RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek

De dataset van het datalek bij Odido bevat ook gegevens van vier ministers en drie mensen die worden beveiligd, schrijft RTL Nieuws. Het gaat om onder meer e-mailadressen, telefoonnummers, paspoortgegevens en het adres van iemand die wordt beveiligd.

Twee van de drie beveiligde personen, onder wie degene van wie een woonadres is gelekt, zeggen niets te hebben gehoord van de telecomprovider. De andere zegt wel een e-mail van Odido te hebben gehad. RTL Nieuws deelt de namen van de personen uit veiligheidsoverwegingen niet.

Het lekken van privégegevens heeft de afgelopen jaren meermaals tot fysieke dreiging geleid. Zo stond in 2022 een man met een fakkel voor het huis van toenmalig D66-leider Sigrid Kaag. Hij kreeg hier later een celstraf van vijf maanden voor. Toenmalig minister van Natuur en Stikstof Christianne van der Wal werd in hetzelfde jaar bij haar huis bedreigd door boze boeren.

Een woordvoerder van de Nationaal Coördinator Terrorismebestrijding en Veiligheid zegt dat het uitlekken van de gegevens betrokkenen een 'vervelend en mogelijk zorgelijk gevoel' geeft. "Wij zijn van de situatie op de hoogte en houden de situatie goed in de gaten. Wij anticiperen op de huidige situatie en waar nodig treffen wij passende maatregelen."

Het Odido-datalek treft in totaal 6,5 miljoen Nederlanders. Hackersgroep Shinyhunters besloot afgelopen weekend de volledige dataset vrij te geven, nadat de provider weigerde losgeld te betalen. Mensen kunnen via onder meer Have I Been Pwned en de politietool Check je hack zien of hun gegevens te vinden zijn in de dataset.

Odido stock. Bron: SOPA Images//LightRocket/Getty Images
Bron: SOPA Images//LightRocket/Getty Images

Door Imre Himmelbauer

Redacteur

Feedback • 03-03-2026 20:18
266 • submitter: xxs

03-03-2026 • 20:18

266

Submitter: xxs

Lees meer

Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026
RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd
RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd Nieuws van 13 maart 2026
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update Nieuws van 3 maart 2026
Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort
Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort Nieuws van 2 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Meer producten en artikelen
Bedrijfsnieuws Privacy Odido

Reacties (266)

-Moderatie-faq
266
263
131
15
0
103
Wijzig sortering

Sorteer op:

Weergave:
djspare 3 maart 2026 20:23
Hoe zou Odido moeten weten dat bepaalde mensen beveiligd worden?

Sterker nog, hoe weet RTL dit? Hebben zij een lijst met mensen die worden beveiligd?
Reageer
sOid @djspare3 maart 2026 21:23
Ik keek net naar het praatprogramma van Eva Jinek en daarin heeft Daniël Verlaan toegelicht dat dit o.a. uit notities over personen bleek. Die notities zijn dus ook gelekt.
Reageer
MrFax @sOid4 maart 2026 14:45
Wie maakt als bedrijf notities over iemand die beveiligd wordt? Dat is toch extreem dom?
Reageer
REDSD @djspare3 maart 2026 20:28
Van bepaalde bekende personen is bekend dat ze beveiligd worden. Zo moeilijk zou dat niet zijn om die te vinden. In RTL Z hadden ze het over 3 personen.

Persoonlijk zou ik verwachten dat beveiligde mensen onder een andere naam dit soort dingen zouden doen 🤔
Reageer
djoelzz @REDSD3 maart 2026 20:37
  1. Als klant ga je ervan uit de je gegevens niet gelekt worden.
  2. Je moet (kopie) paspoort aanleveren om je te identificeren, anders kan er geen contract worden opgesteld. Dan kom je niet ver met “een andere naam”.
Reageer
JuliavB @djoelzz4 maart 2026 01:20
Misschien een domme vraag. Maar geldt dit ook voor personen met constante bewaking. En een belangrijke baan. Bijv CEO van een bank, TV organisatie of asml. Ik neem aan dat hun wel meer contact hebben en meer betalen voor betere privacy/bewaking met hun data.
Reageer
HakanX @JuliavB4 maart 2026 02:29
Die hebben zakelijke aansluitingen. Een bank kan bv 1000 aansluitingen hebben, de CEO gebruikt één daarvan, maar dat staat verder nergens geregistreerd welke dat is, behalve in hun eigen administratie eventueel.
Reageer
Gast Gebruiker @HakanX4 maart 2026 06:34
Bij de organisatie waar ik werk, zijn inderdaad alleen gegevens gelekt van de personen die in de businessportal van Odido kunnen.

Van de reguliere gebruikers lijkt niks te zijn gelekt, ondanks dat de namen en mailadressen wel gekoppeld zijn aan de simkaarten.
Reageer
MarcMK2 @Gast Gebruiker4 maart 2026 11:41
Dat komt omdat de business portal van odido niet aan de salesforce database gekoppeld was. Alleen zakelijke contactpersonen zijn gegevens van gelekt
Reageer
WillySis
@HakanX4 maart 2026 10:41
Die mensen hebben vaak naast een zakelijk nummer ook een eigen nummer voor gebruik door vrienden en familie. Telefoons hebben niet voor niets vaak de mogelijkheid voor twee simkaarten en soms zelfs ook nog een e-sim. Ook verdomde handig als je (zoals ik) een deel van het jaar in een andere tijdzone woont.
Reageer
HijDieAllesWeet @WillySis4 maart 2026 11:36
Ik zou denken als je echt constant beveiligd moet worden dat whoever die beveiliging doet ook zorgt dat je veilig kan communiceren met je vrienden en familie. Dat dit lekt lijkt mij eigenlijk net zo goed een fout van de beveiligende instelling dan van Odido.

Al was Odido niet gehackt. Het is logisch dat een klantenservice medewerker wel bij de gegevens kan tijdens het normale werk. Koop je er van iedere provider eentje om en dan ben je ook bij de gegevens van het beveiligde persoon.

[Reactie gewijzigd door HijDieAllesWeet op 4 maart 2026 11:38]

Reageer
WillySis
@HijDieAllesWeet4 maart 2026 11:44
Ook een beveiligd persoon heeft het recht om een eigen telefoon contract af te sluiten. Hij/zij zal dat nummer dan aan een heel select groepje mensen doorgeven. Je gaat er dan van uit dat de gegevens bij de telecomprovider veilig zijn. Helaas is die veiligheid begrensd.

Voor een aantal beveiligde personen kan deze hack dus inhouden dat ze (weer) moeten verhuizen, nieuw paspoort aanvragen enz. Kortom een hoop extra ellende.
Reageer
HijDieAllesWeet @WillySis4 maart 2026 11:51
Het recht zal je wel hebben. Maar als jij echt rond de klok beveiliging nodig hebt is dat wel dusdanig serieus dat je zou ik denken een provider niet kan vertrouwen. En het is voor de instantie die jou beveiligt natuurlijk een koud kunstje op een nummer voor je te regelen wat niet gelinkt kan worden aan je persoonlijke gegevens.

Ik neem aan dat om maar wat te noemen de koning ook niet met een standaard telefoon met persoonlijk Odido abonnement rondloopt.

Niet dat deze hack niet een hele kwalijke zaak is hoor! Voor iemand die bijvoorbeeld in een blijf van mijn lijf huis zit liggen de zaken natuurlijk al weer heel anders. Misschien moeten de providers hier een optie in voorzien? Maar op dat punt ben je denk beter af met gewoon een anonieme prepaid die je af en toe wisselt.

[Reactie gewijzigd door HijDieAllesWeet op 4 maart 2026 11:55]

Reageer
supersnathan94
@djoelzz4 maart 2026 02:39
Als klant ga je ervan uit de je gegevens niet gelekt worden.
Even. Dat is ondertussen wel erg naïef gebleken in de afgelopen 15 jaar.

Ik doe eigenlijk al jaren niks meer online op mijn daadwerkelijke naam als het niet hoeft.
Je moet (kopie) paspoort aanleveren om je te identificeren, anders kan er geen contract worden opgesteld. Dan kom je niet ver met “een andere naam”.
En dat is dan waar je met een stichting of bedrijf aan de gang gaat om dergelijke zaken te verhullen. Dat is dan ook gewoon noodzakelijk.

Je kunt dan gewoon niet er op vertrouwen dat bedrijven dit goed voor je regelen. Kijk naar een gemiddeld Ziekenhuis hoe slecht medisch personeel met die gegevens omgaan.
Reageer
BasZer @supersnathan944 maart 2026 07:27
[...]

Ik doe eigenlijk al jaren niks meer online op mijn daadwerkelijke naam als het niet hoeft.


[...]
Lol, ik ook. Mn vrienden en familie lachen mij altijd uit als ik bestel onder een pseudoniem.

Helaas bij abonnementen kan dat slecht...
Reageer
hoefjenietewete @supersnathan944 maart 2026 08:44
Veel CRM systemen staan in de cloud.
Ook als je niets online doet zullen je gegevens online staan (gelukkig meestal goed beveiligd).
Een helpdesk uitbesteden aan een ander bedrijf of lokatie is gemakkelijk (India is goedkoop...), maar die mensen krijgen toegang tot alle gegevens.
Reageer
teek2 @djoelzz4 maart 2026 08:20
Niet elke klant gaat er vanuit dat zijn gegevens niet gelekt worden. Sommige mensen hebben unieke wachtwoorden, email alliassen, verzinnen random controle zinnen en antwoorden.

Helaas moet een bedrijf vaak data van je hebben en dat geef je dan maar met flinke tegenzin. Want je weet dat het fout kan gaan.

Wat kwalijk is is dat ze dingen bewaren die ze niet direct nodig hebben. De hele GDPR/AVG is er op gericht dat je alleen dingen bewaart die echt nodig zijn voor het funtioneren.

Misschien moeten we daar nog eens goed over nadenken en iets verzinnen als public/private key crypto(grafie voor de duidelijkheid), waar jij je makkelijk naar een bedrijf kunt identificeren, maar een bedrijf niet direct alles van jou naar boven kan halen. Bijvoorbeeld dat je ID met digid (oid, ik weet het, dat heeft zijn eigen problemen) kan bevestigen dat je bent wie je zegt dat je bent en dat je zolang je betaald verder weinig nodig hebt. Met wat veranderingen kan ze zelf unieke "ibans" maken per betaling, getekend met je private key op het moment van betaling. Het klinkt omslachtig maar er gebeurd ook een hoop "omslachtigs" terwijl ik dit berichtje post en daar staan we verder niet bij stil.

Ik zeg maar wat he, ik ben geen expert, maar "het systeem" begint toch wel problematisch te worden.

[Reactie gewijzigd door teek2 op 4 maart 2026 08:25]

Reageer
Verwijderd @REDSD3 maart 2026 20:31
Mag niet, valt onder identiteitsfraude en valsheid in geschrifte. Indien nodig krijgt men een nieuwe identiteit van justitie met een nieuwe geboorteakte.
Reageer
Henkieschmenkie @Verwijderd4 maart 2026 02:34
Je doet het voorkomen alsof je die nieuwe identiteit zo even uit de automaat trekt. Het OM is echter zéér terughoudend met het zetten van die stap.
Reageer
Keypunchie
@djspare3 maart 2026 20:32
Odido weet dit niet, maar het is om aan te geven dat het een gevoelige lijst is.

RTL verslaggevers praten natuurlijk veel met "opiniemakers", daar zitten uiteraard ook een aantal tussen die beveiliging nodig hebben. Die telefoonnummers hebben zij gecheckt op voorkomen in de lijst...

Het komt allemaal nogal wat gratuit over. Als je zo'n grote en brede datadump hebt (In de orde van 1 op de 3 Nederlanders!), dan zitten er uiteraard ook ministers en burgemeesters (die hebben ook wel eens beveiliging nodig) tussen.

[Reactie gewijzigd door Keypunchie op 3 maart 2026 20:33]

Reageer
iAR @Keypunchie4 maart 2026 07:14
Nou, niet helemaal waar. Ik hoorde gister bij Eva dat er notities zijn gelijkt. Niet alleen beveiligde mensen maar óók mensen met vervelende exen of stalkers. Dat is nogal pijnlijk.
Reageer
mjl @djspare3 maart 2026 20:59
Nee je zou bijv in de lijst kunnen gaan zoeken naar gegevens van mensen die beveiligd worden, Geert Wilders bijvoorbeeld. Je kunt dan wellicht genoeg gevoelige info verzamelen om iets kwaads uit te voeren.

De dataset an sich is maar beperkt schadelijk (op individuen na waarbij informatie over een benarde financiële situatie in de data staat).

Maar juist in combinatie met andere (meta)data of kennis wordt het een stuk gevaarlijker.
Reageer
CreativeS @djspare4 maart 2026 07:23
Beveiligde mensen (en mensen waarvan men denkt dat ze interessant voor het gaaies zijn) hebben een NCTV-pakket in de auto. Drie noodknoppen, extra GPSm antenne's achter de bumper en een kastje achterin de auto. Dat kastje achterin maakt verbinding met de meldkamer. Dat gaat (vaak) via een verbinding van... juist. Alleen is het dan raar dat die sim op naam staat, anders kan men niet achter de gegevens komen. Dat zou niet zo moeten zijn.
Reageer
kabelmannetje @djspare4 maart 2026 03:25
Als je de krant leest, ben je al een heel eind om te weten welke politici beveiligd worden.
Reageer
BPG908 3 maart 2026 20:29
Het lek is ongekend groot, omvangrijk en bovendien vrij toegankelijk via normale downloadlinks voor iedereen, dankzij Odido. Ze hebben niets, maar dan ook niets gedaan om de schade te beperken; je vraagt je af of je als bedrijf op een gegeven moment niet schuldig bent aan nalatigheid of zelfs medeplichtigheid. Dat is ook alles waar Odido zich mee bezighoudt: de juridische kaders, en niets doen voor de (ex-)klanten om schade (distributie) te voorkomen.
Reageer
eggsforpedro @BPG9083 maart 2026 20:42
Vind het wel bijzonder dat de aandacht telkens zo sterk bij Odido ligt, en niet bij de hackers. Er valt Odido zeker wat te verwijten; maar laten we niet vergeten dat de primaire oorzaak van al deze ongein ligt bij de hackergroep, niet bij Odido.
Reageer
Luchtbakker @eggsforpedro3 maart 2026 20:47
Vind het wel bijzonder dat de aandacht telkens zo sterk bij Odido ligt, en niet bij de hackers. Er valt Odido zeker wat te verwijten; maar laten we niet vergeten dat de primaire oorzaak van al deze ongein ligt bij de hackergroep, niet bij Odido.
Dat is echt te kort door de bocht. Odido is op heel veel vlakken nalatig geweest, en zelfs hun softwareleverancier heeft ze al meermaals gewaarschuwd.

https://nos.nl/artikel/26...oor-gebruikte-hackmethode
Vorig jaar waarschuwde Salesforce ook al een aantal keer voor de gebruikte methode, waaronder in oktober in een officiële security-update. Ook beveiligingsbedrijf Mandiant, onderdeel van Google, en de FBI hebben waarschuwingen uitgedaan.
En blijkbaar was de prioriteit niet hoog genoeg om dit op te pakken met dit tot gevolg, ondanks diverse waarschuwingen uit diverse belangrijke hoeken. Odido is absoluut wel verantwoordelijk voor alles wat hier gebeurt is.
Reageer
eggsforpedro @Luchtbakker3 maart 2026 20:50
Ik zeg toch dat Odido ook wat te verwijten valt? Dat verandert niets aan het feit dat de hackergroep primair verantwoordelijk blijft, en Odido secundair. Als ik m’n huis slecht beveilig, valt de inbreker nog steeds meer te verwijten dan mijzelf.
Reageer
BPG908 @eggsforpedro3 maart 2026 21:00
Odido heeft zijn zaken niet op orde. Odido is de ‘eigenaar’ van de data en daarmee 100% primair verantwoordelijk. Wij, als klanten, vertrouwen er namelijk op dat Odido netjes met onze data omgaat; dat blijkt nu niet zo te zijn.

Dat de hackers geen ethische hackers zijn en geld eisen, is absoluut te betreuren, dat ze de data daarna hebben gepubliceerd nog meer; dat ben ik het met je eens. Maar als de primair verantwoordelijke voor deze data zijn zaken op orde had gehad, was er geen secundaire partij geweest die er iets mee had kunnen doen.
Reageer
eggsforpedro @BPG9083 maart 2026 21:06
Ik ben het oneens met je gebruik van ‘primair’. De hackergroep is wat mij betreft primair verantwoordelijk, Odido secundair. Agree to disagree.
Reageer
The Third Man @eggsforpedro3 maart 2026 22:21
De onnodige gegevensopslag ver voorbij wat noodzakelijk is volgens de wetgeving is niet de schuld van de hackers. Het is door hen bekend geworden. Het betekent dus ook dat anderen dan hackers bij deze data had kunnen komen. Ook een sysadmin die dit jaar er was komen werken had dus gevoelige gegevens van mensen die al jaren geen klant meer waren kunnen terugzien. Dat hoort sowieso niet te kunnen. Hack of niet. Daar bestaan juist die regels van maximale bewaartermijnen voor.

Is het ook de schuld van de inbrekers als ze ontdekken dat iemand grote hoeveelheden vuurwerk of drugs in diens huis bewaard?

Niemand ontkent dat de hackers iets misdaan hebben, maar het probleem is veel groter: namelijk dat organisaties eigenlijk zonder problemen dit soort dingen kunnen doen, totdat ofwel een klokkenluider het meldt of dat ze gehackt worden. En dat gebeurt recentelijk redelijk vaak. Je lijkt dat algemene probleem niet te zien maar alleen de misdragingen van de hackers.

[Reactie gewijzigd door The Third Man op 3 maart 2026 22:34]

Reageer
supersnathan94
@The Third Man4 maart 2026 02:44
Niemand ontkent dat de hackers iets misdaan hebben, maar het probleem is veel groter: namelijk dat organisaties eigenlijk zonder problemen dit soort dingen kunnen doen, totdat ofwel een klokkenluider het meldt of dat ze gehackt worden. En dat gebeurt recentelijk redelijk vaak. Je lijkt dat algemene probleem niet te zien maar alleen de misdragingen van de hackers.
Maakt het des te meer wrang dat overheden ook niet meekijken naar dit soort zaken en bedenken, “goh, misschien was die identificatieplicht best wel een dom idee”. Want laten we eerlijk zijn. De data minimalisatie is erg lastig als ook de overheid vind dat je inclusief kopie en al je identiteitsbewijs moet laten opslaan.

Dat kan alleen maar fout gaan.
Reageer
The Third Man @supersnathan944 maart 2026 08:06
Waar eist de overheid dat men die vervolgens bewaart voor diegenen die geen klant meer zijn? En wat heeft de overheid voor schuld als Odido vervolgens de keuze maakt om het in een Salesforce systeem op te slaan en niet in een aparte databank die voor gevoelige data ontworpen is?
Reageer
supersnathan94
@The Third Man4 maart 2026 19:46
Ze stonden niet in Salesforce maar juist in een aparte databank die er voor ontworpen zou moeten zijn. Alleen de link tussen die twee is het documentnummer en dat is dus nu gelekt.

En over bewaartermijnen lopen praten is totaal niet interessant. Ondertussen weten we dat zelfs de overheid en justitie dat ook gewoon verkeerd doen dus dat is gewoon een fout in handhaving en auditing.

Het feit dat de overheid vind dat het moet worden opgeslagen is al een probleem. Die bewaartermijn is leuk voor een paar mensen (en wettelijk moet dat ook gewoon 7 jaar als je het onder administratieve bewaarplicht schaart). Zelfs als je al 5 jaar geen klant meer bent is het binnen wettelijke kaders dus prima uit te leggen dat je data er nog is.

Dat handjevol mensen die al 7+ jaar geen klant meer is maakt op 6,5 miljoen ook niet meer zoveel uit.


Nee de overheid weet dondersgoed dat dit keer op keer op keer fout gaat, zelfs binnen hun eigen (interne) diensten.
Reageer
The Third Man @supersnathan944 maart 2026 21:06
Ze stonden niet in Salesforce maar juist in een aparte databank die er voor ontworpen zou moeten zijn. Alleen de link tussen die twee is het documentnummer en dat is dus nu gelekt.
Wat bedoel je precies? Er is toch duidelijk geworden dat er veel meer in Salesforce stond dan Salesforce standaard aanbiedt? roawser in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2' . Waar haal je die aparte databank vandaan?
En over bewaartermijnen lopen praten is totaal niet interessant. Ondertussen weten we dat zelfs de overheid en justitie dat ook gewoon verkeerd doen dus dat is gewoon een fout in handhaving en auditing.
Als de overheid iets steelt, mogen we dan niet bedrijven op hun diefstal aanspreken? Als een ambtenaar corrupt is mogen we andere corruptie niet meer aanpakken? Dat is toch niet realistisch om in onze rechtstaat te roepen waar het tegenovergestelde in de praktijk plaatsvindt?
Dat handjevol mensen die al 7+ jaar geen klant meer is maakt op 6,5 miljoen ook niet meer zoveel uit.
Je maakt hier een drogreden door 1 specifiek voorbeeld te cherry picken en dan diens kleine omvang (die je ook nog eens voor het gemak aanneemt) te laten spreken voor het allesomvattende probleem. Dat is wel erg kinderachtig. Het probleem is het lekken van alle gegevens van alle klanten + voormalige klanten, waarbij de schaal van de ernst afhangt van hun status. Dus ook ikzelf bijvoorbeeld, die slechts enkele maanden klant was om even tijdelijk Klik & Klaar te gebruiken ivm een verhuizing, sta in de hack. En dus al die andere gevallen waarbij Odido geen rechtsgrond had om die gegevens nog langer te bewaren.
Nee de overheid weet dondersgoed dat dit keer op keer op keer fout gaat, zelfs binnen hun eigen (interne) diensten.
Wijzen naar iets anders 'want hunnie doen het ook' is juist totaal niet interessant. Niet voor niets omdat er wel degelijk een juridische zaak is gestart (vanuit het strafrecht dus, voor de duidelijkheid). Dat jij overduidelijk problemen met de overheid hebt op dit punt verandert niks aan wat Odido voor de rest voor problemen veroorzaakt heeft.

[Reactie gewijzigd door The Third Man op 4 maart 2026 21:07]

Reageer
supersnathan94
@The Third Man5 maart 2026 04:22
Wat bedoel je precies? Er is toch duidelijk geworden dat er veel meer in Salesforce stond dan Salesforce standaard aanbiedt? roawser in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2' . Waar haal je die aparte databank vandaan?
En waar zie jij daar een veld wat daadwerkelijk het ID opslaat? Ik zie daar wel
ID_number__c
ID_type__c
ID_valid__c
Wat gewoon documentnummer, type en geldigheid zijn die ik hier in zou verwachten. Er is nog een “Person_ID__c” veld, maar ik zie nergens een een uitleg van wat er dan verder nog staat. Wetende dat Salesforce dit soort dingen helemaal niet wil, meer dan productfoto’s kost namelijk gewoon heel veel capaciteit, ga ik er ook vanuit dat dit goed gaat.

Totdat Odido of wie dan ook, daar daadwerkelijk uitspraken over doen is dat dus niet bewezen. ik zie in die veld dump iig niet een veld waarvan ik denk aha dat is een direct store van de scan.

Anderen hebben namelijk al lang gemeld dat dit ook het geval is: William_H in 'RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek'

Ook HIBP geeft aan dat het alleen gaat om document nummers:
The exposed data includes names, physical addresses, phone numbers, bank account numbers, dates of birth, customer service notes and passport, driver’s licence and European national ID numbers.
Dusse. Ja dan houd het wel een beetje op toch?
Als de overheid iets steelt, mogen we dan niet bedrijven op hun diefstal aanspreken? Als een ambtenaar corrupt is mogen we andere corruptie niet meer aanpakken? Dat is toch niet realistisch om in onze rechtstaat te roepen waar het tegenovergestelde in de praktijk plaatsvindt?
Je mag andere corruptie zeker wel aanpakken, maar wat ik probeer te zeggen is, een gewaarschuwd mens telt voor twee. dit is niet de eerste keer en zal ook niet de laatste keer zijn.
Je maakt hier een drogreden door 1 specifiek voorbeeld te cherry picken en dan diens kleine omvang (die je ook nog eens voor het gemak aanneemt) te laten spreken voor het allesomvattende probleem. Dat is wel erg kinderachtig. Het probleem is het lekken van alle gegevens van alle klanten + voormalige klanten, waarbij de schaal van de ernst afhangt van hun status. Dus ook ikzelf bijvoorbeeld, die slechts enkele maanden klant was om even tijdelijk Klik & Klaar te gebruiken ivm een verhuizing, sta in de hack. En dus al die andere gevallen waarbij Odido geen rechtsgrond had om die gegevens nog langer te bewaren.
Maar dit is dus een foutieve aanname van jou. Als jij klik en klaar klant bent geweest MOET Odido administratieve data van jou nog 7 jaar na einde contract bewaren. Dus er is grondslag. Er zijn echt heeeeel weinig gevallen waarin de grondslag ontbreekt.
Je maakt hier een drogreden door 1 specifiek voorbeeld te cherry picken
Jij begon over oud klanten:
De onnodige gegevensopslag ver voorbij wat noodzakelijk is volgens de wetgeving is niet de schuld van de hackers.
Het deel “ver voorbij wat noodzakelijk is” is een gigantische aanname van heel veel mensen.

“Ja maar ik ben al 5 jaar geen klant meer”. Dus? Dan is er nog steeds een wettelijke verplichting. jouw eigen situatie ook “ik ben maar een paar maanden klant geweest voor K&K”. Jouw data moet op zijn minst worden bewaard tot 5 september 2031. 7 jaar na de introductie van het product, want daarvoor kon je het dus niet hebben.

Dat is een minimale wettelijke termijn. Snap je dat de schaal van het aantal “grondslag ontbreekt” casussen daarmee dus drastisch afneemt? Er zullen er vast bij zitten waar dit het geval is hoor, maar je komt echt met verkeerde aannames ook voor je eigen situatie.
Wijzen naar iets anders 'want hunnie doen het ook' is juist totaal niet interessant
Nou. Het ding is dus dat overheid jaren geleden al gewaarschuwd is (net als odido door hun leverancier) en dat ik de overheid daar wel degelijk voor verantwoordelijk houd, omdat de wetgeving niks tegenhoud, maar wel voor dit soort lekkages zorgt keer op keer op keer. Dit is niet de eerste keer. Vodafone en KPN zijn in het verleden ook al de sjaak geweest, maar daar heeft dus ook niemand wat van geleerd.
Dat jij overduidelijk problemen met de overheid hebt op dit punt verandert niks aan wat Odido voor de rest voor problemen veroorzaakt heeft.
Het is half half. Odido heeft nu het probleem gecreëerd, maar zij kunnen het niet oplossen.

De overheid heeft de mogelijkheid het probleem te voorkomen en om de schade te beperken, maar beide gaan ze niet doen.
Reageer
The Third Man @supersnathan945 maart 2026 16:40
En waar zie jij daar een veld wat daadwerkelijk het ID opslaat? Ik zie daar wel
ID_number__c
ID_type__c
ID_valid__c
Wat gewoon documentnummer, type en geldigheid zijn die ik hier in zou verwachten. Er is nog een “Person_ID__c” veld, maar ik zie nergens een een uitleg van wat er dan verder nog staat. Wetende dat Salesforce dit soort dingen helemaal niet wil, meer dan productfoto’s kost namelijk gewoon heel veel capaciteit, ga ik er ook vanuit dat dit goed gaat.

Totdat Odido of wie dan ook, daar daadwerkelijk uitspraken over doen is dat dus niet bewezen. ik zie in die veld dump iig niet een veld waarvan ik denk aha dat is een direct store van de scan.
Ik mis even waar in de eerdere discussie het specifiek over een scan van het ID ging? Ik heb het in ieder geval over de klantgegevens in het algemeen gehad.
Dusse. Ja dan houd het wel een beetje op toch?
Na ja, de wet verbiedt dus niet specifiek het bewaren van het ID zelf en daar gaat het in het algemeen natuurlijk niet om. Er zijn allerlei andere voorbeelden van gevoelige data in de media belicht, zoals dat mensen onder toezicht van een bewindvoerder staan. Los van die specifieke punten is het algemene punt dat volgens de AVG alleen bewaard mag worden wat essentieel is voor de uitvoering van de overeenkomst of wat de relatie dan ook inhoudt, aangevuld met wat de wet verplicht. Bij Odido is op beide fronten veel meer gelekt.
Maar dit is dus een foutieve aanname van jou. Als jij klik en klaar klant bent geweest MOET Odido administratieve data van jou nog 7 jaar na einde contract bewaren. Dus er is grondslag. Er zijn echt heeeeel weinig gevallen waarin de grondslag ontbreekt.
Niet alle gegevens... Je doet het alsof data een soort monolith is wat je als allesomvattend pakketje wel of niet bewaart zonder enige vorm van maatwerk. Men moet enkel een zeer beperkte set minimale gegevens langer bewaren, naar mijn idee NAW of iets in die richting. Niet al die andere records die nu ook zijn gelekt. Ik ben zelf nergens 7 jaar tegengekomen, in de media heeft men het over 2 jaar. Maar misschien mis ik een specifieke wet die jij wel kent?

En waarom kan die data niet gearchiveerd worden in plaats van in hetzelfde Salesforce CRM bewaard te worden :? dat slaat toch sowieso nergens op?
Nou. Het ding is dus dat overheid jaren geleden al gewaarschuwd is (net als odido door hun leverancier) en dat ik de overheid daar wel degelijk voor verantwoordelijk houd, omdat de wetgeving niks tegenhoud, maar wel voor dit soort lekkages zorgt keer op keer op keer. Dit is niet de eerste keer. Vodafone en KPN zijn in het verleden ook al de sjaak geweest, maar daar heeft dus ook niemand wat van geleerd.
Criminaliteit vindt ook herhaaldelijk plaats, dat betekent niet automatisch dat 'niemand er wat van geleerd heeft', ook dat is monolitisch denken. De trend is wat telt en die is niet dat er steeds meer bedrijven lekken, integendeel dat neemt juist steeds meer af. Mede daarom dat men gerichter op zoek naar grote vissen gaat en niet meer algemeen de mysql+php via phpipam of wordpress hackt en even de md5 wachtwoorden decodeert. Het is tenslotte natuurlijk multidimensionaal probleem wat je niet kan beoordelen op 1 aspect of 1 soort incidentie en dan concluderen dat men 'er wat van geleerd heeft'.

[Reactie gewijzigd door The Third Man op 5 maart 2026 16:45]

Reageer
BeosBeing @supersnathan944 maart 2026 12:44
Maakt het des te meer wrang dat overheden ook niet meekijken naar dit soort zaken en bedenken, ...

Dat kan alleen maar fout gaan.
Die overheden hebben ook hun eigen belang bij de dataopslag.
We weten allemaal uit het verleden dat belastingdienst, politie e.d. allemaal de bewaartermijn overtraden, online meer gegevens verzamelden als waarvoor wettelijke grondslag was, ze onder de wet probeerden uit te komen door politiegegevens (bv van ANPR-camera's) op te slaan bij de belastingdienst of bij buitenlandse partners (voornamelijk geheime diensten).
Reageer
memphis @eggsforpedro3 maart 2026 21:36
De vraag is natuurlijk of deze hackers de data hadden kunnen bemachtigen met een betere beveiliging. Maar dat terzijde. Dat er oud klanten in staan die al lang gewist hadden moeten worden en dat er kopiebewijzen van ID's in staan is wel degelijk Odido te verwijten, ze hadden te veel data dat niet (lang) had opgeslagen gemogen.
Reageer
William_H @memphis3 maart 2026 23:20
Correctie: Er stonden wel paspoortnummers in het systeem, en BTW nummers van ZZP-ers die tot 2020 een BTW nummer hadden dat afgeleid was van hun BSN waardoor die nu ook bekend is.
Maar....er stonden geen 1op1 kopietjes ID/paspoort in het gehackte systeem.
Reageer
miicker @memphis3 maart 2026 23:35
Natuurlijk had Odido zich veel beter kunnen beveiligen. 2FA had dit probleem al opgelost, want de hackers hebben met de inloggegevens van een medewerker de data in handen gekregen. Daarnaast had Odido de downloadmogelijkheid van deze gegevens tot een minimum kunnen beperken, dat soort zaken zijn allemaal in te regelen binnen Salesforce. In mijn ogen is Odido 100% verantwoordelijk vanwege hun grove nalatigheid. In dit soort gevallen is het jammer dat we geen rechtstaat hebben zoals in Amerika, want dan zouden de miljoenen/miljardenclaims Odido nu (terecht) om de oren vliegen. Nu kunnen ze fluitend verder en worden ze misschien een keer op de vingers getikt door de AP.
Reageer
jargij @miicker4 maart 2026 08:05
2FA had in dit specifieke geval helaas geen verschil gemaakt. De hack bij Odido verliep (vermoedelijk; als je alle waarschuwingen vanuit Salesforce en FBI leest over hoe de hackers aan de slag gaan) via een externe, malafide oauth2 applicatie waarin een medewerker inlogde met zijn bestaande werkaccount. Die app kreeg daardoor legitieme toegangsrechten via het oauth2, niet via gestolen gebruikersnaam en wachtwoord.
Reageer
ArmEagle @jargij4 maart 2026 08:15
(Edit: Als dat zo zou zijn, dan:) Misschien had het systeem niet willekeurige externe oauth2 moeten accepteren?

[Reactie gewijzigd door ArmEagle op 4 maart 2026 09:54]

Reageer
nandervv @ArmEagle4 maart 2026 08:20
Als ze dat accepteerden, dan is het wat mij betreft iets waar een rechter zich over mag buiten, en mogen de personen die die beslissing gemaakt worden wel een tijdje brommen. Op zo'n noob-manier omgaan met de data van miljoenen mensen, dat kan gewoon niet.

Misschien hebben we een soort BIG-register nodig voor IT-ers en IT-managers.
Reageer
jargij @ArmEagle4 maart 2026 09:30
Dat lijkt mij een hele goede, het fijne weet ik er natuurlijk ook niet van, maar ik kan me zo voorstellen dat Salesforce hier niet echt settings voor heeft en dat dit probleem eigenlijk bij Salesforce opgelost had moeten worden.

Maar nogmaals, geen Salesforce deskundige. :)
Reageer
Quintiemero @miicker4 maart 2026 08:55
Vriendelijk verzoek om geen nepnieuws in de wereld te brengen. 1: er was 2fa maar juist dat konden ze dmv social engineering omzeilen. en 2. De hackers hebben de database niet ' gedownload'. maar gescraped.
Reageer
MaltheseFalcon @eggsforpedro3 maart 2026 23:01
Deze discussie moet mij denken aan een citaat de film "The Contender":
Mr. Chairman, let's just say..."I'm guilty but not responsible", hmm?
Schuld en verantwoordelijkheid zijn twee concepten die we makkelijk door elkaar gebruiken, maar toch staan voor verschillende ideeën. Voor de vraag wie verantwoordelijk is voor het lekken van onze persoonsgegevens zou eigenlijk geen discussie mogen bestaan.
Reageer
Quintiemero @MaltheseFalcon4 maart 2026 08:55
En Odido is weer 100% verwerkingsverantwoordelijke ;)
Reageer
aikebah @MaltheseFalcon4 maart 2026 09:53
Beiden zijn verantwoordelijk voor het lekken van de gegevens op hun eigen wijze. Odido voor (met name de schaal van) lekken naar de hackers, de hackers voor het lekken naar de hele wereld.
Reageer
R4gnax
@eggsforpedro3 maart 2026 23:14
Verantwoordelijkheid is niet hetzelfde als oorzaak, heh?
Reageer
latka @eggsforpedro4 maart 2026 00:00
Je zou het ook uitlokking kunnen noemen door Odido: de beveiliging was zo slecht (en blijkbaar al bekend) dat het wachten was op een hack.
Reageer
Waarnemer @BPG9083 maart 2026 21:07
alle beveiliging is te kraken..makkelijk en moeilijk en alles ertussenin.
wanneer houdt dan de primaire verantwoordelijkheid op volgens jou?

als jij door het rood rijdt, ben jij dan fout of de man/vrouw die de script heeft geschreven dat de lampjes op het kruispunt aanstuurt?
Reageer
The Third Man @Waarnemer3 maart 2026 22:31
Het gaat er niet om dat het te kraken is, het gaat erom hoe moeilijk dat is. Net als dat een brandkast moeilijker te kraken is dan een archiefkast met een slot erop. Kan je ook zeggen “alles is te kraken” maar dat is natuurlijk niet een realistische constatering. Gegevens uit de brandkast halen is een orde van grootte moeilijker en haalt dus wel bepaalde mate van veiligheid. En dus waarom een notaris of advocaat wel een brandkast gebruikt en niet de archiefkast.

Daarnaast is er los van de beveiliging de illegaliteit van gegevens langer dan strict noodzakelijk bewaren. Wiens schuld is dat anders dan van Odido? Al helemaal om ook gevoelige gegevens zoals bijvoorbeeld ID-bewijs documentnummers in een Salesforce klantenbestand op te slaan?

Om terug te komen op je “alles is te kraken” rethoriek: iets wat niet meer in het bestand zit valt niet met welke kraak dan ook alsnog te herstellen. Dat is ook exact waarom die regelgeving hiervoor is ingevoerd!
als jij door het rood rijdt, ben jij dan fout of de man/vrouw die de script heeft geschreven dat de lampjes op het kruispunt aanstuurt?
Diegene die hier het script heeft geschreven is Salesforce, die heeft zelfs meerdere malen gewaarschuwd aan Odido dat er bepaalde beveiligingslekken waren en nog heeft Odido er niks aan gedaan. Dus wel ironisch dat je vergelijking met het stoplicht juist onderstreept dat Odido hier fout zat.

[Reactie gewijzigd door The Third Man op 3 maart 2026 22:33]

Reageer
BPG908 @Waarnemer3 maart 2026 21:16
De verantwoordelijkheid blijft hier gewoon bij de eigenaar van de data; deze data had niet bereikbaar hoeven zijn. Dat is een keuze van Odido, niet van de hackers.

"als jij door het rood rijdt, ben jij dan fout of de man/vrouw die de script heeft geschreven dat de lampjes op het kruispunt aanstuurt?"
Als het stoplicht al dagen op rood staat wel, en dat was in dit geval zo. Het stond al dagen c.q. weken op rood en er was al heel vaak gewaarschuwd voor de beveiligingsrisico’s.

https://nos.nl/artikel/2604265-toeleverancier-odido-waarschuwde-voor-gebruikte-hackmethode
Reageer
Zorg @eggsforpedro3 maart 2026 21:29
Als jij moedwillig je huis niet goed beveiligd ben je zelf ook aansprakelijk. Als jij je pincode niet goed afschermt tijdens het pinnen ben jij aansprakelijk. Als je door geavanceerde scamming een bedrag overmaakt naar Timboektoe ben jij aansprakelijk.

Als het management willens en wetens te weinig heeft gedaan aan security, zijn ze niet meer aansprakelijk, geen verantwoordelijkheid en wordt afgedaan met zoek het maar uit? Rare beredenering.

En nee dit had niet hoeven gebeuren. Geen menselijke fout, geen de gebruiker heeft de training niet gevolgd. Salesforce stond blijkbaar dusdanig open (hetgeen ook al meermaals is aangegeven) dat er nul komma nul effort is gedaan om malafide gebruik van data tegen te gaan. Reken maar dat dit een kostenafweging is geweest!

[Reactie gewijzigd door Zorg op 3 maart 2026 21:33]

Reageer
eggsforpedro @Zorg3 maart 2026 21:42
Yup. Ik zeg ook nergens dat Odido hier niet aansprakelijk is.
Reageer
Zorg @eggsforpedro3 maart 2026 22:18
Nee maar wel dat ze secundair verantwoordelijk zijn, daarvan zeg ik van niet ;)
Reageer
Daoka @Zorg4 maart 2026 00:08
Ik weet het mooi gemaakt. Odido is secundair verantwoordelijk voor de hack aangezien Odido niet deze illegale activiteit deed. En primair verantwoordelijk voor de slechte beveiliging. Hebben jullie allebei gelijk.
Reageer
ocarina @Zorg4 maart 2026 05:25
2FA stónd aan nota bene. Daar hebben ze zich dwars doorheen gesocial-engineerd door zich voor te doen als de IT-afdeling.

Wat mij dan weer zegt dat de kennis van (sommige) medewerkers zo zwaar ondermaats was dat je ze amper een computer in handen durft te geven, laat staan toegang tot zoveel klantgegevens.
Reageer
Majesty @Zorg3 maart 2026 23:31
Ik ben wel benieuwd wat er nu precies zo onveilig was aan de manier waarop men Salesforce gebruikte hij Odido. Daar lijkt niets over geschreven te zijn, maar uit jouw schrijven maak ik op dat je er meer over weet?
Reageer
Zorg @Majesty4 maart 2026 06:45
Blijkbaar had iedereen overal toegang toe en waren er security warnings genegeerd. Dit was eerder al eens gepost.

En het feit dat ze de hele dataset hebben weten te bemachtigen. Dat zou alleen mogelijk moeten zijn door een beperkt aantal accounts. (Dus geen geld gespendeerd om dit goed te doen met user rollen)

En het feit dat ze data bewaarden die ze niet continue nodig hebben (dus geen geld gespendeerd aan een deftig data retentiebeleid)

Genoeg red flags als je het mij vraagt! De omvang, oudheid van de dataset en de content zelf toont toch al aan dat er iets niet helemaal goed opgezet was. Dat staat los van de human error. Ik weet natuurlijk niet hoe ze bij odidoo hun IT beleid hebben georganiseerd maar heb voldoende ervaring op gebied van data en management.

Deze manier van hacking gaat nog wel groter worden, het zijn geen overduidelijke mailtjes meer, dit zijn professionele instituties die dit managen, geen zolderkamer scriptkiddies van 15 jaar geleden.
Reageer
Majesty @Zorg4 maart 2026 07:54
Ik zie veel aannames, want 'iedereen had overal toegang toe' is nergens gesteld. Maar goed, dat er verschillende mensen waren die overal toegang toe hadden is een feit inderdaad. Lijkt me overigens niet dat er een download of export knop is geweest, maar dat ze gewoon paginas zijn gaan scrapen.

Ja, het valt of staat bij je autorisaties. Die moeten op orde zijn. Desnoods dat klantenservice medewerkers alleen gemaskeerde data mogen inzien bijv., net genoeg voor identificatie van een klant.
Reageer
heerhaan @Majesty4 maart 2026 08:49
Het is al vastgesteld dat ze teveel data voor een te lange tijd bewaarden, dat is dus al een herkenbare indicatie waar Odido heel duidelijk de fout in gegaan was. Ook dat er zoveel gegevens gelekt wisten te worden geeft een beeld met hoe makkelijk het blijkbaar is om alle persoonsgegevens te exporteren via een medewerkersaccount. Dat zijn dus al de feiten die je hebt, volgens mij kan je daar dan prima een oordeel over vellen hoe het gesteld is met de beveiliging aan de achterkant.
Reageer
Alvin1555 @Zorg4 maart 2026 10:26
En aan de andere kant. Als jij belt naar de verkoop binnendienst met een probleem of vraag, dan wil je niet eerst 6 lagen door omdat een medewerker niet bij je gegevens kan.

Dus afschermen van gegevens wordt lastig, Wellicht inderdaad wel afschermen van bepaalde eigenschappen van personen. maar ik denk dat je al snel tegen 'wat is werkbaar' en wat moet ik afschermen' aanloopt.
Reageer
Zorg @Alvin15554 maart 2026 13:38
Zijn maar weinig mensen die bellen om te vragen naar hun BSN nummer of het nummer van hun rijbewijs of paspoort.... kortom die gegevens konden prima gemaskeerd zijn.
Reageer
Dennis-L @eggsforpedro3 maart 2026 21:16
Die vergelijking gaat niet op.
In jouw huis liggen jouw spullen en niet de ID-kaart en andere persoonlijke gegevens van iemand anders uit jouw straat.
Reageer
eggsforpedro @Dennis-L3 maart 2026 21:20
Daar heb je een punt, hoewel ik niet vind dat m’n vergelijking daardoor niet meer opgaat. Het verhoogt de noodzaak dat ik m’n beveiliging goed op orde heb, maar doet niets af aan het feit dat de inbreker de meeste schuld draagt.
Reageer
Dennis-L @eggsforpedro3 maart 2026 21:36
Stel dat jij wel de persoonlijke gegevens van mensen uit jouw straat bij jou thuis bewaart en door slechte beveiliging worden deze gegevens uit jouw huis gestolen.
Dan vind jij dat de inbreker de meeste schuld draagt?
Jij zou dan zeggen: "Sorry mensen, ik vind het heel vervelend voor jullie. Hier hebben jullie een tweejarig Verisure-abonnement"
Reageer
latka @eggsforpedro4 maart 2026 00:03
Er zijn meerdere losstaande zaken die spelen wat de discussie primair/secundair een beetje vreemd maakt:

1) Data stelen: mag niet.

2) Beveiliging niet op orde en signalen negeren
3) Data niet geschoond (gdpr/avg)
4) Onvolledig informeren van klanten na een inbreuk

Punt 2 t/m 4 is van Odido. Punt 1 van shinyhunters. Niks secundairs of primairs aan: andere zaken.
Reageer
Bomb-el @eggsforpedro3 maart 2026 22:01
Dat is een vrij beroerd argument. Er is immers niks van Odido gestolen, alleen van al hun klanten. Zo kan ik ook mijn huis beveiligen.
Reageer
jurroen @eggsforpedro3 maart 2026 21:04
Ja, de ransomware groep is schuldig, maar tegelijk is het ook een reëel risico. Dat je geen honderd miljoen aan de digitale beveiliging van je bedrijf uitgeeft, dat volg ik nog wel. Maar een organisatie van die grootte zou wel moeten snappen dat beperkte retentie en ACL redelijk "basis beveiliging" is.
Reageer
BarôZZa @eggsforpedro3 maart 2026 23:04
Je vergelijking gaat niet op aangezien je bij je huis slecht beveiligen vooral jezelf hebt. Ik neem aan dat je geen waardevolle spullen van miljoenen anderen in je huis met de deur open gaat bewaren.

Dit is meer een vergelijking met dat je je waardevolle spullen bij de bank in een kluis bewaart. Maar dan blijkt dat de kluis open was. En als de criminelen het voor een relatief klein bedrag willen teruggeven, dat de bank het weigert.

Slechte omgaan met gegevens is slechts een kwestie van tijd voordat het misgaat. Als het niet deze hackers waren, dan waren het wel anderen.
Reageer
drvinnie @eggsforpedro3 maart 2026 23:06
Dat is toch geen goede vergelijking? Ik heb mijn spullen in bewaring bij jou. Jij hebt dan een verantwoordelijkheid om de deur op slot te doen om mijn spullen veilig te houden. Het is niet een intern foutje, ze moeten onze data zorgvuldig behandelen. Uit niets (!) blijkt dat ze dat gedaan hebben.
Reageer
KaiKai @eggsforpedro4 maart 2026 02:24
Scheve vergelijking. Het is alsof je zegt, als een bank zich slecht beveiligt, dan is het alsnog de schuld van de inbrekers dat ze zo stout zijn geweest geld mee te pakken. En dat dat is natuurlijk niet zo. De bank in kwestie is (bij nalatigheid zoals bij Odido) hartstikke schuldig aan het niet veilig houden van mijn geld en in dit geval Odido van mijn gegevens. Ze zouden keihard gestraft moeten worden en beboet op gelekte gegevens. Alleen dan gaan bedrijven heel hard oppassen welke gegevens ze wel hebben en hoeveel medewerkers mogen inzien per uur.
Reageer
xxs @eggsforpedro4 maart 2026 06:40
Odido was notabene gewaarschuwd door Salesforce voor de gebruikte manier van aanvallen.
Reageer
Blinkin @Luchtbakker3 maart 2026 20:58
Zeker waar, maar dat veranderd niks aan dat dit dan even goed had kunnen gebeuren. De vraag is in principe voor alle bedrijven al lang niet meer of dit je gaat overkomen, maar wanneer.
Reageer
SunnieNL @Luchtbakker3 maart 2026 22:41
Ze zijn nog steeds nalatig:

- er zijn mogelijk wachtwoorden gelekt. Waarom hebben ze van alle accounts de wachtwoorden nog niet gereset?

- waarom vraagt de support desk als je belt nog steeds om mijn postcode, huisnummer en laatste 4 cijfers van de Iban ter bevestiging? Dat heeft echt totaal geen nut meer

- waarom mailt odido de mensen, nu toch alles al op straat ligt, niet gewoon wat er van hen op straat ligt. Het is eigenlijk te gek voor woorden dat je bijna een AVG request moet doen om te zien wat ze voor gegevens hebben gelekt?

- biedt de slachtoffers echt hulp. Het geld wat vrijgespeeld wordt door de ransom niet te betalen kan gebruikt worden voor echte hulp. En nee, dat is geen vergoeding voor je paspoort, want dat lost niets op. Ook geen vergoeding van schade, want die is er nog niet. Dat is een verzekering die jou juridische hulp geeft en helpt op het moment dat je wel geraakt wordt door dit lek. Op het moment dat je alle hulp kan gebruiken tijdens stress door echt misbruik van de gegevens.
Reageer
William_H @SunnieNL3 maart 2026 23:25
Correctie: Er stonden geen wachtwoorden in Salesforce. Het enige wat er qua "wachtwoord" in stond was een oud iets dat nog gebruikt werd in de tijd van T-Mobile dat je om een wachtwoord gevraagd kon worden (of andersom) om te checken of je met de juiste persoon sprak / klantenservice T-Mobile. Dat veld was dus geen plain-text wachtwoord van je inlogaccount.

En in mijn geval, veel succes want er zat ook 2FA op.
Reageer
dss58 @Luchtbakker3 maart 2026 21:04
een vriend werkte 40 jaar terug bij een verzekeringsmaatschappij, ook zeer bekende mensen toen der tijd waren er verzekerd maar was in het systeem met allerlei beveiliging omgeven, ja, ver voor het internet tijdperk. Nu staan dat soort mensen tussen jan en alleman.... ik zeg, directie persoonlijk aansprakelijk stellen en direct uit de functie ontheven, zoiets, ze zijn alleen maar bezig om juridisch zover mogelijk uit de strijd te blijven, aanpakken die hap !
Reageer
bytemaster460 @dss583 maart 2026 21:27
Vroeger stonden ze natuurlijk ook tussen Jan en alleman, maar zat er net zoals nu een vlaggetje met “VIP” aan vast zodat het in de applicatie gescheiden wordt, maar iemand met toegang tot de database alles kan extraheren.
Reageer
Zorg @dss583 maart 2026 21:36
Inderdaad! Laat ze persoonlijk aansprakelijk worden gemaakt, inclusief celstraffen (financiële boetes worden toch gewoon betaald)

Bekijk dan eens hoeveel aandacht het krijgt van management!
Reageer
ibmpc @eggsforpedro3 maart 2026 21:22
Als er geen slot op de voordeur is, is het dan prima om in te breken?

Dat antwoord is iedereen natuurlijk duidelijk.

Als je geen slot op de voordeur hebt, hoe verstandig is het dan om je schilderijen in huis te bewaren?

Dat antwoord is ook duidelijk.

Als er een mannetje met keurmerk langs loopt die je aanbiedt een gratis slot op je voordeur te plaatsen en alle andere deuren te beveiligen, is het dan verstandig om dit te doen?

Ook dat antwoord is duidelijk.

Als je eenmaal dat slot hebt, is het dan verstandig om de sleutels aan iedereen, inclusief gasten tegeven?

Ook dat antwoord is duidelijk.

Als dat mannetje ook nog eens een gratis beveiligde sleutels aanbiedt, is het verstandig om dat te doen?

Ook dat antwoord is duidelijk.

Odido had geen slot op de deur. Wachtwoord en MFA is het enige wat ze hadden. Geen phishing resistant authenticatie. Geen device compliance. Hoe moeilijk is dat nou om te implementeren? Het zit gratis in hun Microsoft 365 licentie en je moet echt je best doen om er geen gebruik van te maken. Microsoft duwt het in your face en je kunt er niet omheen.

Daarom ligt de focus op Odido. Omdat Odido er zodanig onzorgvuldig is omgesprongen met de gegevens dat er geen andere mogelijkheid was dan een datalek. Als het Shinyhunters niet was geweest, dan was het wel je 8 jarig zoontje geweest die de data had gestolen. Het heeft er alle schijn van dat Shinyhunters bewust Odido heeft gehackt als sport om te kijken hoe je met zo weinig mogelijk gereedschap kunt inbreken.
Reageer
lf2 @ibmpc3 maart 2026 22:54
Het heeft echt geen zin om sommige lui te overtuigen die zijn zo overtuigd van dat Odido een slachtoffer is en niet de klanten
Reageer
Scribe @eggsforpedro3 maart 2026 21:03
Dus als de bank al het geld van hun klanten op straat legt en vervolgens wordt het gestolen is het niet de schuld van de bank?
Odido is extreem nalatig geweest en is zelfs gewaarschuwd over hun extreem gebrekkige beveiliging. Ze hebben er dus bewust voor gekozen om dit niet te beveiligen, laat staan alle data die ze illegaal bezitten en eigenlijk al lang hadden moeten verwijderen.
De discussie hier is hoe medeplichtig iemand is als je gewoon de bewuste keuze maakt om geen (goede) beveiliging te hebben en vervolgens ook nog eens deze gigantische maatschappelijke impact laat gebeuren onder het mom van "wij betalen geen criminelen". Nu al deze data vrijgegeven is, zijn er genoeg andere criminelen die hier veel meer kunnen profiteren dan die paar centen die Odido zeker kan missen.
Reageer
Advanced03 @eggsforpedro3 maart 2026 20:47
Er is helemaal niets gehackt, daarom ligt de aandacht zo veel bij Odido.

"Social Engineering" is niet hetzelfde als encrypties kraken en beveiligingen omzeilen.
Reageer
eggsforpedro @Advanced033 maart 2026 20:51
De semantiek van het woord “hacken” doet niets af aan m’n punt
Reageer
Advanced03 @eggsforpedro3 maart 2026 22:13
Dan heb je niet goed gelezen, als je iets zelf afstaat dan is het logisch dat de focus op jou ligt, en niet de zogenaamde "hackers".
Reageer
sapphire @Advanced033 maart 2026 20:51
Als je MFA codes door social engineering bemachtigd omzeil je in zekere zin wel de beveiliging en valt dat volgens beleningen de definitie van hacking.
Reageer
Blinkin @sapphire3 maart 2026 21:00
Is de definitie van hacken niet puur een systeemfunctie iets laten doen wat de ontwikkelaars niet op die manier bedoeld hadden? MFA invoeren zonder iets anders te doen lijkt mij niet onder die definitie vallen.
Reageer
Advanced03 @Blinkin3 maart 2026 22:14
Ik ben het met je eens, als er een mens bij betrokken is is het per definitie geen hack meer.
Reageer
meowmofo @Advanced033 maart 2026 21:16
Social engineering word anders gewoon als onderdeel van hacken gezien.
Reageer
telenut @Advanced033 maart 2026 21:19
Geloof me: voor een rechter is code in een client side javascript aanpassen al hacken.
Reageer
zonglew00 @telenut3 maart 2026 23:11
Jurisprudentie a.u.b.

En graag een lijn wat is juridisch gesproken hacken en aanpassen. Geloven is een ding een uitspraak van de rechter met nuances is een ander.
Reageer
NoUser @telenut3 maart 2026 23:39
Geloven doe je in de kerk.
Kom liever met concrete voorbeelden waar we over kunnen discussiëren.
Reageer
telenut @NoUser4 maart 2026 07:40
Ik heb mijn vonnis niet op papier maar kreeg 2 jaar voorwaardelijk... Wel al 18 jaar geleden ondertussen
Reageer
aikebah @telenut4 maart 2026 10:06
En dat is het het ook. Al had de ontwikkelaar van de web app natuurlijk nooit mogen vertrouwen op client-side javascript voor beveiliging.
Reageer
BeosBeing @telenut4 maart 2026 12:56
Geloof me: voor een rechter is code in een client side javascript aanpassen al hacken.
Zelfs een URL aanpassen gold een paar jaar geleden voor een rechter al als "hacken" en resulteerde in een veroordeling van de "hacker".

Die rechter kende dus ook het begrip lifehacken niet en zeker het woord cracken niet.
Reageer
SunnieNL @Advanced033 maart 2026 22:45
Dus een persoon die iemand ompraat zijn pincode en bankpas te geven doordat hij zich voordoet als agent en vervolgens de rekening leeg pint is geen dief? En dan moet de politie en de rest van de wereld jouw beschamend aankijken??
Reageer
William_H @Advanced033 maart 2026 23:27
Er is wel degelijk gehackt. Als je naar de oer-oude definitie van hacken kijkt, betekend dat zoveel als een systeem omzeilen. Hoe je dat doet, doet er even niet toe. Waar jij het over hebt is cracken, dat is binnenkomen door beveiliging/encryptie kraken.
Reageer
ro4sho @Advanced034 maart 2026 20:20
Social engineering is gewoon een vorm van hacken.
Reageer
nijntje82 @eggsforpedro3 maart 2026 21:03
Of bij de toezichthouders. Van een commercieel bedrijf verwacht ik namelijk precies wat Odido heeft gedaan. Het is aan toezichthouders om te toe te zien op wet en regelgeving, want Odido heeft als commercieel bedrijf belang bij maximaal kunnen raadplegen van data voor onbepaalde tijd.
Reageer
jb044 @nijntje823 maart 2026 21:26
[rant]

Spijker precies op de kop, ja Odido had veel meer kunnen/moeten doen. Maar zolang er geen toezichthouders zijn die dat ook actief afdwingen en daarop toezien komen we netto geen stap verder.

Helemaal 100% voorkomen is een utopie net als in het echte leven, maar net als in het echte leven kan je wel een afweging maken tussen gemak en mogelijkheden enerzijds en maatregelen en beveiliging anderzijds. Om het even heel plat te zeggen: bij een hoog beveiligde omgeving kom je een stuk minder makkelijk binnen dan bij het café om de hoek. Dat zijn gewoon afwegingen die van te voren gemaakt dienen te worden en waar een kosten plaatje en ongemak tegenover staan. Niks meer niks minder. Maar zolang er weinig tot geen controle, alleen redelijk vage richtlijnen zijn en er alleen achteraf een onderzoek met hooguit wat relatief milde sancties volgt van een officiële overheidsinstantie, zal er wezenlijk niets veranderen en blijft het pure goodwill in combinatie met een marketing afweging van zo'n telco!

Het werkelijke probleem is dat onze leiders helemaal niets begrijpen van de digitale wereld waarin we al lang leven en die alleen maar een nog groter onderdeel van ons leven zal worden, echt helemaal niets!! En het veranderd ook maar niet want wij zijn ook liever met de zoveelste waan van de dag bezig! :(

[/rant]
Reageer
bytemaster460 @jb0443 maart 2026 22:21
Toezichthouders gaan ook niet helpen. Die kunnen niet de hele beveiliging van ieder bedrijf doorgronden en doorlichten. Als je je aan normen houdt voor gegevensbescherming zullen interne en externe audits problemen of non-conforme situaties aan het licht moeten brengen.
Reageer
Aiii @eggsforpedro3 maart 2026 21:05
Aangezien ik al vijf jaar geen klant meer was bij Odido -en zeer vele slachtoffers met mij- en Odido deze data al lang niet meer zou moeten hebben, zeker mijn bankrekeningnummer en ID's, kunnen we Odido zeker primair hun nalatigheid verwijten.
Reageer
eggsforpedro @Aiii3 maart 2026 21:18
Eens, en dit spreekt mijn reactie niet tegen.
Reageer
_NooT_ @eggsforpedro3 maart 2026 23:03
Wat ik ook bijzonder vind is dat dergelijke informatie volop in het nieuws komt.

Het is bijna een oproep aan kwaadwilligen die nog niet beseften welke mogelijkheden dit ze biedt hier gebruik van te gaan maken. Hey stalkers; wist je dat alle contactgegevens van je slachtoffer(s) nu online staan? Hey drugskartel, het nieuwe adres die rat die jullie een loer draaide zitten waarschijnlijk ook in het bestand. etc. etc.

Het is niet dat deze gegevens nu niet meer toegankelijk zijn.
Reageer
m-a-r-t-1 @eggsforpedro3 maart 2026 21:20
Omdat in de echte wereld dat totaal geen nut heeft. Hacker groepen zullen er altijd zijn. Als bedrijf dien je er gewoon voor te zorgen dat een lek van dit formaat niet mogelijk zijn. Dat is technisch prima mogelijk.

Wat ik mij al jaren afvraag is waarom identificatie niet gewoon via een platform als DigiD loopt. Eenmalig je account verifiëren en activeren bij een partij en daarna klaar. Het minimale aan gegevens is echt nodig.
Reageer
bytemaster460 @m-a-r-t-13 maart 2026 22:27
DigiD is voor (semi)-overheidsdiensten. Dat doel kun je niet zomaar uitbreiden naar commerciële partijen. We hebben iDIN en dat wordt binnenkort vervangen door een Europees alternatief.

Daarnaast moeten natuurlijk ook buitenlanders hier telecomabonnementen kunnen afsluiten. Dat gaat met expats en studenten om honderdduizenden per jaar. Die hebben geen DigiD.
Reageer
William_H @bytemaster4603 maart 2026 23:30
Maar studenten en expats (in ieder geval uit Europa) kunnen wel een Europese identificatiemechanisme gebruiken (zoals je dat ook bij bijv. het UWV ziet als je gaat inloggen).

iDIN is overgenomen door Itsme, en wordt daardoor inderdaad vervangen/hernoemt.
Reageer
Oon @eggsforpedro3 maart 2026 21:19
Binnen het strafrecht ligt de schuld bij de daders, binnen civielrecht is Odido gewoon 100% aansprakelijk voor het open laten staan van de voordeur.
Ik vind het absurd dat mensen Odido hierin verdedigen. Nee ze zijn inderdaad niet degenen die de hack hebben uitgevoerd, maar ze hebben ook niks gedaan om de gegevens van miljoenen klanten te beschermen.
Reageer
eggsforpedro @Oon3 maart 2026 21:20
Ik verdedig Odido niet.
Reageer
kuurtjes @eggsforpedro3 maart 2026 21:32
Ik heb anders nog wel een leuke oorzaak die nog niet besproken is geweest: de belastingsdienst.

Veel van dit soort gegevens worden bijgehouden om geen problemen met de belastingsdienst te krijgen. Misschien dus dat daar iets kan verbeterd worden.

Nu is Odido één van de weinigen die wel degelijk adres gegevens zou moeten bijhouden, maar toch.
Reageer
NoUser @kuurtjes3 maart 2026 23:45
Uit m’n hoofd bewaren voor zeven jaar. Indien er vastgoed bij komt kijken tien jaar. Daarbij behoeven bijvoorbeeld facturen niet perse online te worden bewaard.

De IP adressen en welke klant daarbij hoort moeten ze reeds iedere dag naar een database van de overheid uploaden.

[Reactie gewijzigd door NoUser op 3 maart 2026 23:48]

Reageer
cmegens @eggsforpedro3 maart 2026 22:24
Dit was geen hack hè. Deze groep heeft niet avonden lang code lopen kloppen om de beveiliging van Odido te kraken. Er is een belletje gepleegd naar een medewerker, vermomd als IT medewerker. De Odido medewerker had dus toegang tot alle gegevens. Social hacking dus. Odido had dat makkelijk kunnen voorkomen en was hier ook voor gewaarschuwd. Dat heet nalatigheid.
Reageer
William_H @cmegens3 maart 2026 23:32
Met dat belletje alleen waren ze er nog niet eh. Tis niet alsof ze gevraagd hebben om een dump van de totale database door die klantenservicemedewerker. Wel is het raar dat dat account een volledige dump kon maken als ze via dat account toegang kregen. Of hebben ze toch admin rechten weten te behalen? Dat zijn nog wel serieuze vragen.
Reageer
cmegens @William_H4 maart 2026 09:27
Nee ze hadden met dat belletje de inloggegevens achterhaald en konden toen zelf een dump doen.

Dus 1 medewerker had toegang tot de volledige database.

Er was geen 2 factor authentication.

De inloggegevens konden via een telefoongesprek achterhaald worden.

dat zijn serieuze beveiligingsproblemen.
Reageer
William_H @cmegens4 maart 2026 10:29
Er was wel 2FA, maar als een sessiecookie een te lange sessielengte heeft, dan heb je nog niks aan 2FA. Want die sessiecookie is afgevangen, en dus te gebruiken om toegang te houden tot een systeem.
Reageer
kabelmannetje @eggsforpedro4 maart 2026 03:29
Het mag algemeen bekend zijn, dat diefstal van gegevens actueel is. Dat is domweg een gegeven. Een bedrijf heeft niet alleen de taak om de wetgeving te volgen, maar ook om te zorgen dat strikte interne protocollen rond veiligheid van data gevolgd worden.

Beide zaken kan je twijfels bij zetten en grove nalatigheid lijkt mij hier aanwezig.
Reageer
DaMonkey @eggsforpedro4 maart 2026 04:35
Perceptie.

Laten we dit artikel als voorbeeld gebruiken. Er zijn mensen die bedreigd worden, en beveiliging krijgen. We weten dus dat er gevaren zijn, en proberen deze te voorkomen.

Als morgen 1 van die beveiligde personen iets overkomt, wat gaat de titel van het artikel zijn: "X aangevallen door onbekende crimineel" of "Beveiliging Y heeft aanslag op X niet kunnen voorkomen"?

Criminelen doen wat we van criminelen verwachten, slechte dingen. Ze zijn vaak ook moeilijk op te sporen, anoniem, wat het moeilijk maakt om er "kwaad op te zijn" (volgens mij is dat ook waarom ze codenamen geven aan onbekende criminelen, maakt hen tot vijand van het volk). Maar omgekeerd ook, van bedrijven verwachten we dat ze correct handelen, en onze data beschermen valt daar onder. Dus, odido heeft het vertrouwen geschaad (zelfs als hun beveiliging op orde was), en heeft een naam en gezicht.

Komt natuurlijk ook de menselijke kortzichtigheid bij. "Als odido er niet was, konden de hackers onze data daar niet stelen", "Als odido niet zo gierig was en betaald had, waren onze gegevens niet op straat beland" of nog extremer "als odido het ons op tijd had laten weten en info gegeven hadden wij hun werk kunnen doen en het zelf met de hackers kunnen regelen".

Tuurlijk moeten de hackers opgespoord en gestraft worden. Tuurlijk is odido tot op zekere hoogte slachtoffer (ze hadden hun zaakjes niet op orde, verzekering gaat ook zeggen "pech" als je fiets gestolen wordt terwijl die niet op slot zat). Maar het volk had vertrouwen in hen, en dat hebben ze gebroken. En als het volk nu nog hoort dat zij problemen hebben (hun data ligt op straat), terwijl odido ongestraft blijft (op een slechte naam bij het publiek na, dat fixen ze wel met een nieuwe naam en logo binnen 3-6 maanden, ik heb nog niks gelezen over boetes of zo, terwijl er toch nalatigheid was), maakt het hen extra de schuldige in de ogen van het volk: Niet geïnvesteerd om de beveiliging op orde te hebben, niet betaald om de data te beschermen, geen boete voor de onbekwaamheid.
Reageer
CPM @eggsforpedro4 maart 2026 07:50
Salesforce heeft in januari al gewaarschuwd voor deze manier van "hacken". Dat Odido dan op dezelfde wijze "gehackt" is is echt wel verwijtbaar.
Reageer
badnews.nl @Vol Braakzakje3 maart 2026 22:27
Als je een oude auto hebt, is het soms slimmer om het niet op slot te doen. Een nieuw raam of gat door schroevendraaier in je deur kost meer dan wat er in de auto gestolen kan worden.

Zo klinkt het hier, we kijken hoe ver we gaan met beveiliging, maar tot een bepaald punt. Daarna is het kosten vs risico.

Zo klinkt het… het is absurd dat een iemand alles kan en iedereen kan opvragen, of een database dump maken, zou nooit door mensen gemaakt mogen worden, en backups downloaden al helemaal niet.

[Reactie gewijzigd door badnews.nl op 3 maart 2026 22:28]

Reageer
eggsforpedro @Vol Braakzakje3 maart 2026 21:08
Heb je m’n reactie gelezen? Ik stel dat Odido zeker wat te verwijten valt. En het valt me op dat we met z’n allen heel hard op Odido gaan, en daarbij lijken te vergeten dat de hackergroep de primaire bad guys zijn in dit verhaal. Bijzonder dat dat je zo hard triggert.

[Reactie gewijzigd door eggsforpedro op 3 maart 2026 21:11]

Reageer
bwerg @eggsforpedro3 maart 2026 21:30
Dat vergeten we helemaal niet, het is alleen een zinloze afleiding. Die bad guys bestaan, in grote getale, en veelal in landen waar onze handhaving dat toch nooit gaan voorkomen. Daar moet je als bedrijf rekening mee houden.

Dat niet doen is als een molenaar die geen rekening houdt met een storm. Als je wieken afbreken ga je ook niet klagen over de wind, dat gebeurt en daar had je gewoon rekening mee moeten houden.
Reageer
eggsforpedro @bwerg3 maart 2026 21:42
Daar moet je als bedrijf rekening mee houden.
Ik claim nergens dat dat niet het geval is. Geen idee waarom je dat in m’n reacties leest.
Reageer
bwerg @eggsforpedro3 maart 2026 22:27
Zo ken ik er ook een, ik claim nergens dat jij dat ergens claimt. :+

Je zegt dat het je verbaast dat we het over Odido hebben omdat de primaire oorzaak niet bij Odido ligt. Wat wil je daar dan mee zeggen? Had je verwacht dat we eerst allemaal reacties plaatsen als "oei, stoute hackers toch?", en Odido verder zelf negeren, terwijl die alle regels omtrent dataopslag aan hun laars hebben gelapt?

Die hackers proberen de hele dag door letterlijk elke webshop, telco en andere commerciële partij te hacken waar mijn gegevens staan. Wat heeft het voor zin om daar in reacties nog aandacht aan te schenken? Wat verwacht je dan wel voor reacties? Odido heeft nog klantdata rondslingeren van mensen die al 15 jaar geen klant meer zijn, dat is nog eens iets waar iedereen wel een mening over heeft.

[Reactie gewijzigd door bwerg op 3 maart 2026 22:41]

Reageer
mrtak @BPG9083 maart 2026 20:48
Ja, hadden ze hun IP vrienden niet kunnen gebruiken om de bestanden onvindbaar te maken?
Of te verwijderen? Of ieder geval iets? Ipv "betreuren' ?
Of zou dat illegaal zijn? Je eigen bevolking beschermen?
Reageer
HollowGamer @BPG9083 maart 2026 20:58
Ik ben het zeker met je eens, maar waar was de storm toen al die medische gegevens gelekt waren door een lek van een lab? Waar waren deze met datalekken van FB/Meta (partners)? Wat met de corona lijst, waardoor iedereen overal bij kon?

Het is allemaal whataboutism, maar ik vind het zo gek dat je toen mensen niet hoorde. Niemand ging toen van FB af. Nu zeggen mensen opeens hun abonnement op.. erg geloofwaardig.

Dat Odido meer had moeten doen, 100% mee eens. Al heb ik het gevoel dat daar vooral kennis ontbreekt en het vaak wordt ingehuurd? Vroeger hadden we ook een eigen bedrijf met kennis, maar ja dat mochten de Britten overnemen.

[Reactie gewijzigd door HollowGamer op 3 maart 2026 21:00]

Reageer
mr_evil08 @HollowGamer3 maart 2026 21:23
De meeste hier roepen maar wat, als puntje bij paaltje komt is er maar een enkeling die werkelijk actie onderneemt.
Reageer
BPG908 @HollowGamer3 maart 2026 21:06
De medische gegevens heb ik (indirect) ook meegekregen. Het verschil daarbij is dat die je persoonlijk aangaan. Daar stond ernstig gevoelige data in; het merendeel van de slachtoffers wil er helemaal niets van weten of horen, omdat het schaamte oproept en slapeloze nachten geeft: “Wat als Piet en Klaas deze data kunnen inzien?” Dat was niet zomaar wat data.

Dat is bij zoiets als een ‘domme’ telecomdataset wel anders; ik denk echt dat de storm daarom nu groter is. Iedereen durft zich publiekelijk uit te spreken: “Boeien als Piet en Klaas zien dat ik ook in die dataset zit.
Reageer
HollowGamer @BPG9083 maart 2026 21:09
Totdat ook die data op het internet staat. Naar mijn weten was Odido een aantal maanden ervoor in het nieuws dat het systeem voor dit (ook) onveilig was?

Het blijft dan inderdaad gek, net zoals je niets hoort over de lek van PH (denk dat ik dat niet voluit mag schrijven hier?). Volgens mij zijn mensen toen niet gestopt met kijken?

Het blijven Nederlanders, ik denk dat een goede deal met Ziggo of KPN ook goed uitkomt als je onder Odido uit kan (denk dat privacy aspect voor 20% meespeelt).

[Reactie gewijzigd door HollowGamer op 3 maart 2026 21:10]

Reageer
kabelmannetje @HollowGamer4 maart 2026 03:31
FB houdt niet mijn adresgegevens, paspoort, geboortedatum, bankrekening, naam en wat al niet bij. Of zelfs bewindvoerders. De Odido-lek is van een totaal andere orde.
Reageer
HollowGamer @kabelmannetje4 maart 2026 07:18
Dan doen ze wel. Sterker nog, ze weten je exacte locatie.
Reageer
kabelmannetje @HollowGamer6 maart 2026 02:35
En hoe weet FB mijn adres? Mijn geboortedatum? Bankrekening? Of ik bewindvoerder heb? Mijn paspoort?
Reageer
GoldenSample @BPG9083 maart 2026 23:18
Tja gezien we in een land wonen waar de burger kiest voor partijen waar multinationals op plek 1, 2 en 3 komen is het antwoord makkelijk toch? Echt significante consequenties zijn er enkel voor burgers die overtredingen begaan. Bij grote bedrijven is er hoogstens wat 'cost of doing business'.
Reageer
WillySis
@BPG9084 maart 2026 10:54
Odido is niet verplicht om misdadigers te betalen om de schade te beperken. Sterker nog, als ze dat doen zijn ze zelf in theorie medeplichtig aan de misdaad.

Odido heeft wel veel steken laten vallen. De beveiliging was niet op orde en ze hebben daarvoor al meerdere waarschuwingen van diverse bedrijven gekregen. Daaronder het bedrijf wat de systemen leverde. Daarnaast zijn er wel heel veel (ex)klanten die nu via omwegen ontdekken dat hun gegevens ook gelekt zijn, maar nooit een bericht van Odido hebben gekregen, zelfs als er een recent email adres, of telefoonnummer bekend is. Tenslotte heeft Odido zich niet aan de maximale bewaartermijn gehouden, waardoor er nu veel meer mensen getroffen zijn.

Dat de hackers de gegevens hebben gepubliceerd komt voor hun rekening. Mochten ze ooit gepakt worden, dan zal dat bij de lijst van misdaden worden gevoegd.

De AP is met al dit soort zaken bekend en er is al een onderzoek gaande. Dit gaat voor Odido ongetwijfeld nog een vervelend staartje krijgen.
Reageer
MontyMole 3 maart 2026 21:29
Dus journalisten mogen de data wel downloaden en doorzoeken, maar burgers mogen dat niet?
Reageer
bytemaster460 @MontyMole3 maart 2026 22:47
Dat klopt. Dat is voor het algemeen belang en is ook verdedigbaar. Bij onderzoeksjournalistiek is het doel vooraf duidelijk en voor dat doel is het legitiem.
Reageer
ccnl @bytemaster4604 maart 2026 07:19
Een journalist staat niet boven de wet. Het OM beslist per geval of wordt afgezien van vervolging. Maar waar ligt de grens? Is een blogger een journalist? Een redacteur van een schoolkrant? Of een journalist van de Playboy die dit misdrijf pleegt?
Reageer
bytemaster460 @ccnl4 maart 2026 09:59
Het is in de wet gewoon geregeld dat een onderzoeksjournalist dat mag. Die staat dus niet boven de wet als die dit materiaal downloadt en onderzoekt.
Reageer
MontyMole @bytemaster4604 maart 2026 12:22
Welke "wet" regelt dat?
Reageer
bytemaster460 @MontyMole4 maart 2026 13:42
Dat blijkt uit jurisprudentie van het Europese Hof en die baseert zich daarbij op het EVRM.
Reageer
MontyMole @bytemaster4604 maart 2026 16:26
Burgers mogen de data niet downloaden wegens schending van de privacy.

Kan je even de jurisprudentie geven waarin journalisten wel zondermeer de privacy van burgers mogen schenden?
Reageer
Fidelity @MontyMole4 maart 2026 09:27
Ik blijf dit ook wat vreemd vinden en zie dit ook niet belicht door diverse juristen in alle "Je bent als burger strafbaar als je de bestanden van Odido download".

Ik ben in principe ook "onderzoeksjournalist" als ik mijn eigen data wil "onderzoeken". Ik heb net zo weinig kwaad in de zin als een journalist. Sterker nog, waarschijnlijk zelfs minder want ik kijk alleen naar mijn eigen data. De rest interesseert mij niet zo. Waar een journalist de complete dataset doorspit.

Zoals @ccnl hieronder al schreef: waar ligt die grens? Als ik een blog start over de Odido hack, ben ik dan een onderzoeksjournalist en mag ik dan wel (mijn eigen data) legitiem inzien door de dataset te downloaden?
Reageer
Amaze86 3 maart 2026 20:26
Hadden ze maar betaald, dan was de elende minder. Steeds meer mensen verlaten odido/ben. En er zullen alleen maar meer worden.
Reageer
partyondude @Amaze863 maart 2026 20:28
Ja want betalen gaat natuurlijk voorkomen dat dit vaker gebeurt.
Reageer
BPG908 @partyondude3 maart 2026 20:35
Niet betalen geeft waarschijnlijk meer schade. Ik zou na dit lek nooit, maar dan ook nooit meer teruggaan naar Odido. Met de hele rebrand naar Odido hadden ze achteraf beter een paar jaar kunnen wachten; dit merk gaat alle storingen en dit datalek niet meer van zich kunnen afschudden.

Betalen helpt niet tegen het feit dat dit vaker zal gebeuren, niet betelen ook niet; de vraag is of het niet juist ‘goed’ is dat dit gebeurt (de hack, niet de publicatie). Het betekent namelijk dat Odido zijn zaken niet op orde had en dat dit met een investering wel op orde had kunnen zijn. Dat hebben ze niet gedaan, en daarvoor moeten ze boeten - of in het geval van Odido: de klanten.
Reageer
Blinkin @BPG9083 maart 2026 21:05
De gegevens liggen al op straat op het moment dat er geld voor gevraagd wordt. Ze zijn immers al in handen van personen die dat niet zouden mogen hebben. Je hebt 0 garantie dat er na het betalen niets verder mee gedaan wordt. Ook niet als de hackers zeggen het te verwijderen, zij zijn de laatste die ik zou geloven.

Bedrijven die toegeven en betalen mogen wat mij betreft zware boetes krijgen daar ze dit probleem juist erger maken omdat je een verdienmodel in stand houd. Ik begrijp oprecht niet hoe je voorstander kunt zijn van de hackers hun zin geven. En dat zeg ik terwijl mijn gegevens er ook tussen zitten.
Reageer
BPG908 @Blinkin3 maart 2026 21:08
Dat is het verdienmodel van deze hackers; zouden ze vervolgens toch hebben gepubliceerd, dan zou niemand meer betalen: “ze publiceren toch.” De hackers hebben er dus juist baat bij om niet meer te publiceren als er is betaald.

Of de data intern alsnog gebruikt zou worden, is niet te achterhalen, maar hoogstwaarschijnlijk was die niet zó toegankelijk geweest op het internet als nu "schaden beperken".
Reageer
Blinkin @BPG9083 maart 2026 21:30
Dat zou je inderdaad zeggen dat ze daar baat bij hebben. De praktijk is toch echt anders. Er zijn genoeg voorbeelden te vinden waar dit niet zo is gegaan. Cybersecurity onderzoekers en de politie raden met een reden af om niet te betalen.

Kijk bijvoorbeeld naar de e-commerce site Pandabuy 2 jaar geleden: Wikipedia: IntelBroker

Of naar Ashley Madison: Wikipedia: Ashley Madison data breach

En als je het breder trekt naar slachtoffers van ransomware: https://cybernews.com/security/ransomware-attacks-increase-data-recovery-survey/

Dus nee ik geloof niet in het argument dat betalen voor minder schade zorgt. Ik zeg niet dat niet betalen wel voor minder schade zorgt. Het is gewoon niet zo simpel te concluderen. Wel is zeker dat betalen het probleem niet gaat verminderen. Garantie dat ze de hack niet nog eens doen heb je ook niet.
Reageer
BPG908 @Blinkin3 maart 2026 21:40
Ik ben het inhoudelijk met je eens, geen garanties. Ik kan er echter toch niet anders over denken dan dat je bij een datalek met 6 miljoen Nederlanders er alles aan moet doen om verdere schade te voorkomen, ook als dat geen garanties biedt.

In jouw voorbeelden is de data, voor zover ik lees, niet ‘vrij’ toegankelijk geweest in de zin dat iemand de gegevens eenvoudig via een link kon downloaden (enkel via dark web en bitcoin betalingen).

De gelegenheid maakt de dief, en dat zijn er nu wel heel veel met die download links.
Reageer
William_H @Blinkin3 maart 2026 23:36
Maar waren dat dezelfde hackers? Je kunt niet alle groepen over één kam scheren. Ja, er zijn er bij die inderdaad niet hun beloften houden. Maar het is toch "opmerkelijk" dat ze bij hun eerdere hacks geen data hebben gepubliceerd, omdat ze toen wel werden betaald. Uiteraard geen verdediging van hun en hun modus operandi, maar het verhaal ligt wel iets genuanceerder. Evenals dat cyberexperts "allemaal" verklaren dat je niet moet betalen.
Reageer
Blinkin @William_H4 maart 2026 05:12
Dat is ook niet echt mijn punt. Sommige groepen hebben inderdaad een betere reputatie wat dat betreft. Is dat omdat ze zich aan hun woord houden, of zijn ze heel goed in het voorkomen dat naar buiren komt dat ze de boel toch nog verkopen?

Ik heb geen idee, dit is ook niet te controleren daar je oneindig kopieen kan maken. We hebben het nog steeds over criminelen. Wat ik hier vind is natuurlijk absoluut gebaseerd op een gevoel, dat zal voor iedereen anders zijn.

Ik denk dat ik mij gewoon heel erg vastbijt op herhaling voorkomen.
Reageer
jaquesparblue @BPG9083 maart 2026 22:24
Van Shinyhunters is allang bekend dat ze gewoon de data vrijgeven. De groep is niet nieuw, voorgaande zaken kan je zelf opzoeken...
Reageer
whiner @BPG9083 maart 2026 20:57
1 voordeel. Ik denk dat prijzen voorlopig niet omhoog gaan.
Reageer
beeldbuijs @BPG9083 maart 2026 22:30
Ik zou het Odido juist kwalijk nemen als ze wél zouden betalen. Voor hen heeft het toch geen zin meer: Alles ligt al op straat. Maar voor door te betalen beloon je criminelen er nog voor ook. Als niemand betaalt, valt er niets meer aan te verdienen en houdt het vanzelf op.
Reageer
Naawz @partyondude3 maart 2026 20:33
Beveiliging doet dat (tot op zekere hoogte) . Betalen is de prijs voor het falende beleid waar zo'n 6 miljoen mensen het slachtoffer van zijn
Reageer
418O2 @Naawz3 maart 2026 20:48
Bedrijven moeten gewoon eens beginnen met data verwijderen dat ze niet eens mogen hebben. Een query op je database kost nauwelijks iets. Daarmee had het leed significant minder geweest in deze situatie
Reageer
HollowGamer @418O23 maart 2026 21:03
Daar kun je echt nog op vergissen.

Vroeger moest je die data behouden, daarna kwam er een kortere termijn, en daarna mocht je bepaalde zaken niet meer hebben. Veel van die tools zijn jaren geleden gemaakt door verschillende programmeurs en bedrijven, dus ga maar eens uitzoeken wat nog actueel is en wat een query allemaal kapot gaan maken.

Het is echt ingewikkeld en ook niet zo eenvoudig om alles meteen te wissen. Het kan altijd nog leven in een cache. 6 miljoen records klinkt weinig, maar je moet dat minimaal 3x doen, aangezien je er nog van alles aan hebt zitten/hangen.

Bedrijven geven dit geen prio, want de data komt hun ook goed uit. Oh, en wie doet je iets? De ACM vind alles prima.

[Reactie gewijzigd door HollowGamer op 3 maart 2026 21:04]

Reageer
beeldbuijs @HollowGamer3 maart 2026 22:27
‘Het is best ingewikkeld’ is toch geen excuus?

Het kost tijd, dus geld. Het is gewoon goedkoper om alleen naar nieuwe abonnementen te kijken.

We zitten qua wetgeving en vooral uitvoering en handhaving blijkbaar nog in de middeleeuwen. Elke aardappelboer wordt elk jaar gecontroleerd, van de certificaten van de pootaardappelen (ja, certificaten voor pootaardappelen, zo gereguleerd is de landbouw) tot een controle van de administratie en of die wel overeenkomt met de inhoud van de gifkast, tot de keuring van spuittrekker en de geldigheid van de spuitlicentie, of er geen huisdieren in de opslagruimte kunnen komen, etc etc. Overal is aan gedacht. Kost de controleur én de boer al gauw een dag, alleen al om jaarlijks de hele checklist na te lopen, maar we doen het, want het is belangrijk.

Tegelijkertijd wordt zo’n cruciaal bedrijf blijkbaar nooit gecontroleerd op basale zaken? Onbegrijpelijk.
Reageer
bytemaster460 @418O23 maart 2026 22:31
Een query op de database loslaten is natuurlijk wel een sterk versimpelde weergave van de werkelijkheid. Vaak zijn er meerdere systemen in gebruik en daarnaast zitten die gegevens ook in backups en data warehouses. Je kunt het goed regelen maar daar is wel heel wat meer voor nodig dan een query.
Reageer
William_H @bytemaster4603 maart 2026 23:38
Alleen is een backup niet direct op te vragen als je het account van een klantenservicemedewerker overneemt. Althans, als het bijvoorbeeld een tape-systeem is wat ge-airgapped is.
Reageer
bytemaster460 @William_H4 maart 2026 09:58
Klopt, maar het ging over het onnodig lang bewaren van gegevens en die mogen dan ook niet in een backup staan.
Reageer
William_H @bytemaster4604 maart 2026 10:30
Klopt helemaal. Het feit dat er geen goed dataretentiebeleid was zegt toch wel wat over het niveau van de (C)ISO's, en/of hoe het management hier mee omging.
Reageer
HakanX @bytemaster4604 maart 2026 02:51
Tweede kolom van de database heet "IsDeleted", staat standaard op "false". Je hebt meerdere systemen ja, maar je hebt één backend. Als in één van die systemen een record wordt verwijderd gaat die kolom op "true". Die is dus letterlijk gemaakt voor een query die het vervolgens daadwerkelijk kan verwijderen of eventueel nog even op een cold backup zetten als er nog bepaalde verantwoordelijkheden zijn. In ieder geval niet meer online.
Reageer
BPG908 @Naawz3 maart 2026 20:48
Eens! 6 miljoen mensen. ik vind het te bizar voor woorden dat Odido de schade niet overziet. Of dat het die wel kan overzien, maar er zijn schouders over ophaalt.
Reageer
Amaze86 @partyondude3 maart 2026 20:29
Tja wat is 1 miljoen voor odido, ze konden de gok prima wagen in mijn ogen.
Reageer
BPG908 @Amaze863 maart 2026 20:47
Eens, ze hadden gewoon moeten betalen; dat is het verdienmodel van deze hackers. Zouden ze vervolgens toch hebben gepubliceerd, dan zou niemand meer betalen "ze publiceren alsnog". De hackers hebben er dus juist baat bij om inderdaad niet meer te publiceren als er is betaald.
Reageer
DdeM @BPG9083 maart 2026 22:32
Hackers publiceren vaak genoeg alsnog, betalen is altijd een slecht idee.
Reageer
bytemaster460 @BPG9083 maart 2026 22:35
En als niemand meer betaalt is op een gegeven moment het risico het niet meer waard. Je pleegt een enorm misdrijf en als de kans klein is dat je losgeld ontvangt. Als ze gepakt worden draaien ze jarenlang de gevangenis in terwijl er geen buit is. Dan houdt die vorm vanzelf op.
Reageer
Reinier 182 @Amaze863 maart 2026 20:46
Betalen is geen garantie dat ze het als nog delen op internet. Het is data en geen voorwerp wat je terug krijgt. Data heeft die garantie niet dat je alles terug hebt. Betalen heeft geen zin en het wordt dan beloond dus gaan meer het doen.
Reageer
BPG908 @Reinier 1823 maart 2026 20:55
Oneens, dat is hét verdienmodel. Als ze na betaling de data alsnog vrijgeven, dan gaat de volgende ‘klant’ zeker niet betalen.
Reageer
bytemaster460 @BPG9083 maart 2026 22:37
En als niemand meer betaalt wordt vanzelf het risico voor de hackers te groot: een hoop data, Interpol achter je aan en geen buit.
Reageer
Reinier 182 @BPG9084 maart 2026 10:20
Als je wel betaalt garantie heb je totaal niet dat er niks meer gebeurt. Blijft moeilijk de juiste keuze vinden maar betalen lost het probleem niet op.
Reageer
phoenix2149 @Amaze863 maart 2026 20:43
Hoe klote dit allemaal is, betalen faciliteerd een volgende aanval.

Criminaliteit mag niet lonen.
Reageer
BPG908 @phoenix21493 maart 2026 20:52
Het is crimineel dat de data toegankelijk was; dat daar misbruik van wordt gemaakt is evident. De hackers kunnen een volgende hack ook stilhouden en zelf misbruiken; de schade (voor klanten) is dan mogenlijk nog veel groter.

Het 'open' hebben staan van gegevens van 6 miljoen mensen faciliteert criminaliteit. Als dat eenmaal zo is, dan loont het toch wel, ook als er niet betaald wordt.
Reageer
whiner @phoenix21493 maart 2026 20:59
Kijk om je heen en wat er in de wereld gebeurd op hoge plekken. Criminaliteit loont.
Reageer
Linux_Aries @whiner4 maart 2026 10:42
#Trump.
Reageer
TheDudez @Amaze863 maart 2026 20:41
Hadden ze er maar voor moeten zorgen dat er niet zoveel data in 1 keer kon worden gedownload. Dit had voorkomen kunnen worden.
Reageer
Meg 3 maart 2026 20:21
Nu Odidio steeds 'slechter' in het nieuws komt, heeft dit nog steeds geen gevolgen voor de provider?
Reageer
Snow_King @Meg3 maart 2026 20:24
Geloof mij, er gaat niets gebeuren. Deze storm gaat over waaien en dat was het. Iedereen is hier nu druk mee bezig, praat overal vol verbazing, maar weinig mensen geven er écht wat om.

We gaan gewoon weer door met ons leven alsof dit niet gebeurd is.

En ben ik het daar mee eens? Mwa, ik weet het niet. Misschien met ik wel murw geslagen door al die lekken en kan ik er eigenlijk niet zo wakker van liggen dat mijn gegevens nu op straat liggen.
Reageer
mugenmarco @Snow_King3 maart 2026 20:31
Geloof mij, er gaat niets gebeuren. Deze storm gaat over waaien en dat was het. Iedereen is hier nu druk mee bezig, praat overal vol verbazing, maar weinig mensen geven er écht wat om.

We gaan gewoon weer door met ons leven alsof dit niet gebeurd is.

En ben ik het daar mee eens? Mwa, ik weet het niet. Misschien met ik wel murw geslagen door al die lekken en kan ik er eigenlijk niet zo wakker van liggen dat mijn gegevens nu op straat liggen.
Heb je het Odido forum al eens gelezen?

Er zijn enorm veel mensen die weg willen bij Odido en klagen dat ze nog steeds vast zitten aan het vaste 1 jaar termijn.
Reageer
HoppyF @mugenmarco3 maart 2026 20:42
Begrijpelijk.
Ik zou als ik klant was ook meteen weg willen.
Lijkt mij niet meer dan normaal dat mensen ook met een lopend contract per direct kunnen opzeggen.
Het vertrouwen is totaal weg.
Reageer
mjl @HoppyF3 maart 2026 20:50
Nu een beetje te laat om te vertrekken, je data ligt al op straat. Enige wat je kan doen is een nieuw ID aanvragen (als je weet welke gelekt is is dat er maar 1, anders wellicht 2 of 3 ….) en dat zouden we dan vergoed moeten krijgen van Odido/Ben
Reageer
HoppyF @mjl3 maart 2026 21:03
Het is nooit te laat om te vertrekken ook al liggen je gegevens op straat.
Bij Odido blijven betekent dat je hun werkwijze en beleid steunt.
Reageer
Somoghi @HoppyF3 maart 2026 22:14
Het lullige is dus dat ook van oude klanten die al lang weg waren ook gegevens op straat liggen, je kunt wel weg gaan, maar bedrijven zouden zich eens moeten gaan houden aan de avg. Niet meer gegevens dan nodig voor het doel waarvoor je ze gebruiken mag en niet langer bewaren dan noodzakelijk. Hopelijk volgt er een fikse boete van de AP. Als een civiele zaak niet tot een gedragsverandering bij bedrijven mag leiden, dan maar een boete.
Reageer
watercoolertje @Somoghi4 maart 2026 06:32
Dat je zaken niet terug kan draaien is zijn punt toch niet. Wat je wel kan doen is met je portemonnee stemmen. En ook oud klanten zijn potentieel nieuwe klanten dus ook die kunnen dit in hun keuze meenemen die elke x jaar gemaakt wordt...
Reageer
Kalief @HoppyF4 maart 2026 01:20
Oliedom geklets. Jij spreekt alleen voor jezelf en niet voor anderen. Jij bent daar niet eens klant.

En misconfiguratie ≠ 'werkwijze en beleid'.
Reageer
watercoolertje @Kalief4 maart 2026 06:32
Misconfiguratie om 10 jaar oude klanten te bewaren of misconfiguratie waardoor ze hackbaar waren?
Reageer
HoppyF @Kalief4 maart 2026 09:49
Niks oliedom geklets. Ik ben nu geen klant meer maar ben wel klant geweest (Ben).
Als ik nu nog klant was zou ik opstappen dat heb ik gezegd.
Reageer
bytemaster460 @mjl3 maart 2026 22:41
Ik geef het weinig kans. Documentnummers mogen bijv. hotels gewoon overnemen voor allerlei doeleinden. Die geven dat weer door aan de politie of gemeente voor toeristenregistraties. Het is geen identificerend nummer van de persoon maar van het document. Het is lang zo gevoelig niet als bijv. Een BSN. Ik denk dus niet dat er een rechter is die een vergoeding gaat toekennen voor een nieuwe ID.
Reageer
PCG2020 @bytemaster4604 maart 2026 09:14
Het is wettelijk vastgelegd dat een z.g. 'verwerkingsverantwoordelijke partij' aantoonbare schade van een datalek moet vergoeden. Dus als jij vanwege het datalek bij Odido een nieuw ID-bewijs moet aanvragen, moet Odido jou daarvoor compenseren. Eventueel kan dat ook via een massaclaim.

[Reactie gewijzigd door PCG2020 op 4 maart 2026 09:15]

Reageer
bytemaster460 @PCG20204 maart 2026 10:01
Dat snap ik, maar het lekken van het documentnummer is geen reden voor een nieuwe ID-kaart of paspoort.
Reageer
PCG2020 @bytemaster4604 maart 2026 10:24
(...) Ik denk dus niet dat er een rechter is die een vergoeding gaat toekennen voor een nieuwe ID.
Daarmee sluit je meteen ook de redenen voor het wel toekennen van een vergoeding uit bij het lekken van ID-gegevens uit.
Reageer
bytemaster460 @PCG20204 maart 2026 11:43
Dat is ook wat ik aanvankelijk al zei: ik denk niet dat bij een civiele zaak de rechter een vergoeding toekent voor het vervangen van de ID als het documentnummer gelekt is. Zoals gezegd, kan dat nummer al overal liggen. Het is niet vertrouwelijk.
Reageer
whiner @mjl3 maart 2026 21:02
Eens, dat is het minste dat odido kan doen, de kosten vergoeden voor het oplossen van een gedeelte van deze lek.
Reageer
PCG2020 @whiner4 maart 2026 09:05
Sterker nog: dat is wettelijk verplicht, omdat Odido een 'verwerkingsverantwoordelijke partij' is.

Je moet alleen wel kunnen aantonen dat je schade hebt, bijvoorbeeld doordat er recente ID-gegevens gelekt zijn en je daarom een nieuw legitimatiebewijs moet aanvragen. Andere schade moet ook aantoonbaar door het datalek veroorzaakt zijn.

Het is ook niet zo dat je zomaar tienduizend euro van Odido krijgt, zoals een oplichterswebsite recentelijk meldde: "Geef ons 50 euro en we zorgen voor 10k op uw rekening!"
Reageer
Tozz @mugenmarco3 maart 2026 20:42
Ja, en over een maand is iedereen het vergeten en is het 'Ach dat overstappen is ook best wel veel gedoe. laat maar!'
Reageer
whiner @Tozz3 maart 2026 21:00
En volgend jaar wordt ziggo of kpn gehacked :+ . odido zullen ze nu niet nog een keer hacken.
Reageer
watercoolertje @whiner4 maart 2026 06:29
Waarom hebben ze de andere de afgelopen 100 jaar dan niet al gehackt maar gaan ze dat nu ineens wel doen?

Alles kan dus uitsluitend kan je niet maar dat geld ook voor Odido.

We weten pas wie de volgende is als het gebeurd!

[Reactie gewijzigd door watercoolertje op 4 maart 2026 06:29]

Reageer
musiman @watercoolertje4 maart 2026 09:00
Waarom hebben ze Odido/T-Mobile de afgelopen jaren niet gehacked? Oftewel, jouw redenatie raakt kant noch wal.

Mensen kunnen beter bij Odido blijven. Dit bedrijf is nu opgeschrikt en zal nadat het kalf verdronken is de put gaan dempen. KPN en Ziggo hebben óók mensen in dienst en die kunnen óók via social engineering om de tuin geleid worden. Sinds een paar jaar vindt het overgrote deel van de aanvallen initieel plaats middels social engineering. Het is slechts een kwestie van tijd eer deze partijen ook de fout in gaan. Het is niet "of", maar "wanneer" je aangevallen wordt. Je moet daarom zorgen dat je mérkt dat je aangevallen wordt. Oftewel, detectie is super belangrijk en daar is Odido in tekortgeschoten EN daar is Salesforce in tekortgeschoten. Ja, laatstgenoemde ook. Er is al een hele tijd een tendens dat organisaties aangevallen worden waarna via hun Salesforce account al hun gegevens worden gescraped. Een bedrijf als Salesforce zou op zijn minst een detectie tool kunnen implementeren en diens klanten waarschuwen wanneer er onverwacht veel queries in korte tijd worden gestuurd. Odido had ook ervoor moeten zorgen dat helpdeskmedewerkers niet zomaar bij gevoelige informatie kunnen én dat ze niet zomaar bij zovéél gevoelige informatie kunnen.
Reageer
Baardmeester @watercoolertje4 maart 2026 09:07
KPN is ook wel eens gehackt. Zie in 2012:
nieuws: KPN-hackers konden verkeer klanten mogelijk onderscheppen
Reageer
TheDudez @mugenmarco3 maart 2026 20:42
Over 1 of 2 jaar is het weer vergeten. Als ze met dikke aanbiedingen komen.
Reageer
Snow_King @mugenmarco3 maart 2026 23:22
Dat zijn de mensen die klagen, zijn er honderden, misschien duizenden. Die storm gaat ook liggen over enkele dagen en weken en dan gaat iedereen back to business. Ik zie het allemaal niet zo'n vaart lopen.
Reageer
HoppyF @Snow_King3 maart 2026 20:44
De storm waait over ja, maar de gevolgen zijn blijvend.
Deze hack is zo groot van omvang dat deze zeker blijft hangen.
Ik ga dit niet vergeten, en ja er zijn meer lekken her en der geweest maar niet zoals deze.
Reageer
Blinkin @HoppyF3 maart 2026 21:09
Het enige wat dit lek anders maakt is de omvang toch? Of mis ik iets?

Alle gegevens die van mij gelekt zijn lagen door enkele andere hacks van de afgelopen 10 jaar al op straat. Die hebben alleen amper het nieuws gehaalt omdat de omvang van getroffen personen aanzienlijk kleiner was (nog steeds in de 100.000+).
Reageer
HoppyF @Blinkin3 maart 2026 22:08
Niet alleen de omvang ook de inhoud.
Bij deze hack is meer gelekt dan alleen NAW telefoonnummer en e-mail.
Daarbij zijn er ook klantgegevens gelekt van klanten die al lang weg zijn.
Bij andere hacks ben ik niet tegengekomen.
Reageer
Snow_King @HoppyF3 maart 2026 23:25
Ik wil je best mijn IBAN geven, dan kan je er geld naar toe over maken. Als je hem gebruikt voor een onterechte incasso kan ik die direct weer storneren en blokkeren.

Mijn IBAN is eerder al gelekt bij crypto platformen en daar krijg ik wel eens scam calls door. Dan vind ik het wel leuk de scammer even 5 minuten bezig te houden.

Het is niet zo dat ik nu in de problemen zit doordat deze gegevens gelekt zijn.
Reageer
watercoolertje @Snow_King4 maart 2026 06:37
Wat een domme scammers, dag in dag uit zwoegen en niemand die er in trapt...

Leuk voor jou dat je er niet in trapt maar voor andere natuurlijk niet. Daarom bestaat scammen ook nog gewoon omdat het dus wel werkt, alleen niet op/bij iedereen...
Reageer
Snow_King @watercoolertje4 maart 2026 07:47
Niet met je oneens, maar ik merk een beetje een situatie waarin veel mensen doen alsof de wereld nu vergaan is voor heb.

Tips als een nieuw IBAN, mailadres, telefoonnummer, etc. Beetje overdreven
Reageer
R4gnax
@HoppyF3 maart 2026 22:35
Ik ga dit niet vergeten, en ja er zijn meer lekken her en der geweest maar niet zoals deze.
Colloseum Dental hack uit 2022. Volledige medische gebitsgegevens, financiële gegevens zoals bankrekeningnummer voor facturering, opgeslagen kopiën ID-bewijs ter identificatie/verifiactie, en BSN in alle medische correspondentie gelekt van 600,000+ patienten.

Maar die was je kennelijk al wel vergeten.
Reageer
HoppyF @R4gnax3 maart 2026 22:52
Mijn gegevens waren daar niet bekend.
Mijn gegevens komen gelukkig niet in elke hack voor.
Neemt niet weg dat dit soort lekken ernstig zijn.
Reageer
Ablaze @Snow_King3 maart 2026 20:39
Wellicht, de GDPR boetes zijn ook veel te laag. Een bedrijf als Odido kan wel een boete verwachten, maar dat is maar maximaal 4% van de jaaromzet. En een strafrechtelijke vervolging komt niet vaak voor. Ondanks dat men indirect wel mensen in gevaar brengt.
Reageer
Kristof Vxx @Ablaze3 maart 2026 21:53
De jaaromzet van 2024 (recentste cijfers) bedroeg 2,3 mrd EUR. 4% daarvan is 96 mln EUR. De winst was 209 mln, dus dat is geen klein bedrag hoor. Groot genoeg om pijn te doek, niet groot genoeg om ze failliet te laten gaan.
Reageer
Ablaze @Kristof Vxx4 maart 2026 07:05
Het is behoorlijk. Maar in de context van wat OP bedoeld is het niet ingrijpend genoeg om iets structureel te veranderen.
Reageer
cracking cloud @Snow_King4 maart 2026 11:25
Mijn gegevens zijn gelekt (naw, niet paspoort). Kan ik verder weinig aan doen, lig er dus ook niet wakker van. Als ik naar een andere provider ga wordt het daar gelekt. Ik neem aan dat Odido er nu van geleerd heeft en dat het daar in ieder geval niet weer gebeurt.
Reageer
Nature @Meg3 maart 2026 20:29
Ze willen geen losgeld betalen, ze willen ook niet opdraaien voor kosten van nieuwe documenten. Eigenlijk willen ze doen of het een enge droom was
Reageer
PCG2020 @Nature4 maart 2026 09:20
Waar haal je dat vandaan? Dat tweede is Odido namelijk wettelijk verplicht bij aantoonbare schade, aangezien zij de 'verwerkingsverantwoordelijke partij' zijn.
Reageer
aaahaaap @Meg3 maart 2026 20:31
Waarschijnlijk niet, want zo gaan die dingen. Iedereen doet er nu een plasje over, maar over een half jaar is iedereen het waarschijnlijk weer vergeten (behalve de slachtoffers die op wat voor manier dan ook hier last van ondervinden, maar die mogen het natuurlijk allemaal mooi zelf uitzoeken).

Naar mijn mening, als je van een derde van het land de gegevens op straat laat belanden mag het bedrijf gelijk opgeheven worden, kan het geld mooi verdeeld worden over de slachtoffers en met de rest van het geld kunnen we misschien nog wat herstellen aan onze verzorgingsstaat.
Zolang de pijn voor dit soort dingen niet bij de veroorzaker/bedrijven ligt gaat er niks veranderen.

[Reactie gewijzigd door aaahaaap op 3 maart 2026 20:42]

Reageer
downtime @Meg3 maart 2026 20:44
Prijzen iets verlagen en de meeste klanten die vanwege dit lek vertrokken komen volgend jaar ook weer terug. Het zal hun wel geld kosten maar het waait uiteindelijk wel weer over.
Reageer
beeldbuijs @Meg3 maart 2026 22:32
Nee, want alle grote providers hebben intussen wel zoiets aan de hand gehad de afgelopen jaren. De meeste mensen weten dat niet eens.
Reageer
FicoF @Meg3 maart 2026 20:23
Tuurlijk heeft het wel gevolgen.
Reageer
Llopigat
@Meg3 maart 2026 20:51
Het was altijd al een tweederangs provider. Sinds de tijd van ben is het altijd al de slechtste geweest. Zelfs dutchtone was beter.
Reageer
devil-strike @Meg4 maart 2026 06:58
Dat mag ik wel hopen ja, want als wij cunsument al worden aangepakt met simpele bel camera want stukje weg en zo....

Afijn hard aanpakken want hebben over overduidelijk wet overtreden(lange bewaar termijn en wat allemaal nogmeer)
Reageer
teemoow 3 maart 2026 21:33
Wat is eigenlijk de reden dat men zich verplicht moet identificeren? Als dat niet hoeft dan is je bedrijfsrisico dat je mogelijk de apparatuur in bruikleen niet meer terug krijgt en het achterstallig abonnementsgeld als verloren moet beschouwen... Je zou ook nog een pre-paid constructie kunnen invoeren en borg op de apparatuur. Als het wettelijke verplichtingen zijn, wat gaat er dan mis als we dat zouden loslaten?
Reageer
MennoE @teemoow3 maart 2026 21:37
Als dat niet hoeft kan ik een abonnement op jouw naam afsluiten. Of een lening. Of een abonnement op een hele erotische site. En dan mag jij uitleggen dat jij dat niet was. Of ik sluit het op mijn eigen naam af en ontkent het vervolgens.

Je moet in het economisch verkeer weten met wie je afspraken maakt.
Reageer
teemoow @MennoE9 maart 2026 20:46
zolang er maar "iemand" betaalt hoeft dat toch niet meer dan een random klantnummer uniek voor dat bedrijf te zijn? waarom is er een naam nodig? Voor leningen gaat dat uiteraard niet op, maar voor een abonnement met terugkerende betalingen waarbij de geleverde dienst gewoon stopgezet kan worden zie ik niet waarom dat perse nodig is.

wil jij voor mijn klantnummer/adres de internet elektra en waterrekening betalen, helemaal prima toch?
Reageer
mr.Millenarian 3 maart 2026 20:30
Ook dit zoeken in de gestolen data is dus illegaal RTL en zet misschien andere mensen aan om die gegevens ook op te zoeken!
Reageer
TheDudez @mr.Millenarian3 maart 2026 20:44
Nee dat is niet waar voor journalisten.
Reageer
Tielenaar @mr.Millenarian3 maart 2026 20:47
Dat RTL de gegevens "ingezien" heeft betekend nog niet per definitie dat het op hun systeem is gedownload. Daniel Verlaan heeft heel veel hacker vriendjes en in theorie kan hij het bij ze hebben gevraagd.

Aan de andere kant, als RTL gewoon netjes aan de AVG voldoet als ISO gecertificeerd bedrijf hebben ze misschien als journalistiek medium meer bevoegdheid dan een gemiddeld individu.
Reageer
ArremeR @mr.Millenarian3 maart 2026 20:52
Onzin, dit is zuiver onderzoeksjournalistiek voor een algemeen belang. Goed dat ze gevonden hebben dat er óók ministers instaan, hopelijk zet dat ze aan 't denken daar in Den Haag.
Reageer
jcbvm @mr.Millenarian3 maart 2026 20:41
Ja dat vind ik ook apart, laatst nog een artikel dat dit illegaal is maar journalisten mogen het gewoon doorspitten?
Reageer
tfro71 @jcbvm3 maart 2026 20:47
De wet maakt een uitzondering voor het "algemeen belang". Dat is een nogal ruime term maar een onderzoeksjournalist die publiekelijk meer informatie geeft lijkt me prima in het algemeen belang.
Reageer
protected22 @mr.Millenarian3 maart 2026 20:42
Dat gevoel kreeg ik ook al. Het is illegaal om die gegevens in handen te hebben maar RTL mag blijkbaar wel deze gestolen gegvens downloaden en doorzoeken? Beetje vreemd beeld geeft dat en zal er mogelijk voor zorgen dat anderen het ook gaan doen.
Reageer
mjl @protected223 maart 2026 20:55
Iets met algemeen nut, in de comments bij het stuk waar Engelfriet het als illegaal beargumenteerde stond ook een heel betoog dat het niet strafbaar zou zijn omdat de data als ‘publiek beschikbaar’ gezien kan worden omdat het via vrij makkelijke wegen toegankelijk/beschikbaar is.

[Reactie gewijzigd door mjl op 3 maart 2026 20:55]

Reageer
Coffee @mr.Millenarian3 maart 2026 20:49
Het is niet illegaal.
Reageer
Morress 3 maart 2026 20:22
Gelukkig is er allemaal niks aan de hand en valt de kans op oplichting (of erger) ont-zet-tend mee aldus de geleerder zonder enig commerciëel belang.
Reageer
Standeman 3 maart 2026 20:30
Ik heb ooit een collega gehad die gestalked werd door een ex partner. Is drie keer verhuisd waarna ze eindelijk een tijdje rust had. Totdat haar naam, adres en telefoonnummer opeens in het telefoonboek kwam te staan ondanks de toenmalige opt-out. "foutje" van PTT Telecom toendertijd. :X

De gevolgen waren groot. Ingegooide ramen, plotselinge ontmoetingen in de supermarkt, bedreigingen en een huisdier dat is vermoord. De politie en justitie doet tegenwoordig iets meer bij melding/aangifte, maar het is nog steeds onvoldoende. De kosten van een verhuizing zijn groot als je "slechts" een retailbaan hebt, maar ze had geen keuze en is weer 150km verderop gaan wonen. Gelukkig waren de woningen toen meer beschikbaar. Maar werk en sociale omgeving was ze wel kwijt.

En dan zijn er nog steeds mensen die roepen dat ze niets te verbergen hebben of bedrijven die zulke zaken no-big-deal vinden. :/

[Reactie gewijzigd door Standeman op 3 maart 2026 20:35]

Reageer
moonlander 3 maart 2026 20:58
Het is toch vrij logisch dat men hier geen onderscheid in gaat maken van een stratenmaker tot minister en mensen die in bescherming zitten.... We maken er nu ook wel een gigantisch ding van waardoor de ellende alleen maar groter wordt. Stel je voor dat er niks in het nieuws was geweest hierover, dan had niemand het gedownload op een paar criminelen na.. Maar wat krijg je nu? Iedereen download het, of het mag of niet het wordt nooit goed en beveiligd opgeslagen. Dus in die zin is de media hierin ook wel enorm schuldig in dit hele verhaal. Ook door dit verhaal weer, spoort mensen altijd aan om het ook maar eens te bekijken. Goed praten doe ik het aan alle kanten niet: odidio, de hackersgroep, media, en de datadownloaders..

En waarom geen linkje naar Have I Been Pwned?
De andere zegt wel een e-mail van Odido te hebben gehad.
Ja dat is ook een vraag die wij wel eens krijgen, oh we hebben geen email ontvangen. Vaak staat hij in een ander mapje, of is hij toevallig in de spam gekomen. En soms inderdaad worden mails gewoon niet afgeleverd. Mail is nou niet een heel betrouwbaar protocol of iets afgeleverd wordt of niet. Soms met foutmelding, soms hoor je niks of een aflevering fout gaat. Voornamelijk Outlook....

[Reactie gewijzigd door moonlander op 3 maart 2026 22:03]

Reageer
William_H @moonlander3 maart 2026 23:47
Die discussie heb ik ook wel eens gehad, nota bene met een advocaat (maar goed, wat weten die nu van IT). Volgens die advocaat kwam mail altijd aan, en als je dus niet antwoorde lag het aan jou. Of dat er anders een onbestelbaar retourmail kwam. Uitgelegd dat dat niet altijd gebeurt, maar daar wilde die niks van weten. Toen maar bedankt voor z'n diensten...
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq