Politie overweegt stem Nederlandse Odido-hacker vrij te geven

Bij het grote Odido-datalek waren waarschijnlijk Nederlandse criminelen betrokken. De Nederlandse politie baseert dat onder meer op een telefoongesprek waarin een hacker de Odido-klantenservice phisht. De politie probeert de identiteit van de daders te achterhalen.

De politie deelt een tussentijdse update van het onderzoek naar de grootschalige Odido-hack van begin februari. Zo haalde de politie al meerdere servers offline waarmee de daders de gestolen data verspreidden. Ook probeert ze nog om de identiteit van de daders op te sporen.

De politie heeft 'sterke aanwijzingen' dat er Nederlanders betrokken waren bij de hack. Dat blijkt onder meer uit het telefoongesprek dat een hacker voerde met de klantenservice. Daarin deed een Nederlandssprekende man zich voor als een ict'er van Odido. Op die manier kon de crimineel de tweetrapsauthenticatiecodes van de klantenservicewerknemers stelen. Met die codes drongen de hackers de Salesforce-omgeving binnen die Odido gebruikt voor klantregistraties. Van daaruit stalen ze klantgegevens.

Uit een analyse blijkt dat de stem niet is vervormd, zegt het onderzoeksteam tegenover NU.nl. De politie vraagt de man om zich te melden. Als hij dat niet doet, maakt de politie zijn stem mogelijk openbaar. De politie roept ook anderen op om informatie te delen over de personen achter de hack. Het onderzoek zal waarschijnlijk nog maanden duren.

Odido-datalek fpa

Door Kevin Krikhaar

Redacteur

09-07-2026 • 09:09

252

Submitter: protected22

Reacties (252)

252
242
89
3
0
134

Sorteer op:

Weergave:

Is het niet een beetje te gek dat de data van miljoenen Odido gebruikers meteen werd gepubliceerd, maar deze persoon wel de tijd krijgt zich te melden? Kennelijk weegt zijn privacy groter, dan al die andere?
Is het niet een beetje te gek dat de data van miljoenen Odido gebruikers meteen werd gepubliceerd
Criminelen hebben geen ethics of wetten waar zij zich aan houden.
maar deze persoon wel de tijd krijgt zich te melden? Kennelijk weegt zijn privacy groter, dan al die andere?
Politie heeft wetten waar het zich aan moet houden.
De data werd niet direct gelekt. Odido heeft ruim de kans gekregen om te betalen. Nogmaals ik blijf erbij dat ik het totaal idioot vindt dat zelfs slachtoffers van deze hack Odido vrijpleiten. Zij hadden hun zaakje niet op orde, en hadden dus gewoon moeten betalen. Nee in plaats daarvan willen slachtoffers dat hun data wordt gelekt, zeer gevoelige data niet alleen naam en adres. Ik heb er niet eens een woord voor, zo hallucinant vind ik het. Echt bizar.

EDIT: Leuke discussie draad hieronder. Maar laat ik het anders stellen, want veel mensen gaan voorbij aan het feit dat jouw (digitale) data heel veel waard is. Ik heb het idee dat mensen hun eigen data eigenlijk beschouwen als waardeloos.

Als jij een box huurt waar je spullen inzet, (jouw data) en de box verhuurder (Odido) geeft criminelen vrij toegang om de spullen te jatten, en vervolgens geven die criminelen Odido de optie om deze fysieke spullen weer terug te geven onder het mom van een bepaald geldbedrag, dan is het toch niet meer dan logisch dat die boxverhuurder het geld betaalt aan die criminelen om jouw spullen weer terug te geven?

Jouw data is geld waard, jullie zouden echt wel met wat meer zelfrespect over jullie eigen data mogen spreken. Het blijft echt bizar om sommige reacties hier te lezen. Alsof jullie totaal geen eigenwaarde hebben.

En ook weerspreek ik de argumentatie dat Shinyhunters je data alsnog doorverkoopt aan anderen, dat doen ze niet en dat is ook gebleken in het verleden. Anders hebben ze in de toekomst totaal geen poot meer om op te staan met dit soort zaken. Criminelen zijn moreel misschien verwerpelijk in jullie ogen, maar ze zijn niet achterlijk. En ik denk nog intelligenter dan de meesten hier, maar goed dat is een ander verhaal.

En de argumentatie dat niet betalen dit soort hacks niet meer doet voorkomen, vergeet het maar. Zoals gezegd je data is ontzettend veel geld waard, alleen al voor die data is het financieel aantrekkelijk. Maar goed als je data als waardeloos beschouwd is dat misschien moeilijk te bevatten.

[Reactie gewijzigd door gwg op 9 juli 2026 15:03]

Zij hadden hun zaakje niet op orde, en hadden dus gewoon moeten betalen
Nee, je moet niet criminelen belonen, je moet slachtoffers compenseren. Mijn gegeven waren ook gelekt, maar heb zelf ook maatregelen genomen. Alles wat op het email adres T-Mobile@<mijndomein>.nl binnenkomt kan ik negeren als het niks met Odido te maken heeft.
En toch had T-Mobile hun zaakjes niet op orde. Hoe is het mogelijk dat een KLANTENSERVICE toegang heeft tot gegevens van tweetrapsauthenticatiecodes? Die hebben daar niets mee te maken!

Alsof je de kluissleutels geeft aan een caissière van de lokale super... 8)7
ODIDO had het losgeld kunnen geven aan goed doel, om te laten zien dat het niet om het geld ging, criminelen betalen is een slecht idee.

Verder denk ik dat het persoonlijk aansprakelijk stellen van bestuurders bij grote datalekken een goed idee is, net als bij grote milieu-incidenten binnen bijvoorbeeld de chemie al het geval is. Dan komt er opeens wel geld om systemen goed te beveiligen.
En wat kan een bestuurder hier aan doen? Miep van de klantenservice heeft toegang tot het klant systeem, dat heeft ze nodig voor haar werk. Wie weet, was Miep wel bevriend met de hackers, moet de bestuurder nu betalen?
Bestuurders krijgen een hoog loon, want ze hebben veel verantwoordeijkheid. Het niet op orde hebben van de systemen valt onder die verantwoordelijkheid.
Die Miep heeft instructies gekregen van iemand boven haar. En als zij niet goed geïnstrueerd is dat zij haar authenticatie gegevens aan niemand mag geven zijn haar leidinggevenden en iedereen daarboven wel degelijk verantwoordelijk.
Als er geen systeem is dat signaleert/voorkomt dat Miep van de klantenservice het hele klantenbestand binnentrekt dan is dat als bedrijf wel grof nalatig. Stel Miep heeft 1000 klantgegevens nodig per dag, dan is 6,2 miljoen klanten dus ongeveer 6200 dagen of iets minder dan 17 jaar in haar normale werkritme. Je zou zeggen dat het systeem dan na zeg 2x je normale hoeveelheid foutmeldingen gaat geven.


In plaats daarvan zijn er, voor zover nu bekend, met een account van de klantenservice binnen 1 uur gegevens van miljoenen klanten gedownload en was de logging zo bizar slecht dat Odido zelf initieel 2 dagen lang dacht dat er niks gestolen was, tot ze een mailtje kregen waar geld gevraagd werd.


We moeten niet doen alsof alle hacks te voorkomen zijn, maar dit lijkt op basis van de berichten zo slecht geregeld dat er best wel eens gekeken mag worden naar aansprakelijkheid.
Wat wanneer het systeem standaard wel signaleert wanneer Miep ongebruikelijk veel klantgegevens raadpleegt, maar deze signalering met een extra hack buiten werking te stellen is? Die systemen zijn ook niet heck-proof of bug-free.

Hell! Ik heb systemen gezien waar verschillende limieten uit te zetten zijn door een toetscombinatie, waarmee in elk scherm een soort test-stand is in te roepen. Heel handig om tijdens de ontwikkeling even snel iets te testen en in productieversies onnodig om te verwijderen, want het is een ongedocumenteerde functie die niemand buiten het bedrijf kent en misschien problemen kan veroorzaken wanneer het verwijderd wordt. (En dan schept er iemand van het bedrijf op over ongedocumenteerde functies in een IT-forum. 8)7 )
Bestuurders zijn uiteindelijk verantwoordelijk voor alles wat er binnen het bedrijf gebeurt.

De training van Miep, de IT systemen en de verdere checks and balances.

Hoe zetten ze mensen op voor succes of zorgen ze ervoor dat een menselijke laag veilig kan falen. Helpdeskpersoneel moet getraind zijn (eerste barrière) en toegang moet proportioneel zijn (geen miljoenen records kunnen downloaden), logging moet goed zijn, etc. Het is echt EN EN.
  • Rate limiting, dat een klantenservice persoon de hele database leeg trekt is natuurlijk gek
  • Phising resistente 2FA, bijvoorbeeld webauthn
  • Gegevens die niet meer nodig waren verwijderen
Het idee is dat de ciso nu direct plaatsneemt in het bestuur. Als die dan bv hardware tokens adviseert om een risico dicht te timmeren (had bij odido kunnen helpen) en management zegt geen geld of doen we niet, want lastig voor gebruikers, dan zijn ze echt wel verantwoordelijk want ze zijn gewezen op de risico's.
Ja. Die moet maar iets bedenken om dat te voorkomen.

Ik werkte eens ergens waar je op basis van geslacht de klantenlijst kon opvragen. Dus met 2 zoekopdrachten (tegenwoordig misschien 3) had je alle klanten gedownload.

Je moet niet zomaar alle data van elke klant kunnen zien. De klant moet eerst zijn telefoonnummer maar eens vertellen en zijn geboortedatum en de laatste 3 cijfers van zijn bankrekening, en zelfs dan zou het systeem eerst nog eens moeten vragen welke je info je wilt en waarom.
een ceo van een bedrijf is puur daarom Ceo. Het is een duidelijke verantwoordelijke die af kan stappen om te laten zien dat het niet zo kan. Ik denk toch echt wel dat dit past bij de primaire taak van een Ceo hoor.
Miep heeft geen toegang nodig tot alle 6,4 miljoen records ineens. Dus er had een rate limit moeten zijn en een melding richting beheer dat iemand over die limiet heen gaat.
Je kan een bestuurder er wel aansprakelijk voor maken, maar dan moeten ze er ook echt wat aan kunnen doen.
In de chemie is alles strikt geregeld en heeft iedereen die ergens in de buurt komt van iets dat een incident kan veroorzaken (en hendel open of dicht zetten bv.) een rits opleidingen en certificaten. Hier zijn de risico's te beheersen en zijn incidenten meestal terug te voeren naar een verkeerde beslissing van iemand die de leiding heeft.

Het risico van een overwerkte administratief medewerker of helpdeskmedewerker die in een minimum van tijd zoveel mogelijk klanten moet helpen en tussen de werkzaamheden door lastig gevallen wordt door een IT-er die wat nodig heeft om een probleem op te lossen is onbeheersbaar.
Of met de daardoor verkregen toegang wel of niet in bulk gegevens zijn te downloaden kan mogelijk gemaakt zijn door een verkeerde keuze of door een niet-gedocumenteerde eigenschap van een ingekocht systeem (of een aparte hack die een blokkade ongedaan maakt).
Dat is exact waar een bestuurder wat wel wat aan kan doen, goed personeel aannemen, zorgen voor goede software en rechten, werkdruk managen, etc,.

Weliswaar gedelegeerd, maar dat is binnen de chemie niet anders.
Binnen de chemie moet een werknemer een hele lijst aan opleidingen en ceertificaten hebben voordat deze in de buurt kan komen van iets waar hij iets fout kan doen.

Wanneer je vergelijkbare eisen gaat stellen aan klantenservcicepersoneel heb je rinkelende telefoons en niemand om de telefoon op te nemen.
Dat persoonlijk aansprakelijk stellen kun je zeker proberen. Het gaat alleen niet lukken.
Dat waren hun eigen authenticatie codes die ze aan de "it medewerker" hebben doorgegeven. Je hebt dan als "klanten service medewerker" toegang tot het klanten systeem. Dat je vervolgens met een script door honderdduizenden gegevens van klanten kan scrollen is dan wel kwalijk zonder dat er een alarm afgaat.

De eerste en belangrijkste lek was de mens, zoals wel vaker bij dit soort hacks.
Het wordt tijd dat we dit grootschaliger aan de aandacht brengen.

als IT-er is het voor mij heel simpel. Je kunt de CTO van het bedrijf zijn, je krijgt van mij helemaal niks.

De spullen zijn aan mij afgegeven voor mijn taak, niet de jouwe. Jij heb niks aan mijn gegevens anders dan mij met een probleem opzadelen. Het antwoord is dus nee.
Voor jou als IT-er mag dat simpel zijn, Miep of Piet op de administratie zitten daar wellicht anders in. Iets met onbewust onbekwaam etc..
Ja daar heb je dus trainingen voor. Van die interessante videos en interactieve “vind de post-it met wachtwoord” puzzels.

Je “onbewust onbekwaam” is exact het probleem dat ik aangeef.

Daarnaast. Hoe *** basic is dit? Wachtwoorden en codes geef je niet weg . Punt.

Dag 1 van de training en gewoon “het leven”. Miep en Piet zouden hier gewoon niet anders in moeten kunnen staan. Je wordt hier nog net niet door doodgegooid.
Het grappige is: de politie stond hier laatst met een bus, daarin gingen ze vragen stellen over phishing etc, een soort quiz. Als je meedeed kreeg je een versgebakken stroopwafel, anders liep iedereen gewoon voorbij.

Mijn vrouw had er 1 fout, mijn dochter (10) iets meer. Toen kwamen er een paar gasten van 17-20 voorbij en nog iemand van eind 20. Maar dat was dus echt bedroevend slecht hoe zij het deden!


Helemaal met je eens hoor, maar het is echt slecht gesteld met de cybersecuerity awareness van de gemiddelde Nederlander..
Maar dat was dus echt bedroevend slecht hoe zij het deden!
Ja dat durf ik wel te geloven.
Helemaal met je eens hoor, maar het is echt slecht gesteld met de cybersecuerity awareness van de gemiddelde Nederlander..
Oh ja 100% daarom is het dus belangrijk dat een bedrijf dit op “dag 1” gewoon in de training heeft zitten.

“Al belt de paus, je geeft em niks”.


Gewoon een simpele “hee ik begin volgende maand bij jullie, als ik alvast een beetje de omgeving wil verkennen, nog goeie plekken om te lunchen?” moet je eigenlijk al niet beantwoorden.
Misschien dat je (ook als ITer) even moet kijken waar het over gaat.

Wat ik begrijp is er iemand die de klantenservice belt en zegt "ik ben Pietje van IT, er is een probleem wat we proberen op te lossen, kun je mij even die en die code geven, dat zou ons enorm helpen".

Ik ben het met je eens, ik zou ook geen code geven, maar hoe vaak ik, als ITer, bij externe partijen wel niet te horen krijg "kun je ons even het wachtwoord geven zodat we kunnen kijken wat er aan de hand is".

De mensen bij een klantenservice zijn vaak alleen om bergen belletjes te plegen of te beantwoorden en aan de hand van standaard scripts dingen af te handelen. Die zijn vaak niet technisch begaafd, dus met een goed verhaal en een dosis geluk is er altijd kans op succes.

Kijk anders een keer naar BBC "Scam Interceptors" hoe geraffineerd dingen soms lopen.
Wat ik begrijp is er iemand die de klantenservice belt en zegt "ik ben Pietje van IT, er is een probleem wat we proberen op te lossen, kun je mij even die en die code geven, dat zou ons enorm helpen".
Ja dat hen ik gezien. En zie ook hier dus direct waarom je dat dus nooit moet doen.

dit druist tegen alle mogelijke trainingen in. Phishing handboek 101.
  • Claim die niet te verifiëren is
  • Probleem wat alleen jij op kunt lossen
  • Urgentie dat iets binnen nu en gisteren moet
Ik heb ook verplicht meerdere keren bij verschillende klanten de trainingen moeten doen iedere zoveel maanden/jaren. Allemaal zeggen ze hetzelfde: “doe het niet”
Slechte vergelijking want vaak hebben cassierres wel toegangscodes van de kluis voor het legen van de kassa's

Die zijn dan vaak wel weer persoonlijk waardoor je kan zie wie wat doet. en kan terugvinden in kassa verschillen wat erin of eruit is gegaan.

[Reactie gewijzigd door Jaldea op 9 juli 2026 11:56]

  1. Een tweetrapsauthenticatiecode voor een werknemerslogin is tegenwoordig niet meer dan logisch.
  2. Probleem was namelijk de API stond volledig open. Het is vooral bizar dat je met zo'n simpele login zomaar een bulkdownload kunt trekken.
  3. Het is niet de eerste (en hopelijk wel de laatste) keer dat dit Salesforce-lek is misbruikt. Het blijft vreemd dat Salesforce dit niet proactief heeft dichtgezet/geinformeerd bij alle klanten. En ja, helaas spreek ik uit eigen ervaring...
Leuk dat jij alles op orde hebt, maar bij een klantenbestand van miljoenen mensen weet je dat niet iedereen alles op orde heeft, of in staat is alles op orde te hebben.

Odido had naar mijn mening moeten betalen, om de klanten in bescherming te nemen.
Natuurlijk niet betalen. Hadden de criminelen dan de belofte gedaan dat ze alle gevens niet zouden prijsgeven? Ik denk het niet want criminelen kan je niet vertrouwen op hun woord dacht ik zo. En ze hadden dan de gegevens evengoed kunnen doorverkopen.

Ik ben trouwens ook slachtoffer van Odido. Ik was al een paar jaar weg en toch zijn al mijn gegevens gestolen. Als ik ooit nog terugkom naar NL ga ik uiteraard nooit meer met Odido in zee.
Ik had liever dat ze de hackers beloonde dan dat elke klant strakt een 10 euro waardebon krijgt. Had liever dat mijn data niet gelekt was.
Als slachtoffer van deze hack pleit ik Odido zeker niet vrij. Ze hadden hun zaakjes niet op orde en daar is een straf zeker voor gepast. Maar ik ben heel blij dat er niet betaald is.

Zoals @arjankoole ook al zei:
1) je hebt geen enkele garantie dat de criminelen doen wat ze beloven.
En de reactie van @spork daarop:
Dit soort criminele organisaties hebben er vaak baat bij een goede naam op te bouwen qua betrouwbaarheid. Als ze één keer na betaling niet leveren zal er nooit meer iemand aan hen betalen.
Ook bedrijven als Odido hebben er baat bij om bij criminelen bekend te staan dat afpersen niet werkt. Hoe groter de groep van bedrijven in Nederland die zegt "Ongeacht wat er gebeurt we betalen niet" des te minder aantrekkelijk het wordt om Nederlandse bedrijven af te persen.
De data werd niet direct gelekt. Odido heeft ruim de kans gekregen om te betalen. Nogmaals ik blijf erbij dat ik het totaal idioot vindt dat zelfs slachtoffers van deze hack Odido vrijpleiten.
Wie zegt dat Shinyhunters het niet had gepubliceerd als Odido had betaald? Je vergeet wel dat zij het doorverkopen aan andere hackers en je gegevens dan alsnog in een dataset terecht komen, waar hackers dan weer door kunnen gaan op het verkrijgen van jouw gegevens middels phishing, smishing of telefoongesprek. Daarnaast weet je als hacker niet of de gegevens in de dataset geldig zijn (lees: actieve emailadres, wachtwoord, juiste gegevens, etc.)

Odido heeft juist het goed gedaan om hun niet te betalen, op een gegeven moment stroomt dat beekje ook leeg en hebben criminelen er niks meer aan, behalve dat het hun veel geld kost.
Zij hadden hun zaakje niet op orde, en hadden dus gewoon moeten betalen. Nee in plaats daarvan willen slachtoffers dat hun data wordt gelekt, zeer gevoelige data niet alleen naam en adres. Ik heb er niet eens een woord voor, zo hallucinant vind ik het. Echt bizar.
Nogmaals, de fout zat niet bij Odido, maar bij Salesforce, Shinyhunters staan bekend om bedrijven te hacken die gebruik maken van Salesforce software. DIt had ook een willekeurige ziekenhuis kunnen zijn of een huisartsenpraktijk met meerdere vestigingen.

Dat Odildo maatregelen had kunnen treffen, was wel het geval. Ze konden o.a. beperken hoeveel klantinformatie geraadpleegd kon worden in x aantal minuten door 1 persoon, loggers aanzetten wie welke informatie opzoekt (gaat het alleen om de klant waar je mee in contact komt, of zoek je ook andere informatie op?) en er voor zorgen dat de database encrypted is, alleen is dat wel een uitdaging als je met miljoenen gegevens zit.

Mensen hebben meerdere abonnementen op hun naam staan (Mobiel en Thuis) en als je een gezin hebt, heb je vaak nog meer abonnementen bij staan, die moeten natuurlijk ook toegankelijk zijn voor de medewerker zodat ze jouw zo veel mogelijk kunnen helpen zonder elke keer door te moeten zetten naar een andere afdeling.

Ik ben er wel van overtuigd dat Odido een schadevergoeding moet betalen aan de getroffen gebruikers. Hetzij korting op je abonnement (bijv. half jaar gratis), hetzij een upgrade van je huidige pakket terwijl de prijs hetzelfde blijft (bijv. van 1Gbit naar 4Gbit).

Zie bijvoorbeeld deze artikel over de hack bij een marktonderzoeker.
Odido is wel degelijk schuldig. Salesforce heeft gewaarschuwd voor deze specifieke vorm van hacken inclusief mitigerende maatregelen. Dit heeft Odido aan zich voorbij laten gaan.
Ik snap niet dat er nog mensen zijn die denken dat betalen zin heeft. Ten eerste moet je maar het woord van een crimineel geloven dat de data niet alsnog op straat komt te liggen en ten tweede door te betalen bevestig je dat data stelen geld oplevert.

Ik ben het wel met je eens dat Odido duidelijk zijn zaakjes niet op orde had. Mijn ouders zijn al langer dan 2-3 jaar geen klant meer bij Odido maar waren wel slachtoffers van deze hack. Ze beweren bij Odido gecertificeerd te zijn voor de ISO 27001 (internationale norm voor informatiebeveiligingsmanagement) maar als je leest wat er allemaal is gelekt en hoe lang dat bewaard is gebleven heb ik ergens het idee dat de auditing niet helemaal goed is gegaan.
ISO 27001 stelt vrij weinig voor hoor, dat ze dat bij een oud werkgever van mij introduceerde hoeft we niets te veranderen aan hoe we werkten, alleen even ergens een wiki opzetten met wat we doen als er wat fout gaat en bijhouden van een audit trail en die certificering was binnen, het is dan ook meer een management certificering. Er zijn betere certificeringen wat dat betreft waarbij je echt procedures moet hebben en dit ook daadwerkelijk moet testen, zoals soc 2
Grappig, dat is dan maar aan wie je het vraagt. We zijn bij mij op werk ook ISO 27001 gecertificeerd want we werken met heel veel NAWT data van klanten van onze klanten en bij ons gaat het daarbij juist heel erg over bewaartermijnen, anonimiseren van data, opruimprocessen en wie binnen ons bedrijf toegang heeft tot wat. Allemaal dingen die bij Odido niet echt op orde waren.
ISO 27001 dwingt inhoudelijk weinig tot niets af. Je moet je eigen beleid definiëren en je daaraan houden. Je kunt er dan voor kiezen om een veilig maar streng beleid te voeren, maar je kunt er ook voor kiezen om je informatiebeveiliging heel laisser-faire in te richten zodat er weinig belemmeringen zijn voor je werknemers (maar ook voor kwaadwillenden).
Je weet dat telecombedrijven gegevens verplicht zijn minimaal een jaar te moeten bewaren?
Ja, wat wil je daarmee zeggen?
Het vervelende bij Odido was dat ze data langer bewaarden dan wat ze zelf hadden opgegeven in hun privacy beleid.
Ja kan wezen, maar moet dat dan online ?

Kan dat niet met een andere vorm van rechtenbeheer een meerweg authenticatie ?
Opvragen en 24 uur wachten voor bijv toetsing ? Dan duurt het maar een dag
Mijn ouders zijn al langer dan 2-3 jaar geen klant meer bij Odido maar waren wel slachtoffers van deze hack.
De belastingdienst verplicht je data langer dan 3 jaar te bewaren.
Dat zijn alleen factuur gegevens, geen NAW, geboorte datum en wat niet meer wat er bij Odido in de gegevens staat, tot aan de tekst bij bijvoorbeeld Mathijs Kok, "pas op lastige klant word snel agressief", of "is wanbetaler, al 3x afgesloten"

Odido bewaarde veel te veel en veel te lang, en er is nog nooit een antwoord op gekomen hoe dat kon gebeuren, zelfs nog niet het fatsoen om het te bevestigen, alleen maar mogelijk dat het zo was en dat ze het onderzoeken.
Je kan vaak beter een crimineel op zijn woord geloven dan de gemiddelde politicus of auto verkoper.

Een crimineel heeft een ere code, en daar houden ze zich strikt aan, de gevolgen van het overtreden van die ere code kan nare gevolgen hebben, zijn er al genoeg niet meer doorgegaan met ademen.


Maar nu heeft Odido niet betaald, mooi dat kamp "niet de crimineel belonen" heeft gewonnen, is jammerlijk toch een verloren zaak, het openbaar maken van die gegevens gaat meer kosten dan die paar tientjes die het per klant had gekost, nu zijn er alleen wat minder mensen de dupe van.

Ik heb geluk, zat ook in de dataset, enige wat nog klopt is mijn naam en geboorte datum, de rest van de Odido gegevens is niet meer relevant, maar gezien de houding van Odido ten aanzien van oud klanten, ik kan geeneens mijn gegevens opvragen omdat ik niet meer weet hoeveel mijn laatste factuur was, hallo dat was 7 jaar geleden, nergens meer terug te vinden.
Zij hadden hun zaakje niet op orde, en hadden dus gewoon moeten betalen.
dan maak je het probleem groter.

1) je hebt geen enkele garantie dat de criminelen doen wat ze beloven.
2) het toont aan dat misdaad loont

de enige acceptabele onderhandeling met criminelen is een arrestatie team door de voordeur heen.
Dit soort criminele organisaties hebben er vaak baat bij een goede naam op te bouwen qua betrouwbaarheid. Als ze één keer na betaling niet leveren zal er nooit meer iemand aan hen betalen.

Daarnaast blijf ik het bizar vinden dat dit bedrijf besluit niet te betalen terwijl het niet hun gegevens waren. Als, bijvoorbeeld, een ontwerpbureau gehackt wordt en ze besluiten dat de gestolen ontwerpen het niet waard zijn en die dan maar laten publiceren is hun eigen keuze. Dit niet.

Natuurlijk wil je dit soort systemen niet laten lonen, daarom ongelofelijk hard inzetten op het kunnen oppakken van dit soort ******. Maar dat betekent niet dat je daarom maar lomp kan omgaan met andermans gegevens.
Het zijn criminelen. Ze 'verdienen' geld door misdaden te plegen en anderen af te persen.

Ze zijn om die reden per definitie niet betrouwbaar.
Je kan er op vertrouwen dat ze geld willen verdienen.
Zelf heb ik er gelukkig geen ervaring mee. Maar heb wel eens begrepen dat ransomware 'bedrijven' een 'klanten'service hebben waar bedrijven als Odido nog een puntje aan kunnen zuigen.

Of iemand die misdaden pleegt per definitie niet betrouwbaar is kan je het denk ik nog lang over hebben. Dat hun morele normen en waarden anders dan die van 'gewone' mensen staat denk ik wel vast.
Dat soort clubjes vallen naar een paar jaar weer uit elkaar en vormen weer nieuwe clubjes met een andere naam. Reputatie is redelijk vluchtig in die wereld. Die data bewaren ze gewoon een tijdje en wordt daarna doorverkocht als ze bij een ander clubje zitten.

Betalen zou gevangenisstraf voor de bestuurder moeten opleveren ivm financiering van criminelen.
Als ze één keer na betaling niet leveren zal er nooit meer iemand aan hen betalen
Dat is nu dus ook het geval. Want Shinyhunters staat er niet om bekend zich daadwerk Aan hun woord te houden en niet alsnog derivaten te maken en die te lekken.
Ik mag je niet moderen (omdat het een reactie is op mijn eigen bericht) maar dit is een zinvolle aanvulling.

Als dit zo is (weet niet wat je bron is) dan is er ineens veel meer aanleiding om niet te betalen inderdaad. Heb in de nieuwsberichten die ik hierover heb gelezen dit nog niet teruggelezen.
Er zijn geen grote publieke bronnen met absolute garanties dat zij het waren, maar bepaalde data waarvan zij de hack hebben gedaan en waar voor betaald is, is maanden later gevonden in andere datasets (aggregaten). En dat was dan data in de vorm van odido@eigendomein.nl. Dus hele specifieke mail adressen die herleidbaar waren naar vrij specifieke datalekken.

Betalen is kansloos
Als er iemand betaald moet worden dan zijn het de klanten die schade hebben geleden. Ten minste, als blijkt dat Odido de zaakjes niet op orde had. Ik begreep dat dit onderzoek loopt.
Nou blijkbaar is de praktijk anders. Het komt vaak voor dat nog voor er betaald is toch al gegevens verder gelekt worden en soms langere tijd nadat er betaald is. Toch kiezen sommige organisaties ondanks dit gegeven en de adviezen dit niet te doen er toch voor betalen. Dat het bekend is dat gegevens alsnog gelekt kunnen worden lijkt dus niet zo'n indruk te maken.

Ik ben het overigens niet met je eens dat het bizar is dat ze niet betaald hebben. Wel betalen zou ik bizar vinden. De gegevens zijn al in verkeerde handen gekomen. Betalen gaat dat niet veranderen. Het kwaad was immers al geschiedt.

Bronnen

Paper: Reducing Ransomware Crime: Analysis of Victims’ Payment Decisions: https://www.sciencedirect.com/science/article/pii/S0167404822001559

Artikel: https://krebsonsecurity.com/2020/11/why-paying-to-delete-stolen-data-is-bonkers/

Overheids advies Canada: https://www.cyber.gc.ca/en/guidance/ransomware-how-prevent-and-recover-itsap00099

[Reactie gewijzigd door Blinkin op 9 juli 2026 12:13]

Maar dat betekent niet dat je daarom maar lomp kan omgaan met andermans gegevens.
En dat stelt ook niemand. Dat Odido moet betalen wordt niet betwist. Dat dat geld overgemaakt moet worden aan criminelen is wat @arjankoole bestrijdt.
Dit soort criminele organisaties hebben er vaak baat bij een goede naam op te bouwen qua betrouwbaarheid.
En de rest van de maatschappij heeft er geen enkele baat bij dat ze een goede naam hebben.
In principe geldt voor de meeste bedrijven dat de rest van de maatschappij er geen enkele baat bij heeft dat ze een goede naam hebben. Alleen het bedrijf heeft daar baat bij.

Dit soort criminelen moeten zo snel mogelijk opgespoord worden en elke euro terug gevonden om aan de slachtoffers (en dan bedoel ik niet Odido maar hun klanten) terug te geven. Maar dat is nog geen reden om nu de gegevens maar te laten publiceren.

Ik kan niet genoeg benadrukken: het is niet alsof ik ook maar enige vorm van sympathie voor dit soort organisaties heb.
Dit soort criminelen moeten zo snel mogelijk opgespoord worden en elke euro terug gevonden om aan de slachtoffers (en dan bedoel ik niet Odido maar hun klanten) terug te geven. Maar dat is nog geen reden om nu de gegevens maar te laten publiceren.
Niemand stelt dat dat de reden is.

Als je de garantie krijgt dat deze organisatie binnen enkele weken opgepakt wordt dan zeg ik: prima, heeft ze nu het geld en neem het dan weer af. Maar dat gaat niet gebeuren. Ze gaan waarschijnlijk vrijuit. Dus gegeven dat ze over twee jaar nog bestaan en nog steeds onze gegevens hacken, wil je echt dat ze meer geld verdienen?

Daarnaast moeten we eerlijk zijn. Ik heb dat eerder gezegd en zeg het weer: mijn geboortedatum is geen staatsgeheim. Het feit dat een combinatie van onversleutelde data (adres, bsn, geboortedatum etc.) toegang geeft tot bijvoorbeeld mijn bankrekening is schandalig. Daar moeten we iets aan doen. Als je zaken geheim wilt houden dan moet je ze niet op aan kaartje printen, dat doen we met wachtwoorden ook niet (of we weten dat we dat niet moeten doen).

[Reactie gewijzigd door 84hannes op 9 juli 2026 11:55]

Dat je geen enkele garantie hebt is niet helemaal juist; het nakomen van afspraken is voor de criminelen belangrijk om in de toekomst betaald te worden als ze een andere hack plegen en weer betaald willen worden. Komen ze de afspraken niet na zal een ander sowieso niet betalen.
Dat je geen enkele garantie hebt is niet helemaal juist; het nakomen van afspraken is voor de criminelen belangrijk om in de toekomst betaald te worden als ze een andere hack plegen en weer betaald willen worden. Komen ze de afspraken niet na zal een ander sowieso niet betalen.
En als niemand betaald zullen ze minder geneigd zijn dit 'businessmodel' na te streven. Want het loont niet.
Dit is de keerzijde v.d. medaille.

Als persoonsgegevens die gelekt worden onbruikbaar zijn zou het ook veel minder impact hebben. Sowieso is de weerbaarheid tegen dergelijke lekken gewenst. Ze gebeuren voorlopig toch nog wel, linksom of rechtsom. Aanzetten op het zo min mogelijk bewaren van gegevens en voor kortere periodes is beter dan lekken. Daar zat odido dus echt goed fout.
Als persoonsgegevens die gelekt worden onbruikbaar zijn zou het ook veel minder impact hebben.
Zoek voor de aardigheid eens op hitta.se naar Lars Svensson (of Sven Larsson, of bedenk zelf een Zweedse naam). Je vindt zijn adres, zijn geboortedatum... Dat zijn allemaal publieke gegevens.

Bij een wachtwoord wordt me altijd op het hard gedrukt niet op meerdere plekken hetzelfde wachtwoord te gebruiken, het nergens op te schrijven, vreemde tekens te gebruiken, nooit te delen met anderen, alleen versleuteld op te slaan, eventueel zelfs regelmatig te veranderen etc. Dat is omdat we weten dat het anders vroeg of laat mis gaat.

Bij de gegevens die bij Odido gelekt zijn wordt niet aan één van die eisen voldaan. Niemand heeft een vreemd teken in zijn BSN. Niemand verandert zijn geboortedatum elke drie maanden. Iedereen heeft zijn adres een meerdere, vele, mensen en bedrijven door. Het is dus buitengewoon onverstandig om die gegevens te gebruiken om je ergens te identificeren. Dat probleem moeten we oplossen.

En natuurlijk moet Osi zijn gegevens beter beveiligen en op tijd weggooien. Het een sluit het ander niet uit.
Misdaad loont toch? Kijk naar de crimineel in het witte huis. Nog nooit heeft iemand daar zo veel misbruik gemaakt van zijn positie, en zo veel geld verdiend ten koste van anderen...

En ja, we zijn het allemaal met je eens dat een arrestatieteam zou helpen, maar dan moeten ze eerst de daders vinden. Daarnaast: Odido heeft wel heel erg weinig gedaan om hun klantenbestand te beschermen, zelfs na waarschuwingen van hun leverancier! Daar mag wat mij betreft ook een arrestatieteam naartoe...
Dat is amerika. Een land wat compleet anders 'functioneert'. Ze hebben bijvoorbeeld geen onafhankelijke gerechtelijke macht zoals wij.

Dat odido fouten heeft gemaakt staat buiten kijf. En dat zal ze waarschijnlijk ook op een kostbare boete komen te staan. ( dat is geen misdaad/misdrijf, dus daar gaat geen AT naar toe ).
Vanaf 15 augustus in ieder geval tegen de wet, en mogelijk grof nalatig.
Het punt van falen was data langer bewaren dan toegestaan. Ik zou ook maatregelen nemen om in ieder geval alerts af te laten gaan als een paar accounts honderdduizenden gegevens ophalen in een aantal dagen. Beperking in het aantal backend calls wat een service medewerker mag doen per dag is dan wel aan te bevelen. Maar eerlijk is eerlijk. Weinig bedrijven hebben daar alerts of harde limieten op ingesteld helaas.
Ik zou ook maatregelen nemen om in ieder geval alerts af te laten gaan als een paar accounts honderdduizenden gegevens ophalen in een aantal dagen.
Alerts? Welnee. Gewoon blokkeren.

Voor je werk is het prima als je bij x2 het gemiddelde van de dagelijkse verwerking kan komen. Het liefste gescoped op een rate limit per uur. Het is bij voorbaat al onmogelijk om meer dan 1 dossier per 10 seconden nuttig te gebruiken. Verkeerde ding openen kan eens gebeuren, daar heb je buckets voor met burst.

Een account dat 100.000 dossiers opent zou dat alleen moeten kunnen doen over tijdspannen van maanden zo niet jaren. En anomalie detectie moet dat dan dus al lang en breed gedetecteerd hebben als iemand ver boven de gemiddelden uitsteekt.
Alert zou al veel eerder moeten gebeuren. Zoals bijv. stel iemand moet 10 klanten per uur doen. 15 opvragingen per uur is dan al verdacht. En 20 blokkeren.
Ja precies. 100.000 is echt ver en ver over de grens.

15 zit nog op het randje, ligt een beetje aan je software, maar als je bijvoorbeeld handmatig moet zoeken kan ik me voorstellen dat je niet altijd direct het juiste dossier zou kunnen hebben. Zeker in het begin, maar je kunt prima detectie doen over iemand zijn normale gedrag en dat vergelijken met nieuw gedrag.
Het is iets dat je misschien in het begin te streng afstelt, met neveneffecten die irritant zijn. Vervolgens stel je het dusdanig in dat het wel goed werkt in vrijwel alle gevallen (randgevallen zullen altijd blijven) maar dat het in ieder geval wel werkt. Dat is hier niet gedaan. Men moet gedacht hebben dat MFA waterdicht is. Stupide, gezien de stakes. Dus laakbaar op dit specifieke punt.
Het is iets dat je misschien in het begin te streng afstelt, met neveneffecten die irritant zijn
Ik zou denk ik eerst alerting doen om te kijken of het klopt en een baseline neer te zetten van normaal gebruik.

Je loopt namelijk het risico dat mensen hun werk niet kunnen doen en dat is een afweging die management lekker mag maken met de ciso.

Bedrijfscontinuïteit komt dan namelijk wel degelijk in het geding en dat heeft weer allerlei andere problematiek.

“nee sorry ik kan u niet helpen, want ik mag uw dossier nu even niet in” is niet echt “confidence inspiring”
edit:
wat ik probeer te zeggen is dat 15 of 20 beide in dezelfde orde grootte liggen dus dat dat niet per se een issue op moet gaan leveren. 100 vs 100.000 is wel een ding.

[Reactie gewijzigd door supersnathan94 op 9 juli 2026 15:06]

“nee sorry ik kan u niet helpen, want ik mag uw dossier nu even niet in” is niet echt “confidence inspiring”
"Technische storing" of "omstandigheden" noemen ze dat dan. Heb wel eens gehad dat ik mijn leidinggevende hoorde zeggen dat 'we last hadden van een hacker'. Toen had ik iets gesloopt... dat kon nog in de dotcom tijd :+

Wat betreft alerting eerst ben ik met je eens, maar je moet wel een deadline hebben dat je overgaat tot hardere maatregelen (en ik denk dat je wel aanvoelt hoe dat vaak gaat...). Anders blijft het bij alerting, en hoewel beter dan niets, is dat niet goed genoeg. Sterker nog, wat mij betreft is alerting een baseline. Je moet als leidinggevende weten wanneer je medewerkers onnodig in klantgegevens lopen te struinen. Je kunt ook koppelen X reads per Y seconden. Iemand die de data harvest, doet dat in korte duur. Altijd een red flag, altijd blokkeren plus alert. Een slimmere hacker gaat dan gestaag de boel leegtrekken. Ook dat kun je detecteren. Zo kun je ook blokkeren wanneer iemand niet is ingelogd op een lokaal account.
Neen alles online zetten op een cloud !
Da's misdadig. en dan vraag je om problemen. Allemaal uit gemak, want het moet sneller en beter, allemaal ten koste van, want er zit alweer een kroketten management achter met hun verdienmodel..
Maar het belangrijkste! Die cloud is ook maar een computer die door iemand wordt beheerd met allerlei rechten. Zwakste schakel is de beheerder en de mensen die dat systeem in de lucht houden.


Maar goed alles staat in de cloud. en tegenwoordig kan iedereen overal bij en sommigen zien juist dat weer als een in dit geval misdadig verdien model.
Mag jij vinden.

Beveiliging van gegevens die je niet mag hebben (want geen wettelijke grondslag) en niet goed beschermd (tot drie keer toe) aangegeven door leverancier is grof nalatig. Daar helpt geen MFA tegen.
Slachtoffer hier van de hack. Ik ben erg blij met de keuze van Odido. Ben ik blij dat mijn gegevens op straat liggen door nalatigheid van Odido? Nee natuurlijk niet.

Echter stap je over 1 fundamenteel punt heen. Betalen voorkomt niet dat je gegevens op straat liggen. Op het moment dat zij om het geld vragen ligt je data al op straat, immers beschikken de hackers over de data waar ze geen toegang tot zouden moeten hebben. Betalen is op dat punt totaal nutteloos, het enige wat het doet is een crimineel verdienmodel in stand houden.
Benieuwd of het losgeld een goedkopere oplossing zou zijn dan de rechtzaak die er aan komt. Veel succes aan Odido en de private equity investeerders erachter. :Y)
Die komt er niet !
Daar wordt nu al voor gelobbyeed. EN anders wordt er gewoon een stugge uitspraak gedaan.
Met betaald de boete en voila we gaan weer verder. EN jij zit als klant te kijken.


Zal hetzelfde zijn als bij de arbeids inspectie. Boete wordt aangevochten, bij ernstige overtredingen, maar als het bedrijf dat zijn eigen regels mag magen, zoals voorschriften scholing kan en mag samenstellen rie&e heeft en andere zaken op orde heeft,
Dan gata er al heel snel 50 tot 75% van de boete af.
En dat zal met odildo niet anders zijn
Daar heb ik wel het antwoord op. Nee dat is niet goedkoper. Dan betaal je namelijk beide. T betalen van de hackers draait niet terug dat Odido onzorgvuldig is geweest waardoor dit makkelijker kon gebeuren.

Overigens kan dit een zorgvuldig bedrijf evengoed gebeuren, alleen is de kans kleiner. Als bedrijf moet je je zo goed mogelijk inzetten om dit te voorkomen. De vraag is echter nog steeds niet of het je gaat gebeuren maar wanneer.
Daar heb ik wel het antwoord op.
Nou nou nostradamus van Tweakers.. Ik denk dat jij net zo weinig weet als wij en Odido dus please temper your confidence. Shinyhunters heeft meer gehackt dan Odido en ondanks het enge gemene piraten zijn, hebben zij ook een businessmodel: namelijk losgeld. Als ze de gegevens alsnog lekken, zullen toekomstige hacks geen losgeld meer opleveren toch? Ik heb trouwens meer vertrouwen in het voorstel van de hackersgroep dan Odido gezien laatstgenoemde zelfs gegevens van ex-klanten 10 jaar na opzegging bewaard heeft.

Ik zal niet reageren op je tweede paragraaf, want ik snap niet wat je probeert te zeggen tussen de regels. Ja iedereen kan gehackt worden, maar 1 klantenservice account onbeperkt toegang geven tot 6 miljoen klanten kun je niet even onder de mat vegen met "ooh het is zo griezelig in de digitale jungle."
Ik probeer hier niets te voorspellen, eens dat ik wel met een voorbeeld had kunnen komen.

Het is goed dat je ShinyHunters aanhaalt. Ze hebben er baat bij hun verdien model een goede reputatie te geven, zo ver dat kan voor criminelen.

Echter in de praktijk bljjkt dat data toch rond circuleert na tonnen betaald te hebben voor het verwijderen. En dat is precies wat ik bedoel. Je hebt 0 garanties.

Neem als voorbeeld de grote hack op AT&T. Men heeft betaald voor het verwijderen van de data. Er zijn meerdere rechtszaken aangespannen en toch duikt data die matched met deze verwijderde dataset een jaar later op.

Zie als bron: https://www.security.org/identity-theft/breach/att/
En wie garandeert je dat iemand van Shinyhunters niet zelf die gegevens gaat misbruiken om fishing-mails te versturen? Dan zijn de gegevens niet openbaar gemaakt, maar toch misbruikt, zonder dat iemand er van weet.

En natuurlijk heeft 1 klantenservice account toegang nodig tot alle 6 miljoen klanten van het bedrijf. Je weet nooit van te voren welke klant belt.
Wat dat ene account tegenhoudt om al die klantgegevens achter elkaar op te vragen is een klein stukje software, wat met een andere hack makkelijk te omzeilen kan zijn.
En natuurlijk heeft 1 klantenservice account toegang nodig tot alle 6 miljoen klanten van het bedrijf. Je weet nooit van te voren welke klant belt.
Helemaal mee eens, soms heb je van die drukke dagen dat je 6 miljoen klantbestanden moet openen binnen één uur. :+

Werk jij toevallig bij Salesforce?
Salesforce heeft gewaarschuwd, helaas heeft odido niet geluisterd…
Lees wat ik schrijf!

1 Account moet toegang kunnen hebben tot alle klanten. Natuurlijk niet tot alle klanten vlak achter elkaar, maar de softwareregels die dat moeten limiteren of daarvoor moeten waarschuwen kunnen met een hack omzeild worden.
Zij hadden hun zaakje niet op orde, en hadden dus gewoon moeten betalen.
We hebben het hier niet over een boete o.i.d. maar over criminelen die geld eisen voor een diefstal. Volkomen terecht dat Odido het niet betaald heeft.

Wel vind ik dat de overheid Odido een boete voor het niet op orde hebben van de veiligheid zou moeten opleggen. En dan eentje die echt pijn doet, en die b.v. alle voordelen die Odido zou kunnen hebben gehad van het te lang bewaren van gegevens volledig teniet doet.

Apropos, ik zou de boete ook nog wat extra verhogen; als je door simpelweg de klantenservice van Odido te bellen toegang kan krijgen tot interne systemen hebben ze de veiligheid niet echt op orde.

[Reactie gewijzigd door avlt op 9 juli 2026 10:18]

  1. Odido had zijn zaken beter op orde moeten hebben
  2. Salesforce ook
  3. Nooit betalen, als niemand dat doet (het belonen van criminaliteit) dan zullen de criminelen minder snel dit soort <scheldwoord> uitvoeren.
Ik denk dat je op de verkeerde reageert. Ik heb nooit geclaimd dat de data meteen werd gedeeld.
Ah excuus, ik had er 1 omhoog moeten doen.
Zij hadden hun zaakje niet op orde, en hadden dus gewoon moeten betalen.
Vind je dat iedereen die zijn zaakjes niet op orde heeft geld moeten geven aan criminele organisaties, of zijn er bijzonder omstandigheden?
Vind dit zo'n drogreden, als binnenkort bij jou ingebroken wordt en de politie zegt 'tja, je hebt maar skg 1 ster cylinders op je deur zitten dus eigen schuld dikke bult" vind je dat dan normaal?
Dus odido regelt het niet goed, wordt gehacked en betaald en jouw maandbedrag wordt hoger. Klinkt ook niet echt lekker (ja, ik zat in het lek).
Helemaal mee eens. Er lijkt een stroming te zijn die de systeemrechtvaardigingstheorie, autoriteitsbias, epistemische deferentie en elite cue-taking met graagte als cocktail tot zich neemt en zich daardoor laat leiden. Wellicht denkt men daardoor weerbaarder en meer ter zake onderlegd over te komen. Feit blijft dat Odido gewoon het bedrijfsrisico bij de getroffenen heeft gelegd.
Odido wordt niet vrijgepleit. Het zijn twee afzonderlijke zaken.
Hoe nalatig Odido ook geweest is, het doet niets af aan de strafbaarheid van de hack zelf. (Dat jij je voordeur niet op slot doet en ik daardoor zonder problemen met je breedbeeld weg kon lopen maakt voor de rechter niets uit. Al zal je wel een probleem hebben met je verzekeraar.)

Betalen van de hackers geeft geen zekerheid dat de gegevens veilig blijven, terwijl het wel de hackers beloont een aanmoedigt.
1) Is het de taak van een bedrijf om qua privacy/beveiliging hun zaakje op orde te hebben, Jazeker, en het is ook strafbaar als dat niet zo is, het OM doet er nog steeds onderzoek naar en bij de verantwoordelijken binnen Odido.

2) Is het de taak van een bedrijf om in een afpersingszaak mee te gaan? Nee, zeker niet. Dus het niet betalen aan criminelen is een valide optie. En vandaar ook deze oproep van de politie om de crimineel op te sporen.
Ze hadden hun zaakjes niet goed genoeg op orde, maar dat betekent niet dat ze hadden moeten betalen. Het is helemaal niet gezegd dat de data dan niet alsnog op een of andere manier waren misbruikt.

En nee, dat pleit Odido geenszins vrij. En nee, het betekent ook niet dat die hackers niet gewoon een gigantisch misdrijf hebben gepleegd en vervolgd moeten worden.
Besef hoeveel ouderen en kwetsbaren worden lastig gevallen met alle gevolgen van dien, sinds deze datalek. Had voorkomen kunnen zijn door wat wisselgeld aan de hackers te betalen, en hun digitale zooitje op orde te hebben, bijzonder dat dit soort grote bedrijven daar niet (goed) op gecontroleerd werden.
Criminelen hebben geen ethics of wetten waar zij zich aan houden.
Vandaar het gezegde: Wikipedia: Honor Among Thieves

Voorbeeld: wie praat, die gaat.

Ze hebben wel degelijk allerlei regels. Alleen zijn het niet degene die wij onderschrijven.

In dit specifieke geval: wanneer ze na betalen losgeld toch publiceren, ondermijnen ze hun business model. Kan een exit-strategie zijn, maar is op de lange termijn oerdom voor hun legacy building.
Sterker nog, het kan tot strafverlaging leiden bij een eventuele veroordeling door de rechtbank, met het argument dat de dader al (deels) gestraft is door publiekelijk aan de schandpaal genageld te zijn.
Criminelen hebben geen ethics of wetten waar zij zich aan houden.
Dat ligt er aan wat je illegaal maakt. Immers, als privacy hebben verboden is, dan is iedereen die het hebben van privacy nastreeft een crimineel.

Of als je paddo's kweekt voor mensen met een PTSS, dan ben je ook een crimineel.
Bor Coördinator Frontpage Admins / FP Powermod @HollowGamer9 juli 2026 09:20
Lees het artikel eens goed. De politie heeft 'sterke aanwijzingen' dat er Nederlanders betrokken waren bij de hack. Hieruit kan je opmaken dat ze nog niet weten wie er exact betrokken is. De reden om deze stem te publiceren is om te achterhalen wie dit is.
Ik zeg even door de telefoon database voice recognision AI heen halen en ze hebben antwoord in 10 sec.
Dit is wel waar het op neer kan gaan komen inderdaad. Probleem is alleen dat die database met vergelijkingsmateriaal waarschijnlijk niet bestaat. En als ie wel bestaat is het top secret.
En in tussentijd doen we allemaal in Teams en Zoom etc transcription aan zetten (of zelfs optie dect my voice when entering room) en staan onze stemmen + namen opgeslagen en voice analysed
Ja klopt. En je ziet dat steeds meer individuen ook gewoon 24/7 hun gesprekken opnemen.

We gaan het zien. Als die hacker inderdaad zo dom is geweest zijn eigen stem te gebruiken denk ik dat het een kwestie van tijd is voordat hij gepakt wordt. Stemgeluid is zo uniek voor een persoon dat het volgens mij prima als een vingerafdruk gebruikt kan worden.
Teveel CSI gekeken?
zie reactie eerder
Ik weet niet of ze die hebben. Mogelijk kan een inlichtingendienst hierbij helpen.

Wel heeft deze persoon moeten bellen. Daarbij is gebruik gemaakt van POTS en/of VoIP. Dus te traceren naar een bepaalde locatie. Zelfs bij een 06-burner is te achterhalen welke palen 'aan zijn geraakt' qua signalen.

Ook kun je een analyse doen op de geschreven content. Je kunt hierbij (bij grotere lappen tekst) afleiden wat de afkomst is van iemand, zelfs uit welke culturele achtergrond diegene komt. Bij THTC werken experts die dat kunnen.

Ik betwijfel overigens niet dat ze dat ook kunnen m.b.t een stem. Betreft het bijvoorbeeld iemand met een Rotterdams accent, dan is dat ook voldoende aanleiding voor de politie Rotterdam om betrokken te zijn bij deze zaak. Maar ik denk dat, gezien de impact, dit meer een zaak is voor Driebergen. Al kan er wel samenwerking zijn.
Nederlands studeren kan in Rusland aan de Staatsuniversiteit van Sint-Petersburg.
Dan zijn er natuurlijk ook opleidingen waar wij geen kennis van hebben, zoals die van de geheime diensten waarbij studenten de opdracht krijgen een taal te leren.
Dit is waarom de president van ook erg goed Duits spreekt.
Ik ga er van uit dat als deskundigen de stem analyseren ze ook wel een inschatting kunnen makes of de stem van iemand is die Nederlands heeft geleerd in het buitenland, of daadwerkelijk in Nederland woont. Zit nogal een verschil in hoe je praat nagelang of je het dagelijks voor communicatie gebruikt of niet.
Ik zou, binnen de wettelijke kaders, die stem eens in AI gooien of aanbieden bij de Apple,Google of Meta's van deze tijd en kijken of deze uit hun "stemDNA" databank komt.
De wettelijke kaders zeggen dat zelfs de politie niet zo'n databank mag hebben (er is specifieke wetgeving om de databases van vingerafdrukken en DNA-profielen mogelijk te maken; voor zover ik weet is er geen soortgelijke wetgeving voor een database van stem-profielen). Dus dan mogen Apple, Google, Meta en co dat al helemaal niet.
De Amerikaanse wetgeving zit heel anders in elkaar dan de Nederlandse. Mijn onderbuik is er vrij zeker van dat de big tech zo’n “databank” hebben. Wellicht niet direct gekoppeld aan een persoon maar wellicht aan een device.
Doen ze in de VS nog aan wetgeving? Huh, ik dacht dat ze die helemaal hadden afgeschaft...

Maar zelfs als ze het van de VS mogen, dan is het nog steeds hartstikke illegaal onder de wetgeving van Nederland en de EU. En daar moeten ze zich óók aan houden.
Dan geven ze het geluidsfragment maar vrij, voor ons als burgers zijn hiervoor nagenoeg geen beperkingen.
Zeg je nou dat jij als burger een database van stem-profielen mag aanleggen!? IANAL, dus dit is geen juridisch advies maar ehm: als ik jou was zou ik dat eerst even heel goed uitzoeken voordat je daaraan begint...
Nee dat zeg ik niet, mijn onderbuik zegt dat de grote spelers in de markt best wel iets kunnen met een stemprofiel, laten we het daar op houden.
Dan zijn er natuurlijk ook opleidingen waar wij geen kennis van hebben, zoals ...
... een heleboel lesboeken die speciaal voor dat doel ontworpen zijn... Daar hoef je echt geen geheime dienst voor te zijn, er zijn genoeg bedrijven die hun buitenlandse medewerkers een cursus Nederlands aanbieden. Of mensen die om talloze andere redenen Nederlands als extra taal willen leren.
Dit is waarom de president van ook erg goed Duits spreekt.
Ik neem aan dat hier "de president dictator van Rusland" had moeten staan? Dat komt omdat ie jarenlang in Berlijn gewerkt heeft. Ja okee, dat was voor de geheime dienst, maar als ie voor zo'n beetje elke andere reden in Berlijn had gewerkt, dan zou ie waarschijnlijk ook Duits geleerd hebben.

Maar anyway, je hele redenatie vergeet één heel klein detail: een taal leren kost jaren. Een taal zo ontzettend goed leren dat moedertaalsprekers (zoals de politie) niet binnen drie woorden doorhebben dat je een tweede taal aan het spreken bent is voor de meeste mensen simpelweg onmogelijk. (Dit kun je eenvoudig zelf controleren: ga op vakantie, spreek Engels tegen iedereen. Binnen de kortste keren geeft iemand in het Nederlands antwoord omdat ze aan jouw Engels niet alleen horen dat je helemaal niet Engels bent, maar zelfs herkennen wat wél je moedertaal is.)

Er vanuit gaande dat deze hack geen tientallen jaren aan voorbereidingstijd heeft gekost (waarin iemand, speciaal voor de gelegenheid, niet alleen foutloos, maar accentloos Nederlands heeft geleerd), zijn er veel simpelere verklaringen. Bijvoorbeeld: een Nederlander heeft deze hack bedacht. Of: een niet-Nederlander heeft deze hack bedacht en een Nederlander gezocht die hem daarbij kon helpen.
Ik stel nergens dat er geen vermoeden van sterke betrokkenheid is. Maar er is hoe dan ook nog altijd een verschil tussen een verdenking van betrokken zijn, zoals door een telefoongesprek voeren, en de wens van de politie om een stem publiek te maken uit belangen die wettelijk niet zomaar hoger staan. En datis niet voor niets. Het duurde niet lang voordat er al een uitting kwam alsof de betrokkenheid gemakkelijk maar breder werd getrokken dan er staat en mensen een verdachte aan de schandpaal willen zetten voor er een veroordeling is. Er kan en mag dus niet zomaar een uniek persoonlijk gegeven van een verdachte publiek gemaakt worden. De rechtsstaat in stand houden is nu eenmaal ook de rechten van verdachten naleven.
Zolang we in een rechtstaat leven is dit niet echt gek, de politie is ook aan de AVG WPG gebonden. Als ze niet alle stapjes keurig volgen krijgen ze straks van de rechter een tik op de vingers (en krijgt de dader misschien strafvermindering vanwege geleden schade).

[Reactie gewijzigd door ThaStealth op 9 juli 2026 11:13]

De AVG is niet van toepassing op politietaken. Ook heeft het weinig te maken met de rechtsstaat. Het OM kan onmiddellijk besluiten tot openbaarmaking als ze dat nodig achten.

Het is hoogstwaarschijnlijk vooral een tactische overweging om te wachten. Voor de politie is het makkelijker als de verdachte zichzelf meldt. Maar dan moet je daarvoor natuurlijk wel wat ruimte geven.
Het is ook een soort dreigement. Het vergroot de kans op succes. Dat iemand de stem herkent en gaat melden, die kans is geen 100% namelijk. Nu krijg je nog de kans erbij dat de dader niet te horen gezet wil worden in de vriendenkring.
Is het niet een beetje te gek dat de data van miljoenen Odido gebruikers meteen werd gepubliceerd, maar deze persoon wel de tijd krijgt zich te melden? Kennelijk weegt zijn privacy groter, dan al die andere?
Een verdachte is niet schuldig. Dus ja, ook een verdachte heeft rechten en recht op privacy. Zelfs een veroordeelde heeft recht op privacy. Er zijn maar heel weinig rechten die vervallen bij een criminele veroordeling.
Dat criminelen zich per definitie niet aan de wet houden wil nog niet zeggen dat de politie dat dan ook maar niet hoeft te doen bij het opsporen van criminelen. Juist niet. Als de politie zelf de wet links en rechts gaat overtreden is de politie weinig meer dan een groep door de staat gefinancierde criminelen.
Wel zo netjes toch? Zonder gekheid, innocent until guilty. Wel goed om te zien dat hier goed speurwerk naar gedaan is. Het geeft een duidelijk signaal dat ook cyber criminaliteit bestraft kan, en zal worden. Veel van deze (jonge) cybercriminelen hebben namelijk het idee dat met de juiste werkwijze zij onvatbaar zijn. Onlangs is er op basis van een GDID van Windows iemand opgepakt welke gebruik maakte van een VPN om zijn activiteiten te maskeren.
Ook beveiligings onderzoekers en authoriteiten zitten niet stil!
Ik maak mij echt een beetje zorgen over deze groeiende oog om oog, tand om tand sentimenten in de samenleving.
.... Of gaat het hier om een niet AVG compliant "per ongeluk" opname van een klantgesprek.
Een bedrijf mag prima een telefoon gesprek opnemen.
Gelukkig is het niet zo simpel dat een persoon altijd wijzen naar de AVG, want dan hebben de criminelen helemaal vrij spel.
Ik kan me vergissen maar ik meen dat het opnemen van telefoongesprekken aan zeer strenge regels is gebonden.

Beide deelnemers moeten toestemming geven, er zijn beperkingen aan bewaartijd en verwerkings mogelijkheden etc.
"Dit gesprek kan worden opgenomen voor trainings- en kwaliteitsdoeleinden".
Ik denk dat "Onze medewerkers loggen in op phishing-sites, daar moeten we iets aan doen" wel onder kwaliteitsdoeleinden valt. :)
Dat hoeft niet eens. Zolang ze een legitieme reden hebben om het op te nemen (zoals een "dit gesprek kan worden opgenomen" bandje), dan kan de politie het opvragen en gebruiken als bewijsmateriaal.
Volgens mij mag iedereen die deelneemt aan een gesprek datzelfde gesprek opnemen.
Klopt bijna. Er is namelijk wel een verschil tussen wat een persoon mag, en wat een bedrijf mag.

Als bedrijf mag je alleen een gesprek opnemen als je dat van tevoren hebt aangekondigd. Vandaar ook de bandjes "Dit gesprek kan worden opgenomen voor trainings- en kwaliteitsdoeleinden". Na die melding mogen ze het legaal opnemen.

Als persoon gelden er andere regels. Dan mag het gesprek worden opgenomen als een van de deelnemende personen daarmee akkoord is. Aangezien jijzelf deelneemt aan jou telefoongesprekken is het voldoende dat jijzelf akkoord bent. Je hoeft daar ook geen melding van te maken bij de andere deelnemer(s), ook niet als dat een bedrijf is.
Om te beginnen mag een bedrijf een telefoongesprek niet opnemen. Daarvoor moeten ze toestemming hebben. Onbegrijpelijk vind ik dat een bedrijf zomaar kan stellen dat een gesprek wordt opgenomen voor kwaliteits- en trainingsdoeleinden zonder dat daarvoor een mogelijkheid bestaat om dat te weigeren. Behalve dan dat je kunt ophangen, maar je belt dat bedrijf niet voor niets.
In tegenstelling tot bedrijven mogen privépersonen als deelnemer van het gesprek deze altijd opnemen, zelfs zonder toestemming van de andere partij. De andere partij hoeft er zelfs niet van in kennis gesteld te worden dat het gesprek wordt opgenomen.
Ik zeg ook niet dat het niet verbonden is aan regels, alleen dat het wel kan.


Als jij bv een bedrijf belt, en je krijgt te horen dat het gesprek wordt opgenomen. ... En jij wordt later terug gebeld door dat bedrijf, doen hoeven ze bijvoorbeeld niet nog eens te zeggen dat het gesprek kan worden opgenomen, dat mogen ze doen.

als je samen een beslissing neemt over iets waarvan het noodzakelijk is dat dat 'ergens' wordt vastgelegd, dan kan een bedrijf dat via voice vastleggen als latere bewijsvoering.

Daar zijn regelen aan gebonden zoals beveiliging en opslag termijn... Maar het kan... Een bedrijf mag dat alleen doen voor dat doel, ze mogen de data niet openbaar maken, doorverkopen etc... dus alleen opnemen voor dat doel...
Als jij bv een bedrijf belt, en je krijgt te horen dat het gesprek wordt opgenomen. ... En jij wordt later terug gebeld door dat bedrijf, doen hoeven ze bijvoorbeeld niet nog eens te zeggen dat het gesprek kan worden opgenomen, dat mogen ze doen.
Weet je dat zeker? Die claim heb ik nog nooit eerder gehoord en het klinkt behoorlijk dodgy...
Zelfs dan mag de politie het in principe gebruiken als de verdenking sterk genoeg is.
Zolang de politie zelf het bewijsmateriaal niet op illegale wijze heeft verzameld (of daar opdracht/ aanwijzing voor heeft gegeven) zoijn er maar heel weinig beperkingen voor het gebruik van bewijsmateriaal dat door anderen op illegale wijze is verzameld. (Al kunnen die anderen daar wel weer voor vervolgd worden.

Wanneer ik ergens inbreek en ik zie door een kier van de deur per ongeluk hoe de bewoner zijn vrouw wurgt en ik film dat met mijn telefoon, is die video gewoon te gebruiken als bewijsmatyeriaal. Ook al had ik geen toestemming om het huis te betreden en had ik al helemaal geen toestemming om een 'privé' situatie te filmen.
Ik kan natuurlijk wel voor de inbraak vervolgd worden. Maar wanneer ik niets gestolen heb (ik neem natuurlijk meteen de benen, zonder iets mee te nemen) en de politie geholpen heb zal de straf heel erg meevallen.
Dat vind ik eigenlijk met heel veel zaken, zoals het blurren van de gezichten van misdadigers. En heeft deze beller het telefoonnummer gespoofd? Wellicht is dat ook een interessant gegeven, mocht het níét gespoofd zijn.
Omdat we (en terecht overigens) vinden dat iemand onschuldig is totdat het tegendeel is bewezen. Moet je je voorstellen dat je de volgende dag met je hoofd op alle online kanalen van de politie staat, terwijl achteraf blijkt dat jij toch niet de persoon was die de geldautomaat heeft opgeblazen. Het leed is dan al geschied.

Mijns inziens moet er daarom echt goed gewogen worden wat proportioneel is om te doen. Bij twijfel zal er altijd gekozen moeten worden om te blurren of bepaalde persoonsinformatie niet vrij te geven, hoe overduidelijk de bewijzen ook richting die persoon wijzen.

In dit geval geeft de politie de vermoedelijke dader de kans om zichzelf te melden, zonder daarbij aan de schandpaal genageld te worden.
Schrijnend voorbeeld hiervan is de AD faal rondom de aanslag gepleegd door Karst Tates. Ze plaatsten de verkeerde Tates ongecensureerd op de voorpagina. Die ontving toen doodsbedreigingen terwijl er ook al lang en breed bekend was dat de dader overleden was...

https://www.trouw.nl/nieu...tes-haatmail-op~b8ae0549/
Het gaat bijvoorbeeld om video's waarbij iemand een strafbaar feit pleegt. Waarom zou die geblurred moeten worden?
Omdat context kan missen. (Die kan bepalen of en hoe strafbaar het feit daadwerkelijk is).
Om te voorkomen dat mensen eigen rechter gaan spelen.
Omdat het publiek maken een straf an sich is. (Die niet door een rechter is opgelegd en arbitrair is, niet iedereen wordt gefilmd namelijk).

Verder ben ik het ermee eens dat het gevoelsmatig soms overdreven is, hoeveel rechten een verdachte heeft. Maar helaas moet je voor een goed functionerende rechtstaat soms aan de voorzichtige kant blijven.
Wanneer iemand duidelijk een strafbaar feit pleegt en dat op video is vastgelegd, dan hoeft die van mij niet geblurred te worden.
Dat is dus aan de rechter en niet aan de politie, jou of mij.
Het geblurd plaatsen heeft ook een nut. Omdat de verdachte de 'schandpaal' kan ontlopen door zichzelf te melden. Wat vooral een overweging zal zijn als de straf niet al te lang/zwaar is.
Blurren van verdachten. Mensen zijn soms toch ineens onschuldig he?
Wanneer iemand een illegale activiteit uitvoert, zoals vernielingen of inbraak en vervolgens met zijn/haar hoofd geblurred te zien is... zouden deze onschuldig zijn?
Hoe vervelend ook, ShinyHunters heeft niet echt een goede reputatie en is niet op hun woord te geloven. Betalen geeft geen enkele garantie dat de data nooit meer (al dan niet op een andere manier) alsnog vrijgegeven wordt.

Zolang men blijft betalen, financiert men de volgende hack en is er nooit 100% garantie dat de gelekte data verwijderd wordt. Voor ons hartstikke zuur en onrechtvaardig, maar in dit geval heeft Odido wel de juiste keuze gemaakt.
Het feit dat iemand verdachte is van betrokkenheid via een telefoongesprek zorgt er niet voor dat de persoon ook maar aantoonbaar direct verantwoordelijk is voor het publiek maken, of er weet van had dat dit zou gebeuren. Een verdachte is daarbij verdachte, geen dader. Daarbij is openbare opsporing is geen middel om een persoon publiek aan de schandpaal te zetten. De politie hoort dat alleen in uiterste gevallen te doen, als ze er zelf niet meer uit komen. En zelfs dan niet zomaar op de meest vergaande manier. Daar komt in dit geval nog bij dat het bedrijf een wettelijke plicht had om de gegevens tegen dit soort criminaliteit te beschermen. Dat is duidelijk niet behoorlijk gedaan. Dat maakt de verdachte niet zomaar alleen verantwoordelijk.
Het feit dat iemand verdachte is van betrokkenheid via een telefoongesprek
Om deze persoon onschuldig te laten zijn, zou je een constructie moeten bedenken waarbij ie dacht dat Odido toestemming gegeven had. Bijvoorbeeld een security awareness training voor helpdesk-medewerkers of dat ie werkte voor het red team van een pentester. Maar in alle eerlijkheid, als jij een 2FA-code had gesocialengineered van Odido, precies rond de tijd dat Odido via social engineering gehacked is... zou je dan niet al lang en breed naar de politie zijn gegaan om ze te vragen eens heel erg goed naar je werkgever te kijken, just in case?

Ja, in theorie zou de eigenaar van die stem onschuldig kunnen zijn, dus het is goed dat de politie voorzichtig is. Maar persoonlijk ben ik veel bezorgder over mensen met bijna-dezelfde stem (een onoplosbaar probleem; dat zullen er hoe dan ook een boel zijn) dan het risico dat uiteindelijk blijkt dat deze verdachte niets illegaals heeft gedaan.
zorgt er niet voor dat de persoon ook maar aantoonbaar direct verantwoordelijk is voor het publiek maken, of er weet van had dat dit zou gebeuren.
Als iemand aan het phishen gaat, dan is ie misdadiger. Of het nou de bedoeling is om data te stelen die voor losgeld gebruikt kan worden (en dus potentieel gepubliceerd "moet" worden als er geen losgeld betaald wordt) of voor een ander doel (waarbij de data nooit gepubliceerd wordt), het blijft een misdaad.
Daarbij is openbare opsporing is geen middel om een persoon publiek aan de schandpaal te zetten. De politie hoort dat alleen in uiterste gevallen te doen, als ze er zelf niet meer uit komen.
Helemaal mee eens.
Daar komt in dit geval nog bij dat het bedrijf een wettelijke plicht had om de gegevens tegen dit soort criminaliteit te beschermen. Dat is duidelijk niet behoorlijk gedaan. Dat maakt de verdachte niet zomaar alleen verantwoordelijk.
Helemaal niet mee eens. Als jij een 1-euro slot uit de koopjeshoek op je voordeur zet, dan ben je misschien dom / naïef / blut, maar je bent niet medeverantwoordelijk als ik daardoor je hele huis leegsteel.

Zijn er situaties waarin ik het wel eens ben met een variant op jouw redenatie? Ja, de cameraman die wat beelden schoot bij Defensie en daardoor het wachtwoord voor een NAVO videovergadering liet uitlekken, die heeft wat mij betreft niets fout gedaan, omdat ie niet opzettelijk probeerde om iets te lekken. Maar deze jongens waren willens en wetens beveiligingen aan het breken. Dat is puur en alleen hun eigen verantwoordelijkheid. Met jouw redenatie zou bijvoorbeeld elke geslaagde bankroof mede de schuld van de bank zijn.
Wat betreft het niet eens zijn met de mede-schuld van het bedrijf als omstandigheid: je negeert dat bedrijven wettelijke plicht hebben dit soort phishing te voorkomen. Men is in wettelijke overtreding als ze zich slachtoffer laten maken. En zeker dit soort social engineering is juist een bekende vorm die niet zomaar even zwaarder richting de verdachte kan wegen als een bedrijf zich daar onvoldoende tegen blijkt te beschermen. Het zal dus meegewogen moeten worden in de ernst van wat bewezen kan worden. Niet in wat we slechts vermoeden (of naar toe denken).

Het is de verantwoordelijkheid van de samenleving om niet zomaar verantwoordelijkheid op één verdachte proberen te projecteren omdat het voor een eigen selectieve meningen of vermoedens handig uit komt. En dat gaat dus niet alleen op als mensen een verdachte alvast aan de schandpaal wil hebben, maar ook als we het niet zo nauw willen nemen tussen beschuldigen van feiten en wensdenken. Het is geen feit dat als jij een bedrijf telefonisch belt zodat er toegang voor onbevoegden ontstaat je dus maar duidelijk ook verantwoordelijk bent dat een ander besluit alle gegevens publiek te maken. Daar is bewijs voor nodig. Bewijs dat we hier niet lezen. En dan horen we niet zomaar van meer te beschuldigen dan bewezen kan worden. Bij strafrecht gaat het om waarheidsvinding, niet slechts het opkomen van belangen van slachtoffers of van de politie. Er hoort dus ook niet zomaar geredeneerd te worden vanuit verdenking, zoals je in het begin van je reactie doet.
Ik denk dat er twee dingen door elkaar lopen:
  • Heeft Odido gefaald (en verdienen ze daar een boete of iets dergelijks voor)?
  • Heeft het falen van Odido invloed op "hoeveel schuld" de aanvallers hebben (allemaal samen, niet alleen de beller) en/of zouden ze strafvermindering moeten krijgen omdat Odido de boel beter had moeten beveiligen?
Het eerste vind ik een prima vraag en daar zou best "ja" uit kunnen komen. Maar het tweede is (zowel volgens mijn gevoel van ethiek als volgens mijn kennis van Nederlands recht) een heel duidelijk "nee".
Daar is bewijs voor nodig. Bewijs dat we hier niet lezen.
Om misverstanden te voorkomen / corrigeren: ik stel niet voor om de rechtszaak over te slaan. Uiteraard moet een rechter dit allemaal officieel beoordelen en vaststellen. Maar als ik overal en nergens "als in de uiteindelijke rechtszaak (en het hoger beroep en de cassatie en ...) door de rechter(s) wordt vastgesteld dat X inderdaad het geval is en dat er geen verzachtende omstandigheden zijn en ..." toevoeg, dan wordt mijn post er niet leesbaarder op.

Met "Als iemand aan het phishen gaat, dan is ie misdadiger." bedoel ik (nogal tautologisch) dat degene die de misdaad pleegt een misdadiger is. Of de verdachte die in de rechtszaal staat ook echt die dader is, dat moet de rechter vaststellen, sure. Maar mijn uitspraak gaat over de feitelijke dader, los van hoe we achteraf vaststellen wie dat is.
Maar het veel belangrijkere punt: ik zie niet hoe het relevant is of iemand weet dat de gegevens waar ie zich naartoe hackt door zijn opdrachtgever / collega openbaar gemaakt gaan worden. Zelfs als ie dat niet weet (en zelfs als we niet stilstaan bij de vraag wat voor ander doel er zou kunnen zijn) dan nog is puur en alleen het toegang verkrijgen tot die gegevens meer dan overduidelijk illegaal.
Ik stel nergens dat personen die deze verdachte graag als dader beschouwen, deze voor zaken meer verantwoordelijk wenst te houden dan bewezen kan worden en feiten over de omstandigheden gaan negeren en verdraaien, om de rechten van de verdachte maar minder belangrijk te zien maar geen proces via de rechter willen. Wel dat al dat selectief gedrag niet past binnen onze rechtsstaat. Er is niets ethisch aan om over een verdacht maar te doen alsof deze dader is omdat het eigen belang goed uit komt, van meer te beschuldigen dan aantoonbaar is omdat het voor eigen belang goed uit komt, omstandigheden niet objectief beoordelen om alleen maar kwaad te spreken over een verdachte alsof dat recht doet. Dat is de discussie die ik voer.

Als we jou redenatie volgen en jij bent (zoals ik al eerder als voorbeeld gaf) de persoon die belde (of lijkt er in stem op) dan stel je, zoals ik je reactie lees, dat je door anderen maar van alles beschuldigt moet kunnen worden om de rechten weg te wuiven, om privacy sterk aan te tasten en aan de schandpaal te zetten tot een rechter een oordeel geeft (of het tegendeel van de selectieve beweringen blijkt). En voor je nu gaat stellen dat het genuanceerder ligt, je komt zelf niet inhoudelijk met duidelijk objectieve argumenten. Het redeneert de kant van dader op via het principe waar rook is is vuur en dat het naast een groot vuur zal dus de rook daarvan zal zijn. Het klint als een dader, het onderzoek gaat om het vinden van de dader, we willen vraag een dader veroordelen, het zal de dader wel zijn. Als het kortzichtige problemen geeft zien we het dan wel weer.
de persoon die belde (of lijkt er in stem op)
Dat zijn twee compleet verschillende dingen, wat ik hierboven ook expliciet zeg. Dat je die nu terug op één hoop gooit maakt de discussie alleen maar nodeloos chaotisch.

Van de rest van je verhaal begrijp ik niet wat je probeert te zeggen, maar het klinkt alsof je mijn post ook niet begreep, dus misschien is het beter om er maar een punt achter te zetten.

Edit:
Nee, dat zeg ik dus absoluut niet. Als je het voor elkaar krijgt om mijn post zo slecht te lezen dat je dat eruit haalt, dan ben ik er klaar mee.

[Reactie gewijzigd door robvanwijk op 12 juli 2026 15:19]

Je ontwijkt gemakkelijk opmerkingen en argumenten als het je niet uit komt. Het NRC heeft dit weekend een artikel wat goed laat zien welke ernstige gevolgen er kunnen zijn als we door (on)bewuste kokervisie vooral eigen belangen na streven en selectief een verdachte najagen alsof die als enige verantwoordelijk is voor al de gevolgen. Als mensen geen belang (willen) zien in objectiviteit en de rechtsstaat vooral in hun eigen voordeel (proberen) toe (te) passen.
Jij ken ook niet lezen hè, een verdachte is geen synoniem voor een dader. @kodak legt het netjes en correct uit.

Als de politie haar niet aan de juiste (juridische) stappen houdt wordt dit in de rechtszaal gebruikt en krijg je mogelijk ook nog vrijspraak omdat er procesfouten zijn gemaakt.

[Reactie gewijzigd door GerritGekke op 9 juli 2026 11:03]

En toen bleek zijn stem toevallig wel heel erg op de jouwe te lijken... Collega's horen het en denken jou te herkennen, en je werkt misschien in IT dus aha denken ze, dat is hem! Ze melden je bij de politie en die gaan je onderzoeken. Daar blijkt misschien wel uit dat jij het niet was, of ze kunnen het niet bewijzen (want ik ga er even vanuit dat jij het niet was)... Dus het onderzoek stopt, maar het was ondertussen wel heel vervelend voor jou en je collega's hebben toch hun twijfels over je onschuld en blijven je scheef aankijken...

Denk je nog steeds dat ze die opname gewoon meteen online moeten knallen?
Het nujij gehalte van deze comment sectie ligt erg hoog
Nee, er zitten hier teveel mensen die het opnemen voor de daders.
want als iemand een moord pleegt geven we hem ook de doodstraf? Het feit dat iemand iets verkeerd doet betekend in NL niet dat we datzelfde terug mogen doen.
Kan ook zijn dat ze hem al op het spoor zijn en hem proberen een reactie uit te lokken terwijl ze hem onder surveilance hebben. Op die manier meer bewijs verkrijgen, gebeurt ook regelmatig bij opsporing verzocht.
Ik denk dat het ook een kans inschatting is:

- Hoe groot is de kans dat de stem geidentificeerd kan worden als we hem publiceren
- Hoe groot is de kans dat iemand zichzelf meldt
Blijkbaar wel. Zou mij niet verbazen

Gebeurt wel vaker dat criminelen beter worden beschermd dan slachtoffers.
Je weet niet wat de achtergrond van deze persoon was om hier aan mee te werken. Wellicht was hij onder druk gezet, minder toerekeningsvatbaar vatbaar of had een pistool tegen zijn hoofd (waarschijnlijk figuurlijk dan …). Je kan er niet zomaar vanuit gaan delay de persoon het meesterbrein achter de operatie is maar gewoon een ingehuurde tussenpersoon. Om dus inderdaad zijn privacy te beschermen zullen ze de stem niet zomaar delen maar nu dus daarmee dreigen en hopen dat het niet nodig is.
Dit zal niet (enkel) om de privacy gaan.

De stem stem zal ook op die van tientallen/ honderden andere personen lijken die daardoor meteen als verdachte worden gezien.
Je hebt tegenwoordig een helehoop idioten die zich bij de flinterduntse aanleiding geroepen voelen om eigen rechter te spelen. Je zal hier maar niets mee te maken hebben, maar omdfat je stem enigsinds op deze persoon lijkt een paar cobra's door je brievenbus krijgen, terwijl je kinderen daarboven liggen te slapen.

Op deze manier is er een kans dat de de persoon zichzelf meldt (waarschijnlijk een crimineel meesterbrein die denkt dat hij zich er wel uit kan lullen met een slap verhaal van een bandje inspreken voor een een tientje), voordat ze het risico nemen om de opname vrij te geven.
Maar de kans dat het niet wat opleverd is toch ook aanwezig? Dus nu zeg je dit zodat de persoon zich eventueel meldt. Doet hij dat niet dan kun je het altijd nog bekend maken.
Kortom slim gespeeld, wie weet meldt hij zich nu wel uit angst.
Het is voor de politie gewoon veel gemakkelijker en sneller als de persoon zich zelf meldt. Anders zal de politie weer veel recherchewerk moeten doen om achter de identiteit van die persoon te komen.
Odido had gewoon moeten betalen.

Shinyhunters heeft ze de mogelijkheid gegeven om te betalen zodat de gegevens van alle gedupeerde niet op straat zouden komen te liggen.


Had Odido betaald hadden ze echt niet alle gegevens vrijgegeven. Ze zijn niet gek he, hadden ze dat na betaling wel gedaan dan hadden ze bij een volgende hack geen vertrouwen meer en krijgen ze nooit meer iets.


Odido heeft in deze verzuimd !!!
Het is toch best wel een beetje dom om geen stemvervormer te gebruiken?
Beetje ongeloofwaardig als je een stemvervormer gebruikt en claimt van IT te zijn.
Met AI kan je ook een stem maken zonder dat iemand het door heeft tegenwoordig. Probleem is dan met name. Hoe reageert de ander. Immers AI stemmen van te voren opnemen en afspelen is makkelijker dan in reallife alles gaan lopen doen. Dat er dan wat fout gaat is de kans veel groter op.
Of je gebruikt gewoon een real time AI voice changer zoals https://voice.ai/ai-voice-changer
hij is nog niet opgepakt, dus in die zin alsnog goed gedaan toch_? daarnaast heeft hij natuurlijk van de Proxy VOIPs gebruikt, om zijn eigen trace zo min mogelijk te achterhalen! zo dom is dat niet.
Ja, precies. De vraag is dus of dit wel de persoon is die daadwerkelijk heeft gehackt of dat deze persoon is afgeperst en onder dwang heeft gehandeld. Voordat we met z’n allen aannames doen, is het belangrijk ons te realiseren dat er ook heel andere scenario’s kunnen zijn die verklaren waarom het op deze manier is gebeurd.
Wat ik me ergens afvraag, zou iemand van het SOC bij Odido al de moeite hebben genomen om de gelekte dataset te vergelijken met een dataset van rond het moment van de hack?
Ik kan me ergens inbeelden dat er misschien wel enkele regels uitgefilterd of aangepast zijn voordat de lijst publiek is gezet. De dataset bevat natuurlijk van heel erg veel Nederlanders de gegevens, en als er een of enkele Nederlanders betrokken zijn bij de hack, wellicht zijn ze zo onverstandig geweest om hun eigen gegevens er eerst nog uit te filteren of aan te passen, alvorens te publiceren. Lijkt me ergens nog best de moeite waard om te checken, als ze dat niet al gedaan hebben. Hoeveel moeite zou dit ze kosten?
En daar zou de betreffende persoon of personen niet aan gedacht hebben?

Dan haal je 100k random personen er uit en ben je dus nog niet te vinden…… maar goed, het is te proberen.
Heeft dit zin dan? Uiteindelijk is de data evengoed al bekend bij Odido dus de gegevens uit de database heeft weinig zin (sterker nog het zou dus juist een aanwijzing zijn). Tenzij ze de gegevens oik bij Odido gewist hebben maar dan zal vergelijken ook niet helpen. Daarnaast is de database gewoon groot genoeg om verborgen te blijven. En mocht de politie een naam hebben zal de adres ook wel bekend zijn.

De enigste situatie waar ik van kan bedenken dan het nut zou kunnen hebben is als als we weten wie de daders zijn, dat iemand de database download en recht in eigen handen wil nemen. Maar waarschijnlijk heeft de politie de daders dan al of heeft de politie de naam / foto bekend gemaakt omdat ze waarschijnlijk gevlucht zijn en heeft het geen zin om de huidige adres te gaan. En in geval zoals nu dat ze de stem zouden vrijgegeven en je zou de stem herkennen is de kans ook al groot dat je weet waar die woont.
Wellicht heb ik me dan niet juist uitgedrukt/uitgelegd, want het is een korte zoekslag die *wellicht* wat kan opleveren aan informatie (ook potentieel valse informatie door extra regels te hebben verwijderd natuurlijk).
Wat ik bedoel is: de inhoud van de dataset die naar buiten is gebracht, is bekend. Deze kan mogelijk door ShinyHunters zijn aangepast, alvorens zij deze publiekelijk hebben gedeeld.
Odido heeft in haar eigen systemen ook deze dataset, eventueel nog van een backup die niet door de hackers kan zijn aangepast/aangetast (uitgaande van dat ze dat goed hebben geregeld).
Als je dat als basis gebruikt, en vervolgens alle regels die in de door ShinyHunters gedeelde dataset staan, verwijdert, houd je *mogelijk* (kleine kans, maar niet geschoten is altijd mis) nog wat regels over. Die zijn voor het onderzoek vervolgens interessant om te bekijken. Dat zijn regels die de hackers dan mogelijk hebben verwijderd uit hun dataset, om mogelijk gegevens te verhullen, waarin wellicht gegevens van de hackers zelf

Mijns inziens een prima onderzoeksvraag om even uit te lopen. Heel veel werk kan dat niet zijn, twee (zij het redelijk grote) datasets met elkaar vergelijken. Baat het niet, schaadt het niet.
Ik snapte zeker wel wat je bedoelde. Ter bescherming van hun vrienden hun data verwijderen. Ik denk alleen dat dit zinloos is. Het Odido-datalek (inclusief Ben hack) treft in totaal 6,5 miljoen Nederlanders.zoals je al zegt (en wat ik ook zei) Odido heeft nog steeds de gegevens mits die niet gewist zijn. Dus wissen van de gegevens in de dataset heeft geen zin want je beschermd niemand er mee sinds Odido het nog steeds heeft. Mocht de politie überhaupt achter een naam komen is de kans al aanwezig dat de politie al weet waar ze wonen zonder de database nodig te hebben. Maar zelfs al zou de politie Odido voor informatie vragen (zoals bijvoorbeeld laatste bekende bankrekening) dan zal Odido dit doen vanuit hun database en heeft wissen nog steeds geen zin gehad. Of ze hebben het ook bij Odido gewist en zal vergelijken hetzelfde dataset opleveren.

De enigste bescherming die ik dus zie zou dus persoonlijke wraak zijn van iemand maar dan heb je dus wel een naam nodig. En tegen de tijd dat het publiek een naam weet is die of al opgepakt of gevlucht.

Nu kan het,zoals je zei, natuurlijk zeker geen kwaad om de dataset te vergelijken. Ik verwacht alleen niet dat dit een succes zal zijn.
Het echte probleem is dat we inmiddels 6 maanden verder zijn, en er nog geen enkele duidelijk wordt gegeven hoe de regels omtrent persoonsgegevens en de toegang daar toe wordt veranderd om te voorkomen dat dit ergens anders nog eens gebeurd. Er wordt veel te veel vertrouwd op het zelfregulerend vermogen van bedrijven. De kennis binnen de overheid is te summier. De financiering van de controlewaakhond is te laag. En het bureaucratische systeem doet er veel te lang over om te reageren. Maar als belastingbetalers is inmiddels wel bijna de halve Nederlandse economie belast om de ineffectieve molloch dat de Nederlandse bureaucratie is te financieren.

Er wordt veel te veel geld uitgegeven aan nice to haves en veel te weinig gedaan aan de basis.
Ik denk dat je hier een aantal nuances negeert:
  1. Het feit dat een hackergroep ervoor kiest een voor hen risicovolle social engineering vector toe te passen is een voorzichtig pleidooi voor dat (een groot deel van) de basis reeds op orde was.
  2. Wat 'de basis' moet zijn is niet af te dwingen en kan niet anders dan per situatie en risicogebaseerd beoordeeld worden, omdat deze de hele tijd veranderd.
  3. Er is en komt meer strengere wet- en regelgeving op het gebied van informatiebeveiliging, wat een 'basis' kan vormen om bedrijven in het algemeen en bestuurders hoofdelijk aansprakelijk te stellen.
  4. 100% veilig is 100% onhaalbaar: ondanks alle (wettelijke) maatregelen, worden in ons land nog steeds banken overvallen, sterven honderden mensen per jaar in het verkeer en hebben we af en toe geen water en stroom en zitten gevangenissen overvol. Allemaal helemaal niet goed, maar extra maatregelen hebben ook nadelen die mogelijk meer ellende veroorzaken. Niks is gratis.
  5. Bedenk dat jij de vrijheid en mogelijkheden bezit om het zelf beter te doen dan onze overheid. En klagen over de iverheid lost niks op, maar de oplossingen uitwerken en proberen te implementeren wel.
Het spijt mij, maar dat beschermen van de privacy van daders, excuses verdachten die duidelijk daders zijn, moet eens stoppen hoor.
Gedraag je je niet? Dan lever je gewoon rechten in, heel simpel.
Een beetje populistisch en ongenuanceerd, hoor. Ik vind het maar wat prettig dat ook een politie of OM erg terughoudend is in dit soort gevallen, want:
  1. het is niet voor niks dat in onze democratie er een rechtelijke macht bestaat;
  2. je gaat _totaal_ voorbij aan de impact van de precedentwerking van privacyrechten ontnemen van verdachte. Op basis van jouw retoriek is de hele toeslagenaffaire mogelijk geworden "had je maar niet moeten frauderen".
Ik ben best blij met hoe ons landje werkt. Koesteren die hap en juist populisme geen zuurstof gunnen!
Zoals vroeger, aan de schandpaal! ;) .
Glijdende schaal... Hoe duidelijk moet de verdachte de dader zijn om de rechten die een gewone verdachte heeft op te heffen.

Ik snap het gevoel. Ik krijg elke week meerdere fishing mails die (aantoonbaar) uit het Odido-datalek afkomstig zijn.
Er wordt ontzettend veel naar Odido gewezen in deze kwestie, en dat is ook terecht, maar ik mis wel in de hele discussie dat Salesforce ook meer kan doen om de toegang tot hun systemen veiliger te maken. Salesforce lijkt zich een beetje te verschuilen achter alle aandacht die naar Odido gaat.
Bij mijn weten heeft Salesforce al voor de hack bij Odido een werelwijde waarschuwing uitgestuurd. Maar ik ken de exacte tijdslijn van de waarschuwing en de hack natuurlijk niet.
edit:
Salesforce heeft een waarschuwing uitgestuurd voor de hackmethode die bij Odido is gebruikt op 30 januari 2026. Deze waarschuwing betrof een nieuwe golf van social engineering-aanvallen, waarbij aanvallers zich voordeden als de IT-afdeling om inloggegevens en MFA-codes te stelen of gebruikers te verleiden malafide apps toe te staan. De inbraak bij Odido vond kort daarna, begin februari 2026, plaats.
Bron: Security.nl

[Reactie gewijzigd door xxs op 9 juli 2026 12:00]

Odido is zoiezo verantwoordelijk voor de data, ook als de configuratie van saleforce suboptimaal was geweest had Odido zijn due diligence moeten doen op basis van requiremens en verificatie voor een dergelijke tool. Wij (als consument) vertrouwen vertrouwelijke gegevens to aan deze partij, hoe ze dat intern opslaan is hun verantwoordelijkheid.

> Mijn Odido abbo's zijn inmiddels opgezegd (als het kalf verdronken is, maar toch).
Ik heb destijds een ook hide-my-email gebruikt voor de aanmelding. ik krijg heel veel spam op dat adres nu, tandarts rekeningen (fake met tikkie.me link), ICS pinautomaat helpdesk (heb geen pinautomaat), vreemde marktplaats achtige vragen over puzzels 8)7 ( ik puzzel niet)
Als zijn e-mail of telefoonnummer bekend word ga ik hem voor zo veel mogelijk nieuwsbrieven en spam-callers aanmelden. Kijken of hij het leuk vind. :)
In de bak gaat hij/zij daar weinig last van hebben ... :+
Ik denk dat er tussen die 6 miljoen mensen waarvan data op straat ligt er ongetwijfeld 1 zit die wel wat meer gaat doen dan dat. Zodra er een 100% match is met een persoon nadat de stem is vrijgegeven wordt de jacht geopend vrees ik. Dus beter gaat deze persoon zich gelijk melden om erger te voorkomen.
Dit soort tuig moet je gewoon jaren gevangenisstraf geven.
Ik vind zelf een van de punten uit de FAQ van Odido wel typerend:
"Can you tell us more about the security measures you’re implementing?
For safety reasons, we cannot disclose exactly what we are doing to further strengthen and protect our systems. "

Security through obscurity. Ze hebben daar echt experts in dienst blijkt wel... /sarcasme
Dit is vrij standaard.
Obscurity betekend niet direct "security trough obscurity".

Het doel is dat je beveiliging op orde is zonder obscurity, en daar voeg je dan nog obscurity bovenop.
Al geven de expert aan dat obscurity niets toevoegt. Diegenen waar je daadwerkelijk last van hebt prikken dwars door die obscurity heen.
Obscurity reduceert het aantal aanvallen. Het maakt niets veiliger, maar wel minder waarschijnlijk. Obscure iets genoeg en dan zullen alleen de meest vastberaden mensen het lukken. Al vliegt dat hele concept uit het raam met de komst van AI.

[Reactie gewijzigd door Memori op 9 juli 2026 17:44]

Daarin deed een Nederlandssprekende man zich voor als een ict'er van Odido.
Tegenwoordig, of binnenkort, kan AI zo goed en snel live automatisch vertalen dat je er niet meer vanuit kunt gaan dat als je een Nederlandssprekende stem aan de telefoon hoort, de persoon die je aan de lijn hebt daadwerkelijk een Nederlander is.
Live door een mens niet nee, maar achteraf of door een systeem heel goed. Aan de waveform is nog goed te zien dat hij gegenereerd is. Wellicht dat dat op een gegeven moment ook lastig wordt, maar dat duurt nog wel even.

[Reactie gewijzigd door Defspace op 9 juli 2026 09:54]


Om te kunnen reageren moet je ingelogd zijn