Automatten.nl meldt hack en raadt klanten aan wachtwoord te veranderen

Webshop Automatten.nl had afgelopen weekend een 'veiligheidsincident' waarbij mogelijk wachtwoorden zijn gestolen. Die wachtwoorden waren versleuteld, maar de webshop raadt klanten toch aan hun wachtwoorden te veranderen. Ook naam- en adresgegevens en e-mailadressen zijn mogelijk buitgemaakt.

De webshop meldt in een e-mail aan klanten dat onbevoegden toegang hebben verkregen tot een oude databaseserver van de voormalige webshop van Automatten.nl. Die webshop werd tot 17 maart gebruikt. Het incident werd op 18 april ontdekt.

De criminelen hadden mogelijk toegang tot naam, adres, woonplaats, e-mailadres, telefoonnummer en versleutelde wachtwoordgegevens. De webshop meldt niet hoe die wachtwoorden waren versleuteld. Het wachtwoord werd niet voor de nieuwe webshop gebruikt. Die nieuwe site gebruikt namelijk inlogcodes die naar het e-mailadres worden gestuurd. De waarschuwing om wachtwoorden aan te passen, geldt voor andere diensten waarbij het wachtwoord mogelijk wordt hergebruikt.

Automatten.nl zegt dat betaalgegevens, creditcardgegevens, bankrekeningnummers of legitimatiegegevens niet zijn gestolen. Klanten die uitsluitend op de nieuwe webwinkel iets hebben besteld, vallen ook buiten de hack. De webshop waarschuwt verder voor phishing, zegt de oude server te hebben afgesloten en een melding te hebben gedaan bij de Autoriteit Persoonsgegevens.

Security/Hackers/Hack. Bron: Curly_Photo/Moment/Getty Images
Bron: Curly_Photo/Moment/Getty Images

Door Hayte Hugo

Redacteur

Feedback • 22-04-2026 17:00
54 • submitter: nietorigineel

22-04-2026 • 17:00

54

Submitter: nietorigineel

Lees meer

gisteren

Hoe kansrijk is de massaclaim tegen Odido? 'Kan best over half jaar klaar zijn'

98
Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen
Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen Nieuws van 22 april 2026
Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl
Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026
Stichting begint massaclaim tegen Odido vanwege datalek
Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026
HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten
HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten Nieuws van 18 april 2026
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
HEMA verwisselt klantfoto's, slachtoffers zoeken via Reddit naar eigenaars
HEMA verwisselt klantfoto's, slachtoffers zoeken via Reddit naar eigenaars Nieuws van 15 april 2026
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026
Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer
Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer Nieuws van 13 april 2026
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers'
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers' Nieuws van 12 april 2026
Meer producten en artikelen
Beveiliging en antivirus Hack Hackers

Reacties (54)

-Moderatie-faq
54
54
14
2
0
30
Wijzig sortering

Sorteer op:

Weergave:
SpyQ 22 april 2026 17:08
Opgevraagd wat de encryptie was die ze gebruikte.... gewoon MD5!!!!
----------------
Bedankt voor je vraag.
 
In de historische database van onze oude webshop werden wachtwoorden niet leesbaar opgeslagen, maar gehasht met behulp van MD5. Dit was destijds een veelgebruikte methode. In onze huidige webshop maken wij geen gebruik meer van opgeslagen wachtwoorden; inloggen verloopt via een beveiligde inloglink per e-mail.
 
Uit voorzorg adviseren wij u wel uw wachtwoord te wijzigen op andere websites of diensten als u daar hetzelfde wachtwoord heeft gebruikt.
 
Met vriendelijke groet,

Dinija
Automatten.nl
----------------
Reageer
david-v @SpyQ22 april 2026 17:30
MD5 is geen encryptie maar een cryptografische hashfuntie. Met een rainbow tabel is soms het wachtwoord wel te achterhalen. Anders wordt het brute-forcen
Reageer
SpyQ @david-v22 april 2026 17:35
Nee klopt, is inderdaad geen encryptie :)... maar dat überhaupt MD5 nog bestaat.... mijn oren klapperen ervan
Reageer
Ook al Bezet @SpyQ22 april 2026 17:54
Gaat dus om een oude database, het was inderdaad niet ongebruikelijk om md5 hiervoor te gebruiken.

De vraag is niet "waarom hebben ze vroeger md5 gebruikt?" De vraag is "waarom hebben ze die oude gegevens nog en waarom waren ze in vredesnaam toegankelijk van buitenaf". Gegevens die je niet hebt kunnen ook niet lekken.
Reageer
ro8in @Ook al Bezet22 april 2026 19:36
De site was pas maart dit jaar omgezet, dus tot en met toen waren bij hun de wachtwoorden beveiligd met md5 dus ja
Reageer
Timo002 @Ook al Bezet22 april 2026 19:57
Ze hadden toch gewoon kunnen updaten naar bv bcrypt. Je laat de gebruiker inloggen op de oude manier en checkt met MD5 het wachtwoord. Is het goed, dan direct via bcrypt het wachtwoord updaten naar nieuwe standaard. Dit draai je een jaar en na 1 jaar gooi je alle wachtwoorden die nog niet over gezet zijn naar bcrypt weg. Die accounts moeten een wachtwoord reset doen als ze willen inloggen.

Ooh ja, en dat hadden ze 10 jaar geleden al moeten doen! Dit is echt wel kansloos!

[Reactie gewijzigd door Timo002 op 22 april 2026 19:57]

Reageer
jegelie @SpyQ22 april 2026 18:32
OT: Ik gebruik dat toch vaak, om te checken of aangeleverde bestanden misschien gewoon een herdruk zijn van eerdere orders. Wat is een goed alternatief?
Reageer
RobinF @jegelie22 april 2026 18:42
SHA is het modernere alternatief. Maar bij SHA1 zijn volgensmij ook al studies over het aantal botsingen bekend.

Als het puur gaat om verifiëren of er perongeluk een duplicaat is ingeslopen kan je m.i. SHA1 prima gebruiken. Maar SHA256 werkt ook als het geen enorme orderstroom is op een underpowered server.

Als je echt malicious intent wil afvangen kan je naar SHA256 kijken bijvoorbeeld.
Reageer
sir_huxley @jegelie22 april 2026 19:47
Voor die simpele toepassing is MD5 prima. Zeker in combinatie met de bestandsgrote. De kans op een collision is dan minimaal. Voor een hogere betrouwbaarheid zou je inderdaad gebruik kunnen maken van SHA256. Indien de bestanden uitvoerbaar zijn, zoals bijvoorbeeld een .exe bestand, dan zou ik ook niet langer op MD5 vertrouwen.

Voor wachtwoorden is dit een heel ander verhaal. Indien je daar niet de juiste kennis over hebt zou ik altijd adviseren om een bestaande identity oplossing te gebruiken. (zoiets als Keycloak of hosted https://auth0.com/)
Reageer
lenwar
@SpyQ22 april 2026 19:27
Md5 wordt nog voor allerlei doeleinden gebruikt. Voor wachtwoorden zou niet meer moeten inderdaad.
Reageer
koppie @SpyQ22 april 2026 19:37
Dit, volgens mij al 20 jaar afgeraden. Ik weet nog dat een IBM mainframe in een uur een willekeurige collision had uitgerekend. Toen zijn we al gaan uitfaseren, zeker voor wachtwoordopslag.

Zucht....
Reageer
JustRob @david-v22 april 2026 17:55
MD5 is niet soms te achterhalen. MD5 is vrij eenvoudig te achterhalen of collisions op te vinden. Er is een heel goede reden dat dit al járen niet meer gebruikt zou moeten worden.
Reageer
david-v @JustRob22 april 2026 18:17
Als je een heel goed wachtwoord hebt kan het nog best wel lastig zijn. Maar de kans daarop bij allematten.nl accounts acht ik zeer klein ;) . Ik had eerst "vaak" geschreven maar bedacht toen om toch maar "soms" te zeggen. Me bad :D.
Reageer
laurens0619 @david-v22 april 2026 19:27
Je kunt idd beter utf-8 encryptie toepassen;)

Aldus kpn….

https://twitter.com/kpnwebcare/status/168371471675174913
Reageer
david-v @laurens061922 april 2026 19:37
offtopic:
:D oh man, eerste lijns mensen. Ik heb ook eerstelijn werk gedaan als student, samen met nog een aantal medestudenten, voor de eerste kabelmodems van Nederland. Wij waren allemaal ict studenten, dus we wisten toch best veel. Maar bij uitbreiding van aantal abonnees kreeg je toch de "iets minder" deskundige mensen erbij. Ik moest toch vaak hier en daar ingrijpen of mensen terugbellen na dergelijke flaters van collegas ;)
Reageer
ro8in @laurens061922 april 2026 19:40
Ik schrok even, maar toen zag ik dat het een tweet uit 2012 was gelukkig haha. Niks mis met een beetje utf8 in je wachtwoorden overigens, zolang er ook maar sha256 overheen gaat haha
Reageer
teek2 @SpyQ22 april 2026 17:10
Jammer dat bedrijven gaan van md5 naar: "Regel het zelf maar via Email, wij doen niet meer aan credentials". Heel irritant, je moet soms echt lang wachten en het is een aantal extra stappen. Een passkey is een veel betere manier vind ik, dan ben je je click click gelijk ingelogt.

[Reactie gewijzigd door teek2 op 22 april 2026 17:11]

Reageer
joldemans @teek222 april 2026 18:19
los van dat het een mega irritant inlogsysteem is, vind ik het bovendien mega onveilig. Al jaren raden we mensen aan niet overal hetzelfde wachtwoord te gebruiken, maar inloggen via je mailbox waar de helft van de mensen welkom01 gebruikt vinden we allemaal prima…

Ik heb inmiddels zo’n 225 hide my email adressen in gebruik, gebruik overal een random naam en telnummer. Helaas zie ik nog weinig mogelijkheid om te kiezen voor een levering bij dhl/postnl punt zonder dat je je adres moet invullen.

Gisteren een interessante podcast geluisterd met privacyexpert Wesley Feijth. Hij gaf aan dat al deze hacks een fantastisch opmaat zijn naar de Digital-ID. Een centraal punt waarbij je shop bv 10min toegang kan geven tot je persoonsgegevens. Een centraal punt is natuurlijk een Mekka voor hackers, maar dat zien ze in de EU vast anders.

Apple podcast: https://podcasts.apple.com/nl/podcast/de-nieuwe-wereld/id1449765297?i=1000762399833

Spotify: https://open.spotify.com/episode/4QaYPu0iueREFkk4K5031J?si=Rq-gJyPSTsG3i0DZ6ayPig&t=0&pi=bSveBHXeTAaMg
Reageer
AceAceAce @teek222 april 2026 17:54
Ik snap ook niet dat bedrijven de sterkte van authenticatie van hun klanten uit handen geven zonder iets van afdwingen van de sterkte ervan. Zelfs publiekelijk toegankelijke mailboxen (weet niet of die er uberhaupt zijn) zijn kennelijk acceptabel voor dit soort bedrijven.
Reageer
Llopigat @SpyQ22 april 2026 18:47
In onze huidige webshop maken wij geen gebruik meer van opgeslagen wachtwoorden; inloggen verloopt via een beveiligde inloglink per e-mail.
Ugh ik word zo gek van sites die dat doen. :( Het is zo veel omslachtiger en helemaal niet veiliger. Doe dan gewoon passkeys ofzo. We moeten juist af van die binding van account met email omdat je daarmee een achilleshiel creeert.

[Reactie gewijzigd door Llopigat op 22 april 2026 18:50]

Reageer
Vilitrius007 22 april 2026 17:07
Beste klant,

 Er heeft zich een veiligheidsincident voorgedaan bij onze oude webshop die tot 17 maart werd gebruikt, waarbij je contact- en oude wachtwoordgegevens mogelijk zijn ingezien. Je bankgegevens en onze huidige nieuwe webshop zijn veilig, maar we raden je aan je wachtwoord aan te passen als je dit ook op andere websites gebruikt.

 Lees hieronder het volledige bericht voor meer informatie.

 Wat is er gebeurd?

Op 18 april 2026 hebben wij vastgesteld dat onbevoegden toegang hebben gekregen tot een oude databaseserver van onze voormalige webshop.

 Welke gegevens zijn betrokken?

Mogelijk zijn de volgende gegevens ingezien of gekopieerd:
  • naam, adres en woonplaats
  • e-mailadres
  • telefoonnummer
  • versleutelde wachtwoordgegevens
Er zijn géén betaalgegevens, creditcardgegevens, bankrekeningnummers of legitimatiegegevens betrokken. Betalingen verliepen via de externe online betaalprovider en deze gegevens stonden dus niet op de getroffen server.

 Is de huidige webshop getroffen?

Nee. Onze huidige webshop is niet getroffen door dit incident.

 Wat adviseren wij je?

Omdat mogelijk wachtwoordgegevens betrokken zijn, adviseren wij je uit voorzorg je wachtwoord te wijzigen als je hetzelfde wachtwoord ook op andere websites gebruikt. Op de nieuwe webshop werken wij zonder wachtwoorden en krijg je alleen toegang via een code op je emailadres.

 Wij hebben op dit moment geen aanwijzingen dat je gegevens actief worden misbruikt. Wel adviseren wij je alert te zijn op phishing en niet op verdachte links te klikken.

 Let vooral op:

E-mails, sms-berichten of telefoontjes waarin wordt gevraagd om persoonlijke gegevens, betalingen of wachtwoorden.

Berichten die lijken te komen van Automatten.nl maar een afwijkende link of afzender bevatten. Automatten.nl zal je nooit per e-mail of telefoon vragen om je wachtwoord of betaalgegevens.

 Welke maatregelen hebben wij genomen?

Wij hebben direct:
  • de oude server afgesloten;
  • aanvullende beveiligingsmaatregelen getroffen;
  • gecontroleerd dat andere systemen en onze nieuwe shop-omgeving niet zijn geraakt;
  • melding gedaan bij de Autoriteit Persoonsgegevens.
 Vragen?

Heb je nog vragen, neem dan contact met ons op via:

privacy@automatten.nl

085-0290140

 Onze excuses voor het ongemak.

 Met vriendelijke groet,

Team Automatten.nl
Reageer
ro8in @Vilitrius00722 april 2026 19:45
Het aller irritantste is wanneer bedrijven bij dit soort incidenten een FAQ online gooien met vragen die letterlijk niemand stelt. Bij Odido waren echt de eerste 10 vragen over of je bestelling nu nog doorgaat en of je nog steeds gebruik kan maken van de geweldige korting deal. Maar de vraag hoe je nou erachter komt welke van jou gegevens bij hun bekend waren tijdens de Lek stond er niet bij. Echt zo kansloos dit!
Reageer
dave1995 22 april 2026 17:08
Draait deze webshop ook toevallig op Salesforce? Of zeg ik nou wat raars? Rituals en Odido draaien daar ook op.
Reageer
himlims_ 22 april 2026 17:06
is er ergens een 0day actief ofzo die breed toepasbaar? is wel 'vaaker dan normaal' raak?! toch?

[Reactie gewijzigd door himlims_ op 22 april 2026 17:06]

Reageer
Keypunchie @himlims_22 april 2026 17:09
Denk iets meer aandacht, door high-profile hits, en iets meer hacks dankzij de toegenomen kracht van AI-modellen, die offensief in te zetten zijn.

Kan iedereen, of het nou Dev, Ops of anderszins in de IT is, aanraden om AI-modellen eens specifiek op security te laten draaien. Maak een mooie prompt en draai die tegen een repo van je configuratie, of tegen je code.

Zoiets als een MD5 hash gebruiken voor opslaan van wachtwoorden, zal ongetwijfeld 'geflagd' worden.

[Reactie gewijzigd door Keypunchie op 22 april 2026 17:10]

Reageer
Riesch @himlims_22 april 2026 18:03
Niet specifiek 0day, maar de hoeveelheid is wel rap wel stijgende de laatste maanden.

Al jaren is het ellende met automagische bots en script kiddies die lekke Joomla/Wordpress/whatever instances PWNen, maar afgelopen tijd zie ik ook meer aanvallen op volledig custom geschreven sites.

Hulp van AI zal hier zeker mee te maken hebben, maar complete laksheid van de eigenaar van de website heeft er in veel gevallen ook mee te maken. Ze huren iemand in voor het ontwerpen van een site maar onderhoud is dan vervolgens te duur. Zal niet zeggen dat dit het geval is bij automatten.nl maar zie dit helaas wel vaak gebeuren in mijn eigen werk.
Reageer
ro8in @himlims_22 april 2026 19:47
Ik denk dat men heeft uitgevonden dat je doormiddel van LLMs behoorlijk snel zero days kan vinden en daar nu lekker gebruik van maken bij bedrijven die nog niet zo ver zijn
Reageer
Coy 22 april 2026 17:11
Aangezien ze aanraden om wachtwoorden te veranderen moet je uit gaan van 1 of beide van 2 dingen:
  1. De wachtwoordeisen voor gebruikers waren zwak, om klanten niet af te schrikken :")
  2. Er werd een zwak algoritme (SHA-1?) gebruikt om de wachtwoorden te versleutelen.
Als een zwak algoritme gebruikt werd kan je relatief eenvoudig de bijpassende plaintext bruteforcen, hoewel dit moeilijker word bij een sterke manier van hashing.

Tenzij mensen hun wachtwoord hergebruiken hebben aanvallers er gelukkig niks aan :)
Reageer
david-v @Coy22 april 2026 17:32
Geen sha1 of andere encryptie maar MD5. Heb je nog steeds wel een probleem als het een simpel wachtwoord was icm een rainbow tabel
Reageer
thomasv 22 april 2026 17:03
Elke dag, het wordt steeds gekker. Stop er allemaal maar mee stelletje koekenbakkers als je backend schijnbaar in elkaar steekt als rotte vis.
Reageer
Mog @thomasv22 april 2026 17:04
Ik ben bang dat het alleen maar erger wordt met al die vibe coders om ons heen.
Reageer
Keypunchie @Mog22 april 2026 17:07
Voor de duidelijkheid, het zijn waarschijnlijk eerder de hackers die vibe coden, dan degenen die de software maken.
Reageer
Mog @Keypunchie22 april 2026 17:20
Ik denk allebei. Wat het nog erger in het kwadraat maakt :-(
Reageer
neversium @Mog22 april 2026 17:07
Dit, maar ook omdat de drempel steeds lager wordt met alle LLM-tools die alles voor je doen.
Reageer
Sissors @Mog22 april 2026 17:45
Ik denk dat de praktische oplossing voor de gemiddelde webshop iets gaat worden wat je ook op andere gebieden ziet, maar wat we ook weer niet willen: Doe het niet zelf, maar laat een tech gigant de hele handel regelen.
Reageer
lenwar
@Mog22 april 2026 19:24
Verreweg de meeste webwinkels zullen software van derden gebruiken. Hier ging het schijnbaar om een databaseserver. Mogelijk dus phishing. Dat staat dus vrijwel los van zwak programmeerwerk.
Reageer
Miglow @thomasv22 april 2026 17:17
Gelukkig zijn er zoveel websites inmiddels gehackt dat de waarde dusdanig daalt dat geen mens nog zin heeft om ze te kopen. Iets met vraag en aanbod.
Reageer
batjes @Miglow22 april 2026 18:14
Waar ik mij meer zorgen over maak is dat al deze gegevens uiteindelijk wel in de AI modellen terecht komen. Voor een completer plaatje. Wat publiekelijk beschikbaar is, is grotendeels al geindexeerd. Nu al die private data dat vrijwillig overhandigt danwel met hacks verzamelt wordt.
Reageer
thomasv @Miglow22 april 2026 17:41
Klein lichtpuntje
Reageer
bapemania @Miglow22 april 2026 17:42
Pas op wat je zegt, als ze je gegevens niet meer kunnen verkopen gaan ze ze zelf mss maar gebruiken voor een variëteit aan oplichtingspraktijken. Drink your own champagne holadiyee!
Reageer
Andros 22 april 2026 17:09
Lijkt onderhand wel een hype, roep dat je gehackt bent en krijg gratis reclame... Is er nu ineens zo'n toename in hacks of werden ze voorheen stil gehouden?
Reageer
Ohmarinus 22 april 2026 17:33
Waarom staat dit artikel onder 'beveiliging en antivirus' en het artikel van de hack bij de Rituals bijvoorbeeld onder 'privacy'? En de hack bij Bokt staat dan weer onder 'Websites en community's'.

Is het niet handiger om dit onder 1 noemer onder te brengen? Helemaal omdat er de afgelopen dagen ineens heel veel sites data lijken te lekken?
Reageer
Is_ Y_ Serious? 22 april 2026 17:41
Zijn al die hacks nog wel tegen te houden?
Reageer
bapemania @Is_ Y_ Serious?22 april 2026 17:44
Alles is te hacken zeker als Anthropic Mythos heeft laten lekken.
Reageer
Mark de Vaal @bapemania22 april 2026 18:05
Is laatste tijd genoeg nieuws over Mythos. Scary AI in mijn ogen!
Reageer
batjes @bapemania22 april 2026 18:16
Er is een eeuwenoud (internet) gezegde: "Wat is gemaakt door de mens, kan gekraakt worden door de mens".
Reageer
fuzzyIon 22 april 2026 17:49
legacy rot + slechte hashing + asset management failure.

[Reactie gewijzigd door fuzzyIon op 22 april 2026 17:49]

Reageer

Om te kunnen reageren moet je ingelogd zijn