beter op orde hebben. Wie weet was het gewoon domme pech dat Odido is gehackt, maar had het voor hetzelfde geld KPN of Vodafone kunnen zijn. Er zijn maar bar weinig bedrijven die hun informatiebeveilig écht op orde hebben.

Het is dat de Cyberbeveiligingwet (NIS2) in Nederland nog niet in werking is getreden, want anders had je wel eens (deels) gelijk kunnen krijgen. Die wet stelt namelijk dat bestuurders persoonlijk aansprakelijk zijn in het geval van aantoonbare nalatigheid op het gebied van informatiebeveiliging.

Het feit dat er een hack heeft plaatsgevonden betekent zeker niet dat men verwijtbaar nalatig is geweest. Één medewerker die op een onbewaakt ogenblik in een spearfishing campagne trapt is voldoende, en met enkele honderden/duizenden medewerkers is dat gewoon een kwestie van tijd totdat dat gebeurt (wet van de grote getallen), ongeacht de kwaliteit van het IB beleid.

Rogers @J_van_Ekris • 27 februari 2026 17:01

Er is genoeg bewijs van nalatigheid:

Iemand kan de hele klanten database leegtrekken en er gaan geen alarmbellen af.
Er wordt te veel data bewaard en alles op 1 plek.
Er wordt veel te lang data bewaard.
Odido heeft al waarschuwingen en boetes gehad dat ze hun beveiliging niet op orde hadden.

[Reactie gewijzigd door Rogers op 27 februari 2026 17:02]

ict @Rogers • 2 maart 2026 20:07

naast te veel data werd er volgens mij ook data opgeslagen wat niet had gehoeven of zelfs gemogen, die identificatie/legitimatie geldigheidsdatums zijn daar een voorbeeld van, alleen nodig ter verificatie opslaan is niet nodig.

-Elmer- @J_van_Ekris • 27 februari 2026 16:56

Je hebt helemaal gelijk dat een hack niet betekent dat men verwijtbaar nalatig is. Echter, wanneer een dergelijk incident kan plaatsvinden doordat één medewerker op een onbewaakt ogenblik in een phishingcampagne trapt (om jou te parafraseren) is wel een heel duidelijke indicatie dat de beveiliging niet op orde is/was. Als één van de belangrijkste principe in de informatiebeveiliging - Defense in Depth - in voldoende mate was geïmplementeerd had waarschijnlijk kunnen worden voorkomen.

Juist vanwege de de wet van de grote getallen moet er beleidsmatig van uit worden gegaan dat er een keer een medewerker het slachtoffer wordt van een dergelijke phishing aanval. Daar richt je je organisatie op in: goede monitoring en detectie, segmentatie en zonering en least priviledge. Op die manier beperk je de impact van een incident.

Ter illustratie: een kasteel staat vaak op een berg of verhoging, heeft een slotgracht, ophaalbrug, dikke en hoge muren, wachttorens, kantelen en boogschutters. Dat is een gelaagde verdediging waarbij er rekening mee wordt gehouden dat een van de verdedigingslinies kan falen.

[Reactie gewijzigd door -Elmer- op 27 februari 2026 16:58]

GeeBee @J_van_Ekris • 27 februari 2026 18:02

De wet van de grote getallen zegt niet dat als je iets maar vaak genoeg probeert, het dan uiteindelijk wel lukt,
Bij genoeg herhalingen, gaat de gemiddelde uitkomst richting de verwachtingswaarde.

Dus niet: als je maar lang genoeg met een dubbelsteen gooit, gooi je vanzelf een keer 6.
Wel: als je maar lang genoeg gooit, gaat het gemiddelde van de worpen vanzelf naar de 3,5.

[Reactie gewijzigd door GeeBee op 27 februari 2026 18:27]

Ryunoru @-Elmer- • 27 februari 2026 20:35

Betalen verkleint die kans helemaal niet. Het vergroot juist de kans dat consumenten in de toekomst nog vaker slachtoffer worden van dit soort praktijken, daar de verantwoordelijke criminelen er een verdienmodel aan overhouden dankzij dit soort "goedaardige" crowdfundingacties.

IplugNplay @-Elmer- • 27 februari 2026 16:35

We hebben garanties van odido gehad dat ze goed met onze gegevens omgingen, wat is een garantie waard, waarom denken we dat we een extra garantie moeten hebben buiten dat shiny hun reputatie hoog wil houden?

J_van_Ekris @IplugNplay • 27 februari 2026 16:56

We hebben garanties van odido gehad dat ze goed met onze gegevens omgingen

Is dat zo? Want als Odido absolute zekerheid beloofd heeft dan zijn ze enorm dom/naief of hebben ze gewoon glashard gelogen. In IT security bestaan dit soort garanties niet: je weet niet wat je aanvaller kan en wat deze bereid is te doen om zijn doel te bereiken.

Of hebben ze beloofd heel erg hun best te doen dit te voorkomen en is dat opneen moment niet gelukt? Bedrijven als Odido worden voortdurend aangevallen, wat ze allemaal succesvol afgeslagen hebben, tot deze hack. We hebben geen rapport wat beschrijft hoe simpel/geavanceerd deze hack was, dus om nu maar aan te nemen dat ze de boel op hun beloop hebben gelaten en hun "belofte" is wel erg kort door de bocht.

IplugNplay @J_van_Ekris • 27 februari 2026 17:07

Bij odido is er mischien een hele hoge muur, maar als je er doorheen bent dan heb je vrij spel blijkbaar.

Mijn ervaring met Odido verteld mij genoeg over hun bedrijfscultuur, en daarbovenop deze flater.
Wat we weten spreekt boekdelen.

DdeM @-Elmer- • 27 februari 2026 18:10

Op basis van vergelijkbare casussen is het waarschijnlijk dat de data later alsnog misbruikt wordt https://www.phishlabs.com...promises-leak-data-anyway

latka @sijmen-ruwhof • 27 februari 2026 23:53

Het blijft hoe dan ook een gok: er zijn geen garanties en geen middelen om zaken af te dwingen. Meer dan een herenakkoord kan het niet zijn.

nijntje82 @pven • 27 februari 2026 16:03

Dit neigt naar publiciteit en reclame voor 1 persoon die voordeel probeert te halen uit deze zeer vervelende situatie waar toezichthouders en odido ons onvoldoende hebben kunnen beschermen. De hackers mogen beloond worden voor het bloot leggen van de kwetsbaarheden, maar niet op deze wijze..

[Reactie gewijzigd door nijntje82 op 27 februari 2026 16:47]

sijmen-ruwhof @pven • 27 februari 2026 22:06

Wel wat vervelend? Misschien voor de meeste mensen. Er is een kleine groep slachtoffers die grote fysieke risico's gaan lopen. Denk aan mishandeling, stalking, explosieven die op voordeuren geplaatst worden, ongewenste bezoekjes, inbraken bij rijke mensen, jaloerse exen, politici die niet meer veilig zijn, adresgegevens van politiemensen die openbaar komen, afrekeningen in het criminele circuit en bijbehorende vergismoorden, kwetsbare ouderen die beroofd worden, mensen die illegaal op één adres wonen wegens woningnood of andere redenen, etc.

pven @sijmen-ruwhof • 27 februari 2026 22:16

De /s miste ...

Maar dan betaal je, en dan? Je hebt nul garanties dat je gegevens niet alsnog ergens opduiken. Ga je er dan weer geld voor inzamelen?

iAR @sijmen-ruwhof • 27 februari 2026 23:29

Dat ga je niet voorkomen met betalen. Wie zegt dat de data alsnog niet wordt gereleased of verkocht. Lullig om te zeggen, maar ik vind je echt bizarre uitspraken doen.

Bigidagoe @TijsZonderH • 27 februari 2026 15:14

Zie hem niet veel beantwoorden, beetje schuw geworden na de kritiek?

headout @Bigidagoe • 27 februari 2026 16:37

Zou het ook kunnen dat hij te maken heeft met een explosie aan media aandacht, buiten Tweakers?

Tunity @headout • 27 februari 2026 16:47

Kan ook wel, maar heb het idee dat Sijmen hier een beetje op doelde. Zie bijna geen voordeel uit zijn actie behalve voor zichzelf veel media aandacht krijgen, en ook nog eens een mooi zakcentje.

Llopigat @Tunity • 27 februari 2026 17:16

Die indruk had ik ook wel, 'bekend van de odido actie' staat altijd goed. Dat is met die verkiezingssoftware ook goed uitgepakt. Misschien ben ik te cynisch maar ik zie ook marketing hierin.

Romborum @TijsZonderH • 27 februari 2026 15:57

Wie zegt me trouwens dat @sruwhof niet onderdeel van de hackersgroep is en op deze manier wil zorgen dat een deel van de inkomsten gered worden?

Ze hebben namelijk best een lastig verdienmodel als niemand wil betalen

Ryunoru @Romborum • 27 februari 2026 20:40

Tweakers stelt dat hij een ethisch hacker is dus dan zal het wel waar zijn... kuch. Tweakers bestaat ook maar uit mensen, wie weet hield deze Sijmen hen ook voor de gek. Ik vind het maar bijzonder dat iemand die zo'n prominente positie in IT heeft, het aanmoedigt om criminelen te belonen.

Romborum @Ryunoru • 27 februari 2026 22:18

Een echt ethische hacker is tegen afpersen en tegen alles wat daarmee te maken heeft

neonite @TijsZonderH • 27 februari 2026 14:29

Hoe zie jij zelf de rol van de media bij dit soort lekken? Zou het anders moeten? Zonder communicatie in de media zou de schade voor Odido en de slachtoffers lager uitvallen. Minder mensen zouden opzoek gaan naar de gelekte data en Shinyhunters zou dan een minder goede positie onderhandelingspositie hebben.

Auteur

TijsZonderH Nieuwscoördinator @neonite • 27 februari 2026 14:36

Weet je wat, ik ga daar een nieuwsblog over schrijven. Dat is veel te veel en te interessant om hier in een comment te noemen. Ik zit hier namelijk heel genuanceerd in.

ComputerGekkie @TijsZonderH • 27 februari 2026 14:46

Hier ben ik ook wel benieuwd naar. Ik vermoed dat het uitdraait op een paradox.

@TijsZonderH • 27 februari 2026 14:59

Ik ben hier ook reuze benieuwd naar, ik kijk uit naar je artikel $_/-\o_$

Ulysses @TijsZonderH • 27 februari 2026 15:14

Chips & Cola - en onverminderde interesse.

@TijsZonderH • 27 februari 2026 15:36

Yassssss nu al zin in!

frankivo @TijsZonderH • 27 februari 2026 15:42

Leuk!

@TijsZonderH • 28 februari 2026 11:50

Eenvoudig gezegd vind ik het goed dat het probleem van Odido benoemd wordt, maar *elke beloning* (naam, aandacht, aanzien, geld) voor deze criminele organisatie is een rode lijn.

Belangrijkste wenselijke resultaat is bewustwording van risico en aandacht om dit te voorkomen in toekomst. Bij alle betrokken partijen.

De hackers betalen faciliteert enkel meer toekomstige chantage. Deze crowdfunder is wat mij betreft mede-schuldig als hij de hackers betaald.

[Reactie gewijzigd door Barryke op 28 februari 2026 11:54]

Tralapo @TijsZonderH • 27 februari 2026 15:25

In het artikel en in de blogpost wordt gesproken over een bunq-rekening, maar de getoonde IBAN is van een Revolut rekening? NL19 REVO.

StefanJanssen @Tralapo • 27 februari 2026 16:53

Het bunq account was geblokkeerd en nu is er een niruwe rekening geopend.

Caayn @TijsZonderH • 27 februari 2026 14:31

Ik mis wat kritische vragen:

1) Wat gebeurd er met het geld als het doel niet is behaald? Hoe wil hij iedereen terug betalen of staat hij garant voor het verschil?
2) Sijmen gebruikt een privé bunq rekening. Is Bunq op de hoogte? Bunq heeft niet perse de beste reputatie en wat doet hij in het geval dat Bunq de rekening op slot zet vanwege de hoeveelheid transacties die deze actie als gevolg kan hebben?
3) Wat van mensen die getroffen zijn maar het eens zijn met de keuze en advies van Politie, Justitie en andere cybersecurityexperts?

[Reactie gewijzigd door Caayn op 27 februari 2026 14:36]

zx9r_mario @Caayn • 27 februari 2026 14:45

Bunq heeft de rekening inmiddels geblokkeerd zo te lezen.

Llopigat @zx9r_mario • 27 februari 2026 15:37

Inmiddels alweer unblocked helaas.

TERW_DAN @Llopigat • 27 februari 2026 16:21

Op dat blog staan nu andere rekeningnummers. Dus wie weet is die van Bunq nog wel geblokkeerd, en gaat dat ook nog gebeuren met de Revo en Rabo rekeningen die hij nu heeft.

vrilly @TERW_DAN • 27 februari 2026 21:50

@sijmen-ruwhof

Als als als het je lukt om nog eens tientallen/honderden donaties te krijgen met een totaalsom van duizenden euro's, hoe denk je niet geblokkeerd te worden?

Dit is de #1 alarmsignaal voor elke priverekenkng bij de anti fraude/witwasafdeling van banken. Zit je straks met al je priverekeningen op slot terwijl je elke transactie mag gaan verklaren en maanden kan wachten op je geld. Een bank die je rekening bij deze patronen niet op slot gooit mag direct bij AFM aankloppen

Voor een ethisch hacker vind ik dit wel erg ondoordacht en naïef

[Reactie gewijzigd door vrilly op 27 februari 2026 21:52]

sijmen-ruwhof @TERW_DAN • 27 februari 2026 21:59

We hebben contact met de Rabobank over onze actie. Onze rekening wordt niet geblokkeerd. Het geld van de Bunq-rekening hebben we overgeboekt naar onze Rabobank-rekening.

[Reactie gewijzigd door sijmen-ruwhof op 27 februari 2026 22:01]

Cyb @Caayn • 27 februari 2026 19:56

1) Wat gebeurd er met het geld als het doel niet is behaald? Hoe wil hij iedereen terug betalen of staat hij garant voor het verschil?

Dat gewoon staat op zijn site:

Opgehaald geld wat niet gebruikt wordt zal minus (bank)kosten teruggestort worden naar de donateurs. De organisatie achter deze crowdfunding doet het geheel belangeloos, in alle transparantie en in het maatschappelijk belang.

TERW_DAN @Caayn • 27 februari 2026 14:44

Helemaal mee eens
En als belangrijke aanvulling hierop, hoe weet je wat er met het geld gebeurt? Want als Shinyhunters contact zou leggen en zeggen dat ze inderdaad 250k willen hebben, dan gaat dat vast niet via een normale bankoverschrijving, maar vast via een of andere crypto. Dus zelfs als hij journalisten laat meekijken op die rekening, als het in een cryptowallet wordt gestort, dan is het daarna ineens een stuk lastiger om te zien wat er mee gebeurt.

Ik ga uit van naïeviteit en niet van opzet, maar deze opzet lijkt me erg fraudegevoelig. Hier zou niemand aan moe moeten werken, nog afgezien van het feit dat criminelen betalen geen goed idee is. Zeker niet als je er geen partij in bent .

robvanwijk @TERW_DAN • 28 februari 2026 16:27

deze opzet lijkt me erg fraudegevoelig

Ik zie niet in hoe je hier fraude zou kunnen plegen?

Als de actie faalt, dan is de belofte dat iedereen zijn geld terugkrijgt. Als dat inderdaad netjes gebeurt, dan is er simpelweg geen fraude gepleegd. Als dat niet gebeurt, dan komt dat gegarandeerd uit en wordt groot nieuws. Ik weet niet precies waarvoor je hem aan zou klagen, maar dat zou iemand vast uitzoeken.

Als de actie slaagt, dan wordt het gegarandeerd nieuws hoeveel geld er is opgehaald. Als dat bedrag fors hoger is dan wat ie aan de criminelen betaalt, dan heb ik er vertrouwen in dat zij mondig genoeg zijn om dat aan de wereld te laten weten. (Als alle deelnemers een deel van hun geld terugkrijgen, dan is dat snel genoeg bevestigd.)

Het enige risico dat ik zie is als ie beweert dat de actie geslaagd is en de criminelen betaald zijn, maar het lekken van de data niet stopt. Omdat ie ook zelf heel hard roept dat betalen een goede kans biedt voor het stoppen van het lekken, zou ie dan een heleboel uit te leggen hebben. Als het lekken niet stopt omdat ie het geld zelf probeert te houden, dan geef ik hem heel weinig kans om ermee weg te komen.

Toen ik voor het eerst van dit plan hoorde, toen klonk het alsof het idee van een anoniem persoon kwam. Op dat moment was mijn gedachte inderdaad "wat een opzichtige scam". Maar nu blijkt dat iemand zijn naam eraan gehangen heeft. Dus "we" weten precies wie er voor de rechter gesleept moet worden als het fout gaat. Dus tenzij je bang bent voor een poging-tot-fraude-met-100%-pakkans, zie ik zo snel even niet hoe ie hiermee kan frauderen.

Voor de duidelijkheid: het lijkt me nog steeds geen goed plan om criminelen op deze manier te betalen, want ik verwacht dat alle criminelen (niet alleen deze groep) dolblij zullen zijn met dit initiatief. Als het gehackte bedrijf weigert te betalen, dan hebben ze opeens een tweede kans om aan hun misdaad te verdienen. Het is serieus niet handig om ze het idee te geven dat die aanpak zou kunnen werken.

Tweakez @TijsZonderH • 27 februari 2026 14:43

Het is een beetje jammer dat een IT Security Researcher zoiets als dit bedenkt. @sijmen-ruwhof - geeft me Rian van Rijbroek vibes dit.

StefanJanssen @TijsZonderH • 27 februari 2026 15:08

@sijmen-ruwhof kan ik jou betalen om geen geld aan criminelen te geven?

edit:
Ik heb inmiddels ook aangifte gedaan bij de politie voor het financieel steunen van georganiseerde misdaad

[Reactie gewijzigd door StefanJanssen op 27 februari 2026 15:23]

Wijnands @StefanJanssen • 27 februari 2026 16:15

Ik heb inmiddels ook aangifte gedaan bij de politie voor het financieel steunen van georganiseerde misdaad

Hoe dan? Online aangifte doen van schade aan mijn auto lukt nog net maar..

Virtox @TijsZonderH • 27 februari 2026 17:48

@sijmen-ruwhof Gaan we nu echt terroristen/criminelen crowdfunden

[Reactie gewijzigd door Virtox op 27 februari 2026 19:12]

PWR. @TijsZonderH • 28 februari 2026 07:54

Ik vind dit een hele rare actie. Geld inzamelen op iemand zijn prive rekening om te gaan betalen wat Odido een fractie van de zakelijke kosten zou kosten.

Ik sta ook in die gegevens omdat ik in een geschil ben met hun. Ik zou heel graag willen zien wat ze over mij schrijven.

Odido heeft een zeer nare service afdeling die alleen reageert op financiële prikkels. Het gaat hun puur om geen geld te betalen. Voor hun nog liever alle klanten benadelen dan zelf verantwoordelijkheid nemen.

Wat is dit nou voor bedrijf die je een email stuurt van "Het is anderen ook wel eens gebeurt, ja zo gaat dat soms. Erg vervelend voor je. Als we iets voor je kunnen doen staan we altijd klaar onder nummer 0800-fokjouklant"

Dit hele zaakje stinkt. Ongeacht hoe betrouwbaar deze tweaker ook is. Dit doe je niet op deze manier.

MarcelBreugel @TijsZonderH • 28 februari 2026 12:26

Wat mij betreft betaalt Odido gewoon die miljoenen en worden de criminelen via die betaling opgespoord.

Ik kan me niet voorstellen dat er miljoenen betaald worden zonder zicht op de uiteindelijke ontvangers. Elk systeem dat dit faciliteert/mogelijk maakt mag wat mij betreft opgeheven worden. Zal wel (weer) met crypto gaan, maar dan moeten we daar vanaf.

Als Odido een miljard 'betaalt' dan wordt echt wel zichtbaar wie er achter de shinyhunters zitten.

[Reactie gewijzigd door MarcelBreugel op 28 februari 2026 12:31]

endus @TijsZonderH • 1 maart 2026 07:53

Sympathieke actie, maar helaas - zo lijkt. Ik zag net een "full_odido_shinyhunters.txt.7z" online komen. Gezien de grootte (3GB) en de compressie lijkt me dit de volledige dump te zijn.

[Reactie gewijzigd door endus op 1 maart 2026 08:04]

MikeyMan 27 februari 2026 14:12

Kansloze exercitie... Als je betaalt heb je alsnog nul garantie dat je gegevens niet in het geheel of in delen doorgespeeld wordt. Het is een groep loshangend zand. Knappe jongen die daar iets aan garanties van gaat krijgen.

Je koopt hooguit hoop. Hoop is geen strategie. Spul ligt op straat; deal with it.

[Reactie gewijzigd door MikeyMan op 27 februari 2026 14:14]

ApexAlpha @MikeyMan • 27 februari 2026 14:14

Hun reputatie is alles voor ze. Als je één keer gegevens wel online zet na betalen is je reputatie weg en verdien je geen geld meer.

MikeyMan @ApexAlpha • 27 februari 2026 14:15

Wie is hun? En ze? Hebben ze een adres? Een kantoor?

ApexAlpha @MikeyMan • 27 februari 2026 14:19

De hackersgroep, ShinyHunters: Wikipedia: ShinyHunters

Ja ze hebben een eigen (internet)adres, daar staan nu de 2 bestanden van vandaag en gister. En van alle andere bedrijven die niet betaald hebben.

[Reactie gewijzigd door ApexAlpha op 27 februari 2026 14:20]

MikeyMan @ApexAlpha • 27 februari 2026 14:42

Dat is het punt helemaal niet. Het is een groep die geen enkele binding heeft. Wie ga jij aanspreken als ze zich er niet aan houden?

PtrO @MikeyMan • 27 februari 2026 15:01

De paradox daarin is, wie hoef je als bedrijf niet aan te spreken wanneer het hier bij - afbetalen - blijft ?

En je natuurlijk als de wiedeweerga maatregelen neemt die herhaling voorkomt en (eventuele) slachtoffers ter zijde staat.. Er is nu een probleem met gevallen appels en men moet dit niet aangrijpen om dit met toekomstige peren te gaan vergelijken.

latka @ApexAlpha • 27 februari 2026 15:56

Het is al eerder gebeurt dat een "lid" van zo'nn groep voor zichzelf begon met het meenemen van data. Dus nee, vertrouwen komt te voet en gaat te paard.

Llopigat @latka • 27 februari 2026 17:20

Sowieso, vertrouwen in mensen die criminele bedoelingen hebben is een vreemd begrip vind ik.

Je kan er in geloven dat ze het niet doen omdat het in hun belang is. Maar echt vertrouwen, nee. Als het begrip vertrouwen op ze van toepassing was, dan waren ze geen crimineel.

[Reactie gewijzigd door Llopigat op 27 februari 2026 17:33]

Llopigat @ApexAlpha • 27 februari 2026 17:20

(internet)adres

Het is een tor (onion) adres, daar kom je niet op het gewone internet op zonder speciale software.

Niet dat dat iemand tegenhoudt die met kwade bedoelingen deze data zoekt, natuurlijk.

xStunned @ApexAlpha • 27 februari 2026 14:18

Zou je denken, maar dan gaan ze uiteindelijk gewoon weer onder een andere naam verder.

@xStunned • 27 februari 2026 14:46

Dan moet je je hele reputatie weer opnieuw opbouwen?

Als je als hackersgroep kunt aantonen dat er x bedrijven zijn geweest waar je gegevens hebt buitgemaakt, en na betaling niks is gelekt, dan is dat je garantie naar het volgende bedrijf dat betalen openbaarmaking van de gegevens voorkomt.

Daarbij wil ik gezegd hebben dat ik het absoluut niet eens ben met de werkwijze en verdienmodel van zulk soort groepen. Maar ik voel mee met de spanningen van de slachtoffers in deze zaak (zelf geen Odido klant)

P_Tingen @RobbyDoozy • 27 februari 2026 16:07

Lijkt me dat al die x bedrijven die wél betaald hebben, er niet persé op zitten te wachten om op die manier in de media te komen

Dylan_R @ApexAlpha • 27 februari 2026 14:18

Onzin dan veranderen ze weer de groepsnaam. Reputatie is leuk onder criminelen niet onder de normale man.

sympa @Dylan_R • 27 februari 2026 14:29

"Wij zijn groep B en hebben ingebroken bij Shinyhunters"...

sijmen-ruwhof @Dylan_R • 27 februari 2026 22:20

Het duurt jaren voordat de reputatie van een hackersgroep betrouwbaar wordt. ShinyHunters heeft er niks aan om data te lekken: dat raakt ze zelf direct financieel.

stijn014 @ApexAlpha • 27 februari 2026 14:46

Ze hoeven het niet online te zetten. Gewoon verkopen.

sijmen-ruwhof @stijn014 • 27 februari 2026 22:33

Dan gaat hun reputatie er ook aan. Als je data verkoopt, dan heb je kans dat de koper het lekt, en dat slaat direct af op ShinyHunter's reputatie: niemand wil dan meer afpersgeld betalen aan ze.

iAR @sijmen-ruwhof • 27 februari 2026 23:33

Je reacties zijn echt debiel. We hebben het hier over reputatie en “je woord” maar jij wil onder de streep criminelen belanden voor hun acties. Daarmee houd je dit bedrijfsmodel in stand.

Wat voor winst heb jij hier bij? Alsof je aandelen in criminele organisaties hebt

sijmen-ruwhof @iAR • 28 februari 2026 12:30

Bedrijven betalen continu afpersgeld in het grootste geheim aan hackers bij grote datalekken en gijzelsoftware. Ik voer deze discussie nu openbaar. Ik wil dat we als samenleving een oplossing verzinnen dat we als Nederland niet meer zo kwetsbaar worden voor afpersing. Bijvoorbeeld nieuwe wetgeving dat dit verbied. Daarmee trekken we één lijn.

iAR @sijmen-ruwhof • 28 februari 2026 16:08

Een oplossing? Die is er: niet betalen!

robvanwijk @sijmen-ruwhof • 28 februari 2026 16:35

Ho wacht even, wat is precies het doel van deze actie!? Zowel het artikel zelf en (voor zover ik ze gelezen heb, het zijn er nogal veel) je andere reacties klinken alsof de insteek is "het lekken van deze gegevens is dusdanig ernstig, dat elk middel geoorloofd is om het te stoppen". Maar nu roep je hier opeens dat je wilt dat het betalen van losgeld verboden wordt? Een verbod om mensen bij het volgende datalek te beschermen tegen vergismoorden en alle andere dingen waarvoor je in een andere reactie bang was...?

[Reactie gewijzigd door robvanwijk op 28 februari 2026 16:42]

Zoop @ApexAlpha • 27 februari 2026 14:25

Regelrechte onzin, volgens mij is dit een gerucht dat deze hackers de wereld in hebben geholpen en je ziet bij elk van dit soort berichten altijd minstens 1 iemand deze onzin napraten.

Reputatie is alles voor ze, wat een kolder, dan veranderen ze van naam en gaan ze vrolijk verder met een "verse reputatie". En alsof je ook maar iets van garantie heb over interne disputen, dat iemand daar wegloopt met data (tegen wensen van de rest van groep in). Of dat ze het een paar maanden/jaren alsnog uitlekken.

Die lui gewoon _nooit_ betalen, en idioten zoals de "etische hacker" even goed aanspreken of beboetten.

sijmen-ruwhof @Zoop • 27 februari 2026 22:29

Zomaar van naam veranderen is financieel een heel slecht idee. Het advies van incident responders is om niet te betalen als een groep net begonnen is.

Zoop @sijmen-ruwhof • 27 februari 2026 23:20

En dus zitten die gasten in meerdere groepen tegelijk terwijl ze de "reputatie" van een van hun starters aan het opbouwen zijn. Serieus, die reputatie is alleen wat waard omdat mensen deze onzin blijven herhalen.

SomerenV @ApexAlpha • 27 februari 2026 15:28

Oke, dan blijkt ShinyHunters te vertrouwen en komen er nog meer van dat soort groeperingen die geld ruiken. Die deur wil je hoe dan ook gesloten houden. Geld betalen betekent de deur openen en dat is gewoon een idioot idee.

sijmen-ruwhof @SomerenV • 27 februari 2026 22:30

De deur sluiten moeten we doen door de politiek nieuwe wetgeving te laten maken waarbij afpersgeld betalen strafbaar wordt bij datalekken. Dan slaan criminelen Nederland op een gegeven moment over omdat er niet meer betaald mag worden.

SomerenV @sijmen-ruwhof • 27 februari 2026 22:43

Verbeter de wereld door bij jezelf te beginnen. Je kunt niet voor wetgeving zijn die betaling verbiedt en dan alsnog wel doodleuk betalen omdat die wetgeving ontbreekt. Dat is gewoon hypocriet tot en met.

mrmrmr @SomerenV • 28 februari 2026 10:18

Hypocriet is als je het tegengestelde doet van wat je zegt. De juiste term hier is pragmatisch, op korte termijn beschermt het privacy van heel veel mensen als er betaald zou worden. De situatie verandert - op lange termijn - als er wetgeving zou komen, waardoor pas dan het verdienmodel niet meer werkt in Nederland. Die wetgeving zorgt ervoor dat iedereen op een lijn komt, waar het momenteel sprake is van willekeur, waardoor de afpersing werkt.
---

In het derde deel van de data zijn gegevens aanwezig van identiteitsbewijzen.

https://www.rtl.nl/nieuws/binnenland/artikel/5572693/shinyhunters-datalek-odido-paspoort-rijbewijs-idbewijs

Werk aan de winkel voor de getroffenen. Zij kunnen waarschijnlijk het beste hun identitietsbewijzen vervangen. Als het goed is worden die nummers gecontroleerd bij de RVIG Documentverificatiedienst voordat er misbruik van kan worden gemaakt. De kosten van vervanging kunnen worden verhaald op Odido.

sijmen-ruwhof @SomerenV • 28 februari 2026 12:33

Op Radio 1 heb ik een goed gesprek over wel of niet afpersgeld betalen gehad met Bernold Nieuwesteeg. Zie: https://sijmen.ruwhof.net/weblog/4288-radio-1-moet-odido-wel-of-niet-betalen-aan-de-hackers

Naar aanleiding daarvan zijn kamervragen gesteld: https://www.security.nl/posting/926538/Kamervragen+over+wettelijk+verbod+op+betalen+van+losgeld+bij+ransomware

RobertMe @ApexAlpha • 27 februari 2026 14:20

Die data van nu kunnen ook over 5 of 10 jaar nog uitlekken. En de vraag is hoe relevant de reputatie van deze groep over langere tijd is. Of zelfs een soort killswitch. Dat als de groep wordt opgepakt dat alles dat ze hebben vervolgens automatisch geopenbaard wordt.

Daarnaast zouden ze de data ook weer op het darkweb kunnen doorverkopen. Onherleidbaar naar het originele lek. Nu is / zou het al lastig zijn om te bewijzen dat schade uit de nu publiekelijke data te herhalen bij Odido / deze groep. Laat staan als de gegevens alleen ergens op het darkweb rond gaan en alleen "bovengronds" gebruikt worden bij misbruik. Dan kun je echt niet meer bepalen dat dit lek er aan ten grondslag lag.

sijmen-ruwhof @RobertMe • 27 februari 2026 22:22

Het is heel lastig om alle buitgemaakte data onherleidbaar te maken naar de bron. Een killswitch bij een ransom(ware)hackersgroep die data lekt heb ik nog niet van gehoord.

vlieger200 @ApexAlpha • 27 februari 2026 14:21

Klopt en als de gegevens over 2 tot 5 jaar toch lekken, aan hun hacks hebben ze dan al genoeg verdiend. Dan heb je betaald en een uitstel van excecutie gehad. Of men gaat over 5 jaar weer dreigen de zelfde gegevens online te zetten om weer geld te eisen omdat je het de vorige keer ook betaald hebt.

sijmen-ruwhof @vlieger200 • 27 februari 2026 22:24

Eventuele uitstel is altijd beter dan dat als data nu lekt. Maar ook: hele kleine kans dat een partij als ShinyHunters data gaat lekken na betaling.

watercoolertje @ApexAlpha • 27 februari 2026 14:24

Helemaal eens! Maar wat als ze (de hackergroep) ermee stoppen, doet die betrouwbaarheid er dan nog toe?

Of opgepakt worden en een failsafe hebben die 'omdat ze een maand lang niet op een bepaalde link/knop drukken' ineens een torrentje online zet met alle data?

[Reactie gewijzigd door watercoolertje op 27 februari 2026 14:25]

sijmen-ruwhof @watercoolertje • 27 februari 2026 22:25

Een killswitch bij een ransom(ware)hackersgroep die data lekt heb ik nog niet van gehoord. Als je opgepakt worden dan wordt hun straf zelfs groter als ze data overal op internet zetten. Slecht idee dus.

Schway @ApexAlpha • 27 februari 2026 14:24

reputatie? Die hebben ze niet. ze zijn per definitie niet te vertrouwen.

Wie zegt dat een van de scriptkiddies er niet vandoor gaat met de data en het nogmaals probeert. Of de groep wordt ontbonden en ander neemt de data over.

sijmen-ruwhof @Schway • 27 februari 2026 22:27

Ze hebben 6 jaar aan reputatie. Veel langer dan de meeste groepen. Het uiteenvallen van een groep kan altijd, ruzie in de tent bijvoorbeeld. Het verleden leert dat dit niet vaak voorkomt dat een afvallige rancuneus dan altijd data online zet waarvoor betaald is. Sommige groepen verwijderen daarom ook bewust data na betaling om dit risico te voorkomen op reputatieschade.

[Reactie gewijzigd door sijmen-ruwhof op 27 februari 2026 22:27]

Bigidagoe @ApexAlpha • 27 februari 2026 15:16

Wie zegt dat deze gegevens niet gewoon al achter de schermen met veeltallen gedeeld wordt? Heb uberhaupt nog geen bewijs gezien dat hun degene waren achter hack, kunnen ook gewoon deze info op een dark-web forum gevonden hebben.

sijmen-ruwhof @Bigidagoe • 27 februari 2026 22:35

ShinyHunters heeft op het darkweb een aparte pagina waar alleen zij informatie kunnen zetten: daar staat Odido op. Daarnaast heeft Daniel Verlaan (RTL) via bestaande contacten met de groep en Joost Schellevis (NOS) ook geverifieerd dat ze de speler achter de hack zijn.

Powerblast @ApexAlpha • 27 februari 2026 16:19

Ik zie het nog gebeuren dat ze zeggen oeps, toch vrijgegeven, we zijn zelf gehacked, wij waren het niet hoor. En in het slechtste geval gaan ze gewoon verder onder een nieuwe naam. Punt is, je hebt als slachtoffer geen enkele garantie. Dus ik zie betalen alleen maar als het verdienmodel in stand houden.

Vraag me ook af hoe de wet hier instaat? Is dit geen bewust financieren van illegale praktijken?

sijmen-ruwhof @Powerblast • 27 februari 2026 22:32

Na juridisch advies ingewonnen te hebben lijkt het erop dat het niet illegaal is om afpersgeld te betalen om erger te voorkomen. De intentie en motivatie (ethiek) achter het geven van afpersgeld is belangrijk.

Zerokuni @ApexAlpha • 27 februari 2026 17:03

Ik vind dat een naïef argument. Ze kunnen daarna doorgaan als “nieuwe” groep. Niemand weet immers wie ze zijn.

DdeM @ApexAlpha • 27 februari 2026 18:47

Reputatie was vast ook alles voor deze groepen https://www.phishlabs.com...promises-leak-data-anyway

sijmen-ruwhof @DdeM • 27 februari 2026 22:36

En daarom zou ik adviseren om niet zomaar afpersgeld meer te betalen aan die genoemde groepen op die site.

phoenix2149 @ApexAlpha • 27 februari 2026 14:21

Bla bla reputatie etc.

Het zijn criminelen en het is strafbaar om te chanteren en in het verlengde daarvan moet het betalen van losgeld ook strafbaar worden gemaakt.

PtrO @phoenix2149 • 27 februari 2026 15:02

Betalen van losgeld is hier en nu NIET strafbaar (noch gesteld).

phoenix2149 @PtrO • 27 februari 2026 18:30

Zeg ook niet dat het zo is, zeg dat dit zo zou moeten zijn.

Ryunoru @ApexAlpha • 27 februari 2026 20:43

Daarmee ga je er vanuit dat het alsnog online zetten van de gegevens

1: bekend wordt

2: in één keer gebeurt

3: kort na de initiële hack gebeurt

4: herleidbaar is naar deze hack

Gegevens een jaar of twee bewaren, verwerken op een manier waarbij Odido-specifieke data eruit gestript wordt, en dan onder andere pseudoniemen verkopen op de zwarte markt. Geen invloed op de algemene reputatie van dit soort hackers, want dit gebeurt al en nog steeds trappen mensen erin - zelfs IT Security Researchers als diegene die de crowdfunding gestart heeft.

Hack
Beveiliging en antivirus

@MikeyMan • 27 februari 2026 14:40

Niet akkoord, het is een beetje afhankelijk van de groep die de hack uitvoert. Ja, er zijn groepen die daarna alsnog data doorverkopen of niet wissen, maar de meeste groepen verwijderen de data wel degelijk na het betalen van "losgeld", en in geval van ransomware geven ze ook de sleutel.

En ik verwacht van cybersecurity experts dat zij een goed zicht hebben op welke groepen wel te vertrouwen zijn en welke niet. Anders gaat hun eigen reputatie er ook aan.

MikeyMan @Blokker_1999 • 27 februari 2026 15:04

Die groep stelt toch niks voor? Paar lui achter een computer. Morgen zitten ze bij een andere groep, of bestaat die groep uit andere personen.

Zoop @Blokker_1999 • 27 februari 2026 16:04

Simpel, geeneen van ze is te vertrouwen. Deze retoriek moet echt een keer klaar zijn, ik weet vrij zeker dat het een gerucht is dat de wereld in is geholpen door de hackers zelf, en menig keyboardwarrior zit dat klakkeloos na te praten.

Bovendien heb je niet eens de zekerheid dat deze groep de enige zijn die deze hack heeft uitgevoerd. Er stond het een en ander open, hoe waarschijnlijk is het dan dat niemand anders dat doet? Leuk, kan je deze gasten vertrouwen, maar dan is er een tweede groep die dezelfde data heeft en alsnog released. Of het is de eerste groep, die _zegt_ dat het een onafhankelijke tweede groep is. Succes daar de waarheid te gaan achterhalen.

En er vanuit gaan dat deze gasten altijd onder dezelfde naam werken, kunnen evengoed in meerdere groepen zijn, de een kan je wel vertrouwen, de ander niet. Oh "reputatie" naar de gallemiezen? No worries, we hebben nog een naam die wel "rebutabel" is, daar persen we de dan de wat higher profile bedrijven mee af. En zo kan je makkelijk door speculeren en niks daarvan is vergezocht.

Kappen met verdedigen van letterlijke criminelen.

mrmrmr @Zoop • 28 februari 2026 10:31

Kappen met verdedigen van letterlijke criminelen.

Nederland is een rechtsstaat, sommigen landgenoten hebben hier een legitiem beroep van gemaakt.

Een uitspraak over de betrouwbaarheid is pas kwalijk als de gegeven informatie niet klopt. Dat zul je dan moeten aantonen als je anderen hiervan wil overtuigen in een discussie.

Ryunoru @Blokker_1999 • 27 februari 2026 20:45

Het gaat om criminelen die dit doen voor financiëel gewin. "Vertrouwen" is al lang niet meer aan de orde en hun gedrag dient niet beloond te worden. Je hoeft deze criminelen niet te verdedigen alsof ze zo'n goede reputatie hebben.

sijmen-ruwhof @Blokker_1999 • 27 februari 2026 22:38

Klopt, als ShinyHunters besluit na betaling alsnog te lekken (1-2% kans), dan slaat dat niet lekker af op mijn reputatie, maar dan gaan andere incident responders ook niet meer adviseren om nog afpersgeld in de toekomst te betalen aan de groep. Dat levert die groep miljoenen euro's verlies op als ze zich niet aan hun afspraken houden.

franssie @MikeyMan • 27 februari 2026 14:20

Dit dus. En hoe meer er dagelijks op straat komt (hij wil immers een aantal dagen de tijd nemen om in te zamelen en om Odido niet in de weg te zitten) hoe minder zinvol deze actie is, terwijl ik de zin ervan al niet inzie, alleen de criminelen kunnen hier beter van worden.

seabee @MikeyMan • 27 februari 2026 16:21

Dit is natuurlijk niet zo, crimiminelen hebben ook een businessmodel.

Als iemand betaald en ze lekken als nog de data dan betaald er nooit meer iemand en dan is het meteen game over voor je hackersgroep.

Als ze echt maar 1 miljoen wilden hebben voor hun hack waarbij ze de data van meer dan 6 miljoen mensen en bedrijven hebben buitgemaakt, dan had Odido toch moeten overwegen dat te betalen.

De reputatie schade gaat ze al veel meer kosten dan die 1 miljoen. En dan lopen ze nog het risico dat hun klanten de schade op hun gaan verhalen als er misbruik word gemaakt van de gestolen gegevens.

DdeM @seabee • 27 februari 2026 18:49

Reputatie doet ze niets https://www.phishlabs.com...promises-leak-data-anyway

sijmen-ruwhof @DdeM • 27 februari 2026 22:41

Jawel. Je kan ransomwaregroepen niet vergelijken met ransomgroepen. Als je een bedrijf op slot zet, en de backups ook versleuteld, dan moet een bedrijf wel betalen om niet failliet te gaan. ShinyHunters zet niks op slot, ze kopieren alleen data. Dat is een hele andere situatie.

SomerenV 27 februari 2026 16:04

Ik heb een video van @sijmen-ruwhof gekeken. "Er moet een langetermijnoplossing komen. Misschien moet je denken aan wetgeving die verbiedt om betalingen te verrichten aan criminelen, maar nu is dat nog niet zo". De interviewer zegt vervolgens "maar jij stelt voor om het juist te doen. Als je nu zegt we doen het niet meer dan heb je die wet niet nodig toch?"

Het antwoord: "Je hebt altijd bedrijven die wel gaan betalen en dus ontkom je er niet aan dat bedrijven dus wel worden afgeperst. En dat dus dit mechanisme van niet betalen is data lekken, dat dat in stand blijft, dat is hoe dit werkt."

Dus meneer vindt dat er wetgeving moet komen om betalingen te kunnen voorkomen, en omdat die wetgeving er nog niet is vindt hij dat Odido wél moet betalen. Het is dus willekeur of bedrijven wel of niet betalen en daar houden hackers geen rekening mee. Maat, jij houdt dit met je gedrag in stand. Jij houdt de kraan open. Jij maakt dit soort praktijken voor hackers levensvatbaar. Als de kraan dicht gaat, en hackers niet meer krijgen voor de data, dan houdt het vanzelf op. Hacken en data dreigen te lekken dient dan geen enkel doel meer. Er zullen ongetwijfeld partijen blijven bestaan die blijven hacken om data te ontfutselen, maar zodra het grote geld opgedroogd is is het voor het gros gewoonweg niet meer interessant.

Sijmen, je bent een pannekoek. En dat zeg ik als Odido-klant waarvan de data wellicht ook gelekt gaat worden.

[Reactie gewijzigd door SomerenV op 27 februari 2026 16:04]

Qwerty-273 @SomerenV • 27 februari 2026 16:18

Wetgeving klinkt wel heel officieel, maar als je aankomt wapperen met een Nederlandse wet, dan lacht de wereldwijd opererende groep criminelen je echt uit. En ook al zou je daar iets Europees nog van maken, dat is ook maar een klein deel van de hele wereld. Dat is juist de "kracht" van deze groepen, die geven ten eerste weinig om de wet, zitten ten tweede in gebieden met matige wetgeving waar deze acties wellicht niet strafbaar zijn voor de wet, en ten derde zullen vaker de dans kunnen ontspringen door smeergeld te betalen.

SomerenV @Qwerty-273 • 27 februari 2026 16:27

Stel in Nederland, of Europa, verbieden we betalingen aan criminele organisaties. Losgeld betalen is dan strafbaar. Wat je dan krijgt is dat een hack in Nederland of Europa gewoon niet meer interessant is, althans niet voor het serieus grote geld. Je weet dan als organisatie immers dat er geen betalingen verricht mogen worden. Er zullen ongetwijfeld bedrijven zijn die alsnog wel betalen, al dan niet via een omweg, maar als je daar korte metten mee maakt is dat ook zo klaar.

Het schept ook een precedent. In het gunstigste geval maak je betalingen aan criminele organisaties binnen de gehele EU strafbaar. Als andere landen zien dat dat z'n vruchten afwerpt zullen ze wellicht hetzelfde doen. Maar als alleen Nederland er mee begint kan dat ook een balletje aan het rollen brengen.

Ik kan het niet vaak genoeg herhalen, maar als je willens en wetens betaalt aan een criminele partij dan heb je ook gewoon bloed aan je handen. Wat mij betreft mag dat vallen in dezelfde categorie als het financieren van een criminele organisatie.

Hack
Beveiliging en antivirus

@SomerenV • 27 februari 2026 18:44

En ik betaal dan een security firma in de Bahamas voor het oplossen van mijn probleem. Hoe ze het oplossen zal mij worst wezen. Die firma betaald, zonder dit tegen mij te zeggen, de hackers en factureert de kost gewoon door aan mij. Ik blijf binnen de wet, de firma waarmee ik samenwerk blijft binnen de wet en er is gewoon een tussenpartij bijgekomen die de kost verhoogd voor slachtoffers.

Daarnaast is het hebben van principes een luxe. Leuk dat we kunnen stellen dat zoiets niet zou mogen zolang we er zelf niet door getroffen zijn. Maar wat als jij morgen de keuze hebt tussen criminelen betalen of een persoonlijk faillisement ondergaan, denk je dat de keuze dan echt nog zo eenvoudig zou zijn?

SomerenV @Blokker_1999 • 27 februari 2026 23:42

En dan vragen de instanties bij een onderzoek achteraf waarom jij die firma op de Bahamas een half miljoen hebt betaalt. Als jij willens en wetens een toko betaalt zodat zij iets strafbaars uit kunnen voeren ben jij alsnog strafbaar.

Maar wat als jij morgen de keuze hebt tussen criminelen betalen of een persoonlijk faillisement ondergaan, denk je dat de keuze dan echt nog zo eenvoudig zou zijn?

Natuurlijk is dat geen eenvoudige keuze, maar principes en idealen hebben is ook niet altijd makkelijk. Ik ben gewoon van mening dat misdaad nooit mag lonen. Zolang mensen/bedrijven bereid zijn hackers te betalen zullen er hackers blijven zijn die data stelen om daarmee mensen/bedrijven te chanteren. Dat is gewoon een vicieuze cirkel. Gewoon niet betalen en die cirkel doorbreken. Stel ze treffen mij en ik betaal, dan weet ik dat ik het probleem doorschuif naar de volgende, en heel eerlijk, dat wil ik ook niet op m'n geweten hebben.

Hack
Beveiliging en antivirus

@SomerenV • 28 februari 2026 08:23

Omdat die firma erom bekend staat het probleem op te kunnen lossen. Hoe zij dat doen is nooit besproken geweest, niet op papier, en ook niet tijdens de vergaderingen die je met hen gehad hebt. Er is geen enkel bewijs te vinden dat ik wist wat die firma zou doen. Het is niet omdat er geruchten zijn dat en dat er mensen zijn die aannemen dat zoiets gebeurd, dat het daarom ook met zekerheid de oplossing is die zij toepassen.

We leven nog altijd in een rechtstaat en we zijn onschuldig tot het tegendeel bewezen is tot op een punt waarbij redelijke twijfel niet meer bestaat. Dan moet je als aanklager met bewijs komen, en niet met vermoedens.

Bijkomend doet dat bedrijf ook niets strafbaars, zelfs als zij wel betalen wanneer je een bedrijf kiest in een land waar het betalen niet illegaal is. Dat is net heel het punt van internationale constructies op te zetten.

En er zijn maar zeer weinig mensen die vasthouden aan hun principes en idealen wanneer ze daar zelf zeer hard negatief door beinvloed worden. En totdat je zelf zoiets mee maakt kan je nooit zeggen hoe je zelf zou reageren in zo een situatie. Ik hoop dan ook dat we nooit tot zo een situatie gedwongen worden, maar ik geloof wel dat velen die vandaag prediken dat we het illegaal moeten maken op zo een moment dan maar zelf de wet zullen overtreden.

asset185 @Blokker_1999 • 28 februari 2026 16:19

Daar zit wel iets in. Het bedrijf is in staat om op miraculeuze wijze elk ransomware slot te openen. Niemand weet hoe het kan. Nou ja, het is eigenlijk een publiek geheim. Want iedereen weet natuurlijk dat ze gewoon een doorschuifbedrijf voor losgeld zijn.

Tegenwoordig is alles internationaal en wereldwijd. Daarom is het ook zo verdomt lastig om die lui van Shinyhunters op te sporen. Tot nu toe weet niemand waar de hoofdrolspelers zich bevinden en om wat voor lui het gaat.

m_snel @SomerenV • 27 februari 2026 17:31

Je kan het natuurlijk wel in de Eu strafbaar maken, maar dat weerhoudt niemand daar buiten er van om alsnog de rekening te betalen. Waar je als bedrijf dan als sponsor kan dienen.

SuperDre @SomerenV • 27 februari 2026 19:24

Ja, want zo'n verbod houdt criminelen tegen om dit toch uit te voeren. En vaak genoeg betaalt men dan toch.

SomerenV @SuperDre • 27 februari 2026 23:45

Je blijft altijd criminelen houden die het proberen, maar ervan uitgaan dat iets niet werkt en het dan maar gewoon niet invoeren/uitvoeren is natuurlijk te debiel voor woorden. Als bedrijven zich grotendeels houden aan een verbod op het betalen van losgeld (en bedrijven die groot genoeg zijn gaan echt het risico niet lopen dat zo'n verbod negeren mogelijk met zich meebrengt) dan is de EU, of welk land dan ook die zo'n verbod hanteert, gewoonweg niet meer interessant.

stx 1 maart 2026 07:35

Helaas heeft het ook weinig zin nog, alle gegevens zijn inmiddels gepubliceerd;

https://nos.nl/l/2604461

berchtold 27 februari 2026 14:12

Ethisch hacker die niet ziet hoe hij een patroon in stand probeert te houden

[Reactie gewijzigd door berchtold op 27 februari 2026 15:01]

sijmen-ruwhof @berchtold • 27 februari 2026 15:18

Bij BNR heb ik uitgelegd waarom Odido's situatie een uitzonderlijke situatie is: https://sijmen.ruwhof.net/weblog/4288-radio-1-moet-odido-wel-of-niet-betalen-aan-de-hackers

berchtold @sijmen-ruwhof • 27 februari 2026 16:24

Ik heb het Radio 1-fragment via AI laten transcriberen en analyseren, want wie heeft er tijd om alles terug te luisteren. En eerlijk gezegd: na het lezen van de volledige transcript zie ik niet hoe dit interview jouw crowdfundingactie ondersteunt. Integendeel.

Wat je zelf zegt in dat interview:

1. "Er moet wetgeving komen, er moet verboden worden, er moet een meldplicht komen dat er losgeld wordt betaald." — En vervolgens start je een actie om precies dat te doen wat je zegt dat verboden moet worden.

2. "Daar valt Odido een hele hoop te verwijten. Ze lijken hun cybersecurity niet goed op orde te hebben." — Maar de rekening leg je neer bij het publiek, niet bij het bedrijf dat gefaald heeft.

3. Je noemt ShinyHunters "betrouwbare criminelen" omdat hun businessmodel afhangt van die reputatie. Dat is geen garantie, dat is hopen dat criminelen zich aan ongeschreven regels houden. Er is geen contract, geen afdwingbaarheid, en de data kan allang gekopieerd zijn.

Wat Bernard Nieuwesteeg zegt en je niet weerlegt:

"Als ze gaan betalen geven ze eigenlijk een paar jerrycans mee om dat bij de buren ook te gaan doen."

Je antwoord daarop is in feite: "Ja maar dat is lange termijn, we moeten nu de incidenten oplossen." Maar jouw actie is die jerrycan. Je financiert hun volgende hack.

Wat maakt dit "uitzonderlijk"?

Je noemt het een van de grootste datalekken van Nederland. Maar dat maakt betalen niet unieker of ethischer — het maakt de precedentwerking juist gevaarlijker. Als dit werkt, weten criminelen: bij grote lekken gaan Nederlanders zelf crowdfunden. Gefeliciteerd, je hebt zojuist een nieuw businessmodel gevalideerd.

De echte unieke situatie is dat iemand die zichzelf "ethisch hacker" noemt, publiekelijk geld inzamelt op een persoonlijke bankrekening om georganiseerde misdaad te financieren, terwijl hij in hetzelfde interview zegt dat dit eigenlijk verboden zou moeten worden.

@berchtold • 27 februari 2026 19:31

Dit mag wel wat meer aandacht krijgen:

Als dit werkt, weten criminelen: bij grote lekken gaan Nederlanders zelf crowdfunden. Gefeliciteerd, je hebt zojuist een nieuw businessmodel gevalideerd.

Cyb @berchtold • 27 februari 2026 20:16

Als dit werkt, weten criminelen: bij grote lekken gaan Nederlanders zelf crowdfunden. Gefeliciteerd, je hebt zojuist een nieuw businessmodel gevalideerd.

Betalen wordt er in het algemeen toch wel gedaan. Als het niet via het gehackte bedrijf is en ook niet via de Nederlanders, dan is het wel op het dark web.

De vraag is, wat geeft de samenleving de minste schade op de lange termijn. Als je betaalt stimuleer je een verdienmodel, maar voorkom je toekomstige hacks/leed op basis van de gelekte data. Want die gelekte Odido data gaat andere criminelen gebruikt worden tegen bijna de helfst van alle Nederlanders. Daar komt ook enorm veel nieuwe criminaliteit en leed uit voort. De simpele stellen: betalen == criminaliteit stimuleren, ligt dus niet zo zwart-wit, want niet-betalen stimuleert in dit geval nog veel meer criminaliteit.

[Reactie gewijzigd door Cyb op 27 februari 2026 20:16]

Wietsee. @berchtold • 28 februari 2026 08:18

@sijmen-ruwhof is als een pyromaan die bij zijn eigen gemaakte vuur staat te kijken. Wie weet wel onderdeel van de hackersgroep zelf

.

sijmen-ruwhof @Wietsee. • 28 februari 2026 11:58

Je hebt me door [insert plaatje van Homer die in de bosjes verdwijnt]

[Reactie gewijzigd door sijmen-ruwhof op 28 februari 2026 11:59]

SomerenV @sijmen-ruwhof • 27 februari 2026 15:26

Of je legt het hier gewoon even uit in tekst in plaats van een link naar je eigen website met een embedded filmpje te dumpen.

berchtold @SomerenV • 27 februari 2026 16:27

hieronder bij mijn comment kan je er wat over lezen.

SomerenV @berchtold • 27 februari 2026 16:38

Ik had de video inmiddels al bekeken, hier is mijn reactie daarop. Maar we zijn tot dezelfde conclusie gekomen. Sijmen spreekt zichzelf meermaals tegen. Sommige mensen kunnen recht lullen wat krom is, maar Sijmen is niet een van die mensen.

berchtold @SomerenV • 27 februari 2026 17:05

ik zie het idd ja. heel mooi. zou me trouwens ook niets verbazen als deze guy gewoon onderdeel is van deze hackgroep.

Ryunoru @sijmen-ruwhof • 27 februari 2026 20:49

Los van de pure hypocrisie die anderen al hebben aangekaart... hoe kan je jezelf serieus nemen als IT Security Researcher terwijl je IT-gerelateerde misdaad financieel beloont? Of beloon je juist jezelf met deze crowdfunding, dat je genoeg kennis hebt opgedaan in de digitale wereld om jezelf een nieuwe identiteit te geven en na de crowdfunding permanent op vakantie te gaan in een land zonder uitleveringsverdrag? Waarom zouden we jou moeten vertrouwen?

marinostrus @berchtold • 27 februari 2026 14:13

Als elk slachtoffer uit dit lek maar 4 cent overmaakt (250.000 / 6,2 miljoen slachtoffers volgens Odido), dan wordt het lekken gestopt!

Gewoon al dit stukje tekst op zijn website

twkr18526 @marinostrus • 27 februari 2026 14:56

En is hier niet een risico op een volgende Sywert van Lienden, Camille van Gestel en Bernd Damme?

Is er niet een risico dat hij het geld houdt, aangezien het niet in een stichting oid zit? ‘Zomaar’ je geld overmaken naar iemand. Of is er hier meer juridische basis om dat straks evt van hem af te dwingen?

maartenvdk @twkr18526 • 27 februari 2026 15:09

Dat denk ik niet (of, eigenlijk, dat denk ik wel, maar het zou niet legaal kunnen), ik zou dit zo zien:

In NL is een overeenkomst in principe vormvrij. Als er aanbod en aanvaarding is, dan is er gewoon een bindende overeenkomst, zie BW 6:217. Verklaringen mogen ook via app of mail, zie BW 3:37. Het lastige punt is niet of het kan, maar of je het kunt bewijzen, in een procedure geldt grofweg wie iets stelt, moet het ook aannemelijk maken of bewijzen, zie Rv 150.

De kernafspraken lijken mij hier niet betwistbaar:

Het geld is bedoeld voor het betalen van losgeld rond de Odido hack.
Als er niet betaald wordt, dan gaat het geld terug naar de gever.

Verder is het dun, dus over details zoals transactiekosten of administratiekosten kan gedoe ontstaan. Als daar niets over is afgesproken, dan kom je al snel uit bij aanvulling en redelijkheid en billijkheid, zie BW 6:248, en bij uitleg van afspraken geldt vooral wat partijen redelijkerwijs over en weer mochten begrijpen en verwachten.

Zomaar met de noorderzon vertrekken is juridisch niet te doen denk ik. Als de voorwaarde niet intreedt en er is geen rechtsgrond om het geld te houden, dan ligt terugbetaling voor de hand, dat sluit ook aan bij onverschuldigde betaling, zie BW 6:203.

[Reactie gewijzigd door maartenvdk op 27 februari 2026 15:15]

Odie @maartenvdk • 27 februari 2026 15:25

“Minus aftrek van kosten”. Niet te controleren wat hij voor kosten maakt, misschien had ie wel net een nieuwe MacBook Pro etc etc nodig. Nu wil ik hier aan hem persoonlijk twijfelen, ik kom de beste persoon niet. Maar een crowdfunding via een persoonlijke rekening via zo’n blog is … dubieus. Of onverstandig, voor beide partijen.

Nog los van dat elke betaling het businessmodel van dit de soort criminelen (de odido criminelen, voor de goede orde) in stand houdt. Niet betalen is de enige logische en verstandige optie. Wat de consequenties op de korte termijn ook zijn. Wel betalen is korte termijn-denken.

Ryunoru @maartenvdk • 27 februari 2026 20:51

"Juridisch niet te doen" is echter niet zo'n grote barrière voor criminelen.

maartenvdk @Ryunoru • 28 februari 2026 05:56

eens, maar een kwart miljoen zwart is niet veel om spoorloos mee te verdwijnen. Ondertussen hebben de slachtoffers gewoon een vordering op zijn huis, auto en bankrekening en staat zijn paspoort bij interpol als voortvluchtig. Lijkt mij niet snel de moeite waard om zijn hele toekomst voor te verspelen. Dan zou je eerder kickback afspraken met de criminelen verwachten voor enkele tienduizenden euros in zwarte bitcoin, of kleinere fraude achtige dingen zoals de genoemde macbook pro kopen vanuit "administratieve kosten", lijkt me ook allemaal niet echt de moeite waard gegeven het strafrecht risico en de impact op zijn goede naam de rest van zijn leven.

Ik vind de hele constructie wat onverstandig en naïef, ik zou zelf sowieso geen losgeld betaald willen hebben, zelfs al zouden ze mijn internetgeschiedenis hebben sinds is 12 was, maar echt malafide van Sijmen vind ik onwaarschijnlijk omdat het zo weinig oplevert en zo veel risico is.

sijmen-ruwhof @twkr18526 • 27 februari 2026 15:23

Mijn persoonlijke reputatie staat op het spel als ik er met het geld vandoor ga. Daarnaast: Je hebt eigenlijk meer garantie dat ik er niet met het geld vandoor ga aangezien ik als privé persoon nu aansprakelijk ben versus een stichting.

StefanJanssen @sijmen-ruwhof • 27 februari 2026 15:28

Mijn persoonlijke reputatie staat op het spel als ik er met het geld vandoor ga

Die staat ook op het spel door geld te geven aan deze hackers.

Daarnaast, als je het omzet naar bitcoin is het vrijwel niet meer te traceren. Dus je hebt vrij spel als je niet betaald, maar doet alsof je betaald hebt.

[Reactie gewijzigd door StefanJanssen op 27 februari 2026 15:29]

sijmen-ruwhof @StefanJanssen • 1 maart 2026 09:27

In onze groep die deze actie ondersteunt zit een toonaangevend Nederlands incident response bedrijf, die wordt ingehuurd voor de grootste hacks in Nederland en wereldwijd. Journalisten mogen overal meekijken als ze willen.

maartenvdk @sijmen-ruwhof • 27 februari 2026 15:40

Sterk dat je hier zelf reageert
Dat maakt niet veel uit, voor onbehoorlijk bestuur ben je al persoonlijk aansprakelijk, net als voor strafbare zaken als diefstal.

Ik zie zelf inderdaad alleen maar nadelen voor je door dit persoonlijk te doen. Alles wat je doet dat maar een beetje gek uit te leggen is is sws een maatschappelijk doodvonnis. Ik twijfel niet aan je intenties eigenlijk als je je zo kwetsbaar opstelt.

Ik sta zelf niet achter betalen, maar als je dat doet moet er toch iets te regelen zijn met de notaris van Odido? in principe heb je een stichting in een uurtje opgericht je eigen rekening gebruiken kan dat nagsteeds. Dan kan je met een RvT en statuten in iedergeval transparantie en dekking regelen ipv dat je alles op persoonlijke titel doet.

[Reactie gewijzigd door maartenvdk op 27 februari 2026 15:56]

sijmen-ruwhof @maartenvdk • 1 maart 2026 09:29

Voordat we zouden gaan uitbetalen, gaan we als groep echt nog eens stevig naar alle risico's kijken met experts (strafrechtadvocaat, fiscalist, Belastingdienst, etc.) . We willen er geen persoonlijke problemen aan overhouden.

roelboel @sijmen-ruwhof • 27 februari 2026 16:26

Ik vrees dat je persoonlijke reputatie al aardig naar de knoppen is met een stupide actie als dit.

Ryunoru @sijmen-ruwhof • 27 februari 2026 20:54

Als jij niets om je reputatie in Nederland geeft, is dat een non-argument. Sterker nog, door criminelen te willen belonen zet je je eigen reputatie al flink onder druk Sijmen.

Ook maakt het voor jou als potentiële crimineel niets uit dat je dan aansprakelijk bent - als je er met het geld vandoor gaat naar een land zonder uitleveringsverdrag, is dat natuurlijk geen punt.

iAR @sijmen-ruwhof • 27 februari 2026 23:37

Wat blijft er van je “reputatie” over als je criminelen geld geeft. Wat zeg ik, je reputatie is voor mij echt tot niveau sbs gezakt door je reacties hier.

huntedjohan @sijmen-ruwhof • 28 februari 2026 01:08

ik kende je totaal niet, maar voor mij is je persoonlijke reputatie nu al behoorlijk naar de klote.

ik kan ook echt geen enkele goede reden bedenken waarom je dit zou doen, en ik vraag me ook echt af wat je werkelijke intenties zijn om dit te doen. in ieder geval niet voor de klanten van odido, want ik ken echt best veel gedupeerden, maar geen 1 van hun wilde dat odido ging betalen.

dylan111111 @marinostrus • 27 februari 2026 14:15

Inderdaad, deze meneer staat los van de realiteit. Die gegevens gaan, vroeg of laat, gewoon online komen. Zo'n partij betalen = belonen, gaan we niet doen. (En dat zeg ik terwijl mijn naam, adres, tel, email en bankrekening de tweede batch zitten)...

DeBers @dylan111111 • 27 februari 2026 14:27

Hoe weet jij waar jou gegevens zitten? Ik wil zelf ook wel eens kijken hoe en of ik er tussen zit met mijn mobiele en internet/tv abbonement.

dylan111111 @DeBers • 27 februari 2026 14:37

Er wordt afgeraden zelf de dataset te downloaden vanaf het .onion adres. De beste publieke optie is toch https://haveibeenpwned.com/ te checken of je erbij zit. Op dit moment hebben ze nog alleen de dataset van gisteren erop staan helaas.

xxs @dylan111111 • 27 februari 2026 14:59

Waarom wordt dat afgeraden en door wie?

StefanJanssen @xxs • 27 februari 2026 15:01

De politie, omdat het illegaal is om deze dataset te downloaden.

xxs @StefanJanssen • 27 februari 2026 15:02

En waarom zou Troy Hunt (HIBP) dat wel mogen?

Zie discussie in:

nieuws: Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

[Reactie gewijzigd door xxs op 27 februari 2026 15:04]

drdelta @xxs • 27 februari 2026 15:12

Omdat Troy Hunt in Australië niet onder het Nederlands recht valt? Desalniettemin, interessant om over na te denken inderdaad.

xxs @drdelta • 27 februari 2026 15:22

Ik snap dat hij onder Australisch recht valt, ik heb hem er ook eens op aangesproken en hij zegt doodleuk dat hij samenwerkt met overheden internationaal dus het zal wel goed zijn. Helaas kan ik de email niet meer terugvinden.

xxs @drdelta • 27 februari 2026 15:55

Joost Schuttelaar van https://datagelekt.nl/odido/ valt denk ik onder Nederlands recht, dan zal die website snel uit de lucht zijn denk ik. Of niet? Ondanks dat hij de data niet op een server heeft staan maar deze via een stream wel verwerkt.

[Reactie gewijzigd door xxs op 27 februari 2026 15:58]

StefanJanssen @xxs • 27 februari 2026 15:09

Ik denk dat hij dat ook niet mag :P

xxs @StefanJanssen • 27 februari 2026 15:12

Dus we worden door politie en security experts naar een website verwezen die illegaal data in bezit heeft?

Het moet niet veel gekker worden in Nederland.

Beveiliging en antivirus
Hack

@xxs • 27 februari 2026 15:23

Dus we worden door politie en security experts naar een website verwezen die illegaal data in bezit heeft?

Je kan je inlezen hoe Have I Been Pwned werkt. Ze verwerken de gelekte data eenmalig om de e-mailadressen eruit te vissen. Die e-mailadressen worden enkel als hash opgeslagen. De dataset en e-mailadressen eruit worden dus niet opgeslagen.

Matching gaat op aangeleverde e-mailadressen van gebruikers van Have I Been Pwned (eenmalig opgegeven of automatisch wanneer een lek langskomt).

Hierdoor heeft Have I Been Pwned (of vertrouwde derde partijen) tijdelijk toegang nodig tot de gelekte data. Dit wordt enkel gedaan om een maatschappelijk verantwoorde dienst aan te bieden, die zorgt voor meer bewustzijn over datalekken.

[Reactie gewijzigd door The Zep Man op 27 februari 2026 17:04]

xxs @The Zep Man • 27 februari 2026 15:26

Waaruit maak jij op dat ik me niet ingelezen heb?

Ik weet grotendeels hoe ze zeggen te werken, blijft een feit dat ze data verwerken die van diefstal afkomstig is en dus die dataset in bezit heeft of heeft gehad.

[Reactie gewijzigd door xxs op 27 februari 2026 15:28]

JumpStart @xxs • 27 februari 2026 15:38

Er bestaat zoiets als "zwaarwegende redenen" die een rechter mag meenemen in overweging.

Een journalist die deze data set download om te gebruiken bij nieuwsgaring over het lek heeft een legitieme reden om de dataset te downloaden en onderzoeken. Een rechter kan dan besluiten dat het algemeen nut hiervan zwaarder weegt dan het strafbare feit, en dan geen straf op te leggen.

Evenzo kan iemand die iets als Have I Been Pwned runt dus ook een groter goed doel dienen. Merk daarbij verder op dat je niet de HELE database kan inzien bij HIBP. Je kan alleen in de database laten zoeken en vernemen of de zoekterm voorkomt in de dataset.

[Reactie gewijzigd door JumpStart op 27 februari 2026 15:52]

xxs @JumpStart • 27 februari 2026 15:49

Ik ga een website beginnen "BenIkSlachtofferVanDeIncompetentieVanOdido.nl" beginnen, daar kan je je BSN nummer opzoeken.

Zo, nu eerst even de dataset downloaden voor testdoeleinden.

;-)

Ik snap je punt en die van anderen maar we moeten niet zomaar alles slikken onder het mom van maatschappelijkverantwoord.

edit:
Die site is er al: https://datagelekt.nl/

[Reactie gewijzigd door xxs op 27 februari 2026 15:56]

Prince @xxs • 27 februari 2026 16:17

Pas wel op, je zegt dit al lachend, maar hoeveel amateurs gaan dit niet effectief proberen, niet wetende dat ze illegale content aan het distribueren zijn (BSN nummers in bulk af gaan indien geen rate limiting, slechte beveiliging en eenvoudig in bulk te downloaden, etc...)

Het distribueren van deze data-waar deze ook vandaan komt, is illegaal.

Sites als "Have I Been Pwned" slaan de data niet op, maar enkel hashes met eigen salts.

xxs @Prince • 27 februari 2026 16:24

Ik val in herhaling, de gestolen data wordt door HIBP verwerkt, net als datagelekt.nl. Ik heb verder geen inzicht in hoe ze dat doen, wel hoe ze zeggen dat te doen.

[Reactie gewijzigd door xxs op 27 februari 2026 16:31]

Beveiliging en antivirus
Hack

@xxs • 27 februari 2026 17:03

Ik ga een website beginnen "BenIkSlachtofferVanDeIncompetentieVanOdido.nl" beginnen, daar kan je je BSN nummer opzoeken.

Zo, nu eerst even de dataset downloaden voor testdoeleinden.

Een ondoordachte vergelijking. Een e-mailadres is een persoonsgegeven, maar niet gevoelig of anderszins expliciet beschermd door wet- en regelgeving. Een BSN is wel expliciet beschermd door wet- en regelgeving en mag enkel gebruikt worden voor doeleinden zoals genoemd in de wet.

Ook heb jij geen mogelijkheid om een BSN te verifiëren als onderdeel van iemands identiteit. Alle mogelijkheden om dat te doen zijn buiten proportie. Een e-mailadres verifiëren is echter geen probleem.

Verder is het verwerken van een BSN in deze buiten proportie. Een e-mailadres is voldoende en komt vaker voor in gelekte datasets als aanknopingspunt voor mogelijk andere gelekte gegevens.

Doel en gebruikte middelen zijn belangrijke aspecten in landen die toetsen naar de gedachte achter wetten, zoals Nederland. Dat bepaalt of je voor iets dat op papier strafbaar is vervolgd wordt of niet.

"Ja, maar de wet zegt dat het illegaal is." is geen goed argument zonder dieper in te gaan op "het".

[Reactie gewijzigd door The Zep Man op 27 februari 2026 17:06]

xxs @The Zep Man • 27 februari 2026 17:16

Kennelijk ben ik voor jou niet duidelijk genoeg in wat ik bedoelde.

Het gaat over het illegaal in bezit hebben of verwerken van data zoals HIBP doet. Mensen zouden deze dataset niet mogen downloaden/verwerken dus wat rechtvaardigd sites zoals HIBP om dit wel te mogen?

Vervolgens komt als reactie daarop dat deze site dat doet met een maatschappelijk doel en dat het dan wel toegestaan zou zijn om die data te verwerken. Ik kan ook zo'n "maatschappelijke" site starten wat me dan zou "vrijpleiten" van illegale aktiviteiten.

BSN was maar een voorbeeld is had daar ook $(RANDOM_VELD) neerkunnen zetten.

mrmrmr @xxs • 28 februari 2026 01:06

Sommige op die site genoemde cijfers lijken geïnflateerd. Er kunnen per entiteit meerdere records zijn. Het gaat daardoor over mogelijk 4 keer meer records dan personen of bedrijven. Het aantal unieke emailadressen of telefoonnummers zijn misschien nauwkeuriger.

Het is ook maar de vraag of er echt BSN's (al dan niet in BTW nummers) gepubliceerd zijn op dit moment. Die hoeven normale internetklanten niet te verstrekken en ze zijn niet nodig tenzij BTW verlegd zou moeten worden bij intracommunautaire levering. BTW nummers moesten destijds verplicht gepubliceerd worden op websites.

Llopigat @xxs • 27 februari 2026 17:40

Hij mag het ook niet. Ongetwijfeld mag dit volgens de Australische wet ook niet.

Maar omdat het een goed initiatief is wordt het gewoon gedoogd. Het maakt het niet legaal wat hij doet maar hij wordt alom gezien als de minst slechte oplossing omdat er gewoon geen overheidsinstantie is die iets dergelijks doet.. Maar hij heeft geen juridisch mandaat om dit te mogen. Er wordt gewoon gekozen om er niet tegen op te treden.

[Reactie gewijzigd door Llopigat op 27 februari 2026 17:41]

xxs @Llopigat • 27 februari 2026 17:45

Sterker nog, er wordt door politie en cyber experts naar verwezen om te controleren of je data gelekt is.

Ik speel even advocaat van de duivel in deze discussie.

DdeM @xxs • 27 februari 2026 19:04

Er is een uitzondering in de wetgeving als jet het verwerkt voor algemeen belang, dan mag het wel. Je mag alleen niet uit interesse, of of te checken of je er zelf in voorkomt, de dataset downloaden, want dat is geen zwaarwegend belang om even de data van alle andere slachtoffers binnen te halen. En aangezien er andere wettelijke manieren zijn om te checken of en welke data er gelekt is zijn er ook geen andere wetten in het strafrecht die het uitzonderen.

@DdeM • 27 februari 2026 19:34

"En aangezien er andere wettelijke manieren zijn om te checken welke data er gelekt is"

Welke dan? Op haveibeenpwned kun je alleen checken of je data gelekt is.

DdeM @eindgebruiker • 28 februari 2026 01:06

En bij Odido kan je een avg verzoek doen en kan je dus zien welke data er mogelijk allemaal in zit.

Llopigat @xxs • 27 februari 2026 17:46

Ik weet het, maar ook dat is een kwestie van gedogen. Het betekent niet dat het opeens mag. Troy Hunt heeft geen speciale uitzondering in de wet ofzo.

Wat mij betreft zou het veel beter zijn als een politieinstantie zelf zoiets opzet. Bijvoorbeeld interpol (want het gaat bijna altijd om internationale daders). Maar HIBP is er nou eenmaal en de politiediensten lijken er zelf geen zin in te hebben. Dan ligt gedogen voor de hand.

[Reactie gewijzigd door Llopigat op 27 februari 2026 17:48]

drdelta @Llopigat • 27 februari 2026 19:02

Strikt genomen hoef hij de data ook niet te hebben, maar iemand zal ooit een hash moeten maken.

Als alternatief zou een overheid deze data ook kunnen hashen, en dit aanbieden voor dergelijke doeleinden.

[Reactie gewijzigd door drdelta op 27 februari 2026 19:03]

@xxs • 27 februari 2026 19:29

Omdat hij een algemeen belang dient.

mgizmo @dylan111111 • 27 februari 2026 15:28

Of https://datagelekt.nl/odido bezoeken

torretje2012 @dylan111111 • 27 februari 2026 15:26

de .onion linkt naar een openbare map, waar 2 datasets staan.

@DeBers • 27 februari 2026 14:39

Het is naar ik begrijp mogelijk om de dumps zelf op te zoeken, ze zijn immers gedeeltelijk vrijgegeven. Houd er alleen rekening mee dat als je dit doet dat je bij wet strafbaar bent.

Ik zou zelf aanraden haveibeenpwned.com van tijd tot tijd te controleren. De eerste dump is hier al in verwerkt. Deze website controleren is wel legaal.

[Reactie gewijzigd door Blinkin op 27 februari 2026 14:40]

Triblade_8472 @Blinkin • 27 februari 2026 14:44

Zou die site eigenlijk dan ook niet strafbaar zijn? Ze hebben immers de hele dump moeten downloaden en verwerken.

Wat is het verschil met dat ik dat doe voor mijn eigen data?

Gwaihir @Triblade_8472 • 27 februari 2026 15:13

Het lijkt mij dat je zelf ook niet automatisch strafbaar bent. Het zal afhangen van de intentie waarmee je download, wat je ermee doet, en wat je vervolgens bewaart en / of laat rondslingeren.

[Ik verwacht van HIBP te gaan vernemen welke velden in mijn geval data hadden (niet leeg waren). En ik verwacht dat die data zelf direct na die vaststelling door Troy is weggegooid, op het e-mailadres na.]

[Reactie gewijzigd door Gwaihir op 27 februari 2026 15:19]

Llopigat @Gwaihir • 27 februari 2026 15:35

Je bent strafbaar maar er wordt ervoor gekozen je niet te vervolgen omdat je het verantwoordelijk doet en met een goed doel.

Maar het blijft in principe wel een strafbaar feit.

Triblade_8472 @Llopigat • 27 februari 2026 16:03

Het doel heiligt de middelen, dat heeft altijd zo goed gewerkt

Bijzondere situatie eigenlijk nu ik er zo over denk.

mrmrmr @Llopigat • 28 februari 2026 10:45

In Nederland is het geen strafbaar feit, omdat er een uitzondering in de wet staat.

Waar jij op doelt is seponeren door het openbaar ministerie, dat een andere kwestie. Het OM kan besluiten iemand wel of niet te vervolgen voor een strafbaar feit. In principe moet het OM tevoren beoordelen of iets strafbaar is of niet. Heel soms wordt er iemand vervolgd als de wet niet voldoende duidelijk is. Het OM mag natuurlijk niet iemand vervolgen voor iets dat niet strafbaar is. Dat gebeurt overigens momenteel in de Verenigde Staten door de machthebbers die bepaalde mensen willen aanpakken. Dat is misbruik van het rechtssysteem.

[Reactie gewijzigd door mrmrmr op 28 februari 2026 11:59]

i7x @Triblade_8472 • 27 februari 2026 14:55

Politie werkt zelf met ze samen ook. Misschien dat dit technisch allemaal wel zo is, maar wie denkt nu werkelijk dat de politie tijd gaat steken in het vervolgen van iemand die z'n eigen gegevens download. Hebben niet eens de capaciteit iets aan het werkelijke probleem te doen.

Overigens mag het van mij verboden worden losgeld te betalen voor data diefstal. Zal het iig in Nederland een stuk minder aantrekkelijk maken dit soort diefstal te plegen.

Woutervugt @Triblade_8472 • 27 februari 2026 15:07

Dat jouw informatiebehoefte niet gelijke tret voert met hetgeen je jezelf toe-eigent aan informatie

willemb2 @Triblade_8472 • 27 februari 2026 16:02

In elk geval is het raadzaam om er alleen met een zware adblocker en je DNS sinkhole ingeschakeld naar toe te gaan want de complete Amerikaanse datasurveillance mafia bespringt je daar.

pven @Triblade_8472 • 27 februari 2026 16:39

Die site draait volgens mij in Australië, misschien dat ze daar andere regels hebben.

Triblade_8472 @pven • 27 februari 2026 18:09

Niet als je het hier aanbied.

Als je coke verhandeld op een site uit Chili mag je dat hier alsnog niet.

JumpStart @DeBers • 27 februari 2026 15:19

Dan doe je, al dan niet via de voorbeeldbrief van de Authoriteit Persoonsgegevens, een beroep op jou recht om te weten wat Odido over jou in SalesForce heeft staan. Odido (en ieder ander bedrijf of organisatie die persoonsgegevens opslaat) heeft namelijk de wettelijke verplichting aan dit verzoek te voldoen.

Zie https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/recht-op-inzage

xxs @JumpStart • 27 februari 2026 16:57

Onderstaande data slaan ze dus op.

Verwijderverzoek

persoonsgegevens Odido

Als je een verwijderverzoek persoonsgegevens

bij Odido indient, worden de volgende gegevens

verwijderd:

1. NAW

Naam (voor/achternaam/initialen/tussenvoegsels)

Postcode

Straatnaam, huisnummer + toevoegingen

Woonplaats

E-mailadres

Telefoonnummers/vast + mobiel/fax

Geboortedatum

We verwijderen je informatie uit al onze systemen,

met uitzondering van de systemen waar het

verplicht is om deze gegevens te bewaren; dat zijn

financiële systemen.

2. Bestelhistorie

Bestellingen en details van de bestelling.

We verwijderen alle informatie over je bestelling uit

onze systemen. Let op: door het verwijderen van deze

informatie kunnen wij deze informatie ook niet meer

terugvinden om je in de toekomst van dienst te zijn.

3. Locatiedata

Mast

Locaties

Plaatsnaam

In verband met facturering en/of fraude houden we

locatiegegevens 6 maanden vast. Na 6 maanden

worden deze gegevens automatisch verwijderd. Voor

het aanpassen van onder andere storingen bewaren

we ook locatiegegevens.

Indien je toestemming hebt gegeven voor het gebruik

van locatiegegevens voor andere doeleinden kun je dit

aanpassen in de privacy settings op Mijn Odido.

4. Gebruiksdata

Inkomende gesprekken (datum/tijd/telefoonnummer)

Uitgaande gesprekken (datum/tijd/telefoonnummer)

Duur van het gesprek

IMEI-nummer (toestelnummer)

Dataverbruik

Sms’jes (aantal inkomende en uitgaande)

Factuurinformatie

3e partij (betaalde) diensten.

In verband met facturering en/of fraude houden we

gebruiksgegevens 6 maanden vast. Na 6 maanden

worden deze gegevens automatisch verwijderd.

Voor facturatie bewaren we deze gegevens 7 jaar

in verband met wettelijke verplichtingen. Voor het

oplossen van onder andere storingen bewaren we

ook gebruiksgegevens. Indien je toestemming hebt

gegeven voor het gebruik van gebruiksgegevens voor

andere doeleinden kun je dit aanpassen in de privacy

settings op Mijn Odido.

5. Klantcontacthistorie

Cases

Change logs

Interacties

Voice logging

Wij kunnen alle klantcontacthistorie in onze systemen

verwijderen. Let op: door het verwijderen van deze

informatie kunnen wij deze informatie niet meer

terugvinden om je in de toekomst mee van dienst

te zijn.

6. Hardware contract (fysiek/digitaal)

Service contract (fysiek/digitaal)

Odido heeft een wettelijke bewaarplicht van 7 jaar

voor contracten, na beëindiging van het contract. We

houden een digitale kopie vast van alle contracten

ouder dan het huidige en vorige contract. Wil je dat

we je contractgegevens die we niet verplicht zijn

om te bewaren, verwijderen? Let op: door het

verwijderen van deze informatie kunnen wij deze

informatie niet meer terugvinden om je in de toekomst

mee van dienst te zijn.

7. Betaalhistorie & kredietwaardigheidscheck

Facturen

Factuurdetails

Crediet checks (uitkomsten)

Overdacht naar incassobureau

Rating informatie

Toestelkrediet (lening, toestelkosten)

Eenmalige kortingen

Odido heeft een wettelijke bewaarplicht, wegens

belastingdoeleinden, van 7 jaar voor de betaalhistorie.

Daarnaast hebben we een wettelijke bewaarplicht

van 5 jaar voor de kredietwaardigheidsgegevens,

na beëindiging van de kredietovereenkomst (voor

bijvoorbeeld toestellening). Wil je dat je gegevens die

we niet verplicht zijn om te bewaren, verwijderen?

Let op: door het verwijderen van deze informatie

kunnen wij deze informatie niet meer terugvinden om je

in de toekomst mee van dienst te zijn.

nijntje82 @dylan111111 • 27 februari 2026 15:12

Los van realiteit? Imo hij is mega slim. Wat een reclame voor hem. Beste marketing voor hem ever. 'Iedereen' in NL kent hem nu als een hacker (met een soort robin hood compas). Staan morgen op de stoep bij hem om hem in te huren.

Verder volledig eens met instand houden van patronen. De schade is klote. Maar ik ben als odido klant het eens met niet betalen, dat maakt het alleen nog maar erger. Het is te naief om te denken dat die data niet alsnog 'uitlekt'. Maar daarnaast maak je ook de volgende hacks lucratief/lonend.

[Reactie gewijzigd door nijntje82 op 27 februari 2026 17:34]

vlaag @nijntje82 • 27 februari 2026 15:16

We kunnen een hoop gek misbruik verwachten. Wat als ze (de kwaadwillige) mensen gaan aanschrijven en een bijdrage vragen om je van de darkweb lijst te schrappen, met een boel rechtvaardige en mooie woorden. Genoeg die niet weten wat feit en fictie is…

[Reactie gewijzigd door vlaag op 27 februari 2026 16:00]

nijntje82 @vlaag • 27 februari 2026 15:42

Leergeld.. en hopelijk gaan de toezichthouders aan de slag. Zorg dat er niet onnodig veel en lang opgeslagen kan worden, dat er limieten zijn op raadplegen en er zullen nog wel meer richtlijnen zijn die er hadden moeten zijn.

Bij welke audit partijen moest Odido zich verantwoorden die hebben lopen 'snurken'? Hiervoor bestaat toch wet en regelgeving? Heeft dit gefaald? Want limiet instellen op raadplegen en archiveren (delete na 2 jaar) lijkt me geen raket wetenschap. Iemand moet daarop toezien, gezien odido ook waarde haalt uit de oude data. Bv oude klanten benaderen.

Zo heeft ziggo mij nog vele jaren(5-10jaar) telefonisch en per post gestalkt, ondanks dat ik nadrukkelijk heb aangegeven er niet van gediend te zijn..

PainkillA @marinostrus • 27 februari 2026 15:01

er zijn al gegevens gelekt . Het is al te laat. 1 miljoen of 2 miljoen gegevens dat maakt niet meer uit

sijmen-ruwhof @PainkillA • 27 februari 2026 15:24

Er is nog maar een klein deel van het totaal gelekt. Daarnaast is per slachtoffer nu niet alle data gelekt die de hackergroep buitgemaakt heeft van het slachtoffer.

Ryunoru @sijmen-ruwhof • 27 februari 2026 21:01

Dat dit "klein deel" überhaupt al gelekt is, zou voldoende motivatie moeten zijn om deze criminelen juist NIET te betalen. Je weet letterlijk al dat ze er geen moeite mee hebben deze data op het internet te slingeren.

@Ryunoru • 27 februari 2026 22:19

Ja, joh. Alsof je als bedrijf gaat betalen wanneer de criminelen de data toch nooit online gaan zetten.

berchtold @marinostrus • 27 februari 2026 14:57

dat dus. deze man is heel erg naief

Pablo @marinostrus • 27 februari 2026 14:48

Dit doet bijna vermoeden dat hij gelieerd is aan shinyhunters

MaD_co @Pablo • 27 februari 2026 15:01

Je opmerking wordt flink naar beneden gehaald, maar dat was ook het eerste wat ik dacht, geen geld krijgen van Odido, dan maar via deze constructie proberen zoveel mogelijk op te halen en dat "overmaken naar shinyhunters" vreemde actie voor een etisch hacker in ieder geval.

Net zoals mijn vriendelijke buurman misschien wel zijn pc vol verboden porno heeft staan is hij voor mij gewoon ook gewoon een persoon met een baan, en ik weet niet wat hij allemaal uitspookt op zijn pc naast het etische hacken.

Prince @MaD_co • 27 februari 2026 16:19

Kunnen we met zekerheid zien dat hij effectief geld overmaakt? En niet zomaar "ik heb betaald, maar ze doen niets"?
Wat gebeurt er met het geld als hij niet genoeg heeft?

MaD_co @Prince • 27 februari 2026 16:40

Je zult kunnen zien dat het omgezet is naar bitcoin, en verstuurd naar een wallet. shinyhunters zullen geen tikkie sturen denk ik

Wat er daarna, (en door wie) mee gebeurt kun je niet of niet makkelijk achterhalen.

hiostu @marinostrus • 27 februari 2026 14:42

Mijn gegevens zijn al gelekt in de eerste batch. Dus voor mij weinig nut helaas.

Jittikmieger @hiostu • 27 februari 2026 14:59

Yup. Hier ook. ...En ik ben al 14 maanden geen klant meer. Heb ook geen mail gehad van Odido.

Heb het account van het gelekte mailadres helemaal leeggemaakt en gebruik het nu niet meer. Enkel als vangnet voor de mails van de Nigeriaanse prinsen en p*enis enlargers die er vast op binnen gaan komen.

Gwaihir @Jittikmieger • 27 februari 2026 15:16

Als nog wel klant, vraag ik me af wat het moment is om het e-mailadres aan te passen.

Odido lijkt zo weinig te weten

. Zijn de hackers al wel buitengesloten? Of kan ik nu een nieuw e-mailadres in hun systeem zetten om morgen te horen dat ook dat gelekt is?

sjettepetJR. @hiostu • 27 februari 2026 15:26

Is het voor jou inmiddels ook duidelijk welke gegevens er zijn gelekt?

Volgens HIBP zit ik er namelijk wel in, dus het zal in ieder geval om emailadres, naam, telefoonnummer, IBAN en adres gaan, maar ik ben benieuwd of ook mijn identiteitsbewijs is gelekt.

Scriptkid @marinostrus • 27 februari 2026 15:22

Laat me raden als het "kickstarter" doel; niet gehaald word verdwijnt het geld in zijn eigen portomenee.

FPSUsername @marinostrus • 27 februari 2026 16:29

De inflatiecorrectie van dit jaar was al meer dan 4 cent per klant, dus odido mag het zelf betalen

themadone @berchtold • 27 februari 2026 14:22

Je zou denken dat hij zou gaan proberen om shinyhunters te doxen met zijn skills ipv iets wat niet helemaal lekker aanvoelt qua betrouwbaarheid te doen.

Is dat geen idee? We halen de beste Tweakers/hackers bij elkaar en verklaren shinyhunters de digitale oorlog?

Nairu777 @themadone • 27 februari 2026 14:54

Hoe legaal is dat?

Odido

@Nairu777 • 27 februari 2026 15:05

Wat zou er illegaal aan moeten zijn? Denk dat je met een stukje OSINT al een heel eind gaat komen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Keypunchie • 27 februari 2026 17:45

Denk dat je met een stukje OSINT al een heel eind gaat komen.

Succes, jij gaat doen wat justitie en diverse vooraanstaande security bedrijven tot nu toe niet gelukt is.

nl noob @themadone • 27 februari 2026 15:06

Het idee dat een ethisch hacker “ShinyHunters moet gaan doxen” klinkt heel stoer hoor, maar het gaat volledig voorbij aan wat ethisch hacken betekent. Een ethisch hacker werkt legaal, met toestemming, zonder schade te veroorzaken en volgens professionele normen en waarden. Zoals je zelf ook begrijpt is Doxen precies het tegenovergestelde, het is illegaal, het brengt mensen in gevaar en het maakt je zelf onderdeel van het probleem. Ik denk dat je dit zelf ook allemaal inziet, maar je zit hier op Tweakers, waar we het over het algemeen netjes en bij de feiten proberen te houden.

gitaarwerk @berchtold • 27 februari 2026 14:31

Ik volg Sijmen al tijdje.. alleen ik twijfel wel een beetje bij deze actie eigenlijk. Ik ben het met je eens... niet betalen. Mijn gegevens staan er ook tussen, laat het maar gebeuren...

Buitenaerts @gitaarwerk • 27 februari 2026 14:39

Die van mij staan al in de eerste dump, kreeg vannacht een mailtje van Have I Been Pwned. Jammer maar losgeld gaan betalen is gewoon belonen van deze mensen, dus mega dom.

gitaarwerk @Buitenaerts • 27 februari 2026 14:44

Eens. En die van mij ook, overigens. Moet ik zeggen dat die gegevens al bekend waren. Voordeel van een 'burner' nummers hebben.

amigob2 @Buitenaerts • 27 februari 2026 14:54

Zijn al jou gegevens dan al gelekt ?
en wat zijn al jou gegevens ?
Je weet het niet ik ook nog niet, ik weet dat mijn email adres gelekt is maar wat nog meer ?
Ik ga het zelf uitzoeken en ben al heel wat dingen aan het verhuizen

[Reactie gewijzigd door amigob2 op 27 februari 2026 14:57]

Buitenaerts @amigob2 • 27 februari 2026 15:03

Volgens Odido, de volgende gegevens:

Je volledige naam
Je klantnummer
Je adres en woonplaats
Je telefoonnummer
Je e-mailadres
Je IBAN (rekeningnummer)
Je geboortedatum
Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Zou de dump zelf kunnen downloaden en kunnen gaan kijken, al denk ik dat er bij mijn notes niks bijzonders zal staan.

amigob2 @Buitenaerts • 27 februari 2026 15:23

Je wwet niet of die al gelekt zijn of dat ze bv alleen de email adresen gelekt hebben ?
Behalve de personen die toegang tot de data hebben

phoenix2149 @berchtold • 27 februari 2026 14:26

Precies. Betalen aan criminelen houd criminaliteit lonend.

Betalen aan criminelen in welke vorm dan ook zou illegaal moeten zijn. Sterker nog je kunt als medeplichtig worden gezien als je dat doet.

Odie @phoenix2149 • 27 februari 2026 15:28

Hear hear, dat roep ik ook al een tijd. Betaling van losgeld zou strafbaar moeten zijn, in ieder geval voor wat betreft datahacks en ransomware.

Mit-46 @berchtold • 27 februari 2026 15:15

Garanties krijg je nooit. Wel is het zo dat dit soort afpersers hun eigen business model om zeep helpen wanneer zij alsnog lekken nadat er betaald is.

Daarom is het niet aannemelijk dat men alsnog de gegevens lekt wanneer betaald is, maar een garantie krijg je nooit!

Nu kan je ook niet betalen en weet je nagenoeg zeker dat alle gegevens worden gelekt.

Wanneer niemand meer betaalt zal men wellicht geen gegevens meer stelen om af te persen, maar om bijvoorbeeld meteen te verkopen.

Keuzes, want hacken zal echt niet verdwijnen aangezien er meerdere manieren zijn om geld te verdienen met gestolen data.

[Reactie gewijzigd door Mit-46 op 27 februari 2026 15:19]

Het.Draakje @Mit-46 • 27 februari 2026 16:00

Het is geen bedrijf. Geen van die hackers zal ook maar één traan laten als het 'bedrijf' geen bestaansrecht hebben omdat iedereen verwacht dat ' Shiny' toch nog de gegevens publiceert (of voor een tweede / derde / vierde maal wil incasseren voor dezelfde gegevens). Of ze alsnog doorverkoopt aan een andere, eveneens criminele, organisatie. Ze hebben geen enkele scrupule. Liegen is nog wel het minste van wat je ze van kunt beschuldigen.

En dan voeren ze de volgende hack gewoon uit onder de naam 'De Bokkenrijders' die uiteraard (volgens hun) wel ethisch verantwoord is, wel de gegevens verwijderd na betaling en geen enkele relatie heeft met 'Shiny'.

Uiteraard kom je na verloop van tijd er wel achter dat bij de Bokkenrijders hetzelfde gebeurd (extra betalingen, publicatie etc).

De gegevens liggen op straat. Feit. Dat gaat nooit meer terug in het doosje. Feit. De enige vraag die nog overblijft is: wil je ook nog geld kwijt zijn.

DdeM @Mit-46 • 27 februari 2026 19:24

En toch https://www.phishlabs.com...promises-leak-data-anyway

spronoc @berchtold • 27 februari 2026 14:52

Ik zie niet in hoe het geven van geld aan criminelen ethisch verantwoord kan zijn. Ze krijgen van mij geen cent.

Beveiliging en antivirus
Hack

@spronoc • 27 februari 2026 15:07

Ik zie niet in hoe het geven van geld aan criminelen ethisch verantwoord kan zijn. Ze krijgen van mij geen cent.

Het is wel ethisch verantwoord als een ontvoerder de vingers van je dochter afknipt omdat jij niet wil betalen?

Laten we de klachten over ethiek gebruiken tegen de afpersers, niet tegen de slachtoffers.

Odie @CAPSLOCK2000 • 27 februari 2026 15:27

Staan er mensenlevens op het spel dan bij deze hack?

Beveiliging en antivirus
Hack

@Odie • 27 februari 2026 15:42

Staan er mensenlevens op het spel dan bij deze hack?

We hebben het over het verbieden van betalen bij afpersing in het algemeen.
Niet over een verbod om in deze specifieke zaak te betalen.

Odie @CAPSLOCK2000 • 27 februari 2026 15:55

Nee het gaat over betalen van losgeld inzake de Odido hack, jij begint ineens over losgeld in geval van ontvoeringen. Dat is een hele andere dimensie waarin totaal andere krachten spelen en andere factoren in het spel zijn.

ik sla de vergelijking plat door te vragen of er bij Odido mensenlevens in het spel zijn.

Beveiliging en antivirus
Hack

@Odie • 27 februari 2026 16:25

Ik reageer op @spronoc die een zegt "Ik zie niet in hoe het geven van geld aan criminelen ethisch verantwoord kan zijn.". Ik geef een voorbeeld van hoe dat wel ethisch verantwoord is.

Odie @CAPSLOCK2000 • 27 februari 2026 16:47

En daarmee doelt hij uiteraard specifiek op deze case of op criminelen die in het algemeen data stelen en losgeld eisen. Jij trekt het een niveau hoger en poogt sentiment voor lichamelijke pijn of algemener mensenlevens erbij te halen, waarop ik het terug duw met de vraag die ik stelde.

Kortom: je vergelijkt appels met peren.

Beveiliging en antivirus
Hack

@Odie • 27 februari 2026 16:50

En daarmee doelt hij uiteraard specifiek op deze case of op criminelen die in het algemeen data stelen en losgeld eisen.

Dat is jouw invulling, niet wat er staat.

Odie @CAPSLOCK2000 • 27 februari 2026 17:52

Ok man.

hulseman @berchtold • 27 februari 2026 14:18

Dit dus.. wat een totaal idioot idee dit.

scribly3 @berchtold • 27 februari 2026 14:40

Zou grappig zijn als hij naast een ethische hacker te zijn ook nog banden heeft met Shinyhunters om daarna het geld te delen

croc @berchtold • 27 februari 2026 14:43

Als er geen hacks meer plaatsvinden heeft een ethisch hacker ook geen werk meer

Je financiert op deze manier hackers en incentiveert volgende hacks. Mss is de volgende hack wel veel erger dan deze, betaald door het losgeld van deze hack.

[Reactie gewijzigd door croc op 27 februari 2026 14:50]

@berchtold • 27 februari 2026 14:44

Dit is juist de meest geniale volgende stap! (daargelaten dat het not-done is natuurlijk)

Hij laat mensen "vrij" om zelf te betalen wanneer ze hun gegevens niet op straat willen hebben. Staat natuurlijk altijd los van het feit dat de gegevens simpelweg reeds in handen zijn van die criminelen. Dit is altijd een probleem en zal altijd een probleem blijven tot die gegevens er niet meer toe doen.

Maar dit laat simpelweg zien hoe simpel is het om tot het gevoel van de mens te komen, en vervolgens valse hoop te creëren. Sommige mensen hebben nu gegevens op straat liggen die in hun precaire situatie nogal een probleem kunnen vormen. Daar spelen ze nu op in. Gaat het niet in bulk bij ODIDO, dan gaat het wel afzonderlijk per persoon die z'n gegevens niet gelekt wilt hebben.

Voor een paar maanden geleden was er eenzelfde idee door een (andere?) hacker: nieuws: Belgische school slachtoffer van ransomware, hackers eisen ook losgeld ouders

Dit is eigenlijk bijna hetzelfde, maar nu krijgen de mensen zelf de "mogelijkheid" om hen te betalen via een bulk methode. De volgende stap zal zijn om iedereen afzonderlijk te mailen, bellen, etc.

kabelmannetje @InjecTioN • 27 februari 2026 14:49

Voor die paar cent per persoon, een kostbare administratieve klus. :)

masterfragger @berchtold • 27 februari 2026 14:50

Is het heel duister om te denken dat dit een, door de hackers bedachte, alternatieve route om aan geld te komen. Een soort CrowdExtortion ....

ik kan me meer voorstellen bij crowdfunding om deze criminelen op te sporen ...... graag met Odido als launching sponsor met een inleg van een miljoen

supertheiz @berchtold • 27 februari 2026 15:35

Probleem is dat hij het oplost voor Odido. Als je de boel zo verkloot, zou Odido moeten betalen, niet gewoon maar de gegevens laten dumpen op internet.

Dat slachtoffer gezeik is net zoiets als met 150km/uur over de snelweg rijden, en je dan slachtoffer vinden als je een bekeuring krijgt. En die hackers: Als zij het niet waren, dan wel 10 anderen. En deze club heeft tenminste nog een historie waarbij data inderdaad niet wordt gedumpt nadat er is betaald.

Dus: Nee Sijmen, dit moet jij niet doen, dit moet Odido doen. En geen gezeur dat ze niet zouden moeten betalen want instandhouden enzo. Onzin: dit had gewoon niet bij zo'n club mogen komen, en nu los je het maar op als Odido, ik wil niet als klant van een paar jaar terug alsnog de dupe zijn van zulk ongelooflijk prutswerk.

Vinnie.1234 @berchtold • 27 februari 2026 14:57

Ik snap oprecht niet dat dit een +3 krijgt want dit is domweg onzin. Hackers zijn er en hackers zullen er altijd zijn. Het is een utopie om te denken dat dit niet gebeurd als er niet betaald word. Ze blijven gewoon net zo lang door gaan tot er 1 iemand toch wel betaald. En als dat niet gebeurd hebben ze zelf ook weinig te verliezen.

Vind het een top initiatief. Dat sommige het niet zo veel waard vinden dat hun gegevens op straat liggen is aan hun, andere vinden dit wel boeiend. Ik zelf heb geen Odido, had wel TELE 2. Ga er vanuit niet geraakt te zijn door deze hack. Maar ken genoeg mensen die dat wel zijn. En die zouden met liefde allemaal 4 cent over maken om hun gegevens veilig te stellen.

timeraider @Vinnie.1234 • 27 februari 2026 15:55

"Ze blijven gewoon net zo lang door gaan tot er 1 iemand toch wel betaald"

Tijd en resources kost geld.
Dus nee.. als ze voor 100.000 moeten besteden en er maar 1 iemand 50.000 betaald.. dan gaan ze niet door.
Dit zijn geen 10 euro/maand bots

Vinnie.1234 @timeraider • 27 februari 2026 17:06

Rockstar is gehackt door een tiener op zijn slaapkamer. Dat een hack veel geld kost hoeft echt niet

JerryJerryJerry @Vinnie.1234 • 27 februari 2026 15:41

En ik snap oprecht niet hoe jouw brein werkt. Hoe kan je mensen in hemelsnaam belonen die jouw en andermans gegevens op straat willen gooien alleen voor het geld? Aan jouw en mijn privacy hebben ze gewoon schijt. Elk weldenkend mens zou zeggen "ze kunnen de piep krijgen" toch? Hoe dan ook, ze gaan gewoon door. Oftewel, ook al betaal je, dan is het volgend bedrijf aan de beurt en dan is het alsnog wachten dat je gegevens een keer op straat liggen. Duidelijk signaal afgeven dat je niet buigt is het enige juiste wat je kan doen.

berchtold @evilution • 27 februari 2026 15:02

bedankt voor deze waardevolle aanvulling. aangepast :)

ratzz 27 februari 2026 14:43

Wat een hoop negatieve reacties. Het zogenaamde belonen als argument is misschien wel uit te leggen maar aangezien tot nu toe er altijd partijen zijn die wel betalen om wat voor een reden dan ook is dat argument niet zaligmakend. Ik vind het eerder bijzonder dat Odido die steken heeft laten vallen niet voor 5 ton de boel afloopt en zichzelf nog eens achter de oren krabt en zich afvraagt of ze de zaakjes wel goed op orde hebben. Dan heb ik het nog niet eens over de maatschappelijke onrust die door de hack is ontstaan door mensen die bezorgd zijn.Niwt iedereen is tweaker "vaardig" en maakt zich "helemaal” geen zorgen dat hun informatie eventueel op straat ligt.

TERW_DAN @ratzz • 27 februari 2026 14:51

Maar het is imho aan ODIDO om te zorgen dat (oud)-klanten geïnformeerd worden en geholpen met dit soort dingen. Niet aan iemand die er niets mee te maken heeft die ineens met zoiets gaat beginnen.

En dat ODIDO er een zooitje van maakt is waar, maar dat ze niet betalen is goed uit te leggen. Als je je er dan al tegenaan wil gaan bemoeien, steek dat geld en moeite dan in om mensen te helpen, door voorlichting of hulp als er echt identiteisfraude is gepleegd. Daar wapen je de maatschappij veel beter mee, dan gewoon een bak geld naar de criminelen gooien die daarmee doodleuk naar het volgende bedrijf gaan en kijken wat ze daar kunnen halen.

IplugNplay @TERW_DAN • 27 februari 2026 16:47

Ja, maar met zo een groot lek kunnen we nu dus gewoon alles online gooien want iedereen heeft toch alle gegevens al.

En dan zijn we zo extreem weerbaar tegen identiteitsfraude.

Ik ben van mening dat hier best betaald kan worden, en dat de lering hieruit niet alleen voor odido moet zijn maar voor alle bedrijven en ook de controle bij de overheid kan 100 keer beter.

Bleh! 27 februari 2026 14:11

Wat is er ethisch aan het betalen aan criminelen?

SURFivor @Bleh! • 27 februari 2026 14:13

Ook mijn eerste gedachte, dan blijf je ongeoorloofd gedrag belonen. Lijkt me niet de bedoeling.

[Reactie gewijzigd door SURFivor op 27 februari 2026 14:14]

PtrO @SURFivor • 27 februari 2026 14:39

De vraag is dan of dat hier dan ook moet (ver)gelden en je je niet beter kunt richten op een andere toekomst die daarna dan dit soort keuzes overbodig maakt ?
Ik vind ook dat Odido geen recht heeft een beslissing te nemen of ze niet betalen. Het is data van klanten waar over men stoere taal uitslaat.

De daders hier hebben hier sws niets te verliezen dan hoe dan ook, pogen hun (ver)diensten binnen te halen. Deze misdadigers worden absoluut echt niet afgeschrikt door ze hierin niet (voor) te betalen).

Toekomstige daders worden vooral afgeschrikt door serieus aanscherpen van wetten, opsporing & technieken, daarmee aanzienlijk grotere risico's lopen en (on)mogelijkheden om dergelijke data nog in handen te krijgen. Sws is/was het al waanzin dat iemand zich en in deze hoeveelheden, data kon toe-eigenen.

Ik zou zelf zeggen betaal het kleine bedrag en zie of en hoe het schip dan welke koers gaat (over)varen. €1Miljoen euro lijkt mij hier totale peanuts voor de niet in te schatten gevolgen wanneer misdadigers - daarin uitgedaagd - zich verder in deze zaak gaan vergelden.

StefanJanssen @PtrO • 27 februari 2026 15:05

Als iemand die zeer mogelijk in deze gegevens staat wil ik absoluut niet dat er betaald wordt en heb ook direct een email gestuurd naar Odido om dit zeker niet te doen.

PtrO @StefanJanssen • 27 februari 2026 15:09

Is jouw goed recht maar heeft Odido daarmee dan het recht dit ook zo voor een andersdenkende te beslissen ?

Jouw keuze om risico of daarmee (g)een gezichtsverlies te lopen weeg jij anders af dan een ander.

[Reactie gewijzigd door PtrO op 27 februari 2026 15:11]

StefanJanssen @PtrO • 27 februari 2026 15:11

Ja, geld geven aan criminelen is geen verplichting dus hebben ze een recht om te zeggen "ik betaal niet"

PtrO @StefanJanssen • 27 februari 2026 15:18

De "ze" hier is dan Odido als bedrijf die daarmee dus die beslissing neemt uit naam van haar klanten neemt, die daarin geen keuze wordt gelaten. Eventuele slachoffers moeten het verder met wat uitkijken het verder zelf maar uitzoeken.

StefanJanssen @PtrO • 27 februari 2026 15:24

En dat is altijd nog beter dan zeggen: "we betalen" en volgende week heeft dezelfde groep een andere organisatie gehackt waar ze weer losgeld van krijgen...

Sito @Bleh! • 27 februari 2026 14:12

Dat vraag ik me ook af. Dit is het belonen van criminelen.

Tha Deo 27 februari 2026 14:46

Mooie actie en deze hacker doet iets wat Oidido eigenlijk zou moeten doen, namelijk betalen. Dit om de kans op schade voor de klanten zo veel mogelijk te beperken.

Ik denk alleen dat weinige slachtoffers inzien hoe schadelijk de hack kan zijn en daarom niet bereid zijn te betalen. Of niet, via een omweg, aan criminelen willen betalen. Die 250.000 euro zal daarom niet gehaald worden.

@Tha Deo • 27 februari 2026 15:14

Feit: je gegevens zijn gelekt.
Fictie: betalen draait dat lek terug

iAR @Tha Deo • 27 februari 2026 23:43

Ik neem Odido kwalijk dat de dat is gelekt maar ik prijs ze dat ze niet betalen. En nu wil een ethisch (!) hacker criminelen betalen? Ik ken die gast niet maar je zou zeggen dat die aandelen shinyhackers heeft. Enorme kneus met z’n debiele plan.

Sowieso ook: wie gaat dit sponseren? Je houd een commercieel bedrijf uit de wind en laat slachtoffers betalen en ze laten geloven dat hun data niet op straat komt? Deze gozer is echt de weg kwijt als je het mij vraagt. En net zo slecht als ShinyHunters.

THE_BASE 27 februari 2026 14:20

Ik vind het in dit geval verstandig dat Tweakers, onafhankelijk of niet, lezers afraadt om deze crowdfunding te ondersteunen. Het heeft geen enkele zin de hackers te betalen, dat is tegen alle adviezen in.

NotWise @THE_BASE • 27 februari 2026 14:25

Ik heb dit al in een ander draadje gepost en zal het hier weer even doen. NIET MEEDOEN aan deze actie.

Please Don’t Feed the Scattered Lapsus ShinyHunters

Hanging Up on ShinyHunters: Experts Detail Vishing Defenses

"There is no benefit to paying the ransom for this group," she said in a post to LinkedIn. "This is a scam by actors who will not delete their data and cannot prove they did and do have a track record of lying."

We hebben hier niet te maken met standaard (vaak Russische) bende die de data na betaling verwijderd. Deze gasten zijn niet te vertrouwen. Ik begrijp dan niet dat iemand uit de hacking scene dit niet weet.

[Reactie gewijzigd door NotWise op 27 februari 2026 14:26]

henkjobse @NotWise • 27 februari 2026 14:36

Precies, quote uit een ander artikel:

Because social media is critical to their operations, members of The Com continue to maintain an online presence, despite frequent bannings from those platforms. When ShinyHunters had no substantial criminal attack or breach to announce, they published public death threats about law enforcement, journalists, and cybercrime industry professionals to keep the industry engaged. Due to this level of constant engagement, when ShinyHunters had a substantial announcement, their message was then immediately amplified. As outlined in these guides, the intention is to prevent too much time from passing between issuing violent threats as they want to ingrain the task of habitual monitoring.

Though their posts range from unfounded to outlandish, the strategy works. This brainwashing campaign creates an inflated view of ShinyHunters, their abilities, and their true value proposition to victims. Public reporting continuously reinforces their reputation of being "extremely” dangerous.

Manipulation of the public conversation has not only misinformed victims but has also created undue pressure to pay these ransom demands. Because their ransom demands are fundamentally flawed and the promises to delete the data are untrustworthy, ShinyHunters rely on humiliation to drive their victims to payment.

SomerenV 27 februari 2026 14:34

Sorry @sijmen-ruwhof maar dit is volkomen idioot. Odido wil niet betalen. Politie adviseert niet te betalen. En jij denkt het beter te weten? Gewoon niet doen. Zolang men criminelen blijft betalen zullen ze data blijven jatten om er financieel beter van te worden.

Een ieder die dit soort ratten betaalt houdt dat in stand en heeft wat mij betreft ook deels bloed aan de handen.

Tunity @SomerenV • 27 februari 2026 15:33

Maak me ook vooral zorgen om de ouderen die in paniek nu dus geld gaan overmaken naar deze kerel.
Waar gaat het geld heen als er niet genoeg opgehaald wordt?
En waar gaat het heen als het aanbod niet aangenomen wordt?

Als "ethische" hacker zou hij toch betere manieren moeten weten om hier mee om te gaan eigenlijk.

SomerenV @Tunity • 27 februari 2026 15:38

Hij draagt zelf een alternatief aan maar dat vindt hij te duur, dus doet hij het met een persoonlijke rekening. Ik vraag me ook af hoe het zit als je buiten de politie om, een persoonlijke rekening gaat openen, daarop geld binnenhaalt, om criminelen te betalen. Hoe zit het met de legaliteit daarvan?

Om te kunnen reageren moet je ingelogd zijn