Odido-router stuurde analyticsdata naar Turks AI-bedrijf - update

Een router van Odido verzamelde gegevens over apparaten op het interne netwerk, bevestigt de provider. De router stuurde onder meer MAC-adressen en SSID's door naar Lifemote, een Turks bedrijf dat naar eigen zeggen AI inzet om netwerkprestaties te verbeteren.

Pentester Sipke Mellema schreef vorige week op LinkedIn dat hij ontdekte dat de Zyxel T-56-router analyticsdata doorstuurde naar Lifemote nadat hij het apparaat had geroot. Het ging om onder andere namen en MAC-adressen van apparaten op het interne netwerk en gegevens over het dataverbruik. Ook deelde de router soms ssid's en macadressen van wifinetwerken in de buurt, schrijft Mellema. Op 8 maart meldde hij dat de router gestopt leek te zijn met het doorsturen van informatie naar Lifemote.

Een woordvoerder van Odido laat weten dat de router inderdaad data doorstuurde naar Lifemote en dat de dataverzameling is stopgezet. "De data wordt gebruikt om problemen die de dienstverlening beïnvloeden te signaleren en op te lossen. We beperken de dataverzameling tot een minimum en gebruiken de data niet voor andere doeleinden dan het waarborgen van de servicekwaliteit. We hebben Lifemote afgesloten terwijl we verder onderzoek uitvoeren."

Tegenover De Telegraaf laat de Autoriteit Persoonsgegevens weten dat MAC-adressen gelden als persoonsgegevens. "We noemen dit indirect identificerende persoonsgegevens. Dat komt omdat u de gegevens kunt combineren met elkaar of met andere gegevens. Zo kunt u de gegevens terugbrengen tot een bepaald persoon."

Update, 17.39 uur – Reactie van de Autoriteit Persoonsgegevens toegevoegd.

Update 2, 17.52 uur – In het artikel stond aanvankelijk dat Lifemote een Amerikaans bedrijf is. Het bedrijf blijkt echter Turks te zijn. Het artikel is hierop aangepast.

De Zyxel T-56
De Zyxel T-56

Door Imre Himmelbauer

Redacteur

Feedback • 11-03-2026 16:51
225 • submitter: splrf

11-03-2026 • 16:51

225

Submitter: splrf

Lees meer

ZyXEL EX5601-T1 ( T-56, Gbit modem Odido)

geen prijs bekend

2.5 van 5 sterren
Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails
Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails Nieuws van 5 maart 2026
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update Nieuws van 3 maart 2026
Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort
Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort Nieuws van 2 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Meer producten en artikelen
Privacy Modems en routers ZyXEL Datalogging Odido

Reacties (225)

-Moderatie-faq
225
223
127
20
2
87
Wijzig sortering

Sorteer op:

Weergave:
CARLiCiOUS 11 maart 2026 18:52
Ik heb zelf dit apparaat ook en ben een paar daagjes in de software stack gaan duiken. Trust me, dit is zo'n bak ellende, dat komt echt niet meer goed na wat patchrondes.

Gelukkig is er OpenWrt support. Heel goed nieuws, want eerlijk is eerlijk, de hardware is best wel serieus goed te noemen (routers met dezelfde chipset liggen rond de 150 euro). Om OpenWrt te flashen heb je sinds de laatste versie wel een root shell nodig, maar dat heb ik destijds opgelost met een exploit. Ik kan iedereen hier van harte aanraden dit te doen; het verandert je router in een daadwerkelijk bruikbaar apparaat, geeft je de controle terug, en verlost het van spyware en vele security issues. Best of all: it's free :9.

Over security issues gesproken: De exploit die genoemd wordt in het bronartikel om een root shell te krijgen was door mij en onafhankelijk door een vriend van me ook al gevonden. Het plan was om dit achter de hand te houden voor wanneer Odido een nieuwe firmware pusht waarmee ze het opnieuw proberen onmogelijk te maken om OpenWrt te flashen. Oh well, gelukkig heb ik er nog 2 :+ .

[Reactie gewijzigd door CARLiCiOUS op 11 maart 2026 18:58]

Reageer
InjecTioN @CARLiCiOUS11 maart 2026 19:50
@exyll De “mesh” ap’s (WX5600-T0) kan je ook voorzien van OpenWrt, waarna je ze ook in mesh kan zetten. Support vanuit OpenWrt is nog niet official, maar het komt eraan in een volgende release. :)

[Reactie gewijzigd door InjecTioN op 11 maart 2026 19:51]

Reageer
Tom Paris @InjecTioN11 maart 2026 20:22
De support is wel "official", maar de is nu alleen beschikbaar in SNAPSHOT builds. Iemand zou een cherry-pick kunnen doen om support in 25.10 te krijgen, of anders wachten op 26.XX.
Reageer
3raser @CARLiCiOUS11 maart 2026 20:36
Heb je Zyxel niet in bruikleen? OpenWRT flashen zal dan niet echt de bedoeling zijn lijkt me.
Reageer
BarryS @3raser11 maart 2026 20:58
Hier ben ik ook benieuwd naar. Is de router nu je eigendom? Zo ja. Dan ga ik ook de OpenWRT route. Heb nu een Deco set hangen en de Zyxel uit staan.
Reageer
Xfade @BarryS11 maart 2026 21:16
Is geen eigendom. Is altijd bruikleen. Ze bieden geen koop optie.
Reageer
exyll @CARLiCiOUS11 maart 2026 19:29
Doen de mesh APs het nog na het flashen?
Reageer
HollowGamer @CARLiCiOUS11 maart 2026 20:10
Wow dat is cool!

Ik weet wel dat OpenWRT voorheen geen closed stuff deed, vandaar de dd-wrt fork. Is dit veranderd? Dat lijkt me wel triviaal bij glasvezel.
Reageer
david-v @CARLiCiOUS11 maart 2026 19:41
Precies dit, flashen met OpenWrt, of de Zyxel T-56-router lekker in de doos laten en je eigen router gebruiken. Dat is wat ik gedaan heb. Instellen op vlan 300 wat bij Odido de verbinding naar internet regelt en klaar.

OpenWrt heb ik vroeger wel vaak gebruikt, maar inmiddels toch maar overgestapt op Unifi apparatuur.
Reageer
Gamer_Life @CARLiCiOUS11 maart 2026 21:19
Of zoals ik heb gedaan een Asus router gebruiken ( ik heb overigens geen tv alleen glasvezel internet van odido) en instellen op de pagina iptv code 300 bij internet en boem alles werkt en lekker je eigen router gebruiken.
Reageer
joeri1 11 maart 2026 17:07
- De Odido-router haalt bij een nieuwe WAN-verbinding een bash-script op over een onversleutelde HTTP-verbinding.

- Je kan dit script manipuleren om een root shell op je router te krijgen.
Ligt het aan mij of is het ook erg zorgwekkend dat de router via HTTP een script ophaalt en dit uitvoert, aldus het artikel op LinkedIn.
Reageer
mvn23 @joeri111 maart 2026 17:35
Dat is het inderdaad. Toen ik het artikel voor het eerst las dacht ik dat dit allemaal op het management vlan gebeurde. Dit zou alsnog niet geweldig zijn, maar in ieder geval beter dan op de publieke WAN verbinding. Iedereen die het verkeer tussen jou en lifemote kan onderscheppen - door een fysieke MITM of DNS poisoning bijvoorbeeld - kan hierdoor in principe een shell met rootrechten op je router krijgen. Ik gok dat dit dan ook de reden is dat het inmiddels uitgezet is.

@robbinwehl bron: https://www.linkedin.com/pulse/odido-router-verzamelt-analytics-van-je-huishouden-sipke-mellema-0uoie/
Reageer
toxict @joeri111 maart 2026 19:36
Via Wireshark jaren geleden de WAN port "gewiresharked".....

Reset je router naar factory default en op het moment dat je 'm aanzet, gaat ie idd via HTTP zoeken naar een provisioning server, die vervolgens plaintext configs terugstuurd naar je router.

Zo kon ik alle login gegevens voor VOIP uitvogelen die de helpdesk me niet wilde geven.

Servernamen, usernamen en wachtwoorden, alles stond erin.

Daarna de router in de doos terug gestopt, VOIP op mijn GIGASET geconfigureerd en Internet rechtstreeks op mijn UDM-PRO binnen laten komen.
Reageer
HollowGamer @joeri111 maart 2026 17:57
Het zal je verbazen hoe slecht router firmwares in elkaar zitten.

Ik kijk veel Low Level, en zelfs grote 'betrouwbare' vendors hebben issues. Dit was toevallig een recente van een B-merk: YouTube: I Hacked This Temu Router. What I Found Should Be Illegal.

Het is heel slecht dat Odido dit allemaal doet, onder TM was het ook minder, maar zo slecht heb ik het nooit gehoord? En ja, ik zit er helaas bij, maar het was dat of Ziggo waarbij ik heel duur uitwas voor 1/1gbit/s.
Reageer
Halfscherp @HollowGamer11 maart 2026 19:00
Valt toch wel mee? Een heleboel merken draaien gewoon in-tree Linux kernel modules voor hun chipsets en een fork van OpenWRT erbovenop.

[Reactie gewijzigd door Halfscherp op 11 maart 2026 19:00]

Reageer
Stevie-P @joeri111 maart 2026 17:31
Zeker, ik vind het ook een gemis dat dit niet in het tweakers artikel wordt benoemd.
Reageer
JJ Le Funk @joeri111 maart 2026 18:26
Volgens Odido gaat F-Secure je hiertegen beschermen, quote van support-pagina: "Je krijgt onder andere bescherming tegen phishing, gevaarlijke links en onveilige websites.". :|
Reageer
Henk1827 @joeri111 maart 2026 19:01
RCE voor mensen die op dat VLAN kunnen komen. Leuke backdoor voor inlichtingen.
Reageer
R4gnax
@joeri111 maart 2026 19:14
Nice. Dus een triviale MitM en je hebt arbitraire code injection op alle Odido modem-routers voor elkaar.
Wat een stumpers zeg.

[Reactie gewijzigd door R4gnax op 11 maart 2026 19:14]

Reageer
robbinwehl @joeri111 maart 2026 17:11
heb je hier de bron van ?
Reageer
Stevie-P @robbinwehl11 maart 2026 17:26
In het artikel: https://www.linkedin.com/pulse/odido-router-verzamelt-analytics-van-je-huishouden-sipke-mellema-0uoie/
Reageer
Anonymoussaurus @robbinwehl11 maart 2026 17:44
Hier een mooie deep-dive van de onderzoeker, daar staat het ook bij: https://www.linkedin.com/...uden-sipke-mellema-0uoie/
Reageer
maradesign 11 maart 2026 17:30
Nu heb ik spijt dat ik geen werk gemaakt heb voor de installatie van een eigen modem/router. Want dat is wel mogelijk bij Odido. Maar dan zou ik weer extra moeten betalen.

En nu dit weer...

1 Zat ik lekker bij TWEAK met mijn Fritzbox, toen bericht dat T-mobile TWEAK ging overnemen.
2 In de zelfde periode dat mijn contract overgenomen werd door T-mobile kwam de overname door ODIDO (lekker gedaan jongens)

3 Overname (lees rebranding thanks @aikebah ) ging dus niet lekker, 4 dagen zonder internet gezeten (andere mensen hebben ergere horror verhalen).
4. Toen het datalek
5. Nu dit "datalek"

Ik ga maar weer naar KPN, waar ik voor TWEAK zat, met mobiel en mijn internet only abonnement. Dan is het maar veel duurder. Uit principe zou ik Odido gewoon niet meer moeten willen als leverancier.

[Reactie gewijzigd door maradesign op 11 maart 2026 20:56]

Reageer
Houtenklaas @maradesign11 maart 2026 17:38
En privacy een dingetje is, heb je eigenlijk maar één keuze en dat is de vrijheid van de partij die in het gat van XS4ALL gesprongen is. Zeker niet de goedkoopste, maar principes zijn ook wat waard, zo blijkt nu maar weer.
Reageer
maradesign @Houtenklaas11 maart 2026 17:44
Ik zie dat ook als mogelijkheid, dan maar geen 'staffel korting' meer bij de grote boys, of alles onder 1 dak.
Reageer
PdC @maradesign11 maart 2026 18:47
Tja, privacy kost geld.
Ik heb het er graag voor over. Odido verkoopt je DNS queries, router data etc gewoon aan de hoogste bieder. En dat doen ze al jaren.
Reageer
haam @PdC11 maart 2026 18:55
Weet niet of je daar een bron voor hebt, maar ben wederom blij dat ik al jaren een VPN gebruik, zowel voor thuis als mobiel
Reageer
japie06 @haam11 maart 2026 19:21
Je VPN boer verkoopt je DNS queries, router data etc gewoon aan de hoogste bieder. En dat doen ze al jaren.
Reageer
Zentac @japie0611 maart 2026 21:28
Dat hangt natuurlijk helemaal van je VPN provider af. Proton en genoeg anderen doen dit niet.
Reageer
SaraNostra @PdC11 maart 2026 19:11
Bron?
Reageer
Zebby @Houtenklaas11 maart 2026 18:57
Ik zit sinds vorig jaar bij Freedom (daarvoor XS4all), eigen Fritzbox als modem, helemaal top. Zo veel duurder was het ook niet.
Reageer
eco @Zebby11 maart 2026 19:58
Dat ligt er aan wie de netwerkbeheerder / belichter is. Voor mij bijvoorbeeld is Freedom helaas 33 euro per maand duurder dan Delta. Heb een jaar Freedom gehad en dat was prima, maar het prijsverschil (bijna 400 euro per jaar) was mij gewoon te groot.

Mocht die prijsstelling in de toekomst gunstiger worden dan zou ik best weer naar Freedom willen.

[Reactie gewijzigd door eco op 11 maart 2026 20:00]

Reageer
aikebah @maradesign11 maart 2026 18:59
2 In de zelfde periode dat mijn contract overgenomen werd door T-mobile kwam de overname door ODIDO (lekker gedaan jongens)
Kleine nuance: dat was geen overname, maar een rebranding van T-Mobile Nederland wat al veel eerder (2015) was afgesplitst van de rest van T-mobile met het oog op de verkoop. En korte tijd (maart 2022) voor de overname van Tweak (oktober 2022) vond die verkoop eindelijk plaats.
Reageer
hotabibber @maradesign11 maart 2026 19:41
Zei iedereen dit maar.

Wat een bagger provider. Met zoveel leks lijkt mij reden dat hier toch sprake is van wan prestatie van Odido. In zo'n geval heeft iedereen recht om zijn contract op te zeggen ook al is hij doorlopend.

Allemaal te erg voor woorden. Blij dat ik er geen klant meer ben, anders had ik mijn rechtsbijstand verzekering ingeschakeld.
Reageer
david-v @maradesign11 maart 2026 19:50
Als iets meer uitgeven geen probleem is, neem je eigen router (zonder wifi), een switch en trek vervolgens wat kabels om 1 of meerdere APs te plaatsen in je woning afhankelijk van hoe groot het allemaal is. APs zijn over het algemeen ook iets mooier als je die op verschillende locaties in je huis wil ophangen. Als je een hekel hebt aan kabels is een mesh AP ook een optie, maar persoonlijk heb ik liever belangrijke APs.

Wat je ook doet, nooit een wifi router nemen en deze in de meterkast plaatsen. Tenminste als je een beetje een goeie wifi verbinding wil hebben in je huis.
Reageer
wiseger @david-v11 maart 2026 21:04
Tja ik heb de Unify U7 Pro Wall toch echt gewoon aan de muur in de meterkast gehangen en heb echt overal prima Wifi.
Reageer
Houtenklaas @david-v11 maart 2026 21:46
Een iets te generiek statement in mijn optiek.

Kortgeleden router (en WiFi) geïnstalleerd bij de dochter van een maat van me. Meterkast centraal in het gelijkvloerse appartement met een houten achterwand met een kast aan de andere kant van die wand. Spectaculair goed signaal overal. Kan ook haast niet anders, het hele nieuwbouw-appartement is 74m2. Jaren 70/80 huis met dikke betonnen vloeren en 3 verdiepingen is een ander verhaal inderdaad.
Reageer
pdidi 11 maart 2026 17:08
@Imre Himmelbauer Misschien goed om net als security.nl toe te voegen dat volgens de Autoriteit Persoonsgegevens MAC-adressen persoonsgegevens zijn en niet zomaar mogen worden gedeeld
Reageer
AuteurImre Himmelbauer Redacteur @pdidi11 maart 2026 17:40
Ik heb de reactie van de AP toegevoegd!
Reageer
hhj @Imre Himmelbauer11 maart 2026 20:44
Ik verbaas me eigenlijk nog het meest over de focus van AP. Als de politie ten behoeve van opsporing data verzamelt staan ze op hun achterste benen, bij een halve gare provider die keer op keer alle regelgeving aan zn laars lapt, zich laat hacken en de data laat lekken en daarover gaat staan liegen, en nu dit, weer, hoor je AP in de verste verte niet. Begrijpt die man eigenlijk wel dat het zijn taak is om het publiek te beschermen in plaats van opsporing te hinderen?!?!
Reageer
Kapiteiniglo @hhj11 maart 2026 21:53
Eigenlijk zou ik verwachten dat de ACM of de Rijksinspectie Digitale Infrastructuur hier iets mee zouden doen. Die houden immers toezicht op de telecommunicatiewet. Ben daar geen specialist in maar kan mij niet voorstellen dat dit van de telecommunicatiewet mag.
Reageer
Valandin 11 maart 2026 17:10
Het klinkt op zich ook niet zo kwalijk, maar je weet natuurlijk niet wat ze ermee doen.
Een partij weet van miljoenen huishoudens wat voor apparatuur er verbonden is met het netwerk.

Als je die volledige dataset in handen hebt, kun je een hoop doen: zowel marketingtechnisch (waar/hoeveel mensen maken gebruik van Sonos-devices) als voor hacking (waar/hoeveel mensen devices gebruiken die vaak zwak beveiligd zijn).

De claim "De data wordt gebruikt om problemen die de dienstverlening beïnvloeden te signaleren en op te lossen." kan ik zelf niet plaatsen. SSID, IP, device-naam en MAC-adres lijken mij geen error logging of troubleshooting, maar pure big data voor verkoop.
Reageer
demianmonteverd @Valandin11 maart 2026 18:45
Signaalsterkte krijgen ze mee, frequentie kanaal voor de verbinding ook, dus daarmee kunnen ze aan de telefoon wellicht debuggen. Blijft een apart verhaal dat dit naar een derde parij moet gaan. Houd het lekker op een eigen server die het meteen weg kan gooien na gebruik door de helpdesk aan de telefoon, sla het op aanvraag op. Desnoods handmatig aan te zetten voor twee weken als er iets speelt.

Helaas heb je misschien gelijk. Overigens had iemand nog een punt dat die partij ook een samenwerking met zyxel had, dus wellicht kwam het op die manier bij odido terecht (al wisten ze er van natuurlijk, dus echt een goed verhaal gaat het niet meer worden).
Reageer
Devian 11 maart 2026 17:27
Volgens mij (eigenlijk weet ik dit zeker) word Lifemote ingezet om wifi problemen te voorkomen.

Niet of slecht werkend wifi is een mega calldriver voor telecom providers.. Hier word echt veel over gebeld en dit kost enorm veel geld. Met de Lifemote software op de CPE is de klantenservice, volgens mij, in staat om veel beter op deze problemen te acteren of beter nog veel problemen worden voorkomen.

Ik verwacht dat dat de reden is dat er info over devices, macs, wifi namen, signaal sterktes, etc etc etc geanalyseerd word.

https://www.lifemote.com/solution
The End-to-End AI-Driven
Wi-Fi Analytics & Experience Management Platform

Combining real-time insights, proactive care, and self-resolution tools for complete in-home excellence
First line Support
  • Provides first-line support with a clear list of actionable issues for quick resolution.
  • Identifies common problems such as misplaced repeaters, legacy client devices.
  • Offers agents a detailed network topology to easily pinpoint and resolve connectivity issues.

[Reactie gewijzigd door Devian op 11 maart 2026 20:51]

Reageer
gamezfreak @Devian11 maart 2026 17:57
Volgens mij werd Lifemote ingezet om wifi problemen te voorkomen.

Niet of slecht werkend wifi is een mega calldriver voor telecom providers.. Hier word echt veel over gebeld en dit kost enorm veel geld. Met de Lifemote software op de CPE is de klantenservice, volgens mij, in staat om veel beter op deze problemen te acteren of beter nog veel problemen worden voorkomen.

Ik verwacht dat dat de reden is dat er info over devices, macs, wifi namen, signaal sterktes, etc etc etc geanalyseerd word.

https://www.lifemote.com/solution

[...]


[...]
Mee eens dat Wi-Fi problemen het vaakst voorkomen, maar dit zie je ook wel terug bij bedrijven (ik kan geen verbinding maken t/m waarom is de Wi-Fi traag (vaak ligt dit bij het apparaat die verkeerd geconfigureerd is, dan wel verouderd is)).
Het probleem is dat best veel mensen niet even zelf de stappen ondernemen en gelijk de klantenservice bellen met "ik heb geen Wi-Fi" en dan gaat de klantenservice de modem op afstand resetten, gezien meeste mensen de wachtwoorden default houden.

Terugkomend op het lijstje: heel veel mensen gebruiken nog oud spul qua repeaters, want waarom vervangen als het prima doet? Nou, vanwege dat je repeater alleen 2.4 GHz doorzet en niet 5/6 GHz, wat weer ervoor zorgt dat Wi-Fi zich gaat aanpassen aan het traagste device in je netwerk (CSMA/CA). Het afsplitsen van de frequenties doet al een hoop als je tóch je legacy devices wilt blijven gebruiken, mits je router wat aan performance heeft inzitten.
Het grote nadeel is wel dat dus je gehele netwerk in kaart wordt gebracht, met ook devices die werk gerelateerd zijn.

De enige keren dat ik zelf met Wi-Fi gedoe heb gehad, was toen ik de Asus mesh set ging reviewen, dan pas je soms iets te veel dingen aan waardoor de router even in de war was geraakt (spoiler: niet elke router vind het leuk als je de beacon timeframe omhoog zet, zodat je minder overhead hebt en de CPU minder belast).

Dit had trouwens ook KPN of een andere provider kunnen zijn. Ik meende mij te herinneren dat KPN wat jaren terug een issue had waardoor betaalverkeer via China liep, kan het artikel niet zo snel meer terugvinden.

Offtopic:
Hoe meer er over Odildo naar buiten komt, des te meer geneigd ik ben om over te stappen naar KPN (want die is het enige wat bij mij nog aan FTTH doet). Alleen is Odildo de goedkoopste... Wordt binnenkort maar een eigen router ophangen en kijken of ik de Huawei glasconverter ook kan omzetten naar een eigen glasconverter.
Reageer
david-v @Devian11 maart 2026 19:59
Misschien moeten providers ook stoppen met het installeren van routers met wifi in de meterkast. Om de connectie problemen op te lossen komen ze nu vaak met een mesh oplossing, terwijl je waarschijnlijk met een router in de meterkast en een AP buiten de meterkast in de hal het probleem al een stuk kleiner maakt een geen mesh nodig hebt
Reageer
zunigepauper 11 maart 2026 17:46
Dat ze bepaalde dingen loggen is niet echt nieuwswaardig, dat stond in het contract.

Maar klik eens door naar het artikel op LinkedIn.
De Odido-router haalt bij een nieuwe WAN-verbinding een bash-script op over een onversleutelde HTTP-verbinding.
Er staat nog meer sappigs in, daar waar wel met https wordt gewerkt, staat certificaatvalidatie gewoon uit.

Odido geeft echt geen zak om veiligheid. Terwijl ze met zo'n enorm klantenbestand het echt wel financiëel aankunnen om het goed te doen.
Reageer
ZinloosGeweldig @zunigepauper11 maart 2026 19:24
Dat ze bepaalde dingen loggen is niet echt nieuwswaardig, dat stond in het contract.
Welke AVG grondslag is daarmee van toepassing? Overeenkomst niet, want dat gaat over de verwerking van gegevens die nodig zijn om de overeenkomst uit te voeren. Toestemming ook niet, want dat moet vrijelijk gegeven, ondubbelzinnig, geïnformeerd en specifiek zijn.
Reageer
zunigepauper @ZinloosGeweldig11 maart 2026 20:33
Ik heb het niet over de juridische kant, dat is een ander onderwerp. Ben het wel eens dat dat in orde moet zijn, en dat het natuurlijk nergens voor nodig is dat ze die dingen bijhouden "om de service te verbeteren" of hoe ze het ook verexcuseren.

Ik bedoel meer dat ik het jammer vind dat de nadruk van het artikel ligt op iets wat we al wisten, terwijl het echte gepruts van Odido (http, scripts die certificaten negeren) niet eens genoemd wordt. Dit is gewoon amateurgedrag van zo'n groot bedrijf die echt wel de centen heeft om het beter te doen.
Reageer
WouterL @ZinloosGeweldig11 maart 2026 20:37
Je kijkt bij hergebruik van data niet naar een nieuwe grondslag, maar naar artikel 6 lid 4 AVG. Dat is de verenigbaarheidstoets. Toestemming kan hierbij een rol spelen. Logging voor kwaliteitsdoeleinden zou niet onwaarschijnlijk als verenigbaar kunnen worden beschouwd. Die toets durf ik wel aan. Of daarvoor een Turks bedrijf inschakelen als verwerker hiervoor de beste oplossing is, is een tweede vraag.
Reageer
ZinloosGeweldig @WouterL11 maart 2026 20:54
Er is toch helemaal geen sprake van hergebruik of een nieuwe grondslag. Er moet eerst een originele grondslag voor een origineel doel zijn voor de verenigbaarheidstoets in het geding komt.
Reageer
WouterL @ZinloosGeweldig11 maart 2026 20:56
Ik kan me voorstellen, maar wellicht kan iemand me hier bij helpen, dat een internet service provider deze data defacto al verwerkt bij het aanbieden van de dienst :). Maar hier schiet mijn serviceprovider kennis te kort..

Dit leek mij althans logisch omdat deze routers ook worden uitgegeven, en er sowieso monitoring van het netwerk plaatsvindt. Het zou mij verbazen als deze data niet al inzichtelijk is voor Odido. Correct me if I’m wrong.

[Reactie gewijzigd door WouterL op 11 maart 2026 20:59]

Reageer
ZinloosGeweldig @WouterL11 maart 2026 21:02
De facto verwerking bestaat niet. Verwerking heeft áltijd een correcte grondslag nodig.

En als je zegt "Logging voor kwaliteitsdoeleinden zou niet onwaarschijnlijk als verenigbaar kunnen worden beschouwd", wat bedoel je daar dan mee? Verenigbaar betekent in isolatie niet. De verenigbaarheidstoets gaat er om dat als gegevens die voor een bepaald doel, met correcte grondslag, verwerkt worden, voor een ander doel ingezet worden, die doelen met elkaar verenigbaar moeten zijn. Met welk originele doel zou het verenigbaar zijn?
Reageer
WouterL @ZinloosGeweldig11 maart 2026 21:12
Met de facto bedoelde ik dus vanuit een primaire orginele grondslag ;) denkbaar is uitvoering overeenkomst, maar ik ben geen internetserviceprovider.

ik kan me voorstellen dat, omdat de router beheerd wordt door Odido (en eigendom is), het internet verkeer voor een groot deel inzichtelijk is bij Odido (bijv voor facturering, FUP, beheren van het apparaat etc). Maar nogmaals hier houdt mijn kennis een klein beetje op :-)

Als de bron data rechtmatig is verzameld, doorloop je de toets, en houdt daarbij dus rekening met:
  • De relatie tussen het oorspronkelijke doel en het nieuwe doel.
  • De context waarin de gegevens zijn verzameld.
  • De aard van de gegevens (bijvoorbeeld bijzondere persoonsgegevens).
  • Mogelijke gevolgen voor de betrokkenen.
  • Passende waarborgen, zoals versleuteling of pseudonimisering.
mocht je de data dus intern gebruiken voor kwaliteitsonderzoek, dan zou mijn advies hier in niet direct negatief zijn. Mits de bron data dus rechtmatig is verzameld.

Als de data vervolgens ook nog eens netjes geaggregeerd of geanonimiseerd wordt, is het helemaal niet meer zo’n spannend verhaal. Moet je het natuurlijk wel eerst mogen verzamelen.

zou fijn zijn als het in de privacy Statement stond van odido. Maar helaas. https://assets.odido.nl/x/e0ddb64757/01092025-privacy-statement.pdf

[Reactie gewijzigd door WouterL op 11 maart 2026 21:26]

Reageer
ZinloosGeweldig @WouterL11 maart 2026 21:35
Met de facto bedoelde ik dus vanuit een primaire orginele grondslag denkbaar is uitvoering overeenkomst, maar ik ben geen internetserviceprovider.

ik kan me voorstellen dat, omdat de router beheerd wordt door Odido (en eigendom is), het internet verkeer voor een groot deel inzichtelijk is bij Odido (bijv voor facturering, FUP, beheren van het apparaat etc). Maar nogmaals hier houdt mijn kennis een klein beetje op :-)
Ik kan je met zekerheid vertellen dat een internetprovider je internettoegang kan leveren zonder je client MAC-adressen te verwerken. De grondslag uitvoering van overeenkomst is dus absoluut niet van toepassing.

Die router is ook geen managed device, je hebt hem in bruikleen. Het feit dat de data in het geheugen van een apparaat dat economisch eigendom van Odido aanwezig is maakt niet dat zij die data verwerken. Pas als Odido een dienst op het apparaat zou leveren waarvoor kennis van de MAC-adressen van client apparaten noodzakelijk zijn (stel Odido beheert voor jou als dienst de MAC-filtering op je router bijvoorbeeld) kan er sprake zijn van een overeenkomst grondslag.

In mijn oorspronkelijke reactie vroeg ik uiteraard naar de oorspronkelijke grondslag. Ja, áls er een originele grondslag is, dan is er misschien bij hergebruik wel sprake van verenigbaarheid, maar dat is totaal afhankelijk van het originele doel en het nieuwe doel. Dat wordt er echt met de haren bij gegrepen...

[Reactie gewijzigd door ZinloosGeweldig op 11 maart 2026 21:38]

Reageer
WouterL @ZinloosGeweldig11 maart 2026 21:39
Het is jammer dat Odido geen toelichting kan geven op het verzameldoel :-) (in de privacyverklaring) Wat dan zou overblijven is het gerechtvaardigd belang. Maar zonder toelichting over waarom, hoe, en wat is dat “lullen in de ruimte”. Het gaat op zijn minst mis voor wat betreft de informatieverplichting.
Reageer
mgizmo 11 maart 2026 18:09
sinds 2022 blijkbaar: https://www.lifemote.com/post/https-lifemote-com-2022-10-14-tmobile-netherlands-deploys-lifemote-home-network-assurance

Online.nl in 2020 zo te zien: https://www.lifemote.com/post/https-lifemote-com-2021-10-28-lifemote-at-bbwf-2021

En het is gewoon een dienst wat blijkbaar het leven in 2019 heeft kregen.

Keynote van het bedrijf: YouTube: Exponential growth in telecoms - Lifemote's pitch at BBWF 2021 as Startup Showcase 2019 Winners

Vanaf 4:25 heeft ie het over de agent: YouTube: Exponential growth in telecoms - Lifemote's pitch at BBWF 2021 as Startup Showcase 2019 Winners

De dienst is waarschijnlijk afgenomen door Odido om Wifi Plus te kunnen aanbieden op basis van data over het huis van de consument. Zoals: https://www.lifemote.com/post/https-lifemote-com-2023-09-11-unveiling-the-exquisite-battle-the-epic-rivalry-of-160-mhz-bw-vs-80-mhz-bw-in-coverage-performance

Het is allemaal zo logisch vanuit Odido gedacht. Alleen tja, weet je klant dit....

[Reactie gewijzigd door mgizmo op 11 maart 2026 18:28]

Reageer
StormRider 11 maart 2026 18:22
Toen ik problemen had met de modem (T-54) kon de klantenservice precies zien welke SSID wij gebruikten en welke apparaten er waren aangesloten. Ik was tamelijk verrast dat dit kon. Ook konden ze zien dat de meerdere SSID werden gebruikt en dit was niet wenselijk volgens hun.

Aangezien ze ook Mesh punten leveren kon ik dit wel begrijpen. Maar dat ze ook MAC adressen + namen registreren gaat wel heel ver.

Een SSID is uiteindelijk ook openbaar

[Reactie gewijzigd door StormRider op 11 maart 2026 18:23]

Reageer
david-v @StormRider11 maart 2026 20:07
Simpel gezegd kan Odido kijken in de door hun geleverde routers. Dat doen ze geloof ik via vlan 100. Ze kunnen ook allerlei aanpassingen doen. Dat is een mes die aan twee kanten snijd, want je zet de deur wel open voor exploits op je router, en we weten inmiddels wel hoe "veilig" odido is :+.

Dit is overigens niet iets nieuws. Het managen van de router door de provider deden we al eind jaren 90 met de eerste kabelmodems. Je kon op afstand alles inzien en regelen op de kabelmodem. Ook dat de kabelmodem werd uitgezet, vaak als mensen op vakantie gingen (handig als dieven die informatie hebben).
Reageer
StormRider @david-v11 maart 2026 20:41
Helder. Kan je deze VLAN100 uitzetten? Ik heb weinig vertrouwen op dit moment..
Reageer
david-v @StormRider11 maart 2026 20:43
Dat zou best kunnen, maar dan moet je wel als admin inloggen op de router. Als het goed is staat dat in de handleiding.
Reageer
dylan111111 11 maart 2026 16:57
Zeer opmerkelijk dat Odido zelf geen zicht lijkt te hebben op wat er op hun eigen routers gebeurt. Terwijl een extern persoon toevallig ontdekt dat de beveiliging tekortschiet en dat niet alleen jouw gegevens, maar ook informatie over het netwerkverkeer rondom de router worden doorgestuurd naar een Amerikaans AI bedrijf.
Reageer
Patrock @dylan11111111 maart 2026 18:14
Op 15 juli 2025 heb ik een responsible disclosure gedaan bij Odido dat deze data, wat ook onder persoonsgegevens valt, zonder TLS validatie naar dit endpoint worden gestuurd. Dat de beveiliging tekort schiet is ze dus ook niet onbekend :+

excerpt van mijn melding:
GET /v1/reports/*MAC*?cpe={...}

waarbij de cpe-parameter een JSON-body bevat met volledige metrics van het modem en aangesloten netwerkapparatuur. Deze JSON bevat onder meer:


MAC-adressen van de router, access points en verbonden apparaten

signaalsterktes (RSSI)

dataverbruik per apparaat

verbindingsduur

Deze gegevens vallen onder de noemer persoonsgegevens, zoals ook omschreven door de Autoriteit Persoonsgegevens:

https://www.autoriteitpersoonsgegevens.nl/themas/internet-slimme-apparaten/wifi-en-bluetooth

Ik zie in het modem geen enkele mogelijkheid om deze communicatie uit te schakelen of daar toestemming voor te weigeren (opt-out). Daarnaast is het domein indetel.net niet ondertekend met DNSSEC, wat een succesvolle DNS-manipulatie nog op grote schaal gevaarlijker maakt.

De data die zonder enige controle of validatie door het modem wordt verstuurd naar modemdata.lifemote.prd.indetel.net kan indien onderschept of omgeleid worden misbruikt voor patroonherkenning in woon- en leefgedrag, type apparaten in huis, actieve tijdstippen en zelfs apparaat-fingerprinting.
Dit was de reactie op 5 augustus;

Thank you for your responsible disclosure and the clear way you described your findings.

We have reviewed your report regarding TLS certificate validation on our CPEs. This limitation is known to us and is related to firmware constraints and certificate management challenges. Although the practical risk is limited, your report helps us re-evaluate areas for improvement.

This report does not qualify for a financial reward, but we appreciate your contribution.
Reageer
demianmonteverd @Patrock11 maart 2026 18:35
Goed gedaan en bedankt voor het delen ook.
Reageer
aikebah @Patrock11 maart 2026 19:09
Serieus? Een GET request om stats te posten? Over slecht ontwerp gesproken.
Reageer
ernstoud
@dylan11111111 maart 2026 17:18
Zeker wel. Ze noemen precies wat ze registreren in het privacy reglement. Dus dan weten ze het.

[Reactie gewijzigd door ernstoud op 11 maart 2026 17:43]

Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq