Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen

Rituals meldt dat er deze maand door een hacker lidmaatschapsgegevens zijn gestolen. Het cosmeticabedrijf heeft inmiddels maatregelen genomen en de toegang geblokkeerd. Het is niet bekend hoeveel mensen precies zijn betrokken bij het datalek.

Een deel van de gegevens van leden is 'op onrechtmatige wijze' gedownload, meldt Rituals. Het gaat om onder meer namen, adressen, e-mailadressen, telefoonnummers en geboortedata. Er zijn geen wachtwoorden of betalingsgegevens uitgelekt. De informatiepagina over het datalek is beschikbaar op onder meer de Nederlandse, Belgische, Engelse, Franse en Duitse websites. Daarmee is het zeer waarschijnlijk dat het datalek klanten in meerdere landen treft.

Vooralsnog lijken de gegevens volgens Rituals niet openbaar gemaakt. Het bedrijf heeft aanvullende beveiligingsmaatregelen genomen om soortgelijke incidenten in de toekomst te voorkomen. Welke maatregelen precies zijn getroffen, is niet bekend. Rituals waarschuwt dat de gegevens kunnen worden gebruikt voor phishing en roept getroffen klanten op extra alert te zijn. Tweakers heeft vragen uitgezet bij het bedrijf.

Een Rituals-winkel in Rotterdam. Bron: Donald Trung Quoc Don - Wikimedia Commons

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 22-04-2026 11:15
184 • submitter: WhateverSuitsU

22-04-2026 • 11:15

Submitter: WhateverSuitsU

Lees meer

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026

Gemeente Epe vervangt duizend ID-bewijzen gratis na datalek door ClickFix-aanval

Gemeente Epe vervangt duizend ID-bewijzen gratis na datalek door ClickFix-aanval Nieuws van 23 april 2026

Automatten.nl meldt hack en raadt klanten aan wachtwoord te veranderen

Automatten.nl meldt hack en raadt klanten aan wachtwoord te veranderen Nieuws van 22 april 2026

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026

Stichting begint massaclaim tegen Odido vanwege datalek

Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026

Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig

Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig Nieuws van 20 april 2026

HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten

HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten Nieuws van 18 april 2026

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026

Klokkenluider bij Logius klaagt Nederland aan om DigiD uit handen VS te houden

Klokkenluider bij Logius klaagt Nederland aan om DigiD uit handen VS te houden Nieuws van 16 april 2026

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026

Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien

Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026

Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers

Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers Nieuws van 9 april 2026

Meer producten en artikelen

Privacy Datalek

IT-banen

Meer vacatures

Reacties (184)

184

184

53

4

0

113

Wijzig sortering

Datalek
Privacy

22 april 2026 13:01

Is het probleem opgelost?

Ja. Onmiddellijk na de ontdekking hebben wij maatregelen genomen en de toegang geblokkeerd. De situatie is nu onder controle.

Dit is het bagatelliseren van het probleem. De situatie is niet slechts een gebrekkige beveiliging maar het geen controle hebben over persoonsgegevens van klanten. Met het weer blokkeren van toegang heeft het bedrijf de controle over de gelekte persoonsgegevens niet terug. En daarmee is het probleem dus niet verholpen.

Despen @kodak • 22 april 2026 13:53

Komt bij mij zo over inderdaad;

Onmiddellijk na ontdekking, hebben we de kluisdeuren weer gesloten.

Dus al het geld en goud is weer terug?

Oh, nee natuurlijk niet, dat hebben de dieven allemaal meegenomen, maar de kluisdeuren zitten nu netjes op slot.

Ja, daar hebben we nu echt wat aan met een lege kluis.

Kloppendlid @kodak • 22 april 2026 13:18

Zou het niet mooi zijn als eenieder zijn eigen digitale identiteit zelf kan beheren op zijn device.

Dus stel, je koopt wat bij bedrijf A, bij de aankoop stuur jij je unieke ID mee. Deze unieke ID
wordt doorgegeven aan de vervoersmaatschappij die een request doet om jouw adres te mogen raadplegen. Via een push notificatie in je ID app kun je die accepteren/negeren. Zodra je accepteert wordt je adres doorgestuurd en kan er een afleversticker gegenereerd worden.

Adres gegevens kunnen zo nooit op straat komen te liggen want het wordt nergens opgeslagen.
Order bevestigingen / verzend bevestigingen kunnen ook in die app terecht komen. Ook vragen of wijzigingen zouden via de app kunnen dus nooit meer mail of telefonisch contact nodig.

stuiterveer @Kloppendlid • 22 april 2026 13:26

Zodra je accepteert wordt je adres doorgestuurd en kan er een afleversticker gegenereerd worden.

Adres gegevens kunnen zo nooit op straat komen te liggen want het wordt nergens opgeslagen.

Je snapt toch dat dit niks oplost he? Zodra het adres doorgestuurd wordt hebben ze deze alsnog en kunnen ze ermee doen wat ze willen. Eenmaal de gegevens doorgegeven betekent de controle kwijt over wat een partij er wel of niet mee doet. De Rituals klanten hebben in dit geval ook zelf hun gegevens overhandigd. Niet via een app/request, maar de manier waarop is totaal irrelevant. Uiteindelijk is het alsnog mis gegaan. Dat je nu zegt "ja maar alleen de pakketdienst kan het dan inzien" wil niet zeggen dat het nu niet mis zal gaan...

Kloppendlid @stuiterveer • 22 april 2026 13:41

Er kan altijd 1 partij zijn die het bewaard (de vervoerder) maar dat is al een factor 100 minder dan nu. En zelfs daar kun je regels voor opstellen.

Als ik al zie hoe mensen wachtwoorden hekelen en dan krijgen nu ook nog eens 2FA wat de hele frustratie alleen maar erger maakt. Deze app zou je dan ook kunnen gebruiken om in te loggen op websites. Face scan/vingerafdruk en inloggen maar. Geen wachtwoorden of 2FA meer en geen persoonlijke gegevens meer bekend bij derde partijen.

Alternatieven hoor ik graag. Alternatieven waar het voor personen makkelijker en veiliger wordt ipv moeilijker en nog niet veilig omdat er teveel afhankelijkheden zijn.

stuiterveer @Kloppendlid • 22 april 2026 13:51

Alternatieven hoor ik graag. Alternatieven waar het voor personen makkelijker en veiliger wordt ipv moeilijker en nog niet veilig omdat er teveel afhankelijkheden zijn.

Veiliger betekent minder makkelijk, makkelijker betekent minder veilig. Iedereen zal altijd een afweging moeten maken hoe veilig ze het voor zichzelf maken en hoeveel moeilijker dat sommige zaken dat voor ze maakt.

Tassadar32 @stuiterveer • 23 april 2026 11:01

En als het te moeilijk word nemen mensen shortcuts (password reuse anyone?).

Splorky @stuiterveer • 22 april 2026 15:42

Tuurlijk kan een postbedrijf jou adres bewaren.
Maar het lijken vooral hackers te zijn die in de database rond snuffelen die de lekken zijn. Als de gegevens niet bewaard mogen worden dan is de kans dat ze bewaard blijven wel kleiner, ook al kan dat technisch wel.

mpolder @Kloppendlid • 22 april 2026 14:37

Is geen oplossing, ten eerste moeten bedrijven ivm witwassen aan kunnen tonen welke klanten ze gehad hebben, wanneer en data opslaan ivm het bewijzen dat er een akkoord is bevonden met een specifieke klant.

En zelfs al zou je daar een soortgelijk systeem omheen verzinnen, dan zou je dus alsnog een centrale plek moeten hebben waar dit opgeslagen wordt zoals bijv bij de overheid. Historisch gezien wordt dit ook niet als oplossing gezien omdat je dan een single point of failure hebt.

Vervolgens blijft dan ook het probleem dat jouw data simpelweg nodig is om bepaalde dingen af te handelen, daar moet het dus voor opgeslagen worden. Als jij bijvoorbeeld een pakketje ontvangt, moet het sorteercentrum dan wachten tot jij persoonlijk op OK drukt op de notificatie? En moet er dan iemand live staan wachten om de data uit te lezen voordat het weer verdwijnt?

Kloppendlid @mpolder • 22 april 2026 14:56

Is geen oplossing, ten eerste moeten bedrijven ivm witwassen aan kunnen tonen welke klanten ze gehad hebben, wanneer en data opslaan ivm het bewijzen dat er een akkoord is bevonden met een specifieke klant.

Die gegevens zijn er ook wel, alleen niet bij je leverancier. Jouw unieke ID is gekoppeld aan een bepaalde order.

En zelfs al zou je daar een soortgelijk systeem omheen verzinnen, dan zou je dus alsnog een centrale plek moeten hebben waar dit opgeslagen wordt zoals bijv bij de overheid. Historisch gezien wordt dit ook niet als oplossing gezien omdat je dan een single point of failure hebt.

Informatie kan gewoon encrypted op je device staan. Niemand heeft het behalve jij. Je zult wel ergens op een server iets van een koppeling moeten hebben maar niet met jouw adres gegevens.

Vervolgens blijft dan ook het probleem dat jouw data simpelweg nodig is om bepaalde dingen af te handelen, daar moet het dus voor opgeslagen worden. Als jij bijvoorbeeld een pakketje ontvangt, moet het sorteercentrum dan wachten tot jij persoonlijk op OK drukt op de notificatie? En moet er dan iemand live staan wachten om de data uit te lezen voordat het weer verdwijnt?

Als retailer vraag je bij je vervoerder gewoon een verzendlabel op aan de hand van de ID die je gekregen hebt, de vervoerder doet een aanvraag naar jou om je adres te mogen inzien, jij accordeert en de retailer print deze uit en plakt hem op de doos.

Misschien ergens ook wel te simplistisch gedacht maar het huidige wachtwoorden systeem en accounts is ook een achterhaald principe en zoals je steeds weer ziet een heel groot risico voor je persoonsgegevens.

Het moet simpeler, veiliger en de gebruiker moet meer controle over zijn gegevens hebben.

mpolder @Kloppendlid • 22 april 2026 17:26

Veel dingen zoals wachtwoorden hebben ook al veiligere en makkelijkere alternatieven zoals passkeys. Maar feitelijk is wat je benoemd voor veel bedrijfsprocessen gewoon geen vervanging.

appelmoes3 @kodak • 22 april 2026 13:36

De echte oplossing is het proces omkeren.

Jezelf geeft bedrijven een keuze om je adres uit te lezen of je leeftijd te checken. Geef ze een public key van je geboortedatum regel en ze kunnen alleen deze regel uitlezen. Of met een script krijgen ze dan een ja of nee terug.

Je kan dan zelf de key weer intrekken en behoudt zo de controle. Bedrijven hoeven dan enkel je datakey en identiteits key te bewaren. Wordt dan ook makkelijker om bedrijven aan te pakken die je gegevens toch kopieert dan wel verder deelt.

Eenvoudig via een blockchain. Als de overheid nu eens door pakt en een publieke blockchain hiervoor inzet, geeft dat vertrouwen.

Een commerciële variant is bijvoorbeeld https://www.dock.io/post/blockchain-identity-management

Maar ja, hoe maken we dit systeem groot beschikbaar in NL of EU? En hoe krijgen we de bedrijven en webshops hierin mee?

Quote:” Consent to share identity data Identity data can’t be shared without people’s explicit consent. Every time a request for data is made, the user will be prompted to give permission to show a credential. A blockchain-based identity system enables data minimization meaning that people can have the option to only share parts of a credential needed by the verifier such as being able to show the city they live in without revealing their whole address. Another privacy feature that can be implemented with blockchain is called Zero-Knowledge Proofs where people can prove claims without revealing the data at all. For example, someone can confirm that they are at least 18 years old to buy alcohol without needing to reveal their birth date.

edit:
Relevante quote toegevoegd.

[Reactie gewijzigd door appelmoes3 op 22 april 2026 15:31]

mpolder @appelmoes3 • 22 april 2026 14:48

Het artikel waar je naar linkt onderbouwt niet echt wat je in je comment omschrijft. Dit gaat grotendeels om kleine verificaties waarbij alleen en ja of nee genoeg is. Bijvoorbeeld cryptografisch bewijzen dat je 18+ bent zonder je geboortedatum te hoeven geven. Je informatie zelf staat niet eens op de blockchain, en dat zou je waarschijnlijk ook niet willen.

Ten eerste los je zo dus niet het probleem op. Stel je informatie is dan via een of andere key beschikbaar, dan is die in een immutable state in een blockchain alleen maar vatbaarder. Daarnaast zal een bedrijf dan dus gewoon de key opslaan, wat een 1-op-1 verband heeft met jouw data.

Daarnaast is de use case uit het artikel 99% van de keren niet waarvoor een bedrijf jouw gegevens nodig heeft. Als jij iets koopt en het moet geleverd worden, dan moet die data gewoon inzichtelijk zijn voor de partij die het levert. Die data op een iets andere manier toegankelijk maken zorgt er niet voor dat een derde partij niet mee zou kunnen lezen

appelmoes3 @mpolder • 22 april 2026 15:45

De webshop hoeft enkel jouw identificatienummer door te geven en de key die jij daarna deelt met je adres. .

mpolder @appelmoes3 • 22 april 2026 17:15

Daar gaat het middelste deel van mijn reactie dus over. Puur door toegang te abstraheren achter een of andere key verminder je het risico niet. Dan slaan bedrijven dus je key op, en dan kan een derde partij die key ook gewoon gebruiken.

Ook wat ik zei blijft waar, het artikel waar je naar kijkt gaat juist niet over persoonsgegevens op de blockchain, eerder een soort verificatie middel, maar die is niet verbonden met je persoonsgegevens.

sjorri @appelmoes3 • 22 april 2026 15:13

Als bedrijf moet je gegevens 7 jaar bewaren, als ze daarvan worden vrijgesteld zou dat een oplossing zijn ven een deel van het probleem. Dan nog de inloggegevens die je zelf wilt bewaren bij een bedrijf als je dat niet wilt dan maar geen account.

Datalek
Privacy

@appelmoes3 • 22 april 2026 15:24

Dit lek gaat o.a. om gelekte geboortedata. Een bedrijf als Rituals vraagt niet om je geboortedatum omdat ze het alleen voor jou nodig hebben maar omdat ze iedere dag reclame kunnen uitsturen om extra inkomsten en winst te willen maken. En daarvoor moet Rituals bij jou 'oplossing' minstens iedere dag vragen om je geboortedatum. Aangezien je belang waarschijnlijk niet is om dagelijks Rituals te helpen is de simpel oplossing je gegevens hoe dan ook niet verstrekken. Daarbij, een blockchain of iedere dag beslissingen moeten nemen zorgt er niet voor dat een bedrijf als Rituals je gegevens zorgvuldig opslaan en verwerken. En aangezien je dan net als nu geen mogelijkheid hebt om dat wel af te dwingen toont het ook wat dat betreft vooral aan dat je maar beter je gegevens hoe dan ook niet kan verstrekken tot je zekerheid hebt dat ze er zorgvuldig mee om gaan.

Radko @kodak • 22 april 2026 14:26

Daar zit een luchtje aan

SK-Marten 22 april 2026 13:31

Rondom de bekende verjaardag mails van Rituals om aan creditcardgegevens van mensen te komen, moet zo goed als zeker ook een datalek zijn.
Ik werk met specifieke emailadressen voor veel bedrijven/webshops, en de verjaardag mail die ik vorig jaar kreeg (om creditcardgegevens af te troggelen) kwam binnen op het Rituals emailadres. Gemeld bij hun en was natuurlijk geen sprake van, later ook nog gemeld bij de AP.
Dus het verbaasd me niets, en vermoed dat het al veel eerder/langer gespeeld heeft, al zegt men van niet.

m3nt0s @SK-Marten • 22 april 2026 14:08

Ik heb precies de zelfde ervaring als SK-Marten, gegevens die alleen van Rituals afkomstig konden zijn. Ook vorig jaar al gemeld bij Rituals waar ik werd afgewimpeld met een standaard mail.

DJMaze @SK-Marten • 22 april 2026 14:49

Het "nee hoor" probleem is bij heel veel bedrijven.

Gewoon niet de kennis in huis (of derden) om het goed uit te zoeken.

Bij bootzeil heb ik toen destijds een forwarder ingesteld. Gingen ze mij bellen dat ik spam verstuur, terwijl overduidelijk in de mail stond waar het vandaan kwam

jinks26 @SK-Marten • 22 april 2026 16:18

Klopt ik heb vorig jaar ook een bericht ontvangen en dit gestuurd naar rituals:

Het is vandaag mijn verjaardag en zoals vele (zie reddit post) kreeg ik een mail waar ik bijna ingetrapt was.
https://www.reddit.com/r/...cam_with_rituals_gift_set

Antwoord (vorig jaar):
Uit dit onderzoek is gebleken dat er geen sprake is geweest van een datalek bij Rituals.
Onze systemen en klantgegevens zijn hierbij niet gecompromitteerd....

Cooyco @SK-Marten • 22 april 2026 20:05

Jup, mijn partner ontving begin dit jaar ook al Rituals phishing op haar verjaardag.

Xfade 22 april 2026 11:18

Is wel dagelijkse kost nu.

Uiteraard dit er bij

Het bedrijf heeft aanvullende beveiligingsmaatregelen genomen om soortgelijke incidenten in de toekomst te voorkomen.

avlt @Xfade • 22 april 2026 11:27

Lijkt me het ideale moment om dit soort datalekken te beboeten met een bedrag dat het zakelijk voordeel van al dit onnuttige dataverzamelen minstens te niet doet. Iets van 5% van de totale omzet of zo.

Alfa1970 @avlt • 22 april 2026 13:58

De geschiedenis doet ons inzien dat ook boetes van meerdere miljarden bedrijven niet aanzet om hun aanpak wezenlijk te veranderen.

Gezien de sanctie boete verder niemand raakt bij zo'n bedrijf anders dan alleen de klanten die uiteindelijk het geld moeten ophoesten omdat het verdisconteerd wordt in de prijs van de producten, lijkt mij het moment aangekomen dat die andere sanctie die wettelijk nu al mogelijk eens gaat worden toegepast.
En dat directeuren en andere verantwoordelijken persoonlijk aansprakelijk worden gesteld, en een gepaste periode achter de tralies hun zonden gaan mogen overdenken.

avlt @Alfa1970 • 22 april 2026 17:46

De geschiedenis doet ons inzien dat ook boetes van meerdere miljarden bedrijven niet aanzet om hun aanpak wezenlijk te veranderen.

Kan je wat voorbeelden noemen?

Ik denk dat als Rituals hier een boete van meerdere miljoenen voor krijgt, zij en alle andere bedrijven zich realiseren dat het geld kost als je dergelijke fouten maakt.

Tot nu toe is het iets van "sorry, we zijn al jullie gegevens kwijtgeraakt en we doen ons best om het voortaan beter te doen" en ze gaan op de gewone voet verder.

Mar9 @avlt • 22 april 2026 15:35

Dan verhogen ze prijzen van hun producten dus uw betaalt dan meer….

avlt @Mar9 • 22 april 2026 17:39

Ze doen maar; de klanten staan dan waarschijnlijk bij de concurent.

Cybertroy @avlt • 22 april 2026 13:55

Dat klinkt misschien aantrekkelijk, maar boetes verdwijnen niet zomaar in het luchtledige. Waar gaat dat geld heen, en belangrijker: wie betaalt uiteindelijk de prijs? Vaak niet het bedrijf zelf, maar gewoon de gebruiker of consument.

avlt @Cybertroy • 22 april 2026 17:41

Voor wat betreft een overheidsdienst heb je gelijk; maar in dit geval gaat het om een commercieel bedrijf.

Als ze dit verwerken in hun prijzen lopen mensen naar de concurent.

Het boetebedrag zelf komt in de staatskas, en dus uiteindelijk bij ons allemaal.

iAR @Xfade • 22 april 2026 11:23

De hoeveel van die mosterd na de maaltijd is inderdaad iets te hoog aan het worden.

LOAD81 @Xfade • 22 april 2026 11:46

Ik heb niet het idee dat dit nu vaker gebeurd.
Het wordt nu alleen vaker gemeld.

vlieger200 @Xfade • 22 april 2026 11:53

Wat denk je van de opkomt van AI?
review: Een omslag voor cybersecurity: Claude Mythos is té goed in lekken vinden

Dit weten niet alleen softwarebedrijven.

Desiler 22 april 2026 11:19

Gaat lekker de laatste tijd. Vraag me toch af waarom Rituals mijn geboortedatum en telefoonnummer nodig heeft.

Luchtbakker @Desiler • 22 april 2026 11:27

Bij Rituals krijg je op je verjaardag een gratis cadeautje.

@Luchtbakker • 22 april 2026 11:37

Is dat een gerechtvaardigd belang om mijn geboortedatum om te slaan? Als ze mijn een gratis cadeau willen geven dan zou het tonen van mijn ID op de dag van mijn verjaardag (of rondom) ook voldoende moeten zijn in de winkel om mij dat gratis cadeautje te geven.

watercoolertje @rneeft • 22 april 2026 12:34

Is dat een gerechtvaardigd belang om mijn geboortedatum om te slaan?

Is een gerechtvaardigd belang nodig?

Om het te verplicht in te moeten vullen zou het het een gerechtvaardigd belang moeten hebben
Om er gewoon om te vragen (met uitleg voor welke doeleinden ze het gebruiken) mag gewoon!

Fliepke @rneeft • 22 april 2026 12:36

Ja, want dat is simpelweg onderdeel van de voorwaarden je mee akkoord gaat als klant. Het is geen recht dat iedereen een cadeautje kan opeisen buiten de gestelde voorwaarden.

RefriedNoodle @rneeft • 22 april 2026 11:56

Als ze mijn een gratis cadeau willen geven dan zou het tonen van mijn ID op de dag van mijn verjaardag (of rondom) ook voldoende moeten zijn in de winkel om mij dat gratis cadeautje te geven.

SELECT k.naam, t.datum FROM transacties t JOIN klanten k ON t.klantennummer = k.klantennummer WHERE t.prijs = 0;

Alsjeblieft, de datums waarop iedereen een gratis verjaardagsartikeltje heeft opgehaald.

Razr @RefriedNoodle • 22 april 2026 12:32

Even los van de relevantie. Er zijn natuurlijk vele scenarios waardoor dit niet hoeft te kloppen; wat als je een voucher/waardebon gebruikt hebt waardoor het transactietotaal op 0 uitkomt?

b12e @Razr • 22 april 2026 12:35

Dan geef je een bepaald product 'cadeau' - bijvoorbeeld een afwijkende SKU. Ook dat probleem opgelost.

gimbal @rneeft • 22 april 2026 15:32

Technisch nee; ze hebben het jaar niet nodig, enkel de maand en dag. Niet meer opslaan dan nodig is EN het op de juiste manier opslaan (lees: niet alles in dezelfde database met dezelfde credentials) dat is iets wat nog vele jaren groei nodig gaat hebben voordat we echt zijn waar we moeten zijn.

er0mess @Luchtbakker • 22 april 2026 11:31

“Gratis” in ruil voor je privé informatie (die wordt doorverkocht)

Xfade @er0mess • 22 april 2026 11:37

gestolen*

DigitalExorcist @er0mess • 22 april 2026 11:37

Of gestolen wordt, in dit geval.

ID-College @er0mess • 22 april 2026 11:45

Doorverkocht valt vaak wel mee, want dan is t minder waard (waarom zou de ander dan nog een keer betalen?). Bedrijven zetten hem vaak in een "clean room" waarmee je die klantdata kan gebruiken voor targetting gedurende een periode, maar niet die data echt kan zien zelf. Als afnemer moet je dan maar geloven dat t klopt maar dat is vaak contractueel vastgelegd. Zo kan je er meer aan verdienen want je laat het gewoon vaker gebruiken im bepaalde periodes en vangt dus ook vaker knaken.. Bij verkoop ben je het kwijt dus dat gebeurt eigenlijk zelden..

[Reactie gewijzigd door ID-College op 22 april 2026 11:46]

TheVivaldi @er0mess • 22 april 2026 12:31

Ik kan niet spreken voor Rituals, want daar ben ik nog nooit geweest, maar bij diverse van dit soort winkels is het opgeven van geboortedatum en telefoonnummer optioneel. Uiteraard moeten de gegevens veilig worden bewaard, maar ik vind het vanuit bewaarperspectief wel iets anders of de winkel het verplicht maakt dat soort gegevens in te vullen, of de keuze bij de klant legt.

theredspecial @TheVivaldi • 22 april 2026 12:45

Je hoeft niet eerlijk te zijn natuurlijk

Dus lekker vervuilen die databases, dan hebben ze er niets meer aan. Geef gewoon 2514 GL huisnummer 68 op of het adres van het hoofdkantoor bijvoorbeeld.

edit:
(Dat is overigens paleis noordeinde)

[Reactie gewijzigd door theredspecial op 22 april 2026 15:50]

batjes @TheVivaldi • 22 april 2026 13:19

Het lijkt niet altijd optioneel zoals bij de Hornbach. Waar gewoon doodleuk om je postcode gevraagt alsof het verplicht is. Je kan het skippen, maar dat wordt niet duidelijk gemaakt.

Vieze dark patterns.

TheVivaldi @batjes • 22 april 2026 16:08

Daarom zei ik “diverse” van dit soort winkels, niet *alle* winkels.

skaars @er0mess • 22 april 2026 13:57

Nee dat wordt bij Rituals niet voorverkocht.

silverchaoz @Luchtbakker • 22 april 2026 13:00

Wat elk jaar spam genereerd.

Ik krijg elk jaar exact 1 a 2 mails op mijn verjaardag van een "phishing" rituals mailadres dat er een cadeautje klaar staat op mijn verjaardag. Dit krijg ik sinds ik al een jaar of 3 geleden bij Rituals had aangemeld.

Cybergamer @silverchaoz • 22 april 2026 13:38

Daarom gebruik ik altijd fake datums en telefoonnummers.

JumpStart @Luchtbakker • 22 april 2026 11:50

Dan vraag ik me oprecht af of ze dan dd-mm opslaan, wat in principe genoeg moet zijn voor het beoogde doel, of dat ze dd-mm-jjjj bewaren.

Ik gok dat er sprake is van het laatste. Marketing-technisch is leeftijd immers zeer nuttige informatie.

MsG @JumpStart • 22 april 2026 12:31

Een Rituals-cadeautje kan best anders zijn voor iemand die 18 is en man, dan bijvoorbeeld een vrouw van 60, of iemand van 80. Het lijkt me vrij denkbaar dat men de volledige geboortedatum heeft.

wiseger @Luchtbakker • 22 april 2026 12:17

Rituals meldt bij de veel gestelde vragen:

Ik heb eerder phishing e-mails uit naam van Rituals (bijvoorbeeld de verjaardagscadeau scam) ontvangen. Is dit daaraan gerelateerd?

We begrijpen dat dit vragen kan oproepen. De scam met het verjaardagscadeau kwam niet vanuit Rituals. Uit ons onderzoek is gebleken dat er geen link is tussen dit incident en de eerdere verjaardagscadeau scam berichten.

Therealpro1341 @Desiler • 22 april 2026 11:23

Verkoop aan een minder jarige zal wel vanwege een bepaalde regelgeving niet mogen, en telefoonnummer zal waarschijnlijk gebruikt worden voor verificatie.

dixet @Therealpro1341 • 22 april 2026 11:53

Om aan die regels te voldoen heb je geen geboortedatum nodig. Dataminimalisatie noemen we dat.

Je hoeft als bedrijf alleen te weten dat iemand ouder is dan X. Je zou dat nog kunnen controleren bij registratie adhv de geboortedatum op een legitimatiebewijs, maar het permanent vastleggen van die geboortedatum is helemaal nergens voor nodig.

TheVivaldi @dixet • 22 april 2026 12:33

Maar ís het bij Rituals ook nodig? Bij diverse andere winkels is het optioneel om je geboortedatum op te geven.

Tjark @Therealpro1341 • 22 april 2026 11:37

Alleen als je op 29 februari geboren bent, ben je minder jarig.

xxs @Tjark • 22 april 2026 11:37

Wakker

influenza @Desiler • 22 april 2026 11:25

waarschijnlijk om je te feliciteren met je verjaardag en je een geschenkje aan te bieden

fuzzyIon @influenza • 22 april 2026 11:56

Eerder korting terwijl ze nog winst maken

influenza @fuzzyIon • 22 april 2026 12:27

Uiteraard

ytterx @Desiler • 22 april 2026 11:25

Telefoonnummer heeft vaak te maken met de de postbedrijven, blijft een hekel puntje dat elk bedrijf dat nodig heeft..

@ytterx • 22 april 2026 12:39

Mijn telefoonnummer is echt al een paar decennia "0" en dat werkt bij de meeste winkels prima. Ik heb werkelijk nog nooit enig probleem gehad omdat de winkel of het postbedrijf me niet telefonisch kon bereiken. Ook nooit opmerkingen over of andere problemen mee gehad. Zeker het postbedrijf heeft daar helemaal geen tijd voor of zin in. Heel benieuwd of jij dan wel ooit gebeld bent vanwege een probleem met je bestelling, en hoe dat zich verhoudt met eventuele marketingtelefoontjes van die of derden.

Trithereon @Desiler • 22 april 2026 11:27

Zodat jij een gratis cadeautje kan ophalen als je jarig bent! Je krijgt best wel wat leuks dan namelijk!

Edit: Owja ik wordt gedownvote? Wordt steeds erger hier op tweakers.. man man

[Reactie gewijzigd door Trithereon op 22 april 2026 15:58]

biteMark @Trithereon • 22 april 2026 12:31

Zij krijgen ook wat leuks: jouw informatie

Datalek

@biteMark • 22 april 2026 12:50

Je hoeft niet de datum op te geven waarop je jarig bent. Elke geldige datum werkt. Het wordt verder niet gecontroleerd.

biteMark @SunnieNL • 22 april 2026 17:21

Dat was niet de vraag:

Vraag me toch af waarom Rituals mijn geboortedatum en telefoonnummer nodig heeft.

Het antwoord is heel simpel: data. En het liefst zo correct en volledig mogelijk.

@Desiler • 22 april 2026 11:53

Gewoon 01-01-1970 op geven bij webshops

, telefoon nummer... Daar gaat vaak een of andere verificatie heen, daar heb ik nog geen handige oplossing voor. E-mail adres is namelijk wel apart per registratie/winkel/partij.

@Riesch • 22 april 2026 12:52

telefoon nummer... Daar gaat vaak een of andere verificatie heen, daar heb ik nog geen handige oplossing voor.

Ik ga gewoon een lijstje af: "0", "0000000000", "0600000000", "0610000000", "0612345678" of als ze dat allemaal niet vreten vul ik iets echt willekeurigs in, of het telefoonnummer van het bedrijf zelf. Het is niet vaak dat ik de derde of latere varianten moet gebruiken.

RoestVrijStaal @DataGhost • 22 april 2026 13:58

Dat gaat goed, totdat er iets met de bestelling is waar gelijk een beslissing op gemaakt dient te worden.

@RoestVrijStaal • 22 april 2026 14:16

Heftig. Wat voor iets zou dat kunnen zijn? En dat is niet mogelijk per e-mail? Wat nou als je telefoon leeg is of op stil staat? Of als je bezig bent met het afhandelen van een telefoontje voor een andere bestelling waar gelijk een beslissing op gemaakt dient te worden? Of een van de andere duizenden reden om het telefoontje te missen? Vliegt dan je bestelling in brand?

Volgens mij is er voor consumentenbestellingen (en al helemaal die van de Rituals) geen enkele reden te bedenken dat het noodzakelijk is te bellen en waarbij het niet op een andere manier opgelost kan worden.

[Reactie gewijzigd door DataGhost op 22 april 2026 14:18]

RoestVrijStaal @DataGhost • 25 april 2026 02:08

Het had een aantal keer voorgekomen. Het had ook per mail gekund, maar dan zat er meer verwerkingstijd tussen.

De ene keer was het of een bestelling bezorgd was (dat was het). De andere keer was van de reparateur ingeschakeld door de webshop over naar welk adres het gerepareerde product naar toe gestuurd mocht worden.

Bedenk dat voor uitzonderlijke gebeurtenissen de telefoon gebruikt wordt. Ik denk dat de webshop zelfs voor e-mail meer tijd bij kwijt is, omdat een zakelijke e-mail richting consument toe zorgvuldig verwoord dient te worden. Met telefoon wordt het lijntje korter.

@RoestVrijStaal • 25 april 2026 10:19

Had inderdaad prima per mail gekund, dat geef je zelf ook aan dus dat waren blijkbaar geen zaken "waar gelijk een beslissing op gemaakt dient te worden". Zeker niet iets triviaals zoals het bezorgd zijn van een bestelling

. De telefoon had hier dus geen toegevoegde waarde. Sterker nog, dit zijn zaken waarvoor ik helemaal niet telefonisch gestoord wíl worden. Doe dat lekker per mail, dan kan ik ernaar kijken en reageren in mijn eigen tijd. Vaak zat is dat ook binnen de tijd dat een telefoongesprek plaats had gevonden.

Ik denk dat de webshop zelfs voor e-mail meer tijd bij kwijt is, omdat een zakelijke e-mail richting consument toe zorgvuldig verwoord dient te worden.

Ook telefonisch dient de boel zorgvuldig verwoord te worden, dus dat verandert niks. Als dat een issue is voor je bedrijfsvoering leg je daar een script/template voor klaar.

RoestVrijStaal @DataGhost • 25 april 2026 17:16

Vaak zat is dat ook binnen de tijd dat een telefoongesprek plaats had gevonden.

Heb jij altijd de tijd / zin om je mail te checken en te beantwoorden?

Bij mail is er altijd meer doorlooptijd dan bij telefoon. Er gaat meer tijd over de interactie heen. Afhankelijk van de situatie natuurlijk.

Niet elke webshop is een van formaat als Bol.com waar alles geautomatiseerd anders wel gescript is

@RoestVrijStaal • 26 april 2026 20:03

Heb jij altijd de tijd / zin om je mail te checken en te beantwoorden?

Nee, en dan heb ik ook niet opeens wél tijd/zin om datzelfde aan de telefoon te doen. Tegelijkertijd kan ik (als ik er wel zin in heb) een binnenkomende mail op mijn horloge bekijken en binnen een seconde beslissen of het tijd en moeite mijnerzijds waard is, op dat moment of überhaupt. Dát is veel sneller dan een telefoon moeten pakken, opnemen en hopen dat ze direct to the point komen. Door mij te bellen beslist namelijk iemand anders voor mij dat het belangrijk genoeg is om mij te storen met waar ik op dat moment mee bezig ben.

Qua doorlooptijd: boeiend. In ieder geval bij de voorbeelden die je gaf. Niks met haast. Dus dan voorkom ik liever dat mijn telefoonnummer aan allerlei derden wordt doorgegeven en bij tig (ondertussen niet meer op één hand te tellen) breaches uitlekt. Ik ben heel blij dat ik eigenlijk nooit gebeld word op mijn primaire nummer (uit 1998) en dat wil ik graag zo houden. Voor mail heb ik zoals in een andere reactie gezegd ondertussen 1151 adressen zodat ik direct weet waar een lek heeft plaatsgevonden als ik erop benaderd wordt door een derde, bij telefoonnummers kan dat niet.

Als ik niet opneem (of op kan nemen) gaat heel je doorlooptijd/snelheid-verhaal ook de prullenbak in. Dan moet de andere kant namelijk eerst wachten totdat het duidelijk is dat ik niet opneem, daarna erachter komen dat ik voicemail uit heb staan en daarom er aan denken dat ze het later nog eens moeten proberen, met risico op dezelfde uitkomst. Dan zullen ze er alsnog een mail aan moeten wijden.

jpsch @Riesch • 22 april 2026 12:30

Denk dat de helft van mijn geboortedatums 01-01-1970 is, behalve Facebook volgens mij, daar ben ik in 1905 geboren.

theredspecial @jpsch • 22 april 2026 12:47

Komt Markie je nog een keer een taart brengen omdat je de oudste gebruiker bent

jpsch @theredspecial • 22 april 2026 13:51

Of een bot en die eten geen taart.

Knallmeister @jpsch • 22 april 2026 14:41

behalve Facebook volgens mij, daar ben ik in 1905 geboren.

Mooi voorbeeld van de totale overbodigheid om je geboortedatum op te geven

Knallmeister @Riesch • 22 april 2026 13:30

telefoon nummer... Daar gaat vaak een of andere verificatie heen, daar heb ik nog geen handige oplossing voor.

Ik geef regelmatig 06 8086 8087 op. Nooit problemen mee gehad. Bellen doen ze meestal niet, en als ze je email adres hebben, hoeven ze niet eens te bellen.

Gijs002 @Desiler • 22 april 2026 12:14

Dat heb je zelf naar waarheid ingevuld.

RoestVrijStaal @Desiler • 22 april 2026 13:57

Je was er toch zelf bij toen je het invulde?

Dan kon je het prima vragen. Nu nog steeds.

Desiler @RoestVrijStaal • 22 april 2026 14:39

Het was een kritische/algemene vraag, ik heb zelf niet eens een Rituals account.

AMDLegion 22 april 2026 11:18

Een lidmaatschap voor je handzeep... het moet niet gekker worden

wiseger @AMDLegion • 22 april 2026 11:21

Als je bij Rituals in de winkel één of meerdere kado sets koopt, krijg je het aanbod om gratis lid te worden waarbij er direct een korting op je gehele aankoop aangeboden wordt en je ook nog wat welkoms geschenken krijgt. Dus ja, dan worden mensen zoals ik lid.

@wiseger • 22 april 2026 11:23

Ik ook. En je bent ook gewoon lid als je online bestelt. "Lidmaatschap" is gewoon ander woord voor "account"

Llopigat @Kristof Vxx • 22 april 2026 12:05

En sommige geuren zijn alleen nog maar online te bestellen helaas zoals de oranje

TheVivaldi @wiseger • 22 april 2026 12:34

Maar het is wel risicovol om dit soort gegevens aan een winkel toe te vertrouwen.

wiseger @TheVivaldi • 22 april 2026 12:47

Kennelijk is het erg risicovol. Maar dat geldt dus ook voor je telefoon provider want zelfs als ex-klant lekt Odido dit soort gegevens van mij ook. En je kan je gegevens ook niet achterlaten bij een medische instelling als ze gebruik maken van Chipsoft. En meedoen aan het bevolkingsonderzoek om darmkanker vroegtijdig op te sporen, is ook zeer gevaarlijk

Het heeft geen zin om in dit soort zaken naar het slachtoffer te wijzen, de bedrijven zijn verantwoordelijk om haar IT zaken goed op orde te hebben.

De bal ligt nu bij de politiek, zolang er geen zware sancties komen te liggen bij bedrijven die hun beveiliging niet op orde hebben en zich kinderlijk eenvoudig laten hacken zoals bij Odido gebeurt is, zal dit schering en inslag blijven.

TheVivaldi @wiseger • 22 april 2026 12:52

Uiteraard moet Rituals de gegevens veilig bewaren. In een andere reactie beaamde ik dat ook. Maar het is natuurlijk wel aan de klant om af te wegen of het slim is om dit soort gegevens aan Rituals toe te vertrouwen. Bij bijvoorbeeld Odido heb je geen keus (andere providers moeten ook privégegevens van je hebben, dus dan is het enige alternatief off-the-grid leven); bij Rituals kun je gewoon de winkel in lopen en iets afnemen zonder privégegevens achter te laten (en anders wel bij de concurrent).

Kortom: Rituals moet de veiligheid bewaken en niet onnodig gegevens vragen, maar klanten moeten ook zélf nadenken wat slim is en wat niet.

[Reactie gewijzigd door TheVivaldi op 22 april 2026 12:54]

wiseger @TheVivaldi • 22 april 2026 13:12

Ik ben het absoluut niet met je eens. Door te stellen dat "klanten moeten ook zélf nadenken wat slim is en wat niet" suggereer je dat de klant mede verantwoordelijk is voor bedrijven waar het fout gaat met de beveiliging. Had je je gegevens er maar niet moeten achterlaten of valse gegevens in moeten vullen. Het heeft een hoog 'victim-blaming' gehalte.

Ik ben in de winkel 'lid' gemaakt door Rituals, dan kreeg ik direct 10% korting op een totale aankoop van 147 euro (3 geschenkboxen van 49 euro).

Je verstrekt je gegevens dan niet onnodig, je moet extra betalen als je je gegevens niet wil verstrekken. Wordt je lid dan betaal je 132 euro en krijg je extra geschenken, wordt je geen lid dan is het 147 euro en krijg je niets extra's.

Wailing_Banshee @wiseger • 22 april 2026 13:41

Ik ben het absoluut niet met je eens. Door te stellen dat "klanten moeten ook zélf nadenken wat slim is en wat niet" suggereer je dat de klant mede verantwoordelijk is voor bedrijven waar het fout gaat met de beveiliging. Had je je gegevens er maar niet moeten achterlaten of valse gegevens in moeten vullen. Het heeft een hoog 'victim-blaming' gehalte.

Ik ben in de winkel 'lid' gemaakt door Rituals, dan kreeg ik direct 10% korting op een totale aankoop van 147 euro (3 geschenkboxen van 49 euro).

Je verstrekt je gegevens dan niet onnodig, je moet extra betalen als je je gegevens niet wil verstrekken. Wordt je lid dan betaal je 132 euro en krijg je extra geschenken, wordt je geen lid dan is het 147 euro en krijg je niets extra's.

Nee, je hebt betaald met je gegevens. Voor niets gaat de zon op. Waarom zou Rituals (ik ken de winkel zelf niet, geen idee wat ze precies verkopen) bijv. je geslacht of leeftijd willen weten? Als ik ergens een account maak, geef ik vaak niet eens mijn voornaam maar alleen een voorletter (en een punt als ze eisen dat je minimaal 2 karakters moet invoeren) Tenzij je daar natuurlijk alcohol of rookwaren kunt kopen...

wiseger @Wailing_Banshee • 22 april 2026 13:57

Tuurlijk, en bij je telefoon provider stuur je een vals ID kaart kopie in zodat daar je gegevens niet gelekt kunnen worden. En je neemt een zorgverzekering onder een valse identiteit, zodat je geen risico loopt wanneer de zorgverlener gebruik maakt van Chipsoft. En bij het darmkanker onderzoek van bevolkingsonderzoek Nederland, tja dat is lastig zeg, het buisje komt met een barcode, ze hebben al je gegevens al gekregen van de gemeente. Snel uitschrijven uit de Basis Registratie Personen bij je gemeente dan maar. Door het leven gaan zonder vaste woon- of verblijfplaats.

Rituals maakt een account voor je aan zodat je ook online bestelling kan doen. Daarvoor hebben ze je NAW en telefoonnummer nodig. Je geslacht is voor aanbiedingen en kadootjes, zodat je een aftershave ontvangt en geen bloemetjes parfum. Je geboortedatum is omdat Rituals je een kado aanbiedt op je verjaardag.

Uiteindelijk doet het er allemaal niets toe, er zijn zoveel lekken de laatste tijd dat je er vanuit mag gaan dat al je gegevens gewoon verkocht worden in het illegale circuit en dat je daar echt helemaal niets aan kan doen.

Datalek

@TheVivaldi • 22 april 2026 12:51

Met alle data leks van de afgelopen maanden maakt het nu bij mij niets meer uit wat ik opgeef. Het ligt toch allemaal al op straat. Hooguit dat ze nu zien dat het domein van mij is en ik 5x per jaar jarig ben

DeCo @AMDLegion • 22 april 2026 11:27

Marketing.. en hoe meer je weet van de klant, hoe gerichter je je marketing kunt doen. Dus leeftijd en geslacht is handig voor dat stukje personalisatie "beste heer van Puffelen". Bovendien hebben ze een webshop, dus die NAW zijn nodig om te kunnen versturen. Waarom ze een telefoonnummer nodig hebben, is me verder wel een raadsel.

jpsch @DeCo • 22 april 2026 12:26

Dat marketing is niet zo effectief als ze je willen doen geloven. Bedrijven hebben allerlei gegevens van je, maar vervolgens spreken ze je aan met geachte heer, mevrouw, krijg je kledingaanbiedingen voor het andere geslacht en opruiming van maten die niet je maat zijn.

TheVivaldi @jpsch • 22 april 2026 12:37

Precies, dat dus. Zeker bij kledingketens overkomt me dat nogal eens.

En soms zelfs helemaal omgekeerd, dus niet “geachte heer, mevrouw”, maar gewoon het omgekeerde geslacht. Heb ik wel eens gehad, niet bij een winkel, maar bij een andere organisatie. De vraag was hoe ik aangesproken wilde worden, ik had gekozen voor ‘man/heer’ (weet niet meer precies welke term er stond, maar in elk geval koos ik dus voor de mannelijke aanspreekvorm). Krijg ik even later een brief met als aanhef ‘geachte mevrouw’.

Kenhas @jpsch • 22 april 2026 13:10

Is ook een tactiek. Ze gaan ervan uit dat je dan toch zult opzoeken of er niets in jouw maat is. En de kans bestaat dat je iemand kent waar die maten wel voor geschikt zijn en mond-aan-mond reclame doet

diefightdie 22 april 2026 12:03

Dit is niet de eerste keer. Ik gebruik, net als velen andere tweakers, een apart email adres per website.

emailadres+rituals@gmail.com en emailadres+tweakers@gmail.com

Zo kreeg ik spam mailtjes op mijn verjaardag, via mijn rituals email adres. Helaas vind ik toen bot bij hun support en lag de fout namelijk gewoon bij mij (aldus Rituals). Maar ik ben heilig overtuigd dat de data al eens eerder is uitgelekt.

budjepaul @diefightdie • 22 april 2026 12:11

Goed om te lezen, ik heb vorig jaar ook spam/phishing ontvangen uit naam van Rituals op mijn verjaardag. Hoewel ik het niet zo kon aantonen zoals jij met je e-mailadres, heb ik altijd het vermoeden gehad dat de gegevens bij Rituals gelekt waren. Ging om een zogenaamd cadeautje dat je dan tegen verzendkosten kon bestellen, en zo werden je creditcardgegevens ontfutseld.

Scriptkid @diefightdie • 22 april 2026 12:22

je kunt + adressen ook gewoon Ddossen / raden,

Simple scriptje bij data lek A laten lopen met alle bekende bedrijfs namen als + adress en dan kijken waar de ontvangende server een Ack geeft (hoeft het mailtje niet eens te sturen.)

Dan als je een lijst met duizenden + heb dan kun je je campaign starten en naar al die adressen sturen.

@Scriptkid • 22 april 2026 12:50

Met "+ adressen" van Gmail valt er niks te raden. Je kan daar alles invullen wat je wilt zonder dat de ontvanger daar iets actiefs voor heeft hoeven doen, het is namelijk een catch-all. Het is ook ontzettend triviaal om de + en alles erachter weg te laten, dan komt de mail alsnog aan. Dus dat zou ik persoonlijk doen als ik een spammer was.

Dan nog een duit in het zakje van iemand die wél een fatsoenlijk systeem gebruikt: ik heb een eigen domein en maak gebruik van een whitelist. Dus voor elk bedrijf moet ik eerst een adres maken voordat erheen gemaild kan worden. Momenteel heb ik 1151 adressen en ik ontvang ongeveer 1 of maximaal 2 keer per jaar een spam-mail op zo'n adres. Dus volgens mij werkt het systeem goed. Die adressen hebben verder niks te maken met mijn mailbox, dus een deel weglaten of wijzigen zoals bij Gmail wel kan werkt bij mij niet. Dan blijft jouw stukje over "Ddossen" (bruteforcen bedoel je denk ik) of raden over en dat is in de paar keren dat ik een bedrijf in kwestie op de hoogte heb gesteld van een mogelijk datalek bij ze heel vaak een verweer geweest. Daarom kijk ik elke zoveel tijd in mijn logs naar afleverpogingen op niet-bestaande adressen. Buiten de usual suspects zoals info@, postmaster@ enz. wordt dit simpelweg niet gedaan.

DdeM @diefightdie • 22 april 2026 12:40

Ik moest laatst ergens een account aanmaken waar de +blaat@ manier niet werkte, de validatie die ze hebben vond het geen geldig emailadres

Wat dat betreft is een functie die je alias email adressen laat aanmaken vandaag de dag wellicht een beter idee, zoals Hide My Email op iCloud of Proton Pass.

DJMaze @DdeM • 22 april 2026 14:44

Is vaak een verkeerde implementatie van RFC's waarbij een + gezien wordt als spatie.

Ziggo heeft ook die bug. Zo stond mijn e-mailadres er in met spatie

jos707 @diefightdie • 22 april 2026 12:46

Spammers kennen het '+' trucje natuurlijk ook . Al te vaak krijg ik alsnog spam binnen op een email adres waar ze alles achter '+' hadden weggestript.

batjes @jos707 • 22 april 2026 13:25

Het helpt echt niets. Naast dat veel formulieren nog steeds geen plusje accepteren ondanks dat het deel van de standaard is.

Subae 22 april 2026 11:31

Tijd voor een aparte rubriek 'datalekken' op Tweakers? Want ik vermoed dat het niet snel zal beteren tbh

@Subae • 22 april 2026 11:46

tag: Datalek ?

LOAD81 @Subae • 22 april 2026 11:48

Graag. Ik zie, net zoals vroegah, liever meer technische artikelen.

HenkEisDS 22 april 2026 11:34

Rituals is net als Odido, KLM en Basic Fit een grote Salesforce klant.

https://www.salesforce.com/nl/customer-stories/rituals-cosmetics/

pnczbr @HenkEisDS • 22 april 2026 11:50

Precies, en ik kan uit ervaring zeggen dat bij SF implementaties sec niet altijd op nr 1 staat. Er wordt echt veel met admin rechten gestrooid, geen SSO, veel 'even snelle' handmatige accountjes, allemaal buiten zicht van bijv. CISO. Zeker bij de Marketing Cloud gebeurt dit veel, vaak vallen deze implementaties ook onder de marketing afdeling, intern begeleid door marketing mensen in combo ben een implementatie partij.
En er zijn veel van deze implementatie partijen in de markt waar de kennis / prio gewoon ontbreekt.

- Klant bestand ontdubbelen tijdens import bij implementatie? Even .csv lokaal trekken.
- Data stroom van CRM naar Marketing Cloud? Nee geen gebruik van de connector, maar 'gewoon' een sftp server (Buiten de SF stack).
- Jr. marketeer die een nieuwsbrief moet klaarzetten? Ja joh, open toegang tot de verzendlijst, met lokale export mogelijkheid.
- Manager die wat cijfers nodig heeft? Hoppa, SQL toegang met wat voorbeeld queries. En ook direct complete data toegang zonder masking.

Salesforce is echt niks mis mee, maar de implementaties die ik tegenkom zijn echt drama. Ik kan zo een lijst van grote bedrijven in NL opnoemen waar ik gewoon van weet dat een succesvolle phising aanval kan zorgen voor een grote datalek vanwege de SF setup.

Bron: ik zit midden in deze wereld.

alexkok 22 april 2026 12:21

In de communicatie naar hun klanten doen ze het wel stukken beter. Nog voordat het nieuws werd, was ik als klant al geinformeerd:

---

Beste member,

Met dit bericht informeren wij je over een onrechtmatige download van Rituals’ membershipgegevens.

Wat is er gebeurd?
Wij hebben vastgesteld dat een deel van de gegevens van onze members op onrechtmatige wijze is gedownload. Onmiddellijk na deze ontdekking hebben wij maatregelen genomen en de toegang geblokkeerd. Uit onderzoek is gebleken dat jouw persoonsgegevens hierbij betrokken zijn.

Wat betekent dit voor jou?
De situatie is onder controle, er is geen actie van jouw kant nodig. Er zijn geen wachtwoorden of betalingsgegevens gelekt. Voor zover wij weten, zijn de betreffende gegevens niet openbaar gemaakt. Wel adviseren wij je om extra alert te blijven op phishingberichten.

Voor antwoorden op jouw vragen hebben wij een overzicht samengesteld van veelgestelde vragen. Mocht je toch nog vragen hebben, neem dan gerust contact met ons op via service@rituals.com.

Wij begrijpen dat dit bericht verontrustend kan zijn en bieden hiervoor onze oprechte excuses aan. We nemen dit uiterst serieus en werken hard aan verdere maatregelen om dit in de toekomst te voorkomen.

Team Rituals

Om welke gegevens van jou gaat het?

De gegevens die u hebt gedeeld en die zijn getroffen:

  •  Naam
  •  Adres
  •  E-mailadres
  •  Geboortedatum
  •  Geslacht
  •  Jouw voorkeurs-Rituals winkel
  •  Jouw Rituals accounttype

---

En hieronder de meest gestelde vragen die ook op hun site te vinden staan. Helaas onder het kopje data (wat je dus nooit gaat vinden als je op de site zelf zoekt)

THE_BASE @alexkok • 22 april 2026 12:34

Dat siert ze, inderdaad kreeg ik ook een mail voordat het bekend werd. Maar aan de andere kant twijfelde ik daardoor of het wel legitiem was.

Leshy @alexkok • 22 april 2026 13:32

De email an sich is redelijk netjes, maar ik zie er wel een probleem mee. Ik kreeg de email niet omdat ik een klant ben, maar omdat iemand met dezelfde voorletter/achternaam dat wel is en mijn email-adres heeft ingevuld (niet voor de eerste keer).

Dit is de footer:

Deze e-mail is verzonden aan <emailadres>.

Dit e-mailadres wordt uitsluitend gebruikt voor het verzenden van onze nieuwsbrief. Wanneer je contact met ons wilt opnemen, reageer dan niet op deze e-mail. Je kunt ons bereiken via het contactformulier op onze website.

Vraag of opmerking? We helpen je graag.

Privacy Policy
Algemene Voorwaarden
Online versie

Copyright Rituals Cosmetics 2026

Rituals Cosmetics Enterprise B.V.
Herengracht 541, 1017 BW Amsterdam
The Netherlands
+31 20 333 9100

Als ik het wel heb, is het wettelijk verplicht om een afmeld-link te plaatsen onder dergelijke nieuwsbrieven, maar daar is hier geen sprake van. Een eerdere nieuwsbrief uit 2024 die ik nog kan terugvinden heeft deze ook niet (vandaar dat ik me waarschijnlijk nooit heb afgemeld).

wiseger 22 april 2026 11:19

Net de email van Rituals ontvangen. Dus naast Odido lek zit ik nu ook in het Rituals data lek. NAW, telefoonnummer, geslacht en geboortedatum zijn gelekt volgens Rituals.

Het is dweilen met de kraan open. Je kan gewoon aannemen dat de halve wereld over je persoonlijke gegevens beschikt.

PdeBie @wiseger • 22 april 2026 11:21

Puur uit interesse. Waarvoor gebruik je zo'n lidmaatschap bij Rituals?

@PdeBie • 22 april 2026 11:24

Om aankopen te doen op de online shop.
Daarnaast krijg je als "lid" ook gratis producten of extra korting.

3raser @Kristof Vxx • 22 april 2026 11:28

Het is dus gewoon een klantkaart en niet echt een lidmaatschap.

Xfade @3raser • 22 april 2026 12:22

met een klantenkaart ben je gewoon lid van iets.

3raser @Xfade • 22 april 2026 12:26

Ik zie een lidmaatschap meer als een terugkerende betaalde dienst waarbij je automatisch iets geleverd krijgt. Met een klantenkaart ben je gewoon klant die eventueel een voordeeltje kan scoren.

Ik snap dat Rituals het een lidmaatschap noemt want dat klinkt exclusiever. Alsof je bij een speciale club hoort.

Datalek

@3raser • 22 april 2026 12:59

Wat jij beschrijft is een abonnement. Terugkerende betaling voor een product of dienst. Lidmaatschap kan betaald of gratis en gaat om verbondenheid met een gemeenschap.

wiseger @PdeBie • 22 april 2026 11:24

Ik kocht destijds tegen kerst een aantal geschenksets in de winkel. Ik kreeg het aanbod gratis lid te worden waarbij ik direct korting op de gehele aankoop zou krijgen en nog een aantal extra kadootjes zou krijgen.

Daarna denk je er niet meer aan. Al maakt dat verder ook niets uit, ik was al weg bij Odido als klant maar ook daar zijn mijn gegevens gewoon gelekt.

n4m3l355 @wiseger • 22 april 2026 12:14

Ik ook, dit staat erin dat buitgemaakt is:

• Naam
• E-mailadres
• Geboortedatum
• Geslacht
• Jouw voorkeurs-Rituals winkel
• Jouw Rituals accounttype

Ook geven ze aan dat geen bankgegevens zijn buitgemaakt. Desalniettemin wel dus mijn naam, email, geboortedatum en geslacht. Voldoende om daar weer elders een abbo mee aan te gaan zoals Odido...

Xfade @n4m3l355 • 22 april 2026 12:23

maar geen rekeningnummer e.d.

3raser @wiseger • 22 april 2026 11:22

En wat nog erger is... ze weten nu precies welke shampoo je gebruikt.

wiseger @3raser • 22 april 2026 11:26

Nee, ze weten mijn naam, waar ik woon, mijn geslacht, mijn geboortedatum en mijn telefoonnummer.

Het probleem met dit soort gegevens is dat veel bedrijven dergelijke informatie vragen als je met ze belt om vast te stellen wie ze aan de lijn hebben. Er ontstaat dus het risico dat iemand zich voor kan doen als mij bij bedrijven.

Scriptkid @wiseger • 22 april 2026 12:19

Zie hier het werk van AI ,

De bubbel die men bubbel noemt blijkt geen bubble maar een goede tool die door aanvallers netjes gebruitk word om at scale targets te vinden en aan te vallen met minimale resources en tijd.

Let maar op komende jaar gaan er nog HEEEEL veel volgen.

yer_grannie @wiseger • 22 april 2026 14:29

Altijd handig, mocht je dement worden en je naam niet meer weten...

Maar, het blijft triest dat organisaties er zo mee omgaan en er ook nog mee wegkomen. Wordt tijd dat er tegen wordt opgetreden.

Om te kunnen reageren moet je ingelogd zijn