Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen

Rituals meldt dat er deze maand door een hacker lidmaatschapsgegevens zijn gestolen. Het cosmeticabedrijf heeft inmiddels maatregelen genomen en de toegang geblokkeerd. Het is niet bekend hoeveel mensen precies zijn betrokken bij het datalek.

Een deel van de gegevens van leden is 'op onrechtmatige wijze' gedownload, meldt Rituals. Het gaat om onder meer namen, adressen, e-mailadressen, telefoonnummers en geboortedata. Er zijn geen wachtwoorden of betalingsgegevens uitgelekt. De informatiepagina over het datalek is beschikbaar op onder meer de Nederlandse, Belgische, Engelse, Franse en Duitse websites. Daarmee is het zeer waarschijnlijk dat het datalek klanten in meerdere landen treft.

Vooralsnog lijken de gegevens volgens Rituals niet openbaar gemaakt. Het bedrijf heeft aanvullende beveiligingsmaatregelen genomen om soortgelijke incidenten in de toekomst te voorkomen. Welke maatregelen precies zijn getroffen, is niet bekend. Rituals waarschuwt dat de gegevens kunnen worden gebruikt voor phishing en roept getroffen klanten op extra alert te zijn. Tweakers heeft vragen uitgezet bij het bedrijf.

Een Rituals-winkel in Rotterdam. Bron: Donald Trung Quoc Don - Wikimedia Commons
Een Rituals-winkel in Rotterdam. Bron: Donald Trung Quoc Don - Wikimedia Commons

Door Imre Himmelbauer

Redacteur

Feedback • 22-04-2026 11:15
147 • submitter: WhateverSuitsU

22-04-2026 • 11:15

147

Submitter: WhateverSuitsU

Lees meer

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl
Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026
Stichting begint massaclaim tegen Odido vanwege datalek
Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026
Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig
Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig Nieuws van 20 april 2026
HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten
HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten Nieuws van 18 april 2026
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
Klokkenluider bij Logius klaagt Nederland aan om DigiD uit handen VS te houden
Klokkenluider bij Logius klaagt Nederland aan om DigiD uit handen VS te houden Nieuws van 16 april 2026
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026
Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers
Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers Nieuws van 9 april 2026
Meer producten en artikelen
Privacy Datalek

Reacties (147)

-Moderatie-faq
147
147
38
4
0
91
Wijzig sortering

Sorteer op:

Weergave:
kodak
22 april 2026 13:01
Is het probleem opgelost?

Ja. Onmiddellijk na de ontdekking hebben wij maatregelen genomen en de toegang geblokkeerd. De situatie is nu onder controle.
Dit is het bagatelliseren van het probleem. De situatie is niet slechts een gebrekkige beveiliging maar het geen controle hebben over persoonsgegevens van klanten. Met het weer blokkeren van toegang heeft het bedrijf de controle over de gelekte persoonsgegevens niet terug. En daarmee is het probleem dus niet verholpen.
Reageer
Despen @kodak22 april 2026 13:53
Komt bij mij zo over inderdaad;
Onmiddellijk na ontdekking, hebben we de kluisdeuren weer gesloten.
Dus al het geld en goud is weer terug?
Oh, nee natuurlijk niet, dat hebben de dieven allemaal meegenomen, maar de kluisdeuren zitten nu netjes op slot.
Ja, daar hebben we nu echt wat aan met een lege kluis.
Reageer
Kloppendlid @kodak22 april 2026 13:18
Zou het niet mooi zijn als eenieder zijn eigen digitale identiteit zelf kan beheren op zijn device.

Dus stel, je koopt wat bij bedrijf A, bij de aankoop stuur jij je unieke ID mee. Deze unieke ID
wordt doorgegeven aan de vervoersmaatschappij die een request doet om jouw adres te mogen raadplegen. Via een push notificatie in je ID app kun je die accepteren/negeren. Zodra je accepteert wordt je adres doorgestuurd en kan er een afleversticker gegenereerd worden.

Adres gegevens kunnen zo nooit op straat komen te liggen want het wordt nergens opgeslagen.
Order bevestigingen / verzend bevestigingen kunnen ook in die app terecht komen. Ook vragen of wijzigingen zouden via de app kunnen dus nooit meer mail of telefonisch contact nodig.
Reageer
stuiterveer @Kloppendlid22 april 2026 13:26
Zodra je accepteert wordt je adres doorgestuurd en kan er een afleversticker gegenereerd worden.

Adres gegevens kunnen zo nooit op straat komen te liggen want het wordt nergens opgeslagen.
Je snapt toch dat dit niks oplost he? Zodra het adres doorgestuurd wordt hebben ze deze alsnog en kunnen ze ermee doen wat ze willen. Eenmaal de gegevens doorgegeven betekent de controle kwijt over wat een partij er wel of niet mee doet. De Rituals klanten hebben in dit geval ook zelf hun gegevens overhandigd. Niet via een app/request, maar de manier waarop is totaal irrelevant. Uiteindelijk is het alsnog mis gegaan. Dat je nu zegt "ja maar alleen de pakketdienst kan het dan inzien" wil niet zeggen dat het nu niet mis zal gaan...
Reageer
Kloppendlid @stuiterveer22 april 2026 13:41
Er kan altijd 1 partij zijn die het bewaard (de vervoerder) maar dat is al een factor 100 minder dan nu. En zelfs daar kun je regels voor opstellen.

Als ik al zie hoe mensen wachtwoorden hekelen en dan krijgen nu ook nog eens 2FA wat de hele frustratie alleen maar erger maakt. Deze app zou je dan ook kunnen gebruiken om in te loggen op websites. Face scan/vingerafdruk en inloggen maar. Geen wachtwoorden of 2FA meer en geen persoonlijke gegevens meer bekend bij derde partijen.

Alternatieven hoor ik graag. Alternatieven waar het voor personen makkelijker en veiliger wordt ipv moeilijker en nog niet veilig omdat er teveel afhankelijkheden zijn.
Reageer
stuiterveer @Kloppendlid22 april 2026 13:51
Alternatieven hoor ik graag. Alternatieven waar het voor personen makkelijker en veiliger wordt ipv moeilijker en nog niet veilig omdat er teveel afhankelijkheden zijn.
Veiliger betekent minder makkelijk, makkelijker betekent minder veilig. Iedereen zal altijd een afweging moeten maken hoe veilig ze het voor zichzelf maken en hoeveel moeilijker dat sommige zaken dat voor ze maakt.
Reageer
appelmoes3 @kodak22 april 2026 13:36
De echte oplossing is het proces omkeren.

Jezelf geeft bedrijven een keuze om je adres uit te lezen of je leeftijd te checken. Geef ze een public key van je geboortedatum regel en ze kunnen alleen deze regel uitlezen. Of met een script krijgen ze dan een ja of nee terug.

Eenvoudig via een blockchain. Als de overheid nu eens door pakt en een publieke blockchain hiervoor inzet, geeft dat vertrouwen.

Een commerciële variant is bijvoorbeeld https://www.dock.io/post/blockchain-identity-management

Maar ja, hoe maken we dit systeem groot beschikbaar in NL of EU? En hoe krijgen we de bedrijven en webshops hierin mee?
edit:
tikvoutjes

[Reactie gewijzigd door appelmoes3 op 22 april 2026 13:37]

Reageer
Radko @kodak22 april 2026 14:26
Daar zit een luchtje aan
Reageer
SK-Marten 22 april 2026 13:31
Rondom de bekende verjaardag mails van Rituals om aan creditcardgegevens van mensen te komen, moet zo goed als zeker ook een datalek zijn.
Ik werk met specifieke emailadressen voor veel bedrijven/webshops, en de verjaardag mail die ik vorig jaar kreeg (om creditcardgegevens af te troggelen) kwam binnen op het Rituals emailadres. Gemeld bij hun en was natuurlijk geen sprake van, later ook nog gemeld bij de AP.
Dus het verbaasd me niets, en vermoed dat het al veel eerder/langer gespeeld heeft, al zegt men van niet.
Reageer
m3nt0s @SK-Marten22 april 2026 14:08
Ik heb precies de zelfde ervaring als SK-Marten, gegevens die alleen van Rituals afkomstig konden zijn. Ook vorig jaar al gemeld bij Rituals waar ik werd afgewimpeld met een standaard mail.
Reageer
Xfade 22 april 2026 11:18
Is wel dagelijkse kost nu.

Uiteraard dit er bij
Het bedrijf heeft aanvullende beveiligingsmaatregelen genomen om soortgelijke incidenten in de toekomst te voorkomen.
Reageer
avlt @Xfade22 april 2026 11:27
Lijkt me het ideale moment om dit soort datalekken te beboeten met een bedrag dat het zakelijk voordeel van al dit onnuttige dataverzamelen minstens te niet doet. Iets van 5% van de totale omzet of zo.
Reageer
Cybertroy @avlt22 april 2026 13:55
Dat klinkt misschien aantrekkelijk, maar boetes verdwijnen niet zomaar in het luchtledige. Waar gaat dat geld heen, en belangrijker: wie betaalt uiteindelijk de prijs? Vaak niet het bedrijf zelf, maar gewoon de gebruiker of consument.
Reageer
Alfa1970 @avlt22 april 2026 13:58
De geschiedenis doet ons inzien dat ook boetes van meerdere miljarden bedrijven niet aanzet om hun aanpak wezenlijk te veranderen.

Gezien de sanctie boete verder niemand raakt bij zo'n bedrijf anders dan alleen de klanten die uiteindelijk het geld moeten ophoesten omdat het verdisconteerd wordt in de prijs van de producten, lijkt mij het moment aangekomen dat die andere sanctie die wettelijk nu al mogelijk eens gaat worden toegepast.
En dat directeuren en andere verantwoordelijken persoonlijk aansprakelijk worden gesteld, en een gepaste periode achter de tralies hun zonden gaan mogen overdenken.
Reageer
iAR @Xfade22 april 2026 11:23
De hoeveel van die mosterd na de maaltijd is inderdaad iets te hoog aan het worden.
Reageer
LOAD81 @Xfade22 april 2026 11:46
Ik heb niet het idee dat dit nu vaker gebeurd.
Het wordt nu alleen vaker gemeld.
Reageer
vlieger200 @Xfade22 april 2026 11:53
Wat denk je van de opkomt van AI?
review: Een omslag voor cybersecurity: Claude Mythos is té goed in lekken vinden

Dit weten niet alleen softwarebedrijven.
Reageer
Desiler 22 april 2026 11:19
Gaat lekker de laatste tijd. Vraag me toch af waarom Rituals mijn geboortedatum en telefoonnummer nodig heeft.
Reageer
Luchtbakker @Desiler22 april 2026 11:27
Bij Rituals krijg je op je verjaardag een gratis cadeautje.
Reageer
er0mess @Luchtbakker22 april 2026 11:31
“Gratis” in ruil voor je privé informatie (die wordt doorverkocht)
Reageer
Xfade @er0mess22 april 2026 11:37
gestolen*
Reageer
DigitalExorcist @er0mess22 april 2026 11:37
Of gestolen wordt, in dit geval.
Reageer
ID-College @er0mess22 april 2026 11:45
Doorverkocht valt vaak wel mee, want dan is t minder waard (waarom zou de ander dan nog een keer betalen?). Bedrijven zetten hem vaak in een "clean room" waarmee je die klantdata kan gebruiken voor targetting gedurende een periode, maar niet die data echt kan zien zelf. Als afnemer moet je dan maar geloven dat t klopt maar dat is vaak contractueel vastgelegd. Zo kan je er meer aan verdienen want je laat het gewoon vaker gebruiken im bepaalde periodes en vangt dus ook vaker knaken.. Bij verkoop ben je het kwijt dus dat gebeurt eigenlijk zelden..

[Reactie gewijzigd door ID-College op 22 april 2026 11:46]

Reageer
TheVivaldi @er0mess22 april 2026 12:31
Ik kan niet spreken voor Rituals, want daar ben ik nog nooit geweest, maar bij diverse van dit soort winkels is het opgeven van geboortedatum en telefoonnummer optioneel. Uiteraard moeten de gegevens veilig worden bewaard, maar ik vind het vanuit bewaarperspectief wel iets anders of de winkel het verplicht maakt dat soort gegevens in te vullen, of de keuze bij de klant legt.
Reageer
theredspecial @TheVivaldi22 april 2026 12:45
Je hoeft niet eerlijk te zijn natuurlijk :+

Dus lekker vervuilen die databases, dan hebben ze er niets meer aan. Geef gewoon 2514 GL huisnummer 68 op of het adres van het hoofdkantoor bijvoorbeeld.
Reageer
batjes @TheVivaldi22 april 2026 13:19
Het lijkt niet altijd optioneel zoals bij de Hornbach. Waar gewoon doodleuk om je postcode gevraagt alsof het verplicht is. Je kan het skippen, maar dat wordt niet duidelijk gemaakt.

Vieze dark patterns.
Reageer
skaars @er0mess22 april 2026 13:57
Nee dat wordt bij Rituals niet voorverkocht.
Reageer
silverchaoz @Luchtbakker22 april 2026 13:00
Wat elk jaar spam genereerd.

Ik krijg elk jaar exact 1 a 2 mails op mijn verjaardag van een "phishing" rituals mailadres dat er een cadeautje klaar staat op mijn verjaardag. Dit krijg ik sinds ik al een jaar of 3 geleden bij Rituals had aangemeld.
Reageer
Cybergamer @silverchaoz22 april 2026 13:38
Daarom gebruik ik altijd fake datums en telefoonnummers.
Reageer
rneeft @Luchtbakker22 april 2026 11:37
Is dat een gerechtvaardigd belang om mijn geboortedatum om te slaan? Als ze mijn een gratis cadeau willen geven dan zou het tonen van mijn ID op de dag van mijn verjaardag (of rondom) ook voldoende moeten zijn in de winkel om mij dat gratis cadeautje te geven.
Reageer
watercoolertje @rneeft22 april 2026 12:34
Is dat een gerechtvaardigd belang om mijn geboortedatum om te slaan?
Is een gerechtvaardigd belang nodig?

Om het te verplicht in te moeten vullen zou het het een gerechtvaardigd belang moeten hebben
Om er gewoon om te vragen (met uitleg voor welke doeleinden ze het gebruiken) mag gewoon!
Reageer
Fliepke @rneeft22 april 2026 12:36
Ja, want dat is simpelweg onderdeel van de voorwaarden je mee akkoord gaat als klant. Het is geen recht dat iedereen een cadeautje kan opeisen buiten de gestelde voorwaarden.
Reageer
RefriedNoodle @rneeft22 april 2026 11:56
Als ze mijn een gratis cadeau willen geven dan zou het tonen van mijn ID op de dag van mijn verjaardag (of rondom) ook voldoende moeten zijn in de winkel om mij dat gratis cadeautje te geven.
SELECT k.naam, t.datum FROM transacties t JOIN klanten k ON t.klantennummer = k.klantennummer WHERE t.prijs = 0;

Alsjeblieft, de datums waarop iedereen een gratis verjaardagsartikeltje heeft opgehaald.
Reageer
Razr @RefriedNoodle22 april 2026 12:32
Even los van de relevantie. Er zijn natuurlijk vele scenarios waardoor dit niet hoeft te kloppen; wat als je een voucher/waardebon gebruikt hebt waardoor het transactietotaal op 0 uitkomt?
Reageer
b12e @Razr22 april 2026 12:35
Dan geef je een bepaald product 'cadeau' - bijvoorbeeld een afwijkende SKU. Ook dat probleem opgelost.
Reageer
JumpStart @Luchtbakker22 april 2026 11:50
Dan vraag ik me oprecht af of ze dan dd-mm opslaan, wat in principe genoeg moet zijn voor het beoogde doel, of dat ze dd-mm-jjjj bewaren.

Ik gok dat er sprake is van het laatste. Marketing-technisch is leeftijd immers zeer nuttige informatie.
Reageer
MsG @JumpStart22 april 2026 12:31
Een Rituals-cadeautje kan best anders zijn voor iemand die 18 is en man, dan bijvoorbeeld een vrouw van 60, of iemand van 80. Het lijkt me vrij denkbaar dat men de volledige geboortedatum heeft.
Reageer
wiseger @Luchtbakker22 april 2026 12:17
Rituals meldt bij de veel gestelde vragen:
Ik heb eerder phishing e-mails uit naam van Rituals (bijvoorbeeld de verjaardagscadeau scam) ontvangen. Is dit daaraan gerelateerd?

We begrijpen dat dit vragen kan oproepen. De scam met het verjaardagscadeau kwam niet vanuit Rituals. Uit ons onderzoek is gebleken dat er geen link is tussen dit incident en de eerdere verjaardagscadeau scam berichten.
Reageer
Therealpro1341 @Desiler22 april 2026 11:23
Verkoop aan een minder jarige zal wel vanwege een bepaalde regelgeving niet mogen, en telefoonnummer zal waarschijnlijk gebruikt worden voor verificatie.
Reageer
dixet @Therealpro134122 april 2026 11:53
Om aan die regels te voldoen heb je geen geboortedatum nodig. Dataminimalisatie noemen we dat.

Je hoeft als bedrijf alleen te weten dat iemand ouder is dan X. Je zou dat nog kunnen controleren bij registratie adhv de geboortedatum op een legitimatiebewijs, maar het permanent vastleggen van die geboortedatum is helemaal nergens voor nodig.
Reageer
TheVivaldi @dixet22 april 2026 12:33
Maar ís het bij Rituals ook nodig? Bij diverse andere winkels is het optioneel om je geboortedatum op te geven.
Reageer
Tjark @Therealpro134122 april 2026 11:37
Alleen als je op 29 februari geboren bent, ben je minder jarig.
Reageer
xxs @Tjark22 april 2026 11:37
Wakker
Reageer
influenza @Desiler22 april 2026 11:25
waarschijnlijk om je te feliciteren met je verjaardag en je een geschenkje aan te bieden ;)
Reageer
fuzzyIon @influenza22 april 2026 11:56
Eerder korting terwijl ze nog winst maken :)
Reageer
influenza @fuzzyIon22 april 2026 12:27
Uiteraard ;)
Reageer
ytterx @Desiler22 april 2026 11:25
Telefoonnummer heeft vaak te maken met de de postbedrijven, blijft een hekel puntje dat elk bedrijf dat nodig heeft..
Reageer
DataGhost @ytterx22 april 2026 12:39
Mijn telefoonnummer is echt al een paar decennia "0" en dat werkt bij de meeste winkels prima. Ik heb werkelijk nog nooit enig probleem gehad omdat de winkel of het postbedrijf me niet telefonisch kon bereiken. Ook nooit opmerkingen over of andere problemen mee gehad. Zeker het postbedrijf heeft daar helemaal geen tijd voor of zin in. Heel benieuwd of jij dan wel ooit gebeld bent vanwege een probleem met je bestelling, en hoe dat zich verhoudt met eventuele marketingtelefoontjes van die of derden.
Reageer
Trithereon @Desiler22 april 2026 11:27
Zodat jij een gratis cadeautje kan ophalen als je jarig bent! Je krijgt best wel wat leuks dan namelijk!
Reageer
biteMark @Trithereon22 april 2026 12:31
Zij krijgen ook wat leuks: jouw informatie
Reageer
SunnieNL
@biteMark22 april 2026 12:50
Je hoeft niet de datum op te geven waarop je jarig bent. Elke geldige datum werkt. Het wordt verder niet gecontroleerd.
Reageer
Riesch @Desiler22 april 2026 11:53
Gewoon 01-01-1970 op geven bij webshops ;), telefoon nummer... Daar gaat vaak een of andere verificatie heen, daar heb ik nog geen handige oplossing voor. E-mail adres is namelijk wel apart per registratie/winkel/partij.
Reageer
jpsch @Riesch22 april 2026 12:30
Denk dat de helft van mijn geboortedatums 01-01-1970 is, behalve Facebook volgens mij, daar ben ik in 1905 geboren.
Reageer
theredspecial @jpsch22 april 2026 12:47
Komt Markie je nog een keer een taart brengen omdat je de oudste gebruiker bent :)
Reageer
jpsch @theredspecial22 april 2026 13:51
Of een bot en die eten geen taart.
Reageer
DataGhost @Riesch22 april 2026 12:52
telefoon nummer... Daar gaat vaak een of andere verificatie heen, daar heb ik nog geen handige oplossing voor.
Ik ga gewoon een lijstje af: "0", "0000000000", "0600000000", "0610000000", "0612345678" of als ze dat allemaal niet vreten vul ik iets echt willekeurigs in, of het telefoonnummer van het bedrijf zelf. Het is niet vaak dat ik de derde of latere varianten moet gebruiken.
Reageer
RoestVrijStaal @DataGhost22 april 2026 13:58
Dat gaat goed, totdat er iets met de bestelling is waar gelijk een beslissing op gemaakt dient te worden.
Reageer
DataGhost @RoestVrijStaal22 april 2026 14:16
Heftig. Wat voor iets zou dat kunnen zijn? En dat is niet mogelijk per e-mail? Wat nou als je telefoon leeg is of op stil staat? Of als je bezig bent met het afhandelen van een telefoontje voor een andere bestelling waar gelijk een beslissing op gemaakt dient te worden? Of een van de andere duizenden reden om het telefoontje te missen? Vliegt dan je bestelling in brand?

Volgens mij is er voor consumentenbestellingen (en al helemaal die van de Rituals) geen enkele reden te bedenken dat het noodzakelijk is te bellen en waarbij het niet op een andere manier opgelost kan worden.

[Reactie gewijzigd door DataGhost op 22 april 2026 14:18]

Reageer
Knallmeister @Riesch22 april 2026 13:30
telefoon nummer... Daar gaat vaak een of andere verificatie heen, daar heb ik nog geen handige oplossing voor.
Ik geef regelmatig 06 8086 8087 op. Nooit problemen mee gehad. Bellen doen ze meestal niet, en als ze je email adres hebben, hoeven ze niet eens te bellen.
Reageer
Gijs002 @Desiler22 april 2026 12:14
Dat heb je zelf naar waarheid ingevuld.
Reageer
RoestVrijStaal @Desiler22 april 2026 13:57
Je was er toch zelf bij toen je het invulde? :?

Dan kon je het prima vragen. Nu nog steeds.
Reageer
AMDLegion 22 april 2026 11:18
Een lidmaatschap voor je handzeep... het moet niet gekker worden
Reageer
wiseger @AMDLegion22 april 2026 11:21
Als je bij Rituals in de winkel één of meerdere kado sets koopt, krijg je het aanbod om gratis lid te worden waarbij er direct een korting op je gehele aankoop aangeboden wordt en je ook nog wat welkoms geschenken krijgt. Dus ja, dan worden mensen zoals ik lid.
Reageer
Kristof Vxx @wiseger22 april 2026 11:23
Ik ook. En je bent ook gewoon lid als je online bestelt. "Lidmaatschap" is gewoon ander woord voor "account"
Reageer
Llopigat @Kristof Vxx22 april 2026 12:05
En sommige geuren zijn alleen nog maar online te bestellen helaas zoals de oranje :'(
Reageer
TheVivaldi @wiseger22 april 2026 12:34
Maar het is wel risicovol om dit soort gegevens aan een winkel toe te vertrouwen.
Reageer
wiseger @TheVivaldi22 april 2026 12:47
Kennelijk is het erg risicovol. Maar dat geldt dus ook voor je telefoon provider want zelfs als ex-klant lekt Odido dit soort gegevens van mij ook. En je kan je gegevens ook niet achterlaten bij een medische instelling als ze gebruik maken van Chipsoft. En meedoen aan het bevolkingsonderzoek om darmkanker vroegtijdig op te sporen, is ook zeer gevaarlijk

Het heeft geen zin om in dit soort zaken naar het slachtoffer te wijzen, de bedrijven zijn verantwoordelijk om haar IT zaken goed op orde te hebben.

De bal ligt nu bij de politiek, zolang er geen zware sancties komen te liggen bij bedrijven die hun beveiliging niet op orde hebben en zich kinderlijk eenvoudig laten hacken zoals bij Odido gebeurt is, zal dit schering en inslag blijven.
Reageer
TheVivaldi @wiseger22 april 2026 12:52
Uiteraard moet Rituals de gegevens veilig bewaren. In een andere reactie beaamde ik dat ook. Maar het is natuurlijk wel aan de klant om af te wegen of het slim is om dit soort gegevens aan Rituals toe te vertrouwen. Bij bijvoorbeeld Odido heb je geen keus (andere providers moeten ook privégegevens van je hebben, dus dan is het enige alternatief off-the-grid leven); bij Rituals kun je gewoon de winkel in lopen en iets afnemen zonder privégegevens achter te laten (en anders wel bij de concurrent).

Kortom: Rituals moet de veiligheid bewaken en niet onnodig gegevens vragen, maar klanten moeten ook zélf nadenken wat slim is en wat niet.

[Reactie gewijzigd door TheVivaldi op 22 april 2026 12:54]

Reageer
wiseger @TheVivaldi22 april 2026 13:12
Ik ben het absoluut niet met je eens. Door te stellen dat "klanten moeten ook zélf nadenken wat slim is en wat niet" suggereer je dat de klant mede verantwoordelijk is voor bedrijven waar het fout gaat met de beveiliging. Had je je gegevens er maar niet moeten achterlaten of valse gegevens in moeten vullen. Het heeft een hoog 'victim-blaming' gehalte.

Ik ben in de winkel 'lid' gemaakt door Rituals, dan kreeg ik direct 10% korting op een totale aankoop van 147 euro (3 geschenkboxen van 49 euro).

Je verstrekt je gegevens dan niet onnodig, je moet extra betalen als je je gegevens niet wil verstrekken. Wordt je lid dan betaal je 132 euro en krijg je extra geschenken, wordt je geen lid dan is het 147 euro en krijg je niets extra's.
Reageer
Wailing_Banshee @wiseger22 april 2026 13:41
Ik ben het absoluut niet met je eens. Door te stellen dat "klanten moeten ook zélf nadenken wat slim is en wat niet" suggereer je dat de klant mede verantwoordelijk is voor bedrijven waar het fout gaat met de beveiliging. Had je je gegevens er maar niet moeten achterlaten of valse gegevens in moeten vullen. Het heeft een hoog 'victim-blaming' gehalte.

Ik ben in de winkel 'lid' gemaakt door Rituals, dan kreeg ik direct 10% korting op een totale aankoop van 147 euro (3 geschenkboxen van 49 euro).

Je verstrekt je gegevens dan niet onnodig, je moet extra betalen als je je gegevens niet wil verstrekken. Wordt je lid dan betaal je 132 euro en krijg je extra geschenken, wordt je geen lid dan is het 147 euro en krijg je niets extra's.
Nee, je hebt betaald met je gegevens. Voor niets gaat de zon op. Waarom zou Rituals (ik ken de winkel zelf niet, geen idee wat ze precies verkopen) bijv. je geslacht of leeftijd willen weten? Als ik ergens een account maak, geef ik vaak niet eens mijn voornaam maar alleen een voorletter (en een punt als ze eisen dat je minimaal 2 karakters moet invoeren) Tenzij je daar natuurlijk alcohol of rookwaren kunt kopen...
Reageer
wiseger @Wailing_Banshee22 april 2026 13:57
Tuurlijk, en bij je telefoon provider stuur je een vals ID kaart kopie in zodat daar je gegevens niet gelekt kunnen worden. En je neemt een zorgverzekering onder een valse identiteit, zodat je geen risico loopt wanneer de zorgverlener gebruik maakt van Chipsoft. En bij het darmkanker onderzoek van bevolkingsonderzoek Nederland, tja dat is lastig zeg, het buisje komt met een barcode, ze hebben al je gegevens al gekregen van de gemeente. Snel uitschrijven uit de Basis Registratie Personen bij je gemeente dan maar. Door het leven gaan zonder vaste woon- of verblijfplaats.

Rituals maakt een account voor je aan zodat je ook online bestelling kan doen. Daarvoor hebben ze je NAW en telefoonnummer nodig. Je geslacht is voor aanbiedingen en kadootjes, zodat je een aftershave ontvangt en geen bloemetjes parfum. Je geboortedatum is omdat Rituals je een kado aanbiedt op je verjaardag.

Uiteindelijk doet het er allemaal niets toe, er zijn zoveel lekken de laatste tijd dat je er vanuit mag gaan dat al je gegevens gewoon verkocht worden in het illegale circuit en dat je daar echt helemaal niets aan kan doen.
Reageer
SunnieNL
@TheVivaldi22 april 2026 12:51
Met alle data leks van de afgelopen maanden maakt het nu bij mij niets meer uit wat ik opgeef. Het ligt toch allemaal al op straat. Hooguit dat ze nu zien dat het domein van mij is en ik 5x per jaar jarig ben :)
Reageer
DeCo @AMDLegion22 april 2026 11:27
Marketing.. en hoe meer je weet van de klant, hoe gerichter je je marketing kunt doen. Dus leeftijd en geslacht is handig voor dat stukje personalisatie "beste heer van Puffelen". Bovendien hebben ze een webshop, dus die NAW zijn nodig om te kunnen versturen. Waarom ze een telefoonnummer nodig hebben, is me verder wel een raadsel.
Reageer
jpsch @DeCo22 april 2026 12:26
Dat marketing is niet zo effectief als ze je willen doen geloven. Bedrijven hebben allerlei gegevens van je, maar vervolgens spreken ze je aan met geachte heer, mevrouw, krijg je kledingaanbiedingen voor het andere geslacht en opruiming van maten die niet je maat zijn.
Reageer
TheVivaldi @jpsch22 april 2026 12:37
Precies, dat dus. Zeker bij kledingketens overkomt me dat nogal eens.

En soms zelfs helemaal omgekeerd, dus niet “geachte heer, mevrouw”, maar gewoon het omgekeerde geslacht. Heb ik wel eens gehad, niet bij een winkel, maar bij een andere organisatie. De vraag was hoe ik aangesproken wilde worden, ik had gekozen voor ‘man/heer’ (weet niet meer precies welke term er stond, maar in elk geval koos ik dus voor de mannelijke aanspreekvorm). Krijg ik even later een brief met als aanhef ‘geachte mevrouw’. 8)7
Reageer
Kenhas @jpsch22 april 2026 13:10
Is ook een tactiek. Ze gaan ervan uit dat je dan toch zult opzoeken of er niets in jouw maat is. En de kans bestaat dat je iemand kent waar die maten wel voor geschikt zijn en mond-aan-mond reclame doet
Reageer
Subae 22 april 2026 11:31
Tijd voor een aparte rubriek 'datalekken' op Tweakers? Want ik vermoed dat het niet snel zal beteren tbh
Reageer
Terr-E @Subae22 april 2026 11:46
tag: Datalek ?
Reageer
LOAD81 @Subae22 april 2026 11:48
Graag. Ik zie, net zoals vroegah, liever meer technische artikelen.
Reageer
HenkEisDS 22 april 2026 11:34
Rituals is net als Odido, KLM en Basic Fit een grote Salesforce klant.

https://www.salesforce.com/nl/customer-stories/rituals-cosmetics/
Reageer
pnczbr @HenkEisDS22 april 2026 11:50
Precies, en ik kan uit ervaring zeggen dat bij SF implementaties sec niet altijd op nr 1 staat. Er wordt echt veel met admin rechten gestrooid, geen SSO, veel 'even snelle' handmatige accountjes, allemaal buiten zicht van bijv. CISO. Zeker bij de Marketing Cloud gebeurt dit veel, vaak vallen deze implementaties ook onder de marketing afdeling, intern begeleid door marketing mensen in combo ben een implementatie partij.
En er zijn veel van deze implementatie partijen in de markt waar de kennis / prio gewoon ontbreekt.

- Klant bestand ontdubbelen tijdens import bij implementatie? Even .csv lokaal trekken.
- Data stroom van CRM naar Marketing Cloud? Nee geen gebruik van de connector, maar 'gewoon' een sftp server (Buiten de SF stack).
- Jr. marketeer die een nieuwsbrief moet klaarzetten? Ja joh, open toegang tot de verzendlijst, met lokale export mogelijkheid.
- Manager die wat cijfers nodig heeft? Hoppa, SQL toegang met wat voorbeeld queries. En ook direct complete data toegang zonder masking.

Salesforce is echt niks mis mee, maar de implementaties die ik tegenkom zijn echt drama. Ik kan zo een lijst van grote bedrijven in NL opnoemen waar ik gewoon van weet dat een succesvolle phising aanval kan zorgen voor een grote datalek vanwege de SF setup.

Bron: ik zit midden in deze wereld.
Reageer
wiseger 22 april 2026 11:19
Net de email van Rituals ontvangen. Dus naast Odido lek zit ik nu ook in het Rituals data lek. NAW, telefoonnummer, geslacht en geboortedatum zijn gelekt volgens Rituals.

Het is dweilen met de kraan open. Je kan gewoon aannemen dat de halve wereld over je persoonlijke gegevens beschikt.
Reageer
PdeBie @wiseger22 april 2026 11:21
Puur uit interesse. Waarvoor gebruik je zo'n lidmaatschap bij Rituals?
Reageer
Kristof Vxx @PdeBie22 april 2026 11:24
Om aankopen te doen op de online shop.
Daarnaast krijg je als "lid" ook gratis producten of extra korting.
Reageer
3raser @Kristof Vxx22 april 2026 11:28
Het is dus gewoon een klantkaart en niet echt een lidmaatschap.
Reageer
Xfade @3raser22 april 2026 12:22
met een klantenkaart ben je gewoon lid van iets.
Reageer
3raser @Xfade22 april 2026 12:26
Ik zie een lidmaatschap meer als een terugkerende betaalde dienst waarbij je automatisch iets geleverd krijgt. Met een klantenkaart ben je gewoon klant die eventueel een voordeeltje kan scoren.

Ik snap dat Rituals het een lidmaatschap noemt want dat klinkt exclusiever. Alsof je bij een speciale club hoort.
Reageer
SunnieNL
@3raser22 april 2026 12:59
Wat jij beschrijft is een abonnement. Terugkerende betaling voor een product of dienst. Lidmaatschap kan betaald of gratis en gaat om verbondenheid met een gemeenschap.
Reageer
wiseger @PdeBie22 april 2026 11:24
Ik kocht destijds tegen kerst een aantal geschenksets in de winkel. Ik kreeg het aanbod gratis lid te worden waarbij ik direct korting op de gehele aankoop zou krijgen en nog een aantal extra kadootjes zou krijgen.

Daarna denk je er niet meer aan. Al maakt dat verder ook niets uit, ik was al weg bij Odido als klant maar ook daar zijn mijn gegevens gewoon gelekt.
Reageer
n4m3l355 @wiseger22 april 2026 12:14
Ik ook, dit staat erin dat buitgemaakt is:
• Naam
• E-mailadres
• Geboortedatum
• Geslacht
• Jouw voorkeurs-Rituals winkel
• Jouw Rituals accounttype
Ook geven ze aan dat geen bankgegevens zijn buitgemaakt. Desalniettemin wel dus mijn naam, email, geboortedatum en geslacht. Voldoende om daar weer elders een abbo mee aan te gaan zoals Odido...
Reageer
Xfade @n4m3l35522 april 2026 12:23
maar geen rekeningnummer e.d.
Reageer
3raser @wiseger22 april 2026 11:22
En wat nog erger is... ze weten nu precies welke shampoo je gebruikt.
Reageer
wiseger @3raser22 april 2026 11:26
Nee, ze weten mijn naam, waar ik woon, mijn geslacht, mijn geboortedatum en mijn telefoonnummer.

Het probleem met dit soort gegevens is dat veel bedrijven dergelijke informatie vragen als je met ze belt om vast te stellen wie ze aan de lijn hebben. Er ontstaat dus het risico dat iemand zich voor kan doen als mij bij bedrijven.
Reageer
Scriptkid @wiseger22 april 2026 12:19
Zie hier het werk van AI ,

De bubbel die men bubbel noemt blijkt geen bubble maar een goede tool die door aanvallers netjes gebruitk word om at scale targets te vinden en aan te vallen met minimale resources en tijd.

Let maar op komende jaar gaan er nog HEEEEL veel volgen.
Reageer
yer_grannie @wiseger22 april 2026 14:29
Altijd handig, mocht je dement worden en je naam niet meer weten...

Maar, het blijft triest dat organisaties er zo mee omgaan en er ook nog mee wegkomen. Wordt tijd dat er tegen wordt opgetreden.
Reageer
diefightdie 22 april 2026 12:03
Dit is niet de eerste keer. Ik gebruik, net als velen andere tweakers, een apart email adres per website.

emailadres+rituals@gmail.com en emailadres+tweakers@gmail.com

Zo kreeg ik spam mailtjes op mijn verjaardag, via mijn rituals email adres. Helaas vind ik toen bot bij hun support en lag de fout namelijk gewoon bij mij (aldus Rituals). Maar ik ben heilig overtuigd dat de data al eens eerder is uitgelekt.
Reageer
Scriptkid @diefightdie22 april 2026 12:22
je kunt + adressen ook gewoon Ddossen / raden,

Simple scriptje bij data lek A laten lopen met alle bekende bedrijfs namen als + adress en dan kijken waar de ontvangende server een Ack geeft (hoeft het mailtje niet eens te sturen.)

Dan als je een lijst met duizenden + heb dan kun je je campaign starten en naar al die adressen sturen.
Reageer
DataGhost @Scriptkid22 april 2026 12:50
Met "+ adressen" van Gmail valt er niks te raden. Je kan daar alles invullen wat je wilt zonder dat de ontvanger daar iets actiefs voor heeft hoeven doen, het is namelijk een catch-all. Het is ook ontzettend triviaal om de + en alles erachter weg te laten, dan komt de mail alsnog aan. Dus dat zou ik persoonlijk doen als ik een spammer was.

Dan nog een duit in het zakje van iemand die wél een fatsoenlijk systeem gebruikt: ik heb een eigen domein en maak gebruik van een whitelist. Dus voor elk bedrijf moet ik eerst een adres maken voordat erheen gemaild kan worden. Momenteel heb ik 1151 adressen en ik ontvang ongeveer 1 of maximaal 2 keer per jaar een spam-mail op zo'n adres. Dus volgens mij werkt het systeem goed. Die adressen hebben verder niks te maken met mijn mailbox, dus een deel weglaten of wijzigen zoals bij Gmail wel kan werkt bij mij niet. Dan blijft jouw stukje over "Ddossen" (bruteforcen bedoel je denk ik) of raden over en dat is in de paar keren dat ik een bedrijf in kwestie op de hoogte heb gesteld van een mogelijk datalek bij ze heel vaak een verweer geweest. Daarom kijk ik elke zoveel tijd in mijn logs naar afleverpogingen op niet-bestaande adressen. Buiten de usual suspects zoals info@, postmaster@ enz. wordt dit simpelweg niet gedaan.
Reageer
budjepaul @diefightdie22 april 2026 12:11
Goed om te lezen, ik heb vorig jaar ook spam/phishing ontvangen uit naam van Rituals op mijn verjaardag. Hoewel ik het niet zo kon aantonen zoals jij met je e-mailadres, heb ik altijd het vermoeden gehad dat de gegevens bij Rituals gelekt waren. Ging om een zogenaamd cadeautje dat je dan tegen verzendkosten kon bestellen, en zo werden je creditcardgegevens ontfutseld.
Reageer
DdeM @diefightdie22 april 2026 12:40
Ik moest laatst ergens een account aanmaken waar de +blaat@ manier niet werkte, de validatie die ze hebben vond het geen geldig emailadres 8)7

Wat dat betreft is een functie die je alias email adressen laat aanmaken vandaag de dag wellicht een beter idee, zoals Hide My Email op iCloud of Proton Pass.
Reageer
jos707 @diefightdie22 april 2026 12:46
Spammers kennen het '+' trucje natuurlijk ook . Al te vaak krijg ik alsnog spam binnen op een email adres waar ze alles achter '+' hadden weggestript.
Reageer
batjes @jos70722 april 2026 13:25
Het helpt echt niets. Naast dat veel formulieren nog steeds geen plusje accepteren ondanks dat het deel van de standaard is.
Reageer
Macron 22 april 2026 11:19
Next :)

De zoveelste reden om zoveel mogelijk fake gegevens in te vullen.
Reageer
Safaci @Macron22 april 2026 11:22
Dit is bij mij de default. Voornaam enkel de voorletter (met punt). Fake telefoonnummer. Fake geboortedatum (indien verplicht). Hide My Email adres.
Reageer
xxs @Safaci22 april 2026 11:33
Ik gebruik als voornaam altijd iets wat te herleiden is naar het bedrijf. Duckduckgo regelt mijn mail.
Reageer
iAR @Macron22 april 2026 11:25
  • Ik heb een gratis lyca sim kaartje voor telefoonnummers
  • Ik heb Hide My Email voor e-mailadressen
  • Ik maak regelmatig bewuste typefouten in naam, straatnaam en woonplaats
  • Geboortedatum heeft een systeem met elke keer een verschillende
En als een bedrijf echt te veel informatie wil, dan ga ik wel door naar een ander.

Oh en belangrijk: ruim je accounts, gegevens, e.d. eens in de zoveeltijd weer op!
Reageer
SomerenV @iAR22 april 2026 12:27
Typefouten in naam, straatnaam en woonplaats gaat alleen niet op bij energieboeren, telecommaatschappijen of bedrijven waar je iets fysieks bestelt. Links- of rechtsom kun je er vaak niet onderuit echte data te gebruiken dus ben je vroeg of laat toch wel een keer de sjaak.

Het wordt gewoon tijd om mensen verantwoordelijk te houden voor dit soort fuckups in plaats van de gebruikelijke 'sorry we gaan het fixen'. Bedrijven, en met name degene die gaan over besluiten waardoor de beveiliging niet op orde is, komen veel te gemakkelijk weg met dit soort datalekken. En áls een bedrijf dan een schadevergoeding moet betalen dan komt dat niet bij de gedupeerden terecht én het wordt uiteindelijk gewoon doorberekend aan de klanten. Dubbel de lul dus.
Reageer
iAR @SomerenV22 april 2026 13:14
Typefouten in naam, straatnaam en woonplaats gaat alleen niet op bij energieboeren, telecommaatschappijen of bedrijven waar je iets fysieks bestelt. Links- of rechtsom kun je er vaak niet onderuit echte data te gebruiken dus ben je vroeg of laat toch wel een keer de sjaak.
Tuurlijk zijn er plekken waar het niet kan. Maar verder best veel wel hoor.
Het wordt gewoon tijd om mensen verantwoordelijk te houden voor dit soort fuckups in plaats van de gebruikelijke 'sorry we gaan het fixen'. Bedrijven, en met name degene die gaan over besluiten waardoor de beveiliging niet op orde is, komen veel te gemakkelijk weg met dit soort datalekken. En áls een bedrijf dan een schadevergoeding moet betalen dan komt dat niet bij de gedupeerden terecht én het wordt uiteindelijk gewoon doorberekend aan de klanten. Dubbel de lul dus.
Maar hoe. Zelfs als iemand wel aandacht besteedt aan veiligheid en dergelijke kan het wel mis gaan. Hoe bepaal je dan wanneer iemand verwijtbaar is? Ik ken iemand bij een bedrijf waar alles nu dichtgetimmerd wordt maar enkel op papier. De manager kan bij iets zeggen: kijk, we voldoen aan alle eisen. Maar ondertussen is de schade even groot als er voor. Want op het echte vlak is nog geen donder uitgevoerd.
Reageer
roawser @iAR22 april 2026 14:02
De enige reden dat ik mijn echte naam en adres nog opgeef zijn (voor het adres) als ze geen aflevering bij een pakketkluis ondersteunen, en voor mijn naam tegen het risico dat de pakketkluis vol is, het pakketje naar een afhaalpunt gaat en ik daar geen paspoort kan tonen op naam van dhr P. Puk.

Voor de rest: lang leve Simplelogin en eigen maildomeinen!
Reageer
iAR @roawser22 april 2026 14:04
Een hele naam verzinnen of een spelfout maken in je eigen naam zijn nog wel twee verschillende dingen.
Reageer
xxs @Macron22 april 2026 11:36
Vroegahh bij de Kijkshop wilde ze ook altijd al je postcode weten. Toen ik daar 0000zz invulde accepteerde de kassiere of het systeem dat niet, ik zeg dan vul je eigen postcode maar in 😜
Reageer
hcQd @xxs22 april 2026 12:31
Dan wisten ze waar ze de folders moesten bezorgen.
Reageer

Om te kunnen reageren moet je ingelogd zijn