Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer

De datalekdatabase Have I Been Pwned heeft de gegevens van 1,7 miljoen klanten van Hallmark toegevoegd aan de tool. Aanvallers zouden persoonsgegevens van gebruikers via de Salesforce-omgeving hebben buitgemaakt. 82 procent van de slachtoffers was al eerder getroffen door een ander datalek.

Hallmark
Bron: Hallmark

Via de klantenservice van Hallmark, die via het platform van de derde partij Salesforce verliep, zijn hackers bij de namen, e-mailadressen, telefoonnummers en fysieke adressen van 1,7 miljoen klanten gekomen. Ook alle andere gegevens die klanten via de klantenservice hebben uitgewisseld, zijn bij de cyberaanval gestolen.

Het gaat om klanten van de wenskaartenmaker Hallmark en van de streamingdienst Hallmark+. Een groot deel van de slachtoffers was volgens Have I Been Pwned al eerder slachtoffer van een datalek, al is niet duidelijk of alle gegevens toen zijn buitgemaakt of bijvoorbeeld alleen e-mailadressen.

De hackersbende Shinyhunters zit achter de cyberaanval. Zij hebben Hallmark geprobeerd af te persen en uiteindelijk de klantengegevens geopenbaard. De groepering zat ook achter de omstreden Odido-hack en de aanval op Rockstar Games.

Door Yannick Spinner

Redacteur

Feedback • 13-04-2026 16:34
50 • submitter: HKLM_

13-04-2026 • 16:34

50

Submitter: HKLM_

Lees meer

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers'
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers' Nieuws van 12 april 2026
Greetz.nl neemt Kaartenhuis.nl over
Greetz.nl neemt Kaartenhuis.nl over Nieuws van 29 april 2008
Greetz.nl verliest rechtszaak tegen Hallmark
Greetz.nl verliest rechtszaak tegen Hallmark Nieuws van 14 maart 2008
Greetz.nl sleept Hallmark voor de rechter
Greetz.nl sleept Hallmark voor de rechter Nieuws van 14 februari 2008
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Datalek

Reacties (50)

-Moderatie-faq
50
49
24
2
0
14
Wijzig sortering

Sorteer op:

Weergave:
Kapotlood 13 april 2026 17:08
Dat gaat lekker zo… T-Mobile, Basic-Fit en nu Hallmark weer. En dan wil de overheid die toch al niet zo'n goede naam heeft op digitalisering, IT en veiligheid, al onze data liefst in een digitaal paspoort gooien? Mag ik daar even m'n zorgen en bedenkingen over hebben?
Reageer
Bas232 @Kapotlood13 april 2026 17:24
CEO's van die bedrijven persoonlijk aansprakelijk maken, is de enige manier ze bewust te maken van de ellende die ze veroorzaken. Gewoonlijk is de IT-afdeling gedwongen troep te gebruiken en als het fout gaat krijgen die ook de schuld. Van zodra de top van een bedrijf strafbaar gaat worden zal het rap anders gaat binnen bedrijven. Ze doen steeds alsof ze slachtoffer zijn, maar ze zijn gewoon SCHULDIG het zijn HUN systemen die niet veilig zijn. Dus moeten de CEO's van die bedrijven gewoon achter de tralies verdwijnen. Moet jij eens kijken hoe ze ineens de boel gaan aanpassen naar wel veilige systemen. Vergeet niet, de top zou verantwoordelijk moeten zijn, krijgen ze ook veel te hoge lonen voor, maar als het fout gaat is er niets aan de hand en de burger is de klos! Het is een schande hoe bedrijven nooit hun onschuld bij de rechter moeten bewijzen. Vriendjes politiek tot en met, gesteund door de politiek.
Reageer
masterfragger @Bas23214 april 2026 00:11
Je praat feitelijk over betere handhaving van de AVG/GDPR, die is streng op papier, maar handhaving blijft fragmentarisch, reactief en per land anders. Niemand in Europa neemt echt het voortouw, mogelijk uit angst bedrijven weg te jagen. Je zou kunnen denken aan het volgende:
  1. Uniforme boetes: Nu verschillen GDPR-boetes per land, wat oneerlijke concurrentie creëert. Een EU-breed sanctiesysteem (bijv. 2-4% van de wereldwijde omzet) zorgt voor een level playing field. In de VS zijn boetes vaak harder (zoals $5,1 miljoen voor Facebook in 2019), maar daar investeren bedrijven massaal in compliance om boetes te voorkomen.
  2. Verplichte veiligheidsaudits: Bedrijven met >100.000 klantrecords moeten jaarlijks geaudit worden. Een EU-veiligheidslabel (vergelijkbaar met ISO 27001) helpt consumenten veilige bedrijven te herkennen. Techgiganten als Microsoft laten al jaren externe audits uitvoeren – waarom andere bedrijven niet?
  3. Beloning voor proactieve beveiliging: Bedrijven die investeren in zero-trust, encryptie en ethisch hacken, verdienen fiscale kortingen of lagere cyberverzekeringspremies. In de VS krijgen bedrijven die kwetsbaarheden melden vaak mildere straffen – de EU kan dit uitbreiden met positieve prikkels.
De EU moet uniforme boetes, verplichte audits en beloningen voor veiligheid introduceren. Alleen zo wordt de GDPR meer dan een papieren tijger.

[Reactie gewijzigd door masterfragger op 14 april 2026 00:12]

Reageer
pantslol @masterfragger14 april 2026 01:21
In welke wereld zijn de boetes in de VS harder? 5,1 miljoen voor facebook? Dat is 0,0025% van de omzet. Terwijl meta een miljard+ boete kreeg van de EU
Reageer
Kapotlood @Bas23213 april 2026 17:26
Ik kan me op zich best voorstellen dat het altijd een kat en muis "spel" blijft met hackers die ingangen proberen te vinden, maar juist dat zou reden moeten zijn voor de overheid om heel voorzichtig en terughoudend te zijn met het digitaliseren van onze échte privé data.
Reageer
R_Zwart @Bas23213 april 2026 18:56
Niet alleen CEO's. Ook lakse IT-ers. Als IT-ers niet op C-level communiceren dan kan de CEO ook niet veel doen. Vaak genoeg gezien dat alle KPI's van de IT-afdeling op groen staan en dat er toch dingen fout gaan.

[Reactie gewijzigd door R_Zwart op 13 april 2026 18:57]

Reageer
To_Tall @R_Zwart13 april 2026 19:03
Daarom ben ik fel tegenstander van KPI’s slaat nergens op. Toetsen om het toetsen.

Men zal dan soort van gedwongen altijd binnen de lijntjes kleuren van de KPI’s. Vooruitgang en verbetering wordt niet gewaardeerd omdat je dan de KPI’s niet haalt.
Reageer
MenN @To_Tall13 april 2026 19:17
Dat is natuurlijk altijd zo, wat gemakkelijk te doen is wordt gemeten, en wat gemeten wordt, wordt gemanaged. Dat veel belangrijke dingen niet gemakkelijk in een KPI'tje te vangen zijn maakt dat je heel makkelijk een verkeerd beeld kan krijgen van de status van een organisatie.
Reageer
Earry @Bas23213 april 2026 20:01
Dat zijn ze al onder NIS2.
Reageer
GurbieV @Kapotlood13 april 2026 18:21
Volgens mij lees ik in je opsomming geen overheidsinstantie.

Dus misschien valt het nog wel mee met de overheid
Reageer
vanstra @GurbieV13 april 2026 19:38
https://nos.nl/artikel/26...-gegevens-dji-medewerkers
Reageer
Radhe @vanstra14 april 2026 07:46
Uitgerekend die, dat is wel toppunt van ironie.
Reageer
FrankHe @Kapotlood13 april 2026 17:34
Je vergeet Booking te noemen.
Reageer
GurbieV @Kapotlood13 april 2026 18:23
Overigens kun je al je paspoortgegevens en familie, inkomen en nog heel veel meer gewoon vinden via mijn.overheid.nl

Ik neem aan dat hackers dat al goed aan het uittesten zijn.
Reageer
harrytasker @Kapotlood13 april 2026 19:00
Kan iedereen lekker binnenlopen met al de schadeclaims :+
Reageer
Ghostery @Kapotlood13 april 2026 22:31
Dit is precies waarom ik zo fel op die hele DMA ben.

We zien nu al dat bedrijven moeite hebben om hun eigen systemen veilig te houden (Odido, Basic-Fit, Hallmark). Laat staan als dingen zoals de DMA ze straks gaat verplicht om die systemen open te gooien voor derden.

De realiteit is dat de zwakste schakel het geheel bepaalt. Grote platforms hebben hun security vaak goed op orde, maar moeten door de DMA samenwerken met kleinere partijen die dat minder goed geregeld hebben.
Reageer
Wildfire 13 april 2026 16:41
Welke Hallmark accounts? Amerikaanse? Of ook Nederlandse?

Ik heb een account bij Hallmark.nl maar van Hallmark zelf in ieder geval nog niets vernomen.
Reageer
sapphire @Wildfire13 april 2026 16:46
Ik weet vrijzeker dat mijn vrouw daar een account heeft (Hallmark.nl) maar op HIBP komt die neit naar voren dus ik gok/hoop de US site :X
Reageer
EdwinB @Wildfire13 april 2026 16:43
Aangezien Have I Been Pwned deze heeft toegevoegd aan haar database kun je dus al gemakkelijk zien of jouw adres onderdeel was van deze hack
Reageer
Wildfire @EdwinB13 april 2026 16:45
Aangezien Have I Been Pwned deze heeft toegevoegd aan haar database kun je dus al gemakkelijk zien of jouw adres onderdeel was van deze hack
Zojuist gechecked en het mailadres dat ik bij Hallmark.nl heb gebruikt komt niet in de database voor. Olé. :)
Reageer
JurienW 13 april 2026 16:45
Zou de komst van AI er voor zorgen dat er eenvoudiger gehacked kan worden en er dus nu meer datalekken zijn of is er een andere reden?
Vandaag al het 3de bericht dat er een nieuw datalek is en waarschijnlijk niet de laatste deze maand.
"Vroeger" was dit voor mijn gevoel veel minder.
Reageer
bzuidgeest @JurienW13 april 2026 17:25
Anthropic Mythos word beperkt beschikbaar gesteld omdat hij te goed kon hacken. Dus ja, Het zal zeker invloed hebben.,
Reageer
graey @bzuidgeest13 april 2026 17:37
ChatGPT's 2e model kwam ook niet uit omdat het te krachtig zou zijn voor de wijde wereld. Inmiddels heeft iedereen gewoon toegang tot die en nieuwere versies. "Omg it's too powerful" is ook gewoon een mooi marketingbericht soms.
Reageer
The Zep Man
@JurienW13 april 2026 16:53
"Vroeger" was dit voor mijn gevoel veel minder.
Vroeger werd er minder gemeld richting toezichthouders en klanten, want toen waren de regels in de EU hier nog niet uniform over. Dankzij de AVG horen wij dit vaker.

Het aantal succesvolle aanvallen en de impact daarvan gaan niet verminderen als organisaties niet voldoende pijn voelen van dit soort lekken. Daarvoor zijn daadkrachtige toezichthouders nodig, want zelfregulering werkt niet.

[Reactie gewijzigd door The Zep Man op 13 april 2026 16:58]

Reageer
Kloppendlid @JurienW13 april 2026 17:02
Het lijkt mij wel dat LLM's het leven van hackers een stuk makkelijker maakt.
Als je al weet in welke richting je wilt zoeken helemaal.
Een stuk of wat agents parallel laten lopen en kijken waar ze mee komen. Het zal sowieso heel veel tijd schelen om iets te onderzoeken en te ontdekken.
Reageer
elmuerte @JurienW13 april 2026 17:31
Ja. Maar niet zo zeer voor de huidige "oude" omgevingen, maar voor de nieuwe zaken die door middel van Al gemaakt worden. Zoals we vroeger de grap maakte: IOT, de S staat voor security; gaat dit ook op Al.

Al is voornamelijk getraind op onveilige software, daar is gewoon meer van op internet. Veel Al bevat geen (degelijke) veiligheden waardoor secrets met gemak gelekt worden doordat de gebruiker er weinig kennis van heeft. Al is redelijk goed in patroonherkenning waardoor mogelijke attack vectoren sneller naar boven komen. Social engineering heeft met Al een lagere drempel gekregen. etc.

Het security speelveld verschuift nog meer naar het voordeel van de mensen met slechte bedoelingen.
Reageer
Barrycade @JurienW13 april 2026 20:04
Deze maar die ook van Odido zijn gebaseerd op een phishing expeditie met als target de medewerkers zodat er op Salesforce ingelogd kan worden en dan scrapen ze de data.

Dus dit zal met AI nog iets makkelijker zijn om een script te maken waardoor de phishing nog geloofwaardiger wordt. Maar er zit bij deze hacks niet een gast in een hoody voor een The Matrix screensaver.
Reageer
phoenix2149 13 april 2026 16:44
Je wordt hier toch moedeloos van zeg. daarbij vraag ik me af of het wel de klant hun adres gegevens zijn of de gegevens naar waar het is gestuurd.

Het patroon lijkt te zijn dat ze op manieren in het CRM (Salesforce) komen en zo de data kunnen scrapen. Misschien een vulnerability in Salesforce die nog niet bekend is?
Reageer
DdeM @phoenix214913 april 2026 16:47
De vulnerability waar ze bij Odido mee binnen zijn gekomen was toen al zeker 4 maanden bekend, geen idee hoe dat bij Hallmark zit.
Reageer
Forte @phoenix214914 april 2026 01:59
De vulnerability lijkt elke keer een menselijke factor te zijn, net zoals bij de Odido hack.

Als je dan een hogergeplaatste werknemer hebt of de rollen en rechten zijn niet goed ingeregeld dan is het scrapen voor het leven.
Reageer
Harrie D 13 april 2026 17:12
Misschien dat de hackers een leuke wenskaart willen sturen naar de klanten van Hallmark waarvan zij al de gegevens hebben.
Het is dus niet meer de vraag of je gegevens al een keer gelekt zijn maar hoe vaak dat al gebeurd is.
En bedrijven maar zeuren om een account aan te maken.
Reageer
addictive_rhymz 13 april 2026 17:22
Alweer salesforce? Was dat bij odido ook niet zo? Ik hoop dat bedrijven die zaken doen met die lui zich eens goed achter de oren krabben.
Reageer
nzall 13 april 2026 16:35
1,7 klanten? hier klopt iets niet...

update: oorspronkelijk stond in de titel 1,7 klanten. Had eerst deze reactie aangemaakt en het dan direct gemeld via de feedback knop.

[Reactie gewijzigd door nzall op 13 april 2026 16:41]

Reageer
Scribe @nzall13 april 2026 16:36
Arme klant, als er nog maar 0,7 van over is...
Reageer
nzall @Scribe13 april 2026 16:37
Dat is iemand die zijn benen kwijt is denk ik.
Reageer
Gladiator5 @Scribe13 april 2026 16:38
Word afgerond naar 2 toch :p

Ontopic:
Het is wel echt datalek season. Bizar
Reageer
bjp @nzall13 april 2026 16:37
ik wist niet dat er deel-klanten zijn :)
Reageer
WaffelWaffe @nzall13 april 2026 16:37
Het erge van alles is dat ik als radende lezer er al 1.7 miljoen van maakte 8)7
Reageer
xxs @WaffelWaffe13 april 2026 16:39
De koppensnellers lezen 1,7, in het artikel staat gewoon 1,7 miljoen.
Reageer
eheijnen 13 april 2026 16:45
Ut lekt goed overal de laatste week.
Is dit een gecoördineerde actie van een bepaalde acteur.. ?
Reageer
Joncik91 @eheijnen13 april 2026 17:02
Dat was ook mijn eerste gedacht bij het openen van het artikel!
Reageer
Nijl 13 april 2026 19:30
Zo erg is het niet om een kaartje te ontvangen! Dus kom maar op!
Reageer
Monday 13 april 2026 20:06
Ik wordt slapend rijk, de miljoenen zullen wel weer de mailbox binnen stromen, gaat lekker zo :+
Reageer

Om te kunnen reageren moet je ingelogd zijn