Bol zegt niets te weten van hack, vermeende dataset staat te koop op darkweb

De Nederlandse webwinkel bol zegt geen aanwijzingen te hebben voor een hack, lek of ransomwareaanval. Op het darkweb claimt een hacker gegevens van 400.000 Belgische bol-klanten in handen te hebben.

Bol onderzoekt de zaak, zegt een woordvoerder tegen Tweakers. "Wij nemen deze melding serieus, maar we hebben momenteel geen enkele aanwijzing voor een hack of aanval." Alle systemen werken als normaal en er is dus ook geen sprake van ransomware.

Het gaat volgens de post op het darkweb die DarkWebInformer laat zien om onder meer namen, adressen, geboortedata en datum van laatste login. De hacker, die opereert onder de naam Jeffrey Epstein, claimt dat er ook ID-nummers in de database staan. Vermoedelijk zou het niet gaan om paspoortgegevens, omdat bol die van klanten over het algemeen niet heeft. Het gaat om Belgische klanten, zo claimt de hacker.

Vermeende dataset Bol.com

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 19-04-2026 10:41
137 • submitter: pven

19-04-2026 • 10:41

Submitter: pven

Lees meer

Allekabels: wachtwoorden van accounts ouder dan september 2018 zijn te kraken

Allekabels: wachtwoorden van accounts ouder dan september 2018 zijn te kraken Nieuws van 16 april 2021

Coolblue stopt met marketing vanwege beperkte Chinese leveringen - update

Coolblue stopt met marketing vanwege beperkte Chinese leveringen - update Nieuws van 24 februari 2020

Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop

Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop Nieuws van 9 december 2019

E-commerce Bol.com Hack Nederland

IT-banen

Meer vacatures

Reacties (137)

137

136

54

2

0

62

Wijzig sortering

ID-College 19 april 2026 11:18

Het is niet de eerste keer dat een partner van bol (die ook klantgegevens krijgt voor de verzending), de gegevens lekt of de beveiliging niet op orde heeft. het kan dus ook indirect lekken..

[Reactie gewijzigd door ID-College op 19 april 2026 11:19]

TwistedIT @ID-College • 19 april 2026 13:15

Klant gegevens naar derden?

Die informatie moet de verkoper ophalen van de site van Bol. Je krijgt alleen een e-mail als verkoper dat er een bestelling is geplaatst, met de aantallen en welke producten, maar geen klantgegevens. Daarnaast worden deze gegevens na verloop van tijd geanonimiseerd, waardoor je het e-mailadres en andere gegevens niet eens meer kunt bekijken. Al die data staat bij Bol en niet bij de verkoper.

Tenzij de verkoper besluit alle gegevens te downloaden en deze vervolgens wordt gehackt.

TechSupreme @TwistedIT • 19 april 2026 15:05

Dat is onzin.

De notificatiemails heb ik uitgezet; als je zo'n 500 a 1000 pakketjes per dag hebt heeft dat ook geen nut.

In de backend krijg je NAW gegevens te zien. Je zult uiteindelijk een verzendlabel moeten maken en daar heb je die gegevens voor nodig.

Het e-mailadres is geanonimiseerd (randomreeks@verkopen.bol.com), dat wil zeggen dat verzending gaat via de servers van bol. Dit doet bol, omdat het alle communicatie met de klant in eigen handen wil houden. Telefoonnummer krijg je sowieso niet en het echte mailadres ook niet, nooit. Het is dus niet zo dat het na verloop van tijd wordt geanonimiseerd.

In de backend van bol kun je gegevens niet in bulk opvragen en als je geen orderid hebt, dan zul je zelf handmatig moeten zoeken. Je kunt sowieso altijd de NAW-gegevens inzien; de gegevens verdwijnen na een tijdje van de orderpagina, maar als je doorklikt dan kan je ze nog steeds zien.

Als je de API krijgt en/of een 3de partijtool, dan kun je wel bulkgegevens opvragen, maar dat is beperkt tot 50 orderid's per request en de specifieke orders is ook ratelimited relatief tot het aantal bestellingen wat je hebt.

De partner heeft zeer zeker toegang tot de NAW gegevens, dit kan ook niet anders.

n4m3l355 @TechSupreme • 19 april 2026 17:38

Hier valt toch wel wat te zeggen van hoe bol.com werkt. Wij zijn actief op jd.com oa en daar krijgen wij via onze back-end dus geen persoonlijke gegevens van binnen. Dit verloopt tokenized en dezelfde token wordt doorgestuurd naar SF (de logistieke partner die wij gebruiken) die op zijn beurt ook heel beperkt informatie publiekelijk deelt. Op de label staat dan wel een adres maar geen telefoonnummer. Als de postman langskomt en wilt bellen, scant die een QR en krijg je een algemeen nummer die jou belt.

Dit heeft als voordeel dat wij dus geen data kunnen verliezen, maar ook voor JD dat wij afhankelijk van het platform blijven.

TechSupreme @n4m3l355 • 19 april 2026 18:09

Wat wil je ervan zeggen dan?

Jij hebt alles uit handen gegeven aan anderen. Wat zou er gebeuren als dat niet zo was?

Dat jij die gegevens dat niet krijgt is heel normaal, maar andere krijgen het dan wel. Jij verschuift het probleem van jezelf naar andere.

[Reactie gewijzigd door TechSupreme op 19 april 2026 18:23]

ID-College @TwistedIT • 19 april 2026 13:22

Via hun API krijg je deze gewoon binnen en slaan die partners het op. Als die hun security niet op orde hebben ligt t gros op straat..

latka @ID-College • 19 april 2026 15:40

Dan nog is dat een probleem van Bol: dan hebben ze hun keten niet goed onder controle. De schuld leggen bij iemand anders in de keten betekent niet dat Bol gewoon de schuldig bij een ander kan leggen voor een datalek. Dus het is en blijft een bol probleem.

Aiii @latka • 19 april 2026 16:13

Hoe moet Bol dan hun partners de verzendgegevens toe laten komen? In welke zin hebben ze daarmee gefaald?

[Reactie gewijzigd door Aiii op 19 april 2026 16:13]

latka @Aiii • 19 april 2026 16:22

Hogere eisen stellen. Je kunt je als verantwoordelijke partij niet de schuld bij een ander leggen. Je processen anders inrichten etc. Kern is: liggen er klantgegevens op straat van een bol klant is bol schuldig

sebastienbo @Aiii • 19 april 2026 17:45

Die tabellen bevatten toch veel meer dan verzendgegevens als ik naar die screenshot kijk...

sebastienbo @ID-College • 19 april 2026 17:43

De partners moet zich toch ook houden aan GDPR als ze gevoelige gegevens opslagen?
Bovendien moeten de klanten toch op de hoogte zijn met wie ze data delen?

Trouwens in die gelekte kolommen zie ik customerid dat is toch een bol.com interne id? Ze gaan toch niet hun eigen DB customer id's delen met partners? Anders hebben ze wel echt heel non-chalant omgegaan met PII

Ik begrijp trouwens niet waarom gevoelige data zoals een geboortedatum in dezelfde tabel zit als de customer data, dat is gevoeliger en zou dus in een andere tabel moeten zitten, en enkel voor heel specifieke usecases gebruikt worden. Als ze echt de leeftijd willen weten van iemand dan was het jaargetal voldoende. Met geboortedatum kan je veel phishing doen of passwoord resets uitvoeren.

Daoka @sebastienbo • 19 april 2026 18:15

In de meeste gevallen zal een geboorte jaar genoeg zijn maar rond de 18 niet. Stel dat je 31 december geboren ben. Dan na 1 dag zou het systeem je als ouder zien dan dat je bent. Dus 17 jaar en 1 dag = 18 jaar. En zouden ze dan een jaar extra gebruiken zodat iedereen echt 18 is zou iemand die op 1 januari geboren is een jaar lang dus gelden als onder de 18. Maar gewoon leeftijd zou wel kunnen natuurlijk. Die kan bol gewoon bereken gebaseerd op de huidige datum.

swhnld @TwistedIT • 19 april 2026 13:27

Je vergeet dat derden ook toeleveranciers kunnen zijn. Bijvoorbeeld een externe partij die programmeursdiensten levert, of een die verzending doet, garantie afhandeling, klant tevredenheid onderzoek, wanbetalers afhandeling, etc.

CodeCaster @TwistedIT • 19 april 2026 13:49

Als een Bol-partner zelf diens fulfilment doet (dus Bol enkel als verkoopkanaal gebruikt en zelf inpakt en verstuurt), kun je met één enkele API-call (bron) per order alle klantgegevens ophalen waaronder volledige naam, adres, telefoonnummer (verplicht voor diverse verzendmethodes).

Dat doen velen dan ook.

Gezien de omvang (400K records) lijkt dit zo op het eerste gezicht dan ook om een grotere partner te gaan, of een tussenpartij die (een deel van) de afhandeling doet. Zou ook zomaar een fulfilmentcenter kunnen zijn.

Vanuit Bols optiek ziet dit er dan ook niet uit als een hack bij henzelf.

[Reactie gewijzigd door CodeCaster op 19 april 2026 13:50]

Sanghelios @TwistedIT • 19 april 2026 16:20

Natuurlijk wel. Ze krijgen ook je adresgegevens. Of hoe denk je dat ze de spullen bij je thuis krijgen? Vaak nog samen met idd e-mail of telefoonnr voor de koerier.

ro8in @ID-College • 19 april 2026 17:23

Je hebt misschien ook ordersystemen met een standaard bol ingegratie die wellicht door veel webwinkels die op bol.com verkopen gebruikt worden.

darkreptile 19 april 2026 10:47

voor de zekerheid me WW gewijzigd

Bedge85 @darkreptile • 19 april 2026 10:52

Sowieso slim (als je dat al niet doet) om voor elke website een apart email en wachtwoord te gebruiken in combinatie met een password manager. Dit is heel gemakkelijk als je een eigen domein hebt. Als je geen eigen domein hebt kun je bijvoorbeeld Proton Pass of AliasVault gebruiken, deze software maakt het makkelijk om voor elke website een nieuwe login te maken met unieke email en wachtwoord.

[Reactie gewijzigd door Bedge85 op 19 april 2026 10:55]

Advanced03 @Bedge85 • 19 april 2026 11:23

Is bitwarden niet ook goed?

MeltedForest @Advanced03 • 19 april 2026 11:30

Bitwarden is perfect!

ronald136813 @Advanced03 • 19 april 2026 13:26

Bitwarden is top na de lastpass hack ben ik toen overgestapt op Bitwarden.

kikkertjes @Bedge85 • 19 april 2026 11:11

Wat doe je dan als de paswordmanager is gehacked?

asing @kikkertjes • 19 april 2026 11:17

Bol.com ondersteunt MFA. Dat is iets wat ik instel voor alle online diensten waarmee ik betalingen doe.

Mijn password manager is overigens offline. Dat maakt het wat lastiger om te hacken.

stenkate @asing • 19 april 2026 12:13

Is dit zo? Want ik kan dat al tijden niet zo 123 vinden. Alleen 2FA gevonden voor hun affiliate en andere externe platformen, maar kan niets vinden voor de 'normale' consumenten accounts.

jessesteinen @stenkate • 19 april 2026 12:17

bij mij (consument) zit dat onder Mijn bol -> Gegevens & voorkeuren -> Extra beveiliging -> Tweestapsverificatie, of korter https://login.bol.com/wsp/2fa/settings

m.z @jessesteinen • 19 april 2026 12:34

Thanks, wist niet dat dit kon. Ik heb ook direct de toegestaande geolocaties aangepast. Dit staat standaard op wereldwijd.

Ik vraag me wel af, maar gebruik het niet meer, hoe het met Kobo zit, gezien ik het ingeschakeld heb. Vroeger kon Kobo, weer mee ik in contact ben geweest met bol, niet inloggen met wachtwoord met symbolen. Ik vraag me dus af of MFA ondersteund wordt op deze (oude) readers.

Aldy @jessesteinen • 19 april 2026 13:43

Ook dank namens mij, alhoewel ik de voorkeur geef aan een authenticator boven een sms. Maar altijd veiliger dan geen 2FA.

monsieurpinot @jessesteinen • 19 april 2026 16:06

veel dank, dit wist ik niet en gelijk even aangezet! (en zoals hieronder iemand zegt: waarom geen token, maar alles beter dan niets)

update: ook bij mijn zakelijke account gelukt

[Reactie gewijzigd door monsieurpinot op 19 april 2026 16:16]

asing @stenkate • 19 april 2026 12:33

Ik krijg altijd een SMS met een 6 cijferige code om in te loggen. Ze ondersteunen helaas geen Fido sleutels of Authenticators maar het is in ieder geval iets.

sebastienbo @asing • 19 april 2026 17:48

Passkeys zou handiger zijn.

Raymond Deen @asing • 19 april 2026 14:32

Ik sla bovendien geen betaalmethode op “voor het gemak” zodat ze niet op mijn kosten spullen kunnen kopen 😎

ronald136813 @asing • 19 april 2026 13:27

Das een goeie , heb daar geen MFA op nog kan ik ook meteen doen op de meeste dingen heb ik MFA ook aan staan , ga ook password wijzigen voor BOL nu.

net gedaan is wel SMS MFA , mmmm , liever google auth gehad

[Reactie gewijzigd door ronald136813 op 19 april 2026 13:31]

iqcgubon @asing • 19 april 2026 16:02

Aan die MFA heb je dan meteen niets meer als je die codes ook in je password manager steekt, zoals velen als feature verkopen.

@kikkertjes • 19 april 2026 11:17

Als het goed is is die E2E encrypted. Dat zou het risico al wat lager moeten maken.

Accretion @kikkertjes • 19 april 2026 11:29

Je wachtwoord veranderen

Bedge85 @kikkertjes • 19 april 2026 11:54

Wachtwoord manager maakt het makkelijker om voor elke website een unieke inlog aan te maken. Want als je dat allemaal zelf moet gaan onthouden is dat gewoon te ingewikkeld.

Wanneer je iets als Proton Pass, Alias Vaul, etc gebruikt is er een kans op een hack. Je kunt je risico hierop wat inperken door te kiezen voor een wachtwoordmanager bij betrouwbare organisatie met publiek beschikbare security audits. Proton heeft zon publieke audit, maar andere wachtwoord managers ook. Maar die weet ik niet zo uit mijn hoofd.

Je kunt ook kiezen voor iets als KeePass. Dit werkt lokaal en offline zonder abonnement. Dit maakt de kans om gehackt te worden weer iets kleiner.

Uiteindelijk zijn niet alle risico's uit te sluiten. Het blijft techniek.

[Reactie gewijzigd door Bedge85 op 19 april 2026 11:55]

Raymond Deen @Bedge85 • 19 april 2026 14:36

Elke shop heeft van mij ook z’n eigen email adres, dus niet zo’n oplossing als “ikke+shopnaam@gmail.com” maar echt een eigen adres. Dan weet ik bij een lek ook meteen wat de bron van dat lek is.

loki504 @kikkertjes • 19 april 2026 12:24

Dan heb je een hele lijst met websites waar je de ww moet veranderen. Flinke plus dat wel.

Scriptkid @kikkertjes • 19 april 2026 14:24

Niks want je gebruijt een offli e password manager geen cloud password manager.

Bijvoorbeeld keypass

Rogers @Bedge85 • 19 april 2026 13:08

Hoe gebruik je makkelijk voor elke website een ander mail adres?

De + truuk bij bijv. gmail is makkelijk weg te filteren en bij bijv. Proton vind ik een adres maken omslachtig en moet je een duur abbonement nemen voor meer.

Thijsmans @Rogers • 19 april 2026 13:17

Proton Pass integreert SimpleLogin (www.simplelogin.io), welke je ook los kunt gebruiken. Gratis optie (1 adres met 10 aliassen) en betaald ($36/jr) voor alles onbeperkt. Maar los van welk e-mailadres je gebruikt, werkt een ander wachtwoord natuurlijk het beste

Al is dat maar een "standaardwachtwoord#tweakers", bijvoorbeeld.

@Rogers • 19 april 2026 13:25

Je kan een domeinnaam kopen zoals mailrogers.nl, voor elke website een ander email adres maken. Ik doe er nog een achtervoegsel bij om in mappen te kunnen sorteren. Bijvoorbeeld bol_shop@mailrogers.nl.

Alle mail komt op 1 plek binnen

Aiii @Bart.net • 19 april 2026 16:18

Ook leuk als je je e-mail adres doorgeeft aan een toko. De dame van de Apotheek keek me als een botsauto aan: “echt?”

Ja, mijn mailadres voor hun was toch echt apotheek@****mail.nl.

Voor mensen op Apple is er uiteraard ook iCloud+ voor een euro per maand met de hide-my-email optie. Zelf maak ik gebruik van Proton Pass. Voordeel van een eigen domein is dat je mailadressen gewoon ter plekke kunt verzinnen en ze niet hoeft aan te maken. Eerste keer dat iemand er naar mailed worden ze vanzelf opgeslagen en kun je ze (later) ook disablen.

Raymond Deen @Rogers • 19 april 2026 14:41

Eigen domein en mail server. Of mail laten hosten en aan je domein koppelen. Dan kun je je catchall daarvoor makkelijk gebruiken.

latka @Rogers • 19 april 2026 15:41

Een eigen domein (paar euro per jaar) en een catchall.

TumTum @Bedge85 • 19 april 2026 13:14

Je bedoelt SimpleLogin (wat ProtonPass op de achtergrond gebruikt) of Addy.io. Ik gebruik self-hosted SimpleLogin, omdat je officieel niet meerdere accounts bij 1 third party partij mag hebben bij Proton.

Die kun je koppelen aan Bitwarden bijvoorbeeld. AliasVault is een goede ontwikkeling, maar niet volledig betrouwbaar. Daarnaast kun je alleen emails lezen in de tool zelf en niet forwarden naar je eigen mailbox.

pbk @darkreptile • 19 april 2026 10:52

Kan nooit kwaad, maar als er gegevens zijn gelekt heeft het daar natuurlijk geen effect op.

Han_Solo @darkreptile • 19 april 2026 12:07

In ieder geval ook tweefactorauthenticatie (2FA) aanzetten, voor degene die dat nog niet hebben gedaan

xxs @Han_Solo • 19 april 2026 12:27

Alleen jammer, maar nog altijd beter dan niks, is dat deze via SMS gaat. Ik had liever een TOTP via een authenticator gezien.

duvekot @darkreptile • 19 april 2026 10:49

Of de hackers hebben de site al stilletjes aangepast en hebben ze nu je oude EN je nieuwe password

OruBLMsFrl @duvekot • 19 april 2026 11:27

Dat is het mooie van password managers, die wachtwoorden kun je gerust nog weer een paar keer wijzigen als meer informatie naar buiten komt. Je hoeft die wacthwoorden niet te onthouden en omdat ze willekeurig zijn heeft een aanvaller er ook niets aan richting andere websites of systemen.

Dus een hacker die al de hele database kan buitmaken plus controle heeft over het wachtwoord verwerkende deel van een website, die is er niets wijzer van, en tegelijk ben je zelf waarschijnlijk wel voor een hele bende mensen op het darkweb jouw inlog aan het afschermen.

Tot slot: in dit artikel staat niets over wachtwoorden, hoofdzakelijk NAW plus contactgegevens en in uitzonderlijke gevallen identiteisgegevens, wat de auteur nog met een korrel zout neemt. Dus veiligheid voorzorg maar verder niets.

[Reactie gewijzigd door OruBLMsFrl op 19 april 2026 11:30]

DiscoNootje @darkreptile • 19 april 2026 13:18

Ja zo blijven we aan de gang. Basic Fit, Odido, Booking.com en dan vergeet ik er nog vast 10. Mijn wachtwoorden (en meer) liggen elke week wel ergens op straat.

Wanneer gaat de overheid nou eens ECHT optreden tegen al dit gepruts? Al die mooie certificaten en standaarden zijn geen drol waard zolang de executive board er telkens maar weer zonder gevolgen mee weg weet te komen.

Powerblast @DiscoNootje • 19 april 2026 13:45

Ik snap je punt maar maak je geen illusies, zelfs met extreme boetes of 7j gevangenisstraf of iets dergelijks zal het risico nooit nul zijn. Mensen maken ook onbewust fouten en dus ook op security gebied. Dat krijg je dus nooit op nul. Je gegevens lekken vervolgens dan weer een keer en eigenlijk in dat geval 1 keer lekken al even erg dan 10 keer. Ze liggen op straat.

Ben van mening dat we een manier moeten vinden waarbij we minder verplicht worden om digitaal gegevens rond te strooien. En die paar bronnen dan zo extreem beveiligen of iets dergelijks.

GurbieV @darkreptile • 19 april 2026 10:53

Je bedoelt 'mijn' denk ik

WhoDoYaThinkIAm @GurbieV • 19 april 2026 12:02

Precies wat ik ook dacht.

Noresponse @darkreptile • 19 april 2026 11:55

De vrouw ook ondanks dat we ver weg wonen van Belgie

freedzed6 @darkreptile • 19 april 2026 12:19

Beste WW?

Eentje met puntjes:

Ik.Wil.Bij.Bol.Com.Bestellen!

en dus niet

B@lleJ3N

DaKluit @freedzed6 • 19 april 2026 12:30

Bedankt voor het delen van jou ww🤡

drdelta @freedzed6 • 19 april 2026 12:36

Waarom iets met puntjes, en woorden?

Ik gebruik zelf altijd zoiets randoms als: ••••••••••••••••••••••••••••••••

mrmrmr @freedzed6 • 19 april 2026 13:11

Je hoeft maar één ding te doen: maak elk wachtwoord onraadbaar en onkraakbaar lang (>>12 tekens). Een wachtwoord moet uniek zijn: niet te bedenken voor derden, komt niet voor op (wacht)woordenlijsten en gebruikt geen vaak gebruikte karaktervervangingen.

Een zin gebruiken is prima, zo lang het maar niet raadbaar is. Jouw wachtwoord is wel raadbaar en als het ergens een keer gelekt zou zijn, is het ook voor je andere shopaccounts te misbruiken.

[Reactie gewijzigd door mrmrmr op 19 april 2026 13:24]

liberque @freedzed6 • 19 april 2026 14:06

Naah .. pak je favoriete boek, film of serie... pak daaruit je fav. quote bv:

Space: the final frontier. These are the voyages of the starship Enterprise

Pak nu van ieder woord de eerste letter en neem ook leestekens mee:

S:tff.TatvotsE

Draai hoofletters en kleine letters om:

s:TFF.tATVOTSe

Zet er een dash achter en de naam van het domein waar je het wil gebruiken:

s:TFF.tATVOTSe-bol

Gooi er een nummer achter: (je geboortejaar?)

s:TFF.tATVOTSe-bol1904

Et voila, een sterk wachtwoord dat je kunt onthouden - of gebruik een password manager :P

en nee: is niet mijn ww

mrmrmr @liberque • 19 april 2026 14:36

Je moet geen enkele omzettings/encoding methode gebruiken bij het kiezen van een wachtwoord. Dat is inherent onveilig.

@darkreptile • 19 april 2026 13:43

mijn wachtwoord bedoel je. Of eigenlijk jouw. Hoe dan ook.

[Reactie gewijzigd door Jack Flushell op 19 april 2026 13:44]

stresstak @Jack Flushell • 19 april 2026 17:08

Hij heb ze wachtwoord verandert; laat em. /s

sebastienbo @darkreptile • 19 april 2026 17:46

En uw geboortedatum dan ook veranderen want die hebben ze ook en daar kan je passwoord reset mee doen in sommige apps.

nutty 19 april 2026 10:45

"Alle systemen werken als normaal en er is dus ook geen sprake van ransomware.""

Ligt dat in elkaars verlengde?

RSH @nutty • 19 april 2026 11:17

Sec bezien wel - bij ransomware mag je verwachten dat de operatie aangetast is en (deels) onvolledig of niet meer functioneert.

In deze context (mogelijk datalek, exfiltratie van gegevens) is het wel goed mogelijkmdat er geen ransomware is ingezet. Dus de melding dat er geen lek is, want men merkt niets en er is (of lijkt) geen ransomware klopt dan weer niet.

Nederland
Hack

@RSH • 19 april 2026 11:40

In deze context (mogelijk datalek, exfiltratie van gegevens) is het wel goed mogelijkmdat er geen ransomware is ingezet. Dus de melding dat er geen lek is, want men merkt niets en er is (of lijkt) geen ransomware klopt dan weer niet.

Of men probeerde ransomware in te zetten, maar dat lukte niet. Dus in plaats van double extortion heb je een enkele vorm van afpersing, gebaseerd op succesvolle exfiltratie.

Dan kan je als onbekende aanvaller beter een sample leveren, anders neemt niemand je serieus.

[Reactie gewijzigd door The Zep Man op 19 april 2026 12:43]

RSH @The Zep Man • 19 april 2026 13:21

We beginnen wel heel theoretisch te worden 😉

Bij recent gemelde hacks zien we vaker dat er geen ransomware ingezet wordt, maar voor exfiltratie en (dreigen met) lekken gekozen wordt. Of dit komt omdat deployen niet mogelijk was, of dat er een andere reden was, weten we niet.

Sowieso is op dit moment niet duidelijk of daadwerkelijk data buitgemaakt is.

Of, of, of…

Orangelights23 @nutty • 19 april 2026 10:47

Nee. Een datalek als gevolg van een hack of fout staat niet gelijk aan ransomware. Maar gezien er enorm veel ransomware-aanvallen hebben plaatsgevonden afgelopen maanden, is het logisch dat zij het verband met ransomware snel trekken om te voorkomen dat men gaat speculeren.

@nutty • 19 april 2026 12:10

Niet altijd. Bij randsomware kan er in eerste instantie een encryptie/decryptie laagje tussen de software en de opslag worden gezet. Veel CPU's (en datacentrum hardeschijven ook) hebben speciale rekenkernen/rekeninstructies die heel snel encryptie en decryptie kunnen uitvoeren zonder andere processen te verstoren.

Theoretisch kan dat tussenlaagje nog actief zijn en kiest de hacker zelf het moment dat die laag de sleutel 'vergeet' of zichzelf verwijderd.

Maar bol.com is een grote organisatie dus zal wel voldoende expertise in huis hebben om te weten of zo'n laag aanwezig is en/of actief is.

Dit laagje is vaak extreem klein, denk aan enkele tot hooguit een paar tiental instructies.

[Reactie gewijzigd door djwice op 19 april 2026 12:25]

lynxie 19 april 2026 10:54

Het eerste waar ik aan denk, als er geen hack was en de dataset echt is, is een (ex) bol.com medewerker met een grudge...

dasiro @lynxie • 19 april 2026 11:11

maakt niet uit hoe de data naar buiten is geraakt, het resultaat voor de mensen wiens gegevens op straat liggen is hetzelfde.

jhnddy @dasiro • 19 april 2026 11:26

Dat maakt wel degelijk uit. Eenmalig data op straat is erg, maar veel minder ernstig dan volledige toegang tot de systemen.

batjes @jhnddy • 19 april 2026 11:53

Dat maakt voor mij als klant echt helemaal niets uit.

jhnddy @batjes • 19 april 2026 12:17

Natuurlijk wel. Want zolang jij hun site gebruikt zolang zij toegang hebben, loop je meer risico dan alleen je gegevens kwijtraken.

PCG2020 @jhnddy • 19 april 2026 15:01

Dat eenmalig lekken technisch gesproken minder ernstig is dan langdurige toegang is evident. Maar het gaat óók om een gevoelskwestie: jouw gegevens liggen op straat en jouw vertrouwen in een bedrijf waaraan jij jouw gegevens hebt toevertrouwt, krijgt een knauw. En dat geldt in beide gevallen.

@lynxie • 19 april 2026 11:19

Ik mag hopen dat er wel wat monitoring zit op de gegevens die medewerkers opvragen. (Alhoewel, Odido.)

Hobbit13 @Commendatore • 19 april 2026 11:27

Zelfs als dat er is, zijn er vast wel system admins die genoeg rechten hebben om directe kopieën van de database te maken op een lager niveau dan waar de waarschuwingssystemen actief zijn.

Aanvallen van binnen uit zijn erg moeilijk volledig te beveiligen. Je kan er grotendeels wel voor zorgen dat het alle acties gelogd worden en het dus achteraf te traceren is.

Nyarlathotep 19 april 2026 10:44

Totdat die gast een sample laat zien blijft het dus tasten in het duister.

Hij heeft ook '0 reputatie' aan die post te zien (is hij nieuw?), dus misschien is het allemaal bluf.

Bedge85 @Nyarlathotep • 19 april 2026 10:48

Scherp, reputatie is inderdaad 0. Is ook eerste keer dat ik van Jefrey Eptstein (in deze context) hoor. Als zon soort bericht van Shiny Hunters komt is het wel andere koek

.

Merk aan andere kant wel dat het een hardnekkig gerucht is vanuit meerdere kanalen.

NexusLimited @Nyarlathotep • 19 april 2026 11:04

Als je een bestaand account met verhoogde reputatie gebruikt, wordt je nou juist gevonden toch?

GurbieV 19 april 2026 10:55

Die headers zouden in elk erp-systeem kunnen staan.

Met een beetje fantasie zou je die zelf ook kunnen verzinnen. Bol zal wel weten of die correct zijn maar een oud medewerker van Bol zou die ook zo kunnen neerpennen. Geen enkel bewijs dus dat er ook data is.

Headshot_NL 19 april 2026 11:23

Ik wilde voor de zekerheid 2FA instellen en wachtwoord wijzigen. Maar voordat ik 2FA kon instellen kreeg ik wel de vraag om voor de zekerheid toch maar mijn wachtwoord te wijzigen, eerder kon ik niet verder.

Toevallig gisteren ook 2 spam mailtjes afkomstig "van Bol" gericht aan het emailadres wat ik ook voor Bol gebruik.

jostefa 19 april 2026 11:43

Ik kreeg vorige week een email van een verdachte inlogpoging op mijn bol.com account, weet niet of het gerelateerd is maar wel toevallig.

418O2 @jostefa • 19 april 2026 13:13

Als je emailadres in een Nederlandse breach zit is dat wel een verklaring

MontyMole 19 april 2026 12:23

"Alle systemen werken als normaal en er is dus ook geen sprake van ransomware."

Sinds wanneer moet er ransomware in het spel zijn als er data is kunnen gestolen worden?

stylezzz @MontyMole • 19 april 2026 13:11

Mijn idee. De daders kunnen ook gewoon data verzamelen en die te gelde proberen te maken. Met ransomware de boel gaan afpersen lijkt tot weinig resultaat te leiden als we de nieuwsberichten moeten geloven.

Khoning123 19 april 2026 13:16

Dit is geen data van bol, in het sample staat info, zoals vervoerders, waar bol helemaal geen gebruik van maakt en velden die niet aan bol of verkooppartners worden gegeven. Dit is fake

DeBers @Khoning123 • 19 april 2026 13:27

Je bedoelt het screenshot? Dit is zeker wel data die bol beschikbaar heeft.

Khoning123 @DeBers • 19 april 2026 13:31

Nee, ik bedoel de werkelijke sample die online staat

DeBers @Khoning123 • 19 april 2026 13:37

ah, het is inderdaad wel een gekke set. Er zit info tussen die voor vervoerders niet relevant is, maar ook wat voor bol niet relevant is. Of het een gift is bijvoorbeeld en payment type. Maar dan heb je weer retour request. Dat is voor bol weer totaal niet relevant. Ik ruik bullshit.

Khoning123 @DeBers • 19 april 2026 13:43

100% ik zie je elders schrijven over Bpost, maar checken de andere vervoerders. Die ondersteunt bol zelf niet eens.

DeBers @Khoning123 • 19 april 2026 13:46

Wat bedoel je? In principe zijn derde verkopers vrij om zelf een vervoerder te zitten. Dus er zitten in het systeem veel meer vervoerders dan bol zelf gebruikt.

Khoning123 @DeBers • 19 april 2026 14:04

Als de vervoerder wordt ondersteunt door het systeem wel….

DeBers @Khoning123 • 19 april 2026 15:04

Nee. Partners hebben een veld waarin ze de vervoerder kunnen meegeven. hier zijn een hoop meerkeuze opties, maar er is ook vrije invoer mogelijk.

Powerblast @Khoning123 • 19 april 2026 16:22

Bedoel je dat bol niet met bpost laat leveren? Ik spreek uit ervaring dat dit in Belgie wel gebeurd. Merendeel van mijn pakketjes van bol, worden door bpost geleverd. De pakketjes die door derden verkocht worden varrieert het wat meer

Khoning123 @Powerblast • 19 april 2026 16:37

Nee, ik bedoel dat er in het sample juist vervoerders staan waar bol niet mee samenwerkt. PostNL, Bpost en DHL werken ze wel actief mee samen

DeBers @Khoning123 • 19 april 2026 16:52

Zoals ik al zei, er is vrije keuze voor partnerverkopers. Hierbij is er een wildgroei aan partners.Deze kan je gewoon vrij invoeren en zijn voorgeconfigureerd.

[Reactie gewijzigd door DeBers op 19 april 2026 16:52]

bzzzt @DeBers • 19 april 2026 15:22

Is het wel echte data of heeft iemand met AI een 'echt lijkende' dataset gemaakt?

Klinkt als een heel makkelijke manier om mensen in paniek stand te krijgen...

Om te kunnen reageren moet je ingelogd zijn