Hackers stelen data van Nederlandse en Belgische klanten Lidl-webshop - update

Hackers hebben gegevens van Nederlandse en Belgische klanten van de webshop van Lidl gestolen, meldt de winkelketen. Het gaat om voor- en achternaam, telefoonnummer, e-mailadres, geboortedatum en klantnummer. De aanvallers hebben geen wachtwoorden, adressen of bankgegevens buitgemaakt.

Lidl zegt op zijn Nederlandse en Belgische website dat het datalek optrad bij een van zijn IT-dienstverleners. Daardoor kregen hackers kort toegang tot 'een apart opgeslagen bestand met klantgegevens'. Lidl weet niet van hoeveel klanten de aanvallers precies data hebben gestolen.

De dienstverlener heeft volgens Lidl stappen ondernomen om de beveiliging van de getroffen systemen te herstellen. Ook heeft het IT-bedrijf aangifte gedaan. Lidl heeft de Nederlandse Autoriteit Persoonsgegevens en de Belgische Gegevensbeschermingsautoriteit geïnformeerd. Het is niet duidelijk of de hackers ook data van klanten uit andere landen hebben gestolen.

De supermarktketen waarschuwt dat oplichters de gegevens kunnen gebruiken voor phishingpogingen of identiteitsfraude. Lidl roept mensen daarom op om alert te zijn op onverwachte berichten en de echtheid van de afzender te controleren.

Update, 16.27 uur – In het artikel stond aanvankelijk dat het datalek alleen Nederlandse klanten treft, maar dat klopt niet. Het artikel is daarop aangepast.

Lidl stock. Bron: Christoph Schmidt/picture alliance via Getty Images
Bron: Christoph Schmidt/picture alliance via Getty Images

Door Imre Himmelbauer

Redacteur

10-07-2026 • 16:04

121

Submitter: Fidesnl

Reacties (121)

Sorteer op:

Weergave:

Dit is bijzonderder dan het lijkt. LIDL heeft veel IT capaciteit die ze ook aan externen aanbiedt. Je zou ze kunnen zien als een Europese mini Amazon. Het verwijzen naar een IT dienstverlener vind ik daarom opvallend.
Ook dit soort bedrijven maakt gewoon gebruik van saas software van derden , niks raars aan. Dat je zelf cloud infrastructuur aanbied betekend niet dat je al je gebruikte applicaties zelf maakt of host.
PaaS, IaaS is wat anders dan SaaS, ik denk dat de 1e 2 prima door Lidl zelf kunnen worden gedaan, maar voor de web frontends hebben ze misschien een SaaS leverancier ingeschakeld waar het lek bij iheeft plaatsgevonden.
Dat zal dan stackit zijn, van swartz digits. Dat valt weer onder dezelfde goep waar ook lidl onder valt, de swartz group . Voor lidl gewoon een andere partij.

Als we het grote boze internet mogen geloven.

[Reactie gewijzigd door syl765 op 10 juli 2026 16:13]

Dat is niet juist, je doelt op de Schwarz Gruppe.
Dat Lidl veel 'zelf' doet aan IT wil natuurlijk niet betekenen dat ze alles zelf doen. En aangezien het verschillende bedrijven zijn sluit het ook niet uit dat de webwinkels hier eigenlijk verwijzen naar een it-dienstverlener die van het zelfde moederbedrijf is.
Zijn Marketing Cloud klant, zou best kunnen.
Dat is bij meerdere bedrijven met IT capaciteit het geval. Verschillende onderdelen van Tata hebben zeer veel datalekken, cybersecurityproblemen en andere IT problemen. Een bekend voorbeeld is hun autofabrikant in Engeland, die weken moest stoppen door een cybersecurityprobleem en 2 miljard schade had! Terwijl ze al jaren hun cybersecurity- en IT diensten afnemen bij Tata Consultancy Services (TCS).

Ik ben zelf nooit een bedrijf tegengekomen dat positief was over TCS, maar ze blijven gooien.
Da's waar, maar IT capaciteit betekent niet dat ze ook alle software en diensten hebben / herbouwen of self-hosted hebben. Vaak zijn zaken als analytics, klantenservice, etc bij 3e partijen. Het zou ook marketing kunnen zijn.
Tja ik kreeg ineens meerdere bs mails binnen en ik heb een account bij Lidl dus tja daar heb ik mijn antwoord.

Tijd geleden al overal MFA op gezet het is niet 100% maar wel een extra drempel in vergelijking als je het niet doet.


wat mooi zou zijn als webshops auto keyroll kunnen doen , ik gebruik Bitwarden overal voor en ik heb tijd geleden iets gelezen dat er word gewerkt een een keyroll dat je dus auto je wachtwoord kunt aanpassen en dat het automatisch in je kluis ook weer word geüpdatet omdat de client het initieert, dat zou mooi zijn.
Waarom Lidl geboortedatum nodig heeft? Geboortedatum is telefonisch genoeg om bij dokters/ziekenhuizen enzovoort medische gegevens te krijgen.
En dan? Ik snap dat als je van een minister of een bner weet dat hij 2maanden geleden een soa heeft opgelopen hij chanteerbaar is, voor de meeste gevallen heb je vrij weinig aan de info.
Totdat je iemands mailbox hebt bemachtigd. Blijkt dat je ineens als nono ook erg interessant bent.

Als de gemiddelde mens info heeft waar je vrij weinig mee kunt. Waarom worden zoveel gemiddelde mensen dan slachtoffer? Lijkt mij dat jouw stelling niet klopt.
Mee eens, vaak wordt je geboortedatum gebruikt om aan de telefoon te valideren of je wel bent wie je bent. Heel jammer en ja ook banken doen daar aan mee.
Steeds meer banken gebruiken een notificatie in de app (van die bank) om te kunnen controleren of degene met wie je spreekt daadwerkelijk van de bank is.

Op die manier moet je dus in de desbetreffende app een goedkeuring geven om verder te gaan met het gesprek, vergelijkbaar met hoe je transacties goedkeurt.
Moet wel een simpele passfrase zijn

Niet ikbendemedewerkerdieuneteenverificatieheeftgestuurddatikcontactmetuopneemviahetbijonsbekendetelefoonnummer.
Ja klopt, ging laatst bij mij mis omdat een transactie in de phishing (oid) queue geplaatst werd. Niet alleen de transactie maar ook de app geblokkeerd. Blijft bellen met de bank over. Wat wilden ze van me weten? Juist geboortedatum. Nu was het alleen voor het eenmalig vrijgegeven van de app en niet meer dan dat, maar toch een bijzondere ervaring.
Kopen op afbetaling kan op basis van geboortedatum en adres. De boefjes bestellen en passen daarna snel het adres aan. Is me gebeurd. Dus ja, zeker dat ze iets met die data kunnen.
Toen ik net inlogde om te zien wat ik in mijn profiel heb staan zag ik dat ik nog met voornaam+achternaam@tuta te boek stond (onnodig, dus wil ik eigenlijk voor alle webshops wijzigen als ik eens tijd heb), maar toen ik dat wilde wijzigen werd dus idd om geboortedatum en jaartal gevraagd door LIDL (die ik kennelijk eerlijk heb verstrekt). En 2FA via sms.

Hebben ze niet veel mee te schaften wat mij betreft, maar als ik iets zou verzinnen qua geboortedatum, moet ik dat dus wel in de password manager opslaan dan. Met dit soort ellende zou ik eigenlijk dus ook niet willen dat ze mijn echte geboortedatum en mobiel nummer hebben. Vermoedelijk was dat de enige 2FA die ze aanboden, anders had ik wel authenticator gebruikt. :|

[Reactie gewijzigd door john milton op 10 juli 2026 18:04]

Interessant, ik heb even gekeken of ik mijn echte geboortedatum heb ingevuld, nee dus (had het eigenlijk wel kunnen weten, laatst een gratis chocoladereep gehad terwijl ik pas later dit jaar jarig ben).

Maar goed, deze had ik best willekeurig ingevuld, dus als ik die ooit nodig heb voor een wijziging moet ik eerst kijken wat het ook alweer was, omdat dag, maand en jaar alle drie niet kloppen. Nou ja, door dit geintje wéét ik nu dat ik maar wat heb ingevuld, en door jouw post weet ik dat als ik ooit in de toekomst een adreswijziging of zo wil doen ik eerst ff naar de ingevulde geboortedatum moet kijken. Thanx!

Wel jammer dat mijn echte geboortedatum door de Odido-hack al op straat ligt. Waarom bewaren al die KUT-bedrijven toch al die data die ze niet nodig hebben en ook niet beschermen??
Nou dat dus. Privacybeschermend handelen is leuk, maar je moet er later niet keihard tegenaan lopen en alleen via een afgrijselijke supportticket-procedure omzeilen dat je je fake geboortedatum niet meer weet. :P
Op je account krijg je op je verjaardag een cadeautje, volgens mij een chocolade reep oid (lidl plus)
Dat is van een week geldig daarom speel ik van met een paar dagen offset al dan niet een jaartje meer of minder
Alleen als je het aanzet ,anders no chocobar
Effectief houdt dit in dat lidl meer verdient aan jouw persoonsgegevens dan dat een reep chocolade ze kost. Een kinderhandt is snel gevuld...
Ik gok dat de persoonsgegevens van klanten voor hen weinig waarde hebben, in tegenstelling tot hun aandacht. Die aandacht is ze een hoop waard, want het is simpelweg veel goedkoper een klant te houden dan er een te moeten werven.
Dat een site een geboortedatum wil weten is (soms) te begrijpen, maar daar ga je toch niet je echte geboortedatum invullen?
Ik gok dat je een bepaalde leeftijd moet hebben om je te registeren bij Lidl. Je zou natuurlijk kunnen aanvinken "ik ben 18 jaar of ouder" of iets dergelijks, maar de meeste bedrijven vragen naar je geboortedatum.
Omdat je voor bepaalde bestellingen en betaalmethodes misschien 18 jaar of ouder moet zijn? Verder kan je natuurlijk altijd een "valse" geboortedatum opgeven bij dit soort websites.
Er zou een verplichting moeten zijn om geen geboortedata en telefoonnummers te registeren wanneer dat duidelijk niet nodig is. Ik erger me altijd aan het "voor het geval we vragen hebben over je bestelling". Dat gebeurd is mijn ervaring zelden tot nooit en als je niet opneemt dan blijkt een e-mail ook gewoon te kunnen. Dan denk ik beperk je tot achternaam, voorletters, email en adres en vraag een geboortedatum alleen als er relevante artikelen besteld worden waarvoor dat relevant is. De AVG kun je nu al zo interpreteren dat telefoonnummers in veel gevallen optioneel zouden moeten zijn, maar toch verplichten veel webshops het toch.

[Reactie gewijzigd door jumbos7 op 10 juli 2026 17:06]

Niets let je om een nep nummer in te vullen he, meeste bedrijven merken dat niet, gaat allemaal geautomatiseerd.

Voor webshops werkt dat prima, ik doe dat vaak wel maar helaas niet bij de Lidl.
Mijn nummer staat er waarschijnlijk dus ook wel weer in, maar al mijn gegevens lagen toch al op straat van die Odido hack.

Ik probeer me er maar niet te druk over te maken want je bent toch machteloos, als je iets wil bestellen bij een webshop zul je ze sowieso bijna al je gegevens moeten geven om het pakket op te kunnen sturen.
Ik gebruik een pseudoniem voor bijna alle pakketjes. Aparte email, naam, telefoonnummer, etc. Alleen adres is mijn echte.

De pakketbezorger weet inmiddels ook dat er twee mannen met verschillende namen op dit adres wonen.

Kan het iedereen aanraden.
Het probleem is dat die pakket bezorgers tegenwoordig maar 20 seconden blijven wachten omdat ze een belachelijk hoge workload hebben, vaak ben ik dan nog niet bij de deur.

Het gevolg is dat ik de pakketjes moet gaan halen bij een of ander pakket punt en daar legitimatie moet laten zien om het pakket te ontvangen.

Een andere optie is het laten sturen naar een kluisje, dat werkt wel min of meer anoniem maar kost wel extra geld tijd en moeite en kan alleen met kleine bestellingen.
Doe ik soms ook, maar ben er weleens door in de problemen gekomen omdat een pakketpunt het alleen aan de persoon op naam wilde meegeven. Alleen mijn voornaam was in dit geval anders, achternaam niet, dus na aandringen meegekregen. Was iets van minder dan dertig euro.
Doe ik ook, verzonnen naam, webshop.123456@passmail emailadres, nep telefoonnummer e.t.c. Tijdje terug nog een kwartier staan te hannesen met een dhl medewerker toen een pakketje van €25 ineens een handtekening vereiste om op te halen. Sorry meneer maar "verzonnen naam" zal toch echt zelf langs moeten komen en zijn ID laten zien
True, maar toen ik net voor de zekerheid mijn e-mail en wachtwoord wilde wijzigen, werd zowel naar geboortedatum als 2FA gevraagd, die ik (uiteraard?) had ingesteld. Dus lukraak iets invullen is ook niet echt een optie, als je ooit snel iets wilt kunnen wijzigen.

Een faked geboortedatum kun j ewel in je PW manager opslaan, maar met een 06 (als ze geen authenticator ondersteunen bijvoorbeeld) wordt dat al lastiger
Mijn naam is van een ander met een fake emailadres, ben geboren op de datum van mijn buurvrouw, mijn vast nettelefoonnummer. Mobiel nummer met perongeluk een verkeerd laatste nummer. 🫥
Door dit soort dingen gewoon niet te gaan gebruiken is waarschijnlijk effectiever dan extra regels en controles. Daarmee tref je ze meer. Maar goed, voor een euro korting geven heel veel mensen hun complete privacy op....
Sorry als dat effectief was waren er toch geen persoonsgegevens gelekt?

Voor bestellingen kan je vaak niet anders dan heel veel persoonlijke gegevens opgeven. Eigenlijk zou je een unieke code moeten kunnen opgeven die tijdelijk door bepaalde bedrijven omgezet kan worden in een echte naam en adres (pakjesbedrijven bvb).

Vaak geef ik zelf een onvolledig telefoonnummer en een valse naam/initialen op, maar je adres hebben ze natuurlijk sowieso.

We gaan veel te lichtzinnig om met persoonsgegevens en dat bedoel ik niet ieder voor zich, maar als samenleving.
Ik vul dan altijd 085-303 3033 in. Dat is een eindeloze telefoonboom met een hoge mate van humor, ideaal voor dit soort situaties. Als je wilt lachen zou ik er zeker zelf ook eens naartoe bellen.

[edit]
Meer info: https://aaas.tilaa.com/

[Reactie gewijzigd door NaoPb op 12 juli 2026 13:32]

Zojuist gedaan. Geniaal!! Deze gaan we bewaren, dank _/-\o_
Zomaar een nummer bellen omdat iemand 't heeft gezegd? Je klikt zeker ook op emails van Nigeriaanse Prince.
Of hij heeft het ingevuld in een zoekmachine en kwam uit bij Afschepen as a Service van Tilaa: https://aaas.tilaa.com/
Ik bedenk altijd: zal het ooit nodig zijn voor mijzelf, dat deze organisatie mijn geboortedatum weet? Behalve overheid, bank, sommige vervoersmaatschappijen, en gezondheidszorg heeft volgens mij geen organisatie dat nodig. Die krijgen dan 1 januari 2000.
Geboorte data is bij veel dingen verplicht aangezien je een aankoop mag doen van een bepaalde leeftijd. Daar zitten dus wettelijke bepalingen aan. Anderszijds zou je alleen in kunnen vullen in welk jaar iemand geboren is zonder de hele datum te hoeven hebben.
Dat ze je geboortedatum vragen nadat je een fles drank in je winkelwagen hebt gestopt en wilt afrekenen dat begrijp ik nog wel maar om het altijd te vragen en te verplichten ook al bestel je niets alcoholisch zou gewoon niet moeten.

[Reactie gewijzigd door jumbos7 op 11 juli 2026 14:25]

Stel je peuter logt in op de 2 of andere manier en drukt je winkelwagen door of besteld.


Dan heb je nog retourrecht. Oke. Maar de verzendkosten zijn voor de koper tegenwoordig. En toen was het een veilingsite, daar ga je soms al.

Als verkoper ben je deels aansprakelijk als je peuter of iemand anders dingen koopt en jij hebt als winkelier hier HELEMAAL niets tegen gedaan. En daarom is o.a die geboorte datum. ;) Ook voor vormen van identiteitsfraude overigens al snap ik dat dit juist ook de boel in de hand werkt
Het zou een wettelijk iets moeten zijn dat de gedupeerden een compensatie krijgen ipv door de staat dmv toezichthouder.
Ik zit hier helaas ook bij. Ik heb navraag gedaan welke partij het om ging en om welke gegevens. Dit willen ze in eerste instantie niet geven vanwege de "IT-security".

Ik heb ze gevraagd naar het echte zwaarwegende belang, gezien onder de AVG dit toch echt duidelijker onderbouwd mag worden.
Hoe ben je hierachter gekomen? Ik heb geen bericht maar sinds vannacht wel op meerdere websites mislukte aanmeldpogingen gehad.
Mailtje van Lidl in mn spamfolder.
Heb ook een mail van 14:02
Of een mailtje van de hacker 🤔
Nee, als CISSP weet ik wel waar ik op moet letten ;) Ik heb contact met een @lidl.nl adres. Niet via een webformulier.

[Reactie gewijzigd door Mimiix op 10 juli 2026 20:49]

Advocaat van de duivel hier:

Het kan best dat in de onderzoeksfase het juist in het belang van betrokkenen (slachtoffers) is om nog geen individuele verzoeken in behandeling te nemen, omdat hiervoor dezelfde kwetsbaarheid gebruikt moet worden.

Trouwens zijn jouw rechten uit de AVG beperkt door wat redelijkerwijs mogelijk is. Als ze nog in een soort lock-down zitten of overweldigd worden door soortgelijke verzoeken dan is dit antwoord niet eens een overtreding.

Ben wel met je eens dat ze daar op z'n minst wat meer over zeggen dan "omdat IT-security".

[Reactie gewijzigd door E!Ma0RB7 op 10 juli 2026 18:54]

Uiteraard. Overigens is na mijn "verzet" het doorgezet naar een andere afdeling. We gaan het zien.
Telefoon en geboortedatum heeft men helemaal niet nodig. Bedrijven moeten maar eens stoppen met onzinnige persoonsgegevens op te slaan.

AP doe je ding waar we belasting voor betalen.
https://www.lidl.nl/c/lidl-plus-privacy/s10008388?hidebanner=true

Wij hebben uw geboortedatum nodig, omdat voor de deelname aan Lidl Plus een minimumleeftijd van 18 jaar geldt (zie Paragraaf 2 van de deelnamevoorwaarden) en omdat voor bepaalde producten (zoals alcoholische dranken)de wettelijke leeftijdsgrenzen moeten worden gecontroleerd.

Je zou zeggen, een boolean volstaat omdat je helaas niet jonger kunt worden ;-) , maar kan best zijn dat ze juridisch dit je geboortedatum moeten bijhouden.
Hun probleem is niet mijn probleem denk ik dan altijd, en vul vervolgens weer prachtig gefantaseerde waarden in.

Wat wel mijn probleem is dat ik geen enkel bedrijf dit soort informatie toevertrouw en dat ik er vanuit ga dat alles wat je invoert op een dag op straat komt te liggen.

Helaas had ik bij de Lidl hierin ook weer gelijk, ze zijn helaas ook niet de eerste
...en vul vervolgens weer prachtig gefantaseerde waarden in.
Graag stel ik mij even aan u voor: ik ben An Oniempje, geboren 1 januari 1970, woonachtig op Dorpstraat 1, 1234AB te Ons Dorp en ben telefonisch bereikbaar op 06 - 12345678.

Het feit dat dit praktisch geen problemen oplevert, is een pleidooi voor hoe 'noodzakelijk' deze gegevens werkelijk zijn.

Anekdotes:

Mijn kapper heet Robin. Ik maak altijd afspraken onder de naam "Batman". Kan ie wel waarderen.

Bij webshops waarvan ik verwacht dat het pakketje wel eens bij de buren aan kan komen, verzin ik random gekke namen en bel dan aan om te vragen of [gekke naam] thuis is.

Ohja, en als een webshop ruimte laat voor "Opmerkingen" dan ga ik helemaal los: van mopjes tot gekke instructies voor de koerier tot borderline absurdistische hersenscheten.

Je moet er gewoon een lolletje van maken...

[Reactie gewijzigd door E!Ma0RB7 op 10 juli 2026 19:13]

Dan is geboortejaar in de meeste gevallen voldoende.
Dat lidl alcoholische dranken verkoopt "online" moet lidl veriferen bij die klant ,niet generic

Simpel koop bij lidl 24 flessen wijn met pluskorting maar toch nog een leeftijds check ?
Je kan 17 zijn als je je aanmeldt en het jaar daarna mag je alcohol kopen. Dat vertelt die boolean je niet.
Gister voor de uitrijkaart van attractiepark Slagharen werd om alles gevraagd. Naam achternaam telefoonnummer en geboortedatum. Inderdaad wat een onzin.

Dat hebben ze dan ook gekregen 😇
"om fraude te voorkomen". _/-\o_
Dat was dan toch d.j trump 0612349876 25-12-0000
Ze weten dat er 1 bestand is buitgemaakt met gegevens. Ze weten wat die gegevens zijn (naam, telefoonnummer, klantnummer), maar ze weten niet om hoeveel klanten het gaat? :?
Is dat bestand soms dynamisch en verandert dat om de zoveel tijd?
Ja dat kan, als het een database is die kan met de dag verschillen. Het kan zijn dat men, of de woordvoerder, niet de logging heeft om daar iets uit te halen. Aan de andere kant is dit natuurlijk een standaard reactie..
Ja, zat later ook te denken dat ze geen aantallen willen noemen uit concurrentieoverwegingen of zo. Maar zeg dat dan in plaats van te doen alsof je niks weet.
Fijn he, eerst de bonuskaart, nu de Lidl app en kaart. Want anders krijg je geen kortingen op de aanbiedingen. Gelukkig bestaat de Plus en Aldi ook nog.
Geen last van, gebruik altijd randompluskaart of randombonuskaart bij de AH.

https://randompluskaart.nl/
Je hoeft het niet te gebruiken. Het is een keuze of je korting wilt krijgen in ruil voor je gegevens.
Ik krijg liever korting zonder dat dat hoeft. Vandaar dat ik de Plus en Aldi verkies.
Plus ja de duurste supert
Komkommer bij de Plus: 79 cent

AH: 1 euro
Je koopt dus alleen maar komkommers }>
Nee ik shop bewust. Vooral brood en bepaalde A merk artikelen pak ik bij de Plus omdat het daar goedkoper is. Voor de rest lekker naar de toko, markt en Aldi.
Mail ook gezien inderdaad. Omdat ik vele jaren geleden ooit een vervangende onderdeel nodig had voor een hogedruk spuit. Reminder; voortaan je account verwijderen (al biedt dat toch geen garantie, zie Odido).
Geen mail gekregen, misschien omdat ik nooit met een account bestel?
Morgen (11-7) precies 3 jaar terug een paar zigbee lampen besteld. Geen mail gehad. Niet van lidl en niet van een bot/scam whatever. En anders gaat mijn lidl@... alias naar de prullenbak verwijzen.
4 jaar geleden een TV besteld daar, mag hopen dat niks uitgelekt is (geen account).
Zelf heb ik nog geen email van lidl gehad.
het kan goed zijn dat ze dit nog moeten versturen ook naar mensen die niet getroffen zijn.
Beetje rare strekking.. snel de verantwoordelijkheid wegschuiven maar niet vertellen waarom dat bestand met klantdata bij een derde stond ?

Om te kunnen reageren moet je ingelogd zijn