Hacker vindt 258 financiële dossiers via verlopen domeinen bewindvoerders

Gevoelige gegevens van mensen die onder bewind staan of stonden, kunnen in handen van onbevoegden komen doordat bewindvoerders domeinnamen laten verlopen. Dit ontdekte een ethisch hacker via het Odido-datalek. Hij kreeg zo 258 financiële dossiers in handen.

Ethisch hacker Wesley Neelen registreerde verlopen domeinnamen van bewindvoerders en kreeg toegang tot 258 financiële dossiers van mensen met schulden. Neelen dook in de uitgelekte data van telecombedrijf Odido en zag daarin dat veel mensen het e-mailadres van hun bewindvoerder gebruiken, meldt RTL Nieuws. Eind februari bleek dat de gestolen Odido-klantgegevens veel gevoeliger waren dan eerst gedacht.

De afgelopen jaren zijn veel bewindvoerders samengegaan of overgenomen. Daarbij kunnen namen van de betrokken organisaties veranderen en ook domeinnamen niet langer in gebruik zijn. Bewindvoerders moeten jaarlijks betalen om verlaten domeinen te beveiligen, om te voorkomen dat een ander die claimt en gebruikt.

Net als bij Jeugdzorg

Dit zou ongeveer tien euro per jaar kosten, maar niet alle bewindvoerders blijken dit te doen. Daardoor kan een ander een verlaten domeinnaam gebruiken. E-mails naar zo'n domeinnaam komen dan binnen bij de nieuwe eigenaar. In 2019 bleek dit te spelen bij Jeugdzorg. Daar kwamen duizenden dossiers met medische gegevens in handen van derden, onthulde RTL Nieuws toen.

Datalek stock. Bron: Getty Images — Bron: Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 08-06-2026 15:21
74 • submitter: webdamx

08-06-2026 • 15:21

Submitter: webdamx

Lees meer

30 apr 2026

Is onbevoegd online inbreken oké? Acht ethisch hackers over hun morele grenzen

Epe kon worden gehackt doordat een noodtoegangaccount slecht was beveiligd

Epe kon worden gehackt doordat een noodtoegangaccount slecht was beveiligd Nieuws van 5 juni 2026

Politie houdt 35-jarige man aan voor inbraak op computersystemen Ajax

Politie houdt 35-jarige man aan voor inbraak op computersystemen Ajax Nieuws van 26 mei 2026

Odido staat nog steeds achter besluit om ShinyHunters niet te betalen

Odido staat nog steeds achter besluit om ShinyHunters niet te betalen Nieuws van 12 mei 2026

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026

Leren van ethical hackers Wesley en Rik: "Wat wij doen is geen magie" .Plan van 10 oktober 2019

Meer producten en artikelen

Websites en community's Politiek en recht Privacy Datalek Domeinnaam Domeinnamen E-mail E-mail beveiliging Odido Privacy schending

IT-banen

Meer vacatures

Reacties (74)

74

73

48

1

0

11

Wijzig sortering

sjdw 8 juni 2026 16:18

Dit doet me denken aan iets wat ik per abuis ontdekte.

Jaren geleden verviel het domein geenmail.nl. Ik heb deze geregistreerd voor de fun. Op het moment dat ik er een e-mailadres onder had gezet kreeg ik honderden e-mails binnen.

Ik besloot om daarna om er een catch-all op te zetten. Toen werd het aantal e-mails nog erger.

Ik kreeg e-mails bedoeld voor mensen waarvan kennelijk niet een e-mailadres voor bekend of was ingevuld. Dat waren afspraken met een aantal grote automerken, pakketbedrijven, tandartsen of andere afspraken. Ook merkte ik ook dat een 5-tal gemeentes een soortgelijke procedure hadden. Voor mensen met een afspraak zonder bekend mailadres werd ook geenmail@geenmail.nl gebruikt.

Daarin zaten bevestigingen voor vergunningen maar ook voor bepaalde (identificatie) documenten.

Ik heb de gemeente dit medegedeeld en deze hebben het met een klein beetje tegenzin opgelost. De bedrijven die dit in het verleden deden, doen nog steeds verzenden naar geemail.nl. Voor een tweetal grote franse automerken komen er ook nog steeds bevestigingen van afspraken binnen. Ook van oude klanten van verschillende koeriersbedrijven krijg ik ze nog steeds binnen.

Verlopen domeinen zijn inderdaad dus best gevaarlijk.

wooha @sjdw • 8 juni 2026 18:36

Dat komt op mij over als een formulier voor een klant (of medewerker) waarop een e-mailadres verplicht is en aan een bepaalde syntax moet voldoen, maar wat de invuller niet wil of kan geven om toch verder te komen. Dat lost die persoon dan op door iets in te vullen dat elk ander herkent als "wil niet" of "weet niet", maar wat een geautomatiseerd systeem verwerkt als elk ander e-mailadres.

Dan zal het filteren van geenmail.nl niet voldoende zijn. Je kan geen uitputtende lijst maken van manieren waarop mensen de verplichting omzeilen om informatie in te vullen. Bij postadressen en telefoonnummers gebeurt net zoiets. De invuller is zich niet altijd bewust van de consequenties voor privacy.

Een expliciete optie op het formulier om de informatie niet in te vullen, met uitleg over eventuele gevolgen, zou vriendelijker zijn. Hopelijk was dat de oplossing van de gemeente.

TheSiemNL @sjdw • 8 juni 2026 18:58

De reden waarom ik mijn klanten altijd adviseer om domeinnamen minstens 5 jaar aan te houden en te controleren wat er nog allemaal heen gestuurd wordt.

EKes @sjdw • 8 juni 2026 17:59

Er is ook zo iets als goed fatsoen. Je gaat niet wat niet voor jou is bedoeld bekijken, lezen, delen, enz.

Doe je dat wel. Dan vindt ik misbruik maken van de gelegenheid, dus terecht dit ook onder Hacken valt.

Ook is het zo dat als er niemand het leest, dan bestaat het ook niet. Helaas wordt dit door de menselijke nieuwsgierigheid nog al vaak onder het ooo en aaa juist extra naar boven gehaald. Gebeurtenissen die echt het daglicht niet kunnen verdragen blijven meestal onder de tafel. Zo als Big data door de overheid, spy software, googletagmanager.com (Die op deze site niet gelinkt is trouwens), bods en degelijke. Die mee kijken met je.

Houtenklaas @EKes • 8 juni 2026 18:08

Ik heb liever dat een Tweaker met fatsoen dit doet dan iemand die er geld uit denkt te kunnen slaan. Ik heb een domein in het bezit die erg op het voormalige xs4all.nl lijkt. Ook niet met voorbedachte rade gedaan, maar ook verrassend toeval.

Ik krijg legio mail vanuit allerhande hoeken voor mensen waar de domeinnaam net even anders is. ZIekenhuizen, apothekers, tandartsen, alles wel gezien. En nee, die lees ik niet en kieper ze ook weg. Alleen als het serieus lijkt meld ik het aan de verzender. Al menig ziekenhuis geholpen aan een beter proces via hun Functionaris voor de Gegevensbescherming (FG), dat werkt over het algemeen erg goed.

Remzi1993 @EKes • 8 juni 2026 19:19

Er is ook zo iets als goed fatsoen. Je gaat niet wat niet voor jou is bedoeld bekijken, lezen, delen, enz.

En hij ga je diegene inlichten als je er niet naar kijkt? Echt weer een onderbuikgevoel reactie. Voegt vrij weinig toe aan deze discussie.

Tweakez 8 juni 2026 15:27

Nou ja, “hacker”... Iedereen kan verlopen domeinen registreren en er een catch-all mailbox aan hangen. Technisch is daar weinig hacken aan. Het probleem zit vooral bij organisaties die oude domeinen niet blijven beheren of netjes afbouwen.

_{-- Ik zie dat de -1 en de 0 politie onderweg is. Wat een grap}

[Reactie gewijzigd door Tweakez op 8 juni 2026 16:52]

MornixRS @Tweakez • 8 juni 2026 15:58

Het gaat toch niet om de moeilijkheidsgraad of de gebruikte techniek?

Triblade_8472 @MornixRS • 8 juni 2026 16:05

Ja, maar het is niet meteen "hacken" omdat het iets digitaals betreft.

Als ik voor een voordeur lurk en de postbode vraag om het maar te geven terwijl ik rommel met sleutels, is dat dan ook "hacking"?

Lord Anubis @Triblade_8472 • 8 juni 2026 16:45

Ik zie het meer als iemand gaat verhuizen of wat dan ook en jij als nieuwe bewoner ont grendel de brievenbus en ontvangt dus nog steeds post van de vorige bewoner. Is dat Illegaal????

Triblade_8472 @Lord Anubis • 8 juni 2026 17:32

Ik dacht daar ook aan, maar ik vond de vergelijking dan scheef gaan. In het artikel doet iemand bewust moeite het domein te verkrijgen om data (mail) te onderscheppen. In het voorbeeld van de verkeerde post is het gewoon tosval/onbewust onbekwaam van de vorige bewoners waar jij als ontvanger niks aan kan doen.

Lord Anubis @Triblade_8472 • 8 juni 2026 18:14

Ik heb ook een domein gekocht met mijn naam, en ik krijg toch ook nog steeds mail binnen ondanks dat ik het inmiddels 12+ jaren bezit. Alleen heb ik catch all uitgezet omdat ik te veel spam kreeg, maar op b.v info en beheer/admin @ krijg ik nog steed mail van en voor de vorige eigenaar. Denk dat er, of weet eigenlijk zeker dat er een script loopt wat data verstuurd. Dus ja, tegen vorige eigenaren, "hoe dom kan je zijn".

Waar ik werkte, hadden ze 130-135 domeinen ( meeste in nl, de, en be en verder wereldwijd ), ondanks dat wij het beheerden kwa gebruikers en SW wist de marketing het iedere keer te verknallen. Dus ja, bewindvoerders moeten toch echt beter nadenken. Hoeveel bedrijven/personen kopen domeinen op om het later weer duur te verkopen.

MornixRS @Triblade_8472 • 8 juni 2026 16:20

Klopt ik zie het meer als een oneigenlijke manier om bij iemand anders data te komen. Dat is in essentie meestal digitaal maar als jij van die postbode op deze manier iets ontvangt is dat toch een soort van hack die meer leunt op social engineering. De vraag is of je überhaupt de grenzen tussen hacken (in brede zin) en bedrog/diefstal scherp te trekken zijn.

Tweakez @MornixRS • 8 juni 2026 16:10

Klopt, niet alleen. Maar de term “hacken” suggereert vaak wel dat er actief iets is binnengedrongen of omzeild. Hier lijkt het probleem vooral dat organisaties oude domeinen hebben laten verlopen terwijl er nog gevoelige mail naartoe ging.

StackMySwitchUp @Tweakez • 8 juni 2026 17:01

Je omzeilt toch ook de beveiliging door een verlopen domein te registreren? Daarbij is er ook gebruik gemaakt van data die bij een andere hack is verkregen. Heel vaak is het zo dat 'hackers' simpelweg een paar social engineering trucs uit hebben gehaald om zo toegang te verkrijgen tot data die niet van hun is. Waar trek je anders de grens. Ik vind het prima bij de term passen.

Tweakez @StackMySwitchUp • 8 juni 2026 17:25

Welke beveiliging omzeil je als je een vrij beschikbaar domein registreert?

StackMySwitchUp @Tweakez • 8 juni 2026 17:45

De beveiliging van het eigendom van een domein. Het is een authenticatiefactor in een keten van beveiligingsmanieren, en het domein was eerder eigendom van een ander, die er nooit over nagedacht heeft dat zo'n domein misbruikt kan worden. Dat is niet zomaar een vrij beschikbaar domein.

Sandro! @StackMySwitchUp • 8 juni 2026 18:40

Als een domeinnaam verloopt, kan iedereen die domeinnaam registreren. In die zin is het zeker een vrij beschikbaar domein. Als je niet wilt dat het beschikbaar komt voor anderen, moet je de registratiefee blijven betalen. Afhankelijk van waar je dat doet kan dat al vanaf zo'n € 5-6 euro per jaar. Voor een bedrijf dat met gevoelige informatie werkt kun je zo'n domeinnaam eigenlijk niet laten verlopen tot je zeker weet dat het nergens meer wordt gebruikt.

Laten we ook niet vergeten dat de bewindvoerder(s) hier gewoon enorm de mist in gaan, klanten worden overgedragen aan een andere organisatie maar communicatievoorkeuren worden blijkbaar niet aangepast. Odido stuurt bijvoorbeeld een e-mail naar dossier123@bewindvoerder-a.nl om een prijsverhoging aan te kondigen, maar die aankondiging komt niet aan omdat Bewindvoerder A is overgenomen door Bewindvoerder B en alle communicatie nu naar dossier-a-123@bewindvoerder-b.nl zou moeten gaan. Dan mis je gewoon essentiële communicatie om de financiën van je cliënten correct te kunnen beheren.

Remzi1993 @StackMySwitchUp • 8 juni 2026 19:24

Je omzeilt toch ook de beveiliging door een verlopen domein te registreren? De beveiliging van het eigendom van een domein.

Als je ICT-er bent dan is het tijd om jezelf om te scholen en een andere branch te zoeken. Ik neem dus aan dat je geen ICT-er bent. ALs een domein verloopt kan iedereen dat domein kopen. Daarmee ga ik niet verder in de discussie, beetje logisch nadenken en je snap dan zelf wel of het iets omzeilen is of gewoonweg dat een ander een verlopen domein registreer dat weer vrij is gekomen.

Echt vreemde aannames en onderbuikgevoelens. Voegt vrij weinig toe aan de dicussie.

Jeoh @Tweakez • 8 juni 2026 15:32

"Iedereen kan dat" is zo'n dooddoener. Juist daarom is het zo beschamend dat dit nog steeds gebeurt.

Paul @Jeoh • 8 juni 2026 15:43

Helaas is de domeinnaam vaak in handen van de marketingafdeling, en zeggen ze die bij een fusie op zonder dat de IT-afdeling of de CISO er vanaf weet. Zo ook bij ons een aantal jaar terug; gelukkig een domeinnaam die wij nooit voor email gebruikt hebben. Niet dat dit mensen tegenhoudt er toch mailtjes naartoe te sturen...

Tegenwoordig zijn AL onze domeinnamen in handen van de IT-afdeling.

svennd @Paul • 8 juni 2026 16:17

Wie het in handen heeft maakt weinig uit, zolang er maar een duidelijke asset list + owner is. Dan raken die in een merge niet verloren.

Paul @svennd • 8 juni 2026 16:46

Dat maakt wel uit, want Marketing denkt niet aan dit soort zaken terwijl IT en/of de CISO dat wel doen. Als Marketing owner is en het recht heeft het domein op te zeggen en ze denken dat het niet meer nodig is, dan zeggen ze het op. Tegen de tijd dat de IT-afdeling of de CISO daar achter zijn is het te laat en heeft een squatter het domein in handen.

Tweakez @Jeoh • 8 juni 2026 16:03

Hacker is hier gewoon niet de term. Maar inderdaad het is een dooddoener. Dat is een beetje de kern. Hacker is gewoon enorm overdrijven hier.

Shinji @Tweakez • 8 juni 2026 16:12

Dus wat doet degene die dit heeft gedaan voor werk? Als hij een hacker is, dan is het toch gewoon correct, of je dit 'truukje' nou onder hacken vind vallen of niet.

Als ik een vuilnisman ben en ergens op straat (tijdens werk?) 1000 euro tegen kom en er is een nieuwsbericht 'Vuilnisman vindt 1000 euro' is dat dan ook incorrect?

[Reactie gewijzigd door Shinji op 8 juni 2026 16:48]

Tweakez @Shinji • 8 juni 2026 16:15

Ja, als hij daadwerkelijk ethisch hacker is, dan is “hacker vindt…” feitelijk niet fout. Mijn opmerking zit meer in de beschrijving van het artikel: bij veel lezers roept “hacker vindt financiële dossiers” het beeld op van systemen binnendringen of beveiliging kraken. Terwijl de methode hier volgens mij gewoon verlopen domeinen registreren en mail opvangen is.

Dus vergelijkbaar met jouw voorbeeld: “vuilnisman vindt 1000 euro” kan kloppen als dat zijn beroep is. Maar als de discussie gaat over hoe het geld is gevonden, dan maakt het wel uit of hij het op straat vond, uit een kluis haalde of een portemonnee onderschepte. Mijn punt is dus niet dat zijn titel onmogelijk klopt, maar dat “hack”/“hacker” in dit artikel snel spannender klinkt dan de gebruikte techniek eigenlijk is.

mutsje @Tweakez • 8 juni 2026 16:20

De titel bekt mooier naar buiten toe ala clickbait en daardoor krijgt tweakers meer bezoekers. Oude domeinen opnieuw registeren levert 258 dossiers op zegt de meeste mensen echt nul komma nul en klikken ze ook niet op

Tweakez @mutsje • 8 juni 2026 16:23

Ja precies, journalistiek gezien snap ik ook wel waarom ze die titel kiezen. “Hacker vindt 258 financiële dossiers” bekt beter dan “oude domeinen opnieuw registreren levert dossiers op”. Maar dat is ook precies waarom ik hem wat clickbaity vind.

Mijn punt met “nou ja, hacker…” was niet dat het datalek niet ernstig is, maar dat de methode zelf weinig spectaculair is: iedereen kan verlopen domeinen registreren en er een catch-all mailbox aan hangen. De ernst zit vooral in het falende domeinbeheer en het feit dat gevoelige mail daar nog steeds naartoe ging. Ik mag daar best een reactie over plaatsen dat ik "hacker" spectaculair vind.

mutsje @Tweakez • 8 juni 2026 16:25

Ik ben het helemaal met je eens hoor

vind het ook clickbait, hij registreerde gewoon verlopen domain namen en inderdaad een mailbox die alles naar binnen harkt erachter. Niet iedereen klikt dat gelukkig even bij elkaar maar het laten verlopen van domainnamen is wel een dingetje dat al veel langer en breder speelt.

Tweakez @mutsje • 8 juni 2026 16:39

Ja precies. Ik las hier in de reacties ook nog wel een aardige suggestie: verplicht dit soort dienstverleners bijvoorbeeld om een .nl-domein minimaal 10 jaar vast te leggen of aan te houden na gebruik. Bij .nl-domeinen praat je vaak over een paar euro per jaar, dus financieel zou dat geen wereldbedrag hoeven zijn.

Maar goed, dat is natuurlijk vooral een lapmiddel. Het echte probleem is dat er blijkbaar nog steeds gevoelige communicatie naar oude domeinen gaat nadat een organisatie is gestopt, overgenomen of van naam veranderd. Dus naast domeinen langer aanhouden zou je eigenlijk ook iets moeten hebben als verplicht domein-lifecyclebeheer: oude domeinen monitoren, mailstromen netjes afbouwen, afzenders informeren en zorgen dat gevoelige mail niet eindeloos naar een oud adres blijft gaan.

Maar, welkom in de ideale wereld als dat op orde gaat zijn

realcar @Shinji • 8 juni 2026 16:40

Maar wel incorrect: 'Vuilnisman steelt 1000 euro'.

GurbieV @Tweakez • 8 juni 2026 16:29

Als iedereen het kan, waarom heb jij het dan niet gedaan?

Oftewel, het gaat niet alleen om kunnen, maar ook om willen en doen. En om er de waarde van in te zien, en om de wegen te weten om dit verantwoordelijk naar buiten te brengen.

Tweakez @GurbieV • 8 juni 2026 16:42

Mijn punt is eigenlijk vrij simpel: ik vind dit geen hack, of in elk geval niet iets wat je zo zou moeten framen.

Een verlopen domein registreren en er een catch-all mailbox achter hangen is geen beveiliging kraken of systeem binnendringen. Dat het security-relevant is en verantwoord gemeld wordt, prima. Maar de methode zelf is vooral falend domeinbeheer blootleggen.

Websites en community's
Politiek en recht
Privacy

@Tweakez • 8 juni 2026 16:57

Dat. staat ook niet in het artikel. De persoon die het gedaan heeft is een ethisch hacker.

Als die persoon een fietsenmaker was en dit heeft gedaan, dan had dat er misschien gestaan.

@Tweakez • 8 juni 2026 15:34

Inderdaad dat is dus in deze precies het geval.

De afgelopen jaren zijn veel bewindvoerders samengegaan of overgenomen.

Eigenlijk ook raar dat ze dat laten verlopen. Logisch zou zijn MX record leeg en redirect www naar hoofddomein.

In verleden ook eens voor de lol gedaan om te kijken wat er zoal binnen kwam alleen kwam dat door faillissement of ermee gestopt.

NLAnaconda @Tweakez • 8 juni 2026 15:34

Hacken is voor mij meer het op creatieve manier toegang verkrijgen tot iets waar je geen toegang tot hoort te hebben. Past hier prima bij.

Tweakez @NLAnaconda • 8 juni 2026 16:06

Wat is hier creatief aan dan? Kun je mij dat uitleggen? Behalve quarantaine websites in de gaten houden en door data kijken voor verlopen domeinen en die vervolgens te registeren.

Gamebuster @Tweakez • 8 juni 2026 15:36

Hoe zie jij hacken voor je dan? Als dit er niet onder valt

Tweakez @Gamebuster • 8 juni 2026 16:12

Voor mij is hacken eerder het actief onderzoeken, misbruiken of omzeilen van technische systemen of beveiligingen. Dit is meer: een vrij domein registreren en constateren dat er nog mails binnenkomen. Security-onderzoek, ja. Klassiek “hacken”, minder.

dylan111111 @Tweakez • 8 juni 2026 15:50

Eens dat dit technisch nauwelijks “hacken” is. Het is vooral falend lifecycle-management van domeinen en e-mailadressen. Maar de interessante vraag is wat mij betreft niet of het technisch knap is, maar of het nodig was om de domeinen daadwerkelijk te registreren en echte dossiers te ontvangen. De kwetsbaarheid kun je grotendeels aantonen met WHOIS/SIDN checks en een uitleg van de mailflow. Zodra je echte persoonsgegevens binnenhaalt, wordt het ethisch en juridisch een stuk gevoeliger.

antonvdijk @Tweakez • 8 juni 2026 17:46

Ik reageer toch maar om je suggestieve opmerking over een "grap".

Begrijpend lezen is blijkbaar een vak apart, een hacker heeft een vulnerability/exploit mogelijkheid gevonden. Er staat nergens dat hij gehackt heeft, maar het geeft een indicatie over zijn achtergrond en dat het niet buurvrouw Truus of evil Trump is die hier een aandeel in heeft.

Jouw opmerking voegt dus helemaal niets toe aan het gesprek, behalve dat je heel graag een punt lijkt te willen maken dat er geen hack in uitvoering is geweest.

@Tweakez • 8 juni 2026 16:33

Als een deur van een huis niet op slot is en je gaat dan naar binnen, breek je dan in? Maakt het dan uit hoe je binnen komt?

Imo valt dit onder ethisch hacken want deze hacker gaat actief op zoek naar dit soort lekken en probeert deze uit.

Hacks kunnen ook gewoon het aanpassen van een nummer in de URI zijn. Je hoeft geen hacker zijn om dat te kunnen maar de kunde zit erin om dit ethisch verantwoord te doen.

Tweakez @Bart.net • 8 juni 2026 16:43

Ik vind die open-deurvergelijking niet helemaal passend. Een verlopen domein registreren is niet hetzelfde als een deur openen van een huis dat nog van iemand anders is. Het domein is op dat moment vrijgegeven en opnieuw te registreren.

De betere vergelijking is eerder: iemand zegt zijn postbus op, jij huurt die postbus daarna legaal, en vervolgens blijven anderen daar vertrouwelijke post naartoe sturen. Dat is een ernstig datalek, maar de oorzaak is falend beheer/adresgebruik.

Dat het ethisch gemeld wordt en security-relevant is, ben ik met je eens. Alleen vind ik “hack” nog steeds te zwaar aangezet voor de methode zelf.

Jeoh @Bart.net • 8 juni 2026 17:18

Als een deur van een huis niet op slot is en je gaat dan naar binnen, breek je dan in? Maakt het dan uit hoe je binnen komt?

Ja, dat is dan alleen huisvredebreuk en geen inbraak

Remzi1993 @Bart.net • 8 juni 2026 19:27

Een terecht en correcter vergelijking is dat de bewoner is verhuis maar er word nog post naar het oude adres verstuurd. Wat wil je dat de nieuwe bewonder doet op de oude adres van de vorige bewoner? Netjes de post doorstuurd, als ie weet waar de nieuwe bewoner bevind en/of de organisaties laat weten dat diegene niet meer op dat adres woont of alles weggooid?

Denk even na man. Het is niet zo moeilijk allemaal.

Websites en community's
Politiek en recht
Privacy

@Tweakez • 8 juni 2026 16:55

Nou ja “coureur” iedereen kan hard in z’n auto rijden.

Niet alles wat een hacker doet hoeft heel ontwikkeld te zijn hè?

MischaBoender @Tweakez • 8 juni 2026 17:44

Degene die dit gevonden heeft is toch (ethisch) hacker? Voor de volledigheid hadden ze "ethisch" misschien in de titel moeten opnemen, maar verder klopt dit titel wel mijns inziens. Er zijn ook artikelen over de politie die toegang heeft weten te krijg tot platformen. Moeten ze daar ipv "Politie krijgt toegang tot..." "Hacker krijgt toegang tot..." van maken?

CH4OS 8 juni 2026 15:34

Ik vraag mij af, doordat dit vanuit de gelekte data van Odido is gekomen, valt deze datalek dan ook op het conto van Odido, of (vooral) bij de bewindvoerder? Iemand die weet hoe dit juridisch zit?

himlims_ @CH4OS • 8 juni 2026 15:36

Daar ligt exact het pijn punt; je kunt het niet 100% hard maken, althans is niet - mijn data is al 7-8 publiek domain geworden.

Belachelijk - baas eigen buik data

Datalek
Privacy

@himlims_ • 8 juni 2026 17:00

In dit geval dus wel. De onderzoeker geeft namelijk aan deze domeinen in relatie tot de personen die onder bewind staan (of stonden) ontdekt te hebben door het datalek van Odido. Odido is hierdoor aantoonbaar mede verantwoordelijk en zelfs de aanleiding. De vraag die over blijft is in welke mate ze daarmee verantwoordelijk te houden zijn.

P_Tingen @CH4OS • 8 juni 2026 16:15

Ik schrijf het emailadres van mijn bewindvoerder (toevallig henk@CH4OS.nl) op op een notitieblokje, maar verlies die op weg naar huis. Jij vindt hem en vanwege de naamsovereenkomst neem je hem mee.

Een maand later fuseert mijn bewindvoerder met een ander en zegt het domein op

Weer een maand later vind jij het briefje terug en checkt wanneer het domein verloopt want je wil het hebben. Wat schetst je verbazing? Het IS al beschikbaar! Pik in, hebbe! En je stelt een catch-all in voor de mail.

Even later stuurt mijn werkgever een verslag van mij naar mijn bewindvoerder maar gebruikt per ongeluk het oude CH4OS email adres en de mail komt bij jou. Datalek!

En nu de hamvraag: Wiens schuld is dat?

Spoiler: Voor het geval het nog niet duidelijk is: uiteraard de bewindvoerder want die had beter op zijn domein moeten letten en het niet laten verlopen. Jij als nieuwe eigenaar hebt geen schuld want je kan dit niet weten. Ik heb zelf ook geen schuld vanwege het noteren van de mail en mijn werkgever ook niet voor het versturen, want wellicht weet die niet eens dat de bewindvoerder is gefuseerd

[Reactie gewijzigd door P_Tingen op 8 juni 2026 16:16]

Madshark @P_Tingen • 8 juni 2026 16:34

Even later stuurt mijn werkgever een verslag van mij naar mijn bewindvoerder maar gebruikt per ongeluk het oude CH4OS email adres en de mail komt bij jou. Datalek!

En nu de hamvraag: Wiens schuld is dat?

Ik zeg, je werkgever. Die moet erop toezien dat de informatie op de juiste plek terecht komt, dus moet erop toezien dat de informatie aktueel blijft.
Als het gaat om betalingen is men over het algemeen ook wel nauwkeurig.

drdelta @P_Tingen • 8 juni 2026 18:47

De bewindvoerder en jij hebben beiden schuld.

De bewindvoerder voor het laten verlopen van het domein, de bewindvoerder voor het niet zorgvuldig informeren over het nieuwe adres, en jij voor het rondslingeren van het mail adres.

Cyberpuppy @CH4OS • 8 juni 2026 15:48

Je steelt in mijn bouwmarkt een breekijzer. Ben ik nu verantwoordelijk voor de inbraak die jij er mee pleegt?

segil @Cyberpuppy • 8 juni 2026 16:16

die vergelijking gaat niet op. Beter zou zijn: ik ben verplicht bij jou mijn wapen in beheer te geven... door slordige beveiliging aan jouw kant steelt iemand dat wapen en pleegt daar een moord mee. Dan ben je deels verantwoordelijk voor de situatie, wat mij betreft.

[Reactie gewijzigd door segil op 8 juni 2026 16:17]

CH4OS @Cyberpuppy • 8 juni 2026 16:44

Maar dat is niet wat er is gebeurd. De bouwmarkt heeft door een criminele inbraak aldaar, aan een ander de sleutels tot een ander pand gegeven.

[Reactie gewijzigd door CH4OS op 8 juni 2026 16:45]

HijDieAllesWeet @Cyberpuppy • 8 juni 2026 16:21

Er is of was wel in mijn ogen hele rare regelgeving waardoor een bouwmarkt jou niet spullen mag verkopen om een wietplantage op te zetten. Bedoeld tegen bedrijfjes die echt voor die sector groeilampen e.d. verkochten. Maar zo opgeschreven dat een bouwmarkt er eigenlijk ook onder valt als je daar je aarde koopt of iets dergelijks.

kaaas 8 juni 2026 15:33

Dat de persoon geen "hack" uitvoert wil niet zeggen dat het geen ethisch hacker kan zijn. Plus daar komt bij hoe zou je het dan omschrijven, data dief?

Tweakez @kaaas • 8 juni 2026 16:12

Dat kan zeker. Ik zeg ook niet dat hij geen ethisch hacker is bijvoorbeeld. Alleen deze specifieke methode zou ik eerder omschrijven als OSINT/securityonderzoek naar verlopen domeinen en falend domeinbeheer, niet als een hack in technische zin.

kaaas @Tweakez • 8 juni 2026 17:26

Ik ben met je eens dat er meerdere juiste omschrijvingen zijn voor deze persoon, maar zelf identificeert deze persoon zich als ethisch hacker, niet als security onderzoeker dus ik snap dat tweakers daar voor kiest.

Verder word nergens in het artikel de actie zelf als hack beschreven. Dat lijkt in de comments over het hoofd te worden gezien.

m.z @kaaas • 8 juni 2026 15:53

Odido heeft heeft er een goed woord ‘t voor, namelijk: sieber criminelen

Madshark 8 juni 2026 15:43

Volgens de regels van ICANN kan een domeinnaam maximaal tien jaar vooruit worden geregistreerd. Voor zover ik weet geldt dat bij SIDN ook voor .nl-domeinen.

Wie de registratie voor de volledige termijn vooruitbetaalt, is bovendien beschermd tegen eventuele prijsverhogingen gedurende die periode.

Gezien de beperkte kosten — vaak minder dan een tientje per jaar — zou ik er geen bezwaar tegen hebben als organisaties die financiële transacties verwerken of gevoelige persoonsgegevens beheren verplicht worden hun domeinen voor de maximale termijn vast te leggen. Daarnaast zouden zij bijvoorbeeld iedere vijf jaar moeten verlengen, zodat er altijd minimaal vijf jaar resterende registratieduur overblijft.

Dat is een relatief eenvoudige en goedkope maatregel, die de kans op menselijke fouten aanzienlijk verkleint en potentieel veel ellende kan voorkomen.

8 juni 2026 15:43

Dit zou te voorkomen zijn als bewindvoerders/iedereen PGP zou gebruiken voor emails. We vallen over elkaar heen als Whatsapp wel/niet end-to-end encryptie toevoegt, maar de grote mailproviders (Microsoft, Google, Nederlandse ISPs) hebben zelfs dit basale stukje beveiliging niet voor elkaar.

bazs2000 8 juni 2026 15:46

"Neelen dook in de uitgelekte data van telecombedrijf Odido en zag daarin dat veel mensen het e-mailadres van hun bewindvoerder gebruiken, meldt RTL Nieuws. Eind februari bleek dat de gestolen Odido-klantgegevens veel gevoeliger waren dan eerst gedacht."

Het gebruik van een dergelijk mailadres komt natuurlijk doordat de bewindvoerder ertussen is gaan zitten. Cliënten van bewindvoerders hebben geen invloed op deze gegevens en dus is het extra zuur dat er blijkbaar oude mailadressen geregistreerd staan.

Er zijn meerdere situaties te bedenken waardoor er andere 'adresgegevens' zijn verwerkt in een abonnement.

Dit kun je trouwens overal toepassen en niet persé in het geval van bewindvoerders. Aan de hand van een mailadres kun je veel achterhalen en een domein registreren is ook niet heel lastig en wie er eens lekker voor gaat zitten en de tijd neemt kan veel 'leuks' doen.

vanstra 8 juni 2026 16:08

Ondanks de bevindingen, is de vraag of het nog proportioneel en subsidiair is wat deze ethisch hacker heeft gedaan. Is er een grens overgegaan. Ik snap dat hij zaken wilde aantonen, maar je maakt op een later moment wel 'actief' gebruik van gestolen data. Juridisch kan het worden aangemerkt als computervredebreuk (artikel 138ab Wetboek van Strafrecht), omdat het gebruik van gestolen data wederrechtelijk is en in dit geval mogelijk niet echt nodig is om de kwetsbaarheid aan te tonen. Een grijs gebied.

FrostyPeet 8 juni 2026 16:13

De verlopen domeinen. Was 10 jaar geleden al een dingetje, zal over 10 jaar nog een dingetje zijn.

Net zoiets als het mobiele telefoonnummer krijgen van een belangrijk persoon die dat nummer eerder gebruikte. Dan regelmatig gebeld worden. Sommige providers recyclen vervallen nummers snel. Je wil natuurlijk niet het burner nummer krijgen van de lokale gangsta...

Overkwam mij met een voip telefoonnummer dat in de nummer reeks zat van een ICT bedrijf maar vergat dat blok te verlengen. Kreeg ik klanten van dat ICT bedrijf aan de lijn met problemen. Na een paar weken kwam iemand van dat ICT bedrijf er achter. Was natuurlijk genant voor hem want ik had dat telefoonnummer al doorgegeven aan mijn kennissenkring. Sommige VOIP aanbieders recyclen hun nummers heel vlug.

Bender 8 juni 2026 16:14

Ik had een domeinnaam die bleek van de Belgische defensie te zijn geweest, ze hadden deze een tijdje geleden opgezegd.

Die werd gewoon onteigend

Om te kunnen reageren moet je ingelogd zijn