Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura

De ransomwarebende Shinyhunters, vooral bekend van de Odido-hack, heeft bij een hack van securitybedrijf Aura de gegevens van 900.000 mensen gestolen. Het gaat voornamelijk om namen en e-mailadressen, maar in sommige gevallen zijn er ook telefoonnummers buitgemaakt.

Het gros van de 900.000 gestolen e-mailadressen en namen is afkomstig van een 'marketingtool' van een bedrijf dat Aura in 2021 overnam. Volgens Have I Been Pwned stond zo'n tien procent van de e-mailadressen nog niet eerder in zijn database. Zo'n 35.000 van de 900.000 slachtoffers zijn of waren ooit klant van Aura. Van die groep zijn niet alleen namen en e-mailadressen gestolen, maar ook telefoonnummers en fysieke adressen. Have I Been Pwned meldt dat er ook 'aantekeningen van de klantenservice' gestolen zijn. Aura belooft dat de hackers geen toegang hadden tot gevoelige informatie als wachtwoorden en betaalgegevens.

Volgens het securitybedrijf kon de hack plaatsvinden doordat een medewerker telefonisch werd gephisht, waarna de hackers toegang wisten te krijgen tot het account van die medewerker. Op een vergelijkbare manier wist de productieve hackersgroep Shinyhunters vorige maand ook de gegevens van miljoenen Odido-klanten te stelen.

Aura biedt een app met verschillende privacygerelateerde diensten aan. Zo kunnen gebruikers persoonlijke gegevens zoals wachtwoorden opslaan en krijgen ze een melding als hun gegevens op straat belanden. Ook bevat de app een vpn-dienst en is het mogelijk om gekoppelde apparaten te beheren, zodat gebruikers onder meer een schermtijdlimiet voor hun kinderen kunnen instellen en bepaalde apps kunnen blokkeren.

Aura

Door Kevin Krikhaar

Redacteur

Feedback • 18-03-2026 15:41
35 • submitter: eagle00789

18-03-2026 • 15:41

35

Submitter: eagle00789

Lees meer

RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek Nieuws van 3 maart 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
'Pornhub-hack treft 1,5 miljoen Nederlandse accounts'
'Pornhub-hack treft 1,5 miljoen Nederlandse accounts' Nieuws van 17 december 2025
AT&T betaalde hacker 370.000 dollar om onlangs gestolen data te wissen
AT&T betaalde hacker 370.000 dollar om onlangs gestolen data te wissen Nieuws van 15 juli 2024
Cybercriminelen stelen miljoenen telefoonnummers van Authy
Cybercriminelen stelen miljoenen telefoonnummers van Authy Nieuws van 4 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Datalek Hack

Reacties (35)

-Moderatie-faq
35
35
7
2
0
20
Wijzig sortering

Sorteer op:

Weergave:
JumpStart 18 maart 2026 15:59
Volgens het securitybedrijf kon de hack plaatsvinden doordat een medewerker telefonisch werd gephisht, waarna de hackers toegang wisten te krijgen tot het account van die medewerker.
Ik stel voor dat er in de Nederlandse wet wordt vastgelegd dat bedrijven die klantgegevens verwerken verplicht gesteld worden om hun telefonisch medewerkers verplicht en aantoonbaar "weerbaarheidstraining" te geven tegen dit soort social engineering.

(Zal in de praktijk wel het nodige aan handen en voeten in de aarde hebben, maar toch.)
Reageer
ApexAlpha @JumpStart18 maart 2026 16:15
Denken dat je je hiertegen kan wapenen is een illusie.

Je kan phishingrisico's nooit wegsimuleren. Dat werkt gewoon niet.

Ons bedrijf stuurt continu van die neppe mails vanuit Hoxhunt en er is altijd wel iemand die klikt of erin trapt.
Reageer
themadone @ApexAlpha18 maart 2026 16:29
Export van datasets blocken kan prima, rate limits, auditing met alerting etc etc. Er zijn meer dan genoeg technische oplossingen beschikbaar om dit te voorkomen.

Echter, doordat veel van dit soort systemen als SaaS worden afgenomen ben je volledig afhankelijk van de aanbieder of die zijn zooi op orde heeft. En dat is 9 van de 10 keer niet zo blijkt ook nu maar weer.
Reageer
Sito @themadone18 maart 2026 16:38
SaaS is geen excuus. Als je als bedrijf een SaaS-product afneemt ben je, mits je het via een leverancier doet, zelf verantwoordelijk om de boel dicht te timmeren.SaaS-producten hebben hier vaak genoeg instellingen voor (zoals Salesforce).
Reageer
themadone @Sito18 maart 2026 16:48
Helaas is dat niet hoe SaaS in de directiekamers wordt verkocht. De tekst want dan heb je geen beheer meer komt vaak voorbij met als gevolg dat functionele mensen verantwoordelijk worden voor technische instellingen waarvan ze waarschijnlijk het bestaan niet eens weten.

En ja. Er zijn ook bedrijven waar het wel goed is ingericht qua personeel, maar ook meer dan genoeg waar de fte's geruimd zijn met dank aan de cloud/SaaS overgang.
Reageer
ApexAlpha @themadone18 maart 2026 16:57
Precies. Dat zijn de oplossingen.

Je moet altijd vanuit gaan dat een groep die moeite doet om jouw te hacken echt wel iemand vind die klikt / reageert.

Dat is nu eenmaal de realiteit.
Reageer
laurxp @ApexAlpha18 maart 2026 16:39
Je kan phishingrisico's nooit wegsimuleren. Dat werkt gewoon niet.
Jawel hoor.

Met Webauthn / Passkeys is het wiskundig onmogelijk om gephished te worden: je inloggegevens werken alléén maar op een legitieme website. Een phishing-website heeft een ander domein, waardoor die nooit een geldige 2FA-bevestiging kan krijgen van bijvoorbeeld een Yubikey, waardoor de phisher nooit een geldige 2FA-bevestiging kan doorsturen naar de service die ze aan het aanvallen zijn.

Je zult altijd werknemers hebben die op rare links blijven klikken, maar het feit dat zo'n phishing-poging kan leiden tot een overgenomen account is een keuze: de beveiliging bestaat al lang, sommige bedrijven kiezen er alleen nog steeds voor om het niet te gebruiken.

Google heeft bijvoorbeeld Titan Keys verplicht gemaakt voor eigen werknemers - en het gevolg is dat er geen succesvolle meer zijn geweest. Andere bedrijven hebben vergelijkbare resultaten.

[Reactie gewijzigd door laurxp op 18 maart 2026 16:42]

Reageer
Llopigat @ApexAlpha18 maart 2026 16:20
Nee maar je kan wel aan mitigatie doen. Zorgen dat 1 werknemer niet overal bij kan (RBAC). Zorgen dat er monitoring gebeurt op verdachte activiteit (waarom bekijkt werknemer A opeens 10.000 accounts per dag in plaats van de gebruikelijk 10). Zorgen dat ze alleen op afgesloten omgevingen bij hun gevoelige data kunnen (dus geen internet toegang binnen diezelfde omgeving). Enzovoorts.

Overigens, wat ik zie met die mails (wij hebben de dienst KnowBe4 van flapdrol kevin mitnick) is dat ze alleen meten of mensen ergens op klikken. Niet of ze daadwerkelijk hun credentials invoeren. Ik denk dat die hoeveelheid een stuk lager gaat zitten.

[Reactie gewijzigd door Llopigat op 18 maart 2026 16:21]

Reageer
Cyberpuppy @JumpStart18 maart 2026 16:07
Zoals ik hierboven ook al betoogde. Ook de softwaremakers aanpakken. Als ik verdorie voor een gebruiker een simpele instelling op zijn telefoon wil wijzigen moet ik potverdorie 6 keer zijn gezicht scannen en z'n schoenmaat opmeten. Maar als ik 900.000 (of 6,2 miljoen) records wil downloaden. Geen punt joh, ga je gang.
Reageer
jongetje @Cyberpuppy18 maart 2026 16:52
En dan is dit nog een bedrijf die beveiligingsproducten verkoopt, maar blijkbaar zelf niets gebruikt.
Reageer
useruser @JumpStart18 maart 2026 16:05
Net zoals alle vrouwen verplicht een cursus zelfverdediging moeten volgen voordat ze de straat op mogen? Dit soort shit is pure victim blaming en dient weinig doel behalve criminaliteit bagatelliseren.
Reageer
Rixter223 @useruser18 maart 2026 16:17
Dat lijkt mij wat overdreven. Het is gewoon onderdeel van je werk dat je daarop let en getraind wordt. Net zoals de politie getraind wordt in het herkennen van potentieel criminele activiteiten en personen.
Reageer
h8bal @useruser18 maart 2026 16:17
Helemaal niet vergelijkbaar.

Die medewerker mogen ze gerust op straat smijten voor die domme fout. Die vrouwen doen niets mis met op straat te gaan.
Reageer
asing @useruser18 maart 2026 16:30
Dat is behoorlijk overtrokken. Ondanks dat heel veel mensen met de digitale wereld te maken hebben (wie heeft er geen smartphone of een account bij Big Tech?) is een groot deel niet digitaal weerbaar. Het is dagelijkse kost, nep-agenten, bankhelpdeskfraude, babbeltrucs. Genoeg mensen die er met open ogen intrappen ook al lazen ze het gisteren nog. Social Engineering is gewoon een probleem en het levert de daders veel geld op. Dit zitten ongrijpbaar ergens in Rusland ofzo, dus je enige beveiliging is de persoon die de telefoon aanneemt.

Onderaan de streep zal je je medewerkers dus moeten trainen om er niet in te trappen. Ik kom op opdrachten geregeld van die trainingen tegen en het zit tegenwoordig zelfs in de duurdere Microsoft abonnementen. Die zijn in bijna alle gevallen verplicht voor iedereen en het ligt vastgelegd in het beleid, samen met andere maatregelen.

Er is geen sprake van victim blaming, het slachtoffer kan er niets aan doen. Die wordt net zo lang bewerkt tot deze omvalt. Waar je in dat geval wel naar moet kijken of de training is gevolgd en of je iets aan de frequentie/inhoud moet doen.
Reageer
emoeloe @JumpStart18 maart 2026 16:11
Naast dat het inderdaad praktisch niet heel haalbaar is, denk ik dat je het probleem ook nog eens mogelijk verergert.

De mensen die juist vatbaar zijn voor deze zaken zijn mensen die denken dat ze niet vatbaar zijn. Die overschatten zichzelf namelijk gruwelijk, want alle mensen zijn hier vatbaar voor. 'Weerbaarheid' is dan niks meer dan schijnveiligheid, waardoor mensen denken 'nee mij pakken ze niet'.

Je moet je processen zo inrichten dat het geen probleem kan zijn. Mensen gaan fouten maken, dat ga je niet oplossen. Dat is altijd zo geweest, gaat altijd zo zijn. Dus blijft over dat die fouten niet in één keer desastreus kunnen zijn, door juist niet te vertrouwen op één mens maar op een proces.
Reageer
Quintiemero @JumpStart18 maart 2026 16:16
Hah, als je daar als organisatie van afhankelijk bent, doe je iets verkeerd.

En wat wil je dan bereiken? Vinkje-compliance?

[Reactie gewijzigd door Quintiemero op 18 maart 2026 16:16]

Reageer
Baardmeester @JumpStart18 maart 2026 16:18
Wat versta je onder aantoonbare weerbaarheidstraining? Zoals je nu bijvoorbeeld bij de cbw krijgt wordt de training voor management vormvrij en is een deelname certificaat zonder accreditatie genoeg. Er hoeft alleen een naam van de trainer, organisatie van de trainer en besproken onderwerpen op het certificaat te komen. Er zullen genoeg weerbaarheids elearnings zijn waar men alleen hoeft door te klikken op multiple choice antwoorden en de filmpjes moet laten afspelen
Reageer
Elorad @JumpStart18 maart 2026 16:28
Het zou al ontzettend helpen als meer bedrijven een vorm van least privilege access + zero trust principes zouden hanteren. Daarmee wordt m.i. de aanvals vector om echt "interessante" gegevens te kunnen downloaden/inzien al een heel stuk kleiner. Dat icm gegevens niet langer bewaren dan nodig (ik heb het tegen jou odido) kan veel ellende besparen. Uitsluiten kan je het denk ik nooit.

Weerbaarheidstraining is ook goed, maar is geen heilige graal.
Reageer
Iksie @Elorad18 maart 2026 16:51
Dit dus inderdaad. Daarnaast zeg ik altijd: gebruik multi level of defense in People/Process/Technology. Naast awareness en training zijn ook procedurele aanpassingen nodig zoals 4-ogen principes in belangrijke wijzigingen zoals bankrekeningen, en ook oplossingen zoals Secure Email Gateway en Secure Web Gateway (SSE). Moeten de middelen wel toelaten natuurlijk.
Reageer
MoonRaven 18 maart 2026 15:46
Aura biedt een app met verschillende privacygerelateerde diensten aan. Zo kunnen gebruikers persoonlijke gegevens zoals wachtwoorden opslaan en krijgen ze een melding als hun gegevens op straat belanden.
Dat blijft natuurlijk wel het meest ironisch aan dit lek. Ze sponsoren allerlei youtubers dat ze ervoor zorgen dat jouw gegevens niet in vreemde databases komen, en dan lekt juist via hun allerlei gegevens.
Reageer
diejeremo @MoonRaven18 maart 2026 15:56
XDDDD
Reageer
A. Ben 18 maart 2026 15:45
Tja je kan er zoveel grappen over maken maar dit is wel echt een pure Aura verlies
Reageer
redbullzuiper 18 maart 2026 15:51
Samenvattend, je installeerde ooit Aura om op de hoogte te blijven van datalekken waarbij jouw gegevens op straat belanden. En nu krijg je via Aura de melding dat jouw gegevens zijn gelekt… bij Aura. Dan is de cirkel wel héél netjes rond 🙈
Reageer
Cyberpuppy 18 maart 2026 15:51
Gewoon een oprechte vraag. Waarom moet toch overal die naam van dit soort criminele bendes in beeld? Het zijn geen popsterren (voor de jongeren onder ons, lees influencers)

In mijn optiek kan een dergelijk artikel prima geschreven worden zonder die bende op een voetstuk te plaatsen.


En daarnaast. Wanneer gaan we onze pijlen eens richten op de platformen die het mogelijk maken dat 1 enkele medewerker een dergelijke grote set data kan downloaden. Zou default gewoon geblokkeerd moeten zijn.
Reageer
Toine1 @Cyberpuppy18 maart 2026 16:04
Bij het bedrijf waar ik werk is dit dus wel, want ongeveer 10jr geleden is daar ook iemand op betrapt. Ik ben geen ICT’ er maar mij lijkt het toch wel heel simpel voor een beveiligingsbedrijf om dit goed af te zekeren.
Reageer
Archcry @Cyberpuppy18 maart 2026 16:24
Het noemen van de naam van een bende is toch niet hetzelfde als die bende op een voetstuk plaatsen? Zo werkt nieuws nu eenmaal. Wanneer er een aanslag wordt gepleegd, wordt de naam van de terroristische organisatie daarachter ook gewoon genoemd. Het is simpelweg een feitelijk detail. Journalistiek gezien is daar niets vreemds aan. Bovendien wordt de bende op geen enkele manier verheerlijkt of opgehemeld.

[Reactie gewijzigd door Archcry op 18 maart 2026 16:26]

Reageer
Elorad @Cyberpuppy18 maart 2026 16:34
Waarom moet toch overal die naam van dit soort criminele bendes in beeld
Als het sinaloa kartel in Colombia een bus vol mensen opblaast, worden ze toch ook gewoon bij naam genoemd?

Het is niet dat er iets staat als, de helden van shinyhunters, toch? Ze worden gewoon een bende genoemd (wat het ook is)

Dan omgedraaid, wat ga je bereiken door de naam niet te noemen?
Reageer
Milanobrotchen 18 maart 2026 16:11
In welk land opereert Shiney hunters? het valt me wel op dat ze allemaal grote tech bedrijven hacken zoals nu Aura, maar ook eerst Salesforce (via Odido). valt me op dat salesforce ook connecties heeft met big data.
Reageer
wildhagen
@Milanobrotchen18 maart 2026 16:19
Het is een internationale groep. Er zijn al leden gearresteerd in oa de VS, Frankrijk en er lijken ook activiteiten in iig de UK en India te zijn.

Shiny Hunters is ook een groep criminelen due samenwerkt met andere criminele groepen zoals ScatteredSpider en Lapsus$

Je moet maar eens kijken op Wikipedia: ShinyHunters voor meer info over deze criminelen.
Reageer
vinkjb 18 maart 2026 16:23
Daar gaat je naam van je bedrijf ten onder aan eigen fouten. Slechte opleiding net als bij Odido of matige trainingen.
Reageer
Hemingr 18 maart 2026 16:29
Gaan we nu elke keer als de shinyhunters een hack hebben een artikeltje tikken?

Ter info, na de odido hack hebben ze de volgende doelen geraakt:
  • Pathstone.com > 15GB aan data
  • WoFlow > 326GB aan data
  • CFGI.com >800K records
  • Aura > 900K records

    Een productief clubje boefjes.
Reageer
Llopigat @Hemingr18 maart 2026 16:51
Die van WoFlow is nogal wat. Ik had er nooit van gehoord maar het is bijvoorbeeld Deliveroo en DoorDash. Vind ik wat nieuwswaardiger dan deze leak eigenlijk.

[Reactie gewijzigd door Llopigat op 18 maart 2026 16:55]

Reageer
cnoobie 18 maart 2026 16:40
Zucht. Weet je, op een gegeven moment zijn alle gegevens van iedereen gelekt en dan maakt het allemaal niet meer uit. Dat is de enige, wrange, relativerende silver lining bij dit nieuws.
Reageer
SinergyX 18 maart 2026 16:50
Zopu ik dan ook een melding in die app krijgen als mijn data van hun gelekt is? :P
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq