Door Yannick Spinner

Redacteur

Feedback • 13-03-2026 09:45 126

Waarom 'Check je hack' slechts 1 keer je e-mailadres opzoekt in de Odido-dataset

13-03-2026 • 09:45

126

Titel

In de chaotische weken rondom het veelbesproken Odido-datalek heb je misschien eens geprobeerd om te controleren welke gegevens er van je uitgelekt zijn. De politietool 'Check je hack' is daarvoor een goed hulpmiddel, al merkten Tweakers-lezers op dat het oorspronkelijke mailtje naar slachtoffers een fout bevatte.

Toen die fout verholpen was, wilde Tweakers kijken wat er in het verbeterde mailtje stond, maar dat lukte niet. Uit een steekproef van de nieuwsredactie bleek dat hetzelfde e-mailadres niet meermaals gecheckt kon worden via Check je hack. Dat roept de enigszins ongemakkelijke vraag op: slaat de politie zomaar je e-mailadres op om te checken of je al eerder een hack hebt willen checken? Nou, nee. Althans, dat gebeurt niet zoals je zou denken.

Wat is Check je hack?

Check je hack is een tool van de politie waarmee gebruikers kunnen controleren of zij slachtoffer zijn van datalekken. Gebruikers voeren hiervoor hun e-mailadres in en krijgen dan via het betreffende e-mailadres een bericht als dat in het datalek voorkomt. Als het daar niet in staat, krijgt de gebruiker geen e-mail. De tool geeft alleen aan óf een e-mailadres in het datalek staat, niet welke andere gegevens van de gebruiker erin zitten. Dit komt doordat datasets vaak niet op die manier gestructureerd zijn. De politie kan dus niet zomaar alle relevante gegevens aan één e-mailadres koppelen.

De tool van de politie is de enige echt legale manier om te controleren of je bij een opgenomen datalek betrokken bent. Het downloaden van gestolen datasets die niet openbaar zijn is namelijk strafbaar. In principe moet iedere maker van een dergelijke tool de dataset dus eerst illegaal downloaden. Bekende vergelijkbare tools als Have I Been Pwned verkeren in een grijs gebied en dienen een groter maatschappelijk belang. Daarom wordt voor die tool een uitzondering gemaakt.

Politie kan niets inzien

De Nederlandse politie registreert dus op een of andere manier welke e-mailadressen al eens zijn ingevoerd door een Check je hack-gebruiker. Anders zou je immers de tool meermaals kunnen gebruiken met hetzelfde e-mailadres. Een woordvoerder van de politie bevestigt dit, maar benadrukt dat de organisatie niet kan zien welke e-mailadressen zijn gecheckt en ook niet welke adressen er in de dataset staan. Dat zou immers in strijd zijn met de gebruikersvoorwaarden van de tool. Hoe Check je hack dan toch kan controleren of je al ooit het e-mailadres hebt ingevoerd, heeft alles met het ontwerp van de tool te maken.

Check je hack

Hashing als hoeksteen

Check je hack berust namelijk op hashing, het met een algoritme in één richting omzetten van gegevens naar een niet meer herleidbare waarde met een vaste lengte. Met dezelfde input komt er bij hashing ook altijd dezelfde output uit. "De politie slaat alleen gehashte e-mailadressen op die zijn aangetroffen in de dataset [van een datalek]." Hierdoor heeft de politie in principe dus geen inzicht in welke gegevens er in de dataset staan.

Pepper en salt op je hash

Pepper en salt zijn niet alleen specerijen, maar ook een manier om hashbeveiliging wat extra pit te geven. Bij zowel salt als pepper wordt een waarde toegevoegd aan ieder te hashen gegeven.

Salten voegt een unieke waarde aan het te hashen gegeven toe. Daardoor leveren twee dezelfde waarden, bijvoorbeeld identieke wachtwoorden, na het hashen een andere output op. Pepperen is een extra beveiliging door ook nog een vaste waarde aan het gegeven toe te voegen.

De saltstring wordt aan een databaserecord toegevoegd, terwijl de pepperstring ergens buiten de database wordt opgeslagen, bijvoorbeeld in een trusted execution environment. Een pepper is dus geheim, de saltstring niet. Dat maakt beveiliging met peppers nog veiliger dan alleen met salts, omdat een eventuele inbreker in een database niet de pepper kan achterhalen, zoals dat met een salt wél kan.

Als een gebruiker zijn e-mailadres in de tool invult, wordt volgens de politie ook die input gehasht samen met een pepper, ofwel een geheime sleutel. Dit is een extra beveiligingsmaatregel: het toevoegen van een geheime waarde aan de gegevens, zodat de gehashte dataset door een eventuele kwaadwillende nog moeilijker terugvertaald zou kunnen worden.

Check je hack controleert vervolgens of het gehashte ingevoerde e-mailadres voorkomt in de gehashte dataset. Is dat zo, dan wordt er eenmalig een e-mail gestuurd naar het ingevoerde e-mailadres. Volgens de politie wordt dit nieuwe ingevoerde e-mailadres niet gelogd of opgeslagen. In de gehashte dataset wordt het genotificeerde e-mailadres wel gemarkeerd met 'true'. Hierdoor kan ieder adres slechts eenmalig worden gecheckt. "Door de politie is dus niet te achterhalen welk e-mailadres is genotificeerd."

Voorkomen van spambots

Het hashen van de gestolen dataset is een manier om de privacy van betrokken gebruikers te waarborgen. Om dezelfde reden stuurt de politie alleen een e-mail met de mógelijk gestolen informatie naar een Check je hack-ontvanger, niet de daadwerkelijke informatie die in de dataset staat. Datasets slaan vaak niet alle gegevens van één persoon gekoppeld op. Daarnaast voorkomt dit dat een kwaadwillende misbruik kan maken van de tool door een gecompromitteerd e-mailadres te gebruiken om meer gegevens van het slachtoffer te stelen.

De keuze om alleen eenmalig een e-mail naar ontvangers te verzenden en vervolgens het gehashte e-mailadres te markeren, is volgens de politie weloverwogen. "Het doel was te voorkomen dat er handmatig, of via een automatisch script, herhaaldelijk e-mailadressen ingevoerd konden worden die vervolgens zouden leiden tot spam-e-mails aan slachtoffers." Met andere woorden: de politie voorkomt zo dat Check je hack misbruikt kan worden als spamtool.

Odido-datalek Have I Been Pwned
Odido-datalek via Have I Been Pwned

Foute informatie in e-mail Odido-datalek

De keerzijde hiervan is dat, wanneer er iets fout gaat, de politie een gebruiker niet nogmaals kan inlichten. Precies dat probleem kwam onlangs aan het licht. De politie voegde begin maart gegevens uit het Odido-datalek aan de tool toe. In de aanvankelijke mail stond dat er wachtwoorden van klanten bij het datalek betrokken waren, terwijl dit nooit door Odido bevestigd werd.

Na vragen van Tweakers op basis van lezersfeedback veranderde de politie de tekst in de e-mail. Nu staat er in de toelichting: "Er zijn geen wachtwoorden gelekt van de Odido-website; wel is er een klantcontactveld gelekt waarin klanten wellicht toch hun wachtwoord hebben opgegeven."

Slachtoffers die de aanvankelijke mail hebben ontvangen, denken dus mogelijk dat er meer gegevens van ze gestolen zijn dan werkelijk het geval is. In de verbeterde e-mail staat de volledige context, maar die kunnen slachtoffers die de tool al gebruikt hebben in principe niet meer ontvangen. Waarschijnlijk zijn diezelfde slachtoffers overigens ook ingelicht door Odido of Ben en gelukkig kunnen zij dezelfde informatie ook nog ontvangen via Have I Been Pwned.

Redactie: Yannick Spinner • Eindredactie: Marger Verschuur

Lees meer

2 mrt 2026

Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

309

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

299
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update Nieuws van 3 maart 2026
Beveiliging en antivirus Privacy Datalek hash Nederland Politie

Reacties (126)

-Moderatie-faq
126
126
69
5
0
51
Wijzig sortering

Sorteer op:

Weergave:
doeternietoe 13 maart 2026 09:59
De keuze om alleen eenmalig een e-mail naar ontvangers te verzenden en vervolgens het gehashte e-mailadres te markeren, is volgens de politie weloverwogen. "Het doel was te voorkomen dat er handmatig, of via een automatisch script, herhaaldelijk e-mailadressen ingevoerd konden worden die vervolgens zouden leiden tot spam-e-mails aan slachtoffers." Met andere woorden: de politie voorkomt zo dat Check je hack misbruikt kan worden als spamtool.
Het was dan m.i. logischer geweest om het checken van een e-mailadres eens per etmaal te blokkeren. Dat is technisch mogelijk door de datum toe te voegen aan de input van de hash. De hash verandert dan elke 24 uur, zodat je na verloop van max. 24 uur opnieuw aan aanvraag zou kunnen doen. Dat is dan met behoud van alle voordelen van de nu gekozen benadering en zonder het nadeel dat als er iets fout gaat je de aanvraag niet opnieuw kunt doen.

Uit de beschrijving meen ik op te kunnen vatten dat de politie vooraf één grote lijst met salted hashes heeft gemaakt en per hash "afvinkt" of deze al gechecked is. Bij mijn voorstel maak je per datum in de nabije toekomst (zeg: een jaar) een unieke hash en vink je eveneens per hash af of deze al gebruikt is. Je lijst met hashes neemt dan met factor 365 toe, maar die extra belasting is voor elke moderne server gerommel in de marge. Edit: eens per etmaal de "vinkjes" verwijderen,een variant op het voorstel van ytterx onder mij, zou in principe ongeveer hetzelfde effect hebben en is nog simpeler.
Waarschijnlijk zijn diezelfde slachtoffers overigens ook ingelicht door Odido of Ben
Overigens vind ik dat er te weinig aandacht is voor het feit dat Odido nog steeds niet alle in de dataset aanwezige mailadressen heeft gemaild. Sinds de publicatie van de eerste subset van gelekte gegevens ontvang ik bijna dagelijks spam op een e-mailadres dat ik specifiek voor (destijds) t-mobile heb aangemaakt. Ik weet dus 100% zeker dat dit e-mailadres in het lek zit en toch heeft t-mobile mij nooit op dit adres geïnformeerd.

Edit2:
Zojuist heb ik het bewust e-mailadres ingevoerd in de tool van de politie. Er komt vervolgens geen mailtje. 100% zeker gelekt, geen proactief mailtje van Odido en geen melding van de politie als ik het adres invoer. Het lijkt er dus op dat de politie gewoon één-op-één de interne door Odido gegenereerde mailinglijst heeft overgenomen, maar niet de moeite heeft genomen om zelf de gelekte gegevens te downloaden. Wat een puinhoop ...

De keuzes die de politie maakt bij deze tool helpen ook niet echt. Bijvoorbeeld:
Als uw gegevens niet voorkomen in de datasets, ontvangt u geen e-mail van de politie. Dit doen we om misbruik van de checkfunctie te voorkomen. Zo voorkomen we bijvoorbeeld spam, dat u ongewenste mail krijgt.
Het betekent ook dat als ik na invoer van mijn mailadres geen mailtje terug krijg ik moet gokken of er iets is blijven steken in bijvoorbeeld een spamfilter of dat ik werkelijk niet getroffen ben.

En check deze pracht van een redenering:
Waarom stuurt de politie geen bericht naar alle slachtoffers uit de dataset?

Zolang de kwaadaardige software op uw computer staat, hebben criminelen mogelijk toegang tot uw wachtwoorden. Ook kan het zijn dat de criminelen een update krijgen van uw wachtwoord nadat u dit hebt aangepast. Dat betekent dat zij in theorie ook uw inbox kunnen bekijken en e-mails kunnen verwijderen.
Ok, dus met dezelfde redenering kunnen we bij een oorlog het luchtalarm wel afschaffen, want zodra we in oorlog zijn is het theoretisch mogelijk dat de sirene-installatie gebombardeerd is en dan hoort u ook niets. /s

[Reactie gewijzigd door doeternietoe op 13 maart 2026 10:53]

Reageer
CaptainKansloos @doeternietoe13 maart 2026 10:20
Ik snap niet zo goed waarom die 'smoke and mirrors' van de eenmalige e-mail noodzakelijk is. Bovendien wordt de uitgaande email in plaintekst gestuurd. Dan moet de mailserver geen logs bijhouden ofzo, anders is de hele database peppering een beetje zinsloos IMHO. Wat maakyt het dan nog uit of je een mail 1 of 100x naar hetzelfde adres stuurt (behalve dan ter voorkoming van overbelasting vd mailserver).

Maar goed; via relaying wordt er potentieel alsnog vanalles gelogt. Het komt op mij over als een enorme kasteelmuur aan de voorkant, met een klein, slecht bewaakt ophaalbruggetje aan de achterkant.Of maak ik hier een denkfout?
Reageer
ObsidianPrime @CaptainKansloos13 maart 2026 10:59
Die eenmalige email is ter bescherming van de gebruikers, niet van de politie, zoals ik hem lees. Ze willen voorkomen dat iemand gespamd kan worden vanaf een officieel politie kanaal. Als dat wel mogelijk zou zijn dan zou iedereen daar ook weer commentaar op hebben...
Reageer
supersnathan94
@ObsidianPrime13 maart 2026 13:03
Ze willen voorkomen dat iemand gespamd kan worden vanaf een officieel politie kanaal. Als dat wel mogelijk zou zijn dan zou iedereen daar ook weer commentaar op hebben...
Zeker, Maar dan is dit niet de oplossing. Daarvoor moet je ook allerlei andere zaken in de gaten houden, ook op je mailserver zelf. Want er maar vanuit gaan dat de aangeleverde mails altijd gefilterd zijn en je dus niet 100 mails naar hetzelfde adres stuurt in 1 batch is natuurlijk ook niet een best practice.


Dát er een cooldown op moet lijkt me evident. Dat dit niet de juiste oplossing is, is volgens mij ook wel duidelijk.
Reageer
ytterx @doeternietoe13 maart 2026 10:16
Of je leegt gewoon de database elke 24 uur?

Er is toch geen reden om de hashes te bewaren. Bij houden van hoeveel keer kan met 1 query voor het deleten..
Reageer
Alex3 @ytterx13 maart 2026 10:45
In elk geval zou die geleegd moeten worden als er een update plaatsvindt zoals begin maart is gebeurd.
Reageer
jorismathijssen @doeternietoe13 maart 2026 14:05
Hier ook geen mail ontvangen terwijl odido mij wel gemaild heeft. Zo tof werkt het niet.
Reageer
Floort 13 maart 2026 10:20
De Politie heeft best veel informatie die gestolen is door criminelen die niet in Check je Hack beschikbaar is. Om te beginnen bevat een dataset vaak meer dan alleen een e-mail-adres. Maar de Politie heeft ook best veel datasets die niet in de Check je Hack tool staan. Artikel 25 Wpg geeft je recht op inzage. Dat recht kan je uitoefenen via o.a. dit online formulier.
Reageer
MahRain 13 maart 2026 10:33
Krijgt Odido eigenlijk nog een boete?
Reageer
mjl @MahRain13 maart 2026 11:47
Dat moet nog onderzocht worden, ze krijgen pas een boete als blijkt dat ze nalatig zijn geweest in het beschermen van de data. Als ze gewoon voldaan hebben aan alle NiS2 eisen is het goed zo…
Reageer
MaltheseFalcon @mjl13 maart 2026 13:36
Waar baseer je dat op?
Reageer
Fish @MaltheseFalcon13 maart 2026 14:56
Echt een kut vraag van je

Wat je doet is gewoon zijn claim weerleggen. Met je eigen bronnen en dan geef je hem de kans om te reageren

Als odido aantoonbaar iedereen goed heeft geïnstrueerd in veilig gebruik en interactie zal de straf milder zijn dan andersom. dit gebeurd op elk niveau in een organisatie.
Reageer
MaltheseFalcon @Fish13 maart 2026 15:33
Ik weerleg helemaal niets. Ik vind alleen zijn claim (en dan met name de laatste zin) ongeloofwaardig.

Het AP is namelijk autoriteit op gebied van persoonsgegevens (AVG) en niet een autoriteit op het implementeren van NIS2. De claim dat het geïmplementeerd hebben van dit cyberbeveiligingsraamwerk de risico's van een boete wegneemt, slaat daarmee nergens op. De AVG stelt namelijk dat bedrijven de verplichting hebben om persoonsgegevens te beschermen. Dit is geen inspanningsverplichting, maar een resultaatverplichting.

Ongetwijfeld dat het AP meeweegt in de beoordeling de mate waarin ze hun informatiebeveiliging in orde hebben, maar dat Odido gefaald heeft in de bescherming van persoonsgegevens mag toch geen onderwerp van discussie zijn! Toch?
Reageer
DealExtreme2 13 maart 2026 09:57
Wat een onzin. De data staat online, iemand die iets wil kan toch beter die dataset downloaden dan een site van de politie hammeren, of ben ik nou gek?

Gewoon e-mail adres invoeren en dan naar dat e-mail adres sturen welke gegevens (middels vinkjes) zijn gelekt. Dus niet welke data, maar OF er data is gelekt. Daar is helemaal niks tegenin te brengen. En als je 'spam' (ik zie het nut of de lol niet, iedere site kun je signuppen en dan stuurt hij een mail) wil voorkomen zet je een limiet op 1x per X tijd. Of nog beter, de politie stuurt gewoon zelf de mails, hoeft niemand wat te doen. Iedereen blij.

Dus leg mij nou eens uit welk risico daarin zou liggen?

En dat van dat hashing is een mooi stukje 'complexer maken want dan denken we dat het anoniem' is, maar die vlieger gaat ook niet op. Er is geen sleutel van mijn kant, DUS is alles gewoon inzichtelijk - voor iemand die over de originele dataset beschikt.

[Reactie gewijzigd door DealExtreme2 op 13 maart 2026 10:03]

Reageer
bwerg @DealExtreme213 maart 2026 10:19
De data staat online, iemand die iets wil kan toch beter die dataset downloaden dan een site van de politie hammeren, of ben ik nou gek?
Is die data publiek beschikbaar dan? En dan doel ik niet op achter een betaalmuur op het dark web.

Maar ook als deze gegevens online beschikbaar zijn blijven dit gewoon persoonsgegevens die niet gepubliceerd mogen worden, dus het is nogal wiedes dat de politie heel zorgvuldig moeten zijn in wat ze wel en niet publiek beschikbaar stellen. Ze zijn wettelijk verplicht daar een goede afweging te maken, en ik kan me voorstellen dat ze daarbij bijvoorbeeld over scrapers moeten nadenken, daar willen ze geen gratis service aan verlenen.

[Reactie gewijzigd door bwerg op 13 maart 2026 10:21]

Reageer
-jacQues- @bwerg13 maart 2026 10:34
Is die data publiek beschikbaar dan? En dan doel ik niet op achter een betaalmuur op het dark web.
Ja, op het Internet vrij te downloaden *knip*

Daarmee zijn de gegevens volgens mij dus openbaar en/of gepubliceerd. Nu heb ik geen juridische achtergrond, dus dit weet ik niet zeker.
Admin-edit:Verwijzingen naar de data zijn, ook indirect, niet toegestaan.

[Reactie gewijzigd door Dirk op 13 maart 2026 13:44]

Reageer
bwerg @-jacQues-13 maart 2026 11:16
Dat persoonsgegevens al eens gepubliceerd zijn maakt het niet legaal om ze dan nog een keer te publiceren. Het blijven persoonsgegevens. De politie moet dus goed onderbouwen waarom ze een grondslag hebben om deze gegevens te verwerken, een risico-analyse doen en niet meer met die gegevens doen dan nodig om hun doel te bereiken.

Zelfs persoonsgegevens die de eigenaar zelf online heeft gezet mag je niet zomaar publiceren, laat staan als iemand dat illegaal heeft gedaan.

[Reactie gewijzigd door bwerg op 13 maart 2026 11:20]

Reageer
mjl @bwerg13 maart 2026 11:39
Ja het is publiek gemaakt, vanuit een illegale bron. Ik denk niet dat we als gemiddelde tweaker het risico van vervolging willen lopen…

en ja, een crimineel zal zich niet weerhouden het gewoon te downloaden en dan hoeft die niet de site van de politie gebruiken om data te minen. Daarnaast is I have been pwnd een veel uitgebreidere dataset, ideaal om die te scrapen met de 6 miljoen e-mail adressen van Odido om te zien welke datasets je het beste kan gebruiken om de Odido data te ‘verrijken’.
Reageer
supersnathan94
@bwerg13 maart 2026 13:06
Zelfs persoonsgegevens die de eigenaar zelf online heeft gezet mag je niet zomaar publiceren,
Nee, maar ik mag ze wel downloaden.
Dat persoonsgegevens al eens gepubliceerd zijn maakt het niet legaal om ze dan nog een keer te publiceren.
Dat zijn dan ook twee losse dingen. Het downloaden van niet openbare gegevens is strafbaar, nu de gegevens openbaar zijn, hoe is het dan nog strafbaar?

Herpublceren is een heel ander verhaal.
Reageer
bwerg @supersnathan9413 maart 2026 13:17
Nee, maar ik mag ze wel downloaden.

...

nu de gegevens openbaar zijn, hoe is het dan nog strafbaar
Hoe kom je daarbij? Dit zijn persoonsgegevens, zeker bij een professionele organisatie als de politie valt downloaden en opslaan onder verwerken van die gegevens en dat mag niet zonder grondslag. Wel of niet openbaar is helemaal niet relevant.

[Reactie gewijzigd door bwerg op 13 maart 2026 13:18]

Reageer
supersnathan94
@bwerg13 maart 2026 13:26
zeker bij een professionele organisatie als de politie valt downloaden en opslaan onder verwerken van die gegevens en dat mag niet zonder grondslag.
We hebben het helemaal niet over de politie. We hebben het hier over "iemand". Dus privaat persoon zoals jij en ik.

En dan is het risico op een AVG boete vanwege verwerking van een bergje gegevens echt 0.

Als die gegevens publiek te downloaden zijn mag ik die (ook onder de AVG) wel gewoon downloaden. De toestemming van het mogen verwerken van de data zit hem namelijk niet in de aard van de data maar in de gegeven licentie. technisch is die licentie nu "doe er maar mee wat je wil" en is het niet te controleren of de data uberhaupt echt is of gegenereerd totdat je dit controleert.

Ik kan je echt prima onderbouwen hoe je er met gemak onderuit kunt komen gezien de data nu letterlijk op straat ligt. Downloaden van die data is niet illegaal; verwerken, herpubliceren of daadwerkelijk gebruiken (mensen reclamepost sturen bijvoorbeeld) is dat wel.

Als je ook even je eigen bron gewoon leest:
Persoonsgegevens die op een rechtmatige manier (volgens de regels van de AVG) in een open bron zijn geplaatst, mag u gebruiken voor persoonlijke of huishoudelijke doeleinden. De gegevens gebruikt u dan uitsluitend privé. Dus niet (ook) voor professionele of commerciële doeleinden. En u deelt de gegevens niet met anderen.
Het struikelpunt hier is de eerste regel
Persoonsgegevens die op een rechtmatige manier (volgens de regels van de AVG) in een open bron zijn geplaatst
Dat is het probleem voor private personen om het volgende te kunnen:
De data staat online, iemand die iets wil kan toch beter die dataset downloaden dan een site van de politie hammeren, of ben ik nou gek?
Reageer
MartijnArts @supersnathan9413 maart 2026 14:16
Tweakers heeft dit haarfijn uitgelegd:

review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf
Toch is dat juridisch geen geldig argument: "Voor gegevensheling (onder artikel 138c en 139 van Wetboek van Strafrecht) is misbruik van de gegevens niet vereist", aldus Engelfriet. Met andere woorden, wat je bedoelingen ook zijn, het is gewoon niet toegestaan om gestolen gegevens te downloaden.
Reageer
HuisRocker @MartijnArts13 maart 2026 14:43
Alleen is dat puur en alleen 'de interpretatie van Engelfriet', niet meer, niet minder.

Het feit dat veel Tweakers denken dat Engelfriet 'altijd gelijk heeft' wil niet zeggen dat dit ook werkelijk zo is. ;)

Hij zegt zelf nota bene dat hij 'zijn visie op dit punt heeft gewijzigd' (of iets dergelijks), dus als hij nu gelijk heeft had hij het in de jaren hiervoor dus sowieso verkeerd... :P Hoe dan ook; de juridische mening van Engelfriet zou een stuk minder serieus genomen moeten worden dan men hier doorgaans doet! De paar comments die het aandurven om tot 'het tegengestelde van Engelfriet' te komen hebben naar mijn bescheiden mening (die uiteraard ook niet veel waard is) een stuk betere onderbouwing.
Reageer
supersnathan94
@MartijnArts13 maart 2026 17:08
Sorry, maar dat is ook een interpretatie van Arnoud Engelfriet, waar net iets later al andere feiten over bekend waren wat het geheel al weer outdated maakte. oa Tweakers zelf heeft abusievelijk de data geherpubliceerd door de links te delen met oplettende lezers. Dit zorgt er voor dat deze linkdata ook in google wordt opgenomen bijvoorbeeld.

TouW in 'Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf'


Lees dit maar even als tegenargument.
Reageer
zenlord @DealExtreme213 maart 2026 11:19
Wat een onzin. De data staat online, iemand die iets wil kan toch beter die dataset downloaden dan een site van de politie hammeren, of ben ik nou gek?
Ik vind het net een zeer gebruiksvriendelijke actie van de politie. Zelfs als iedere gedupeerde in staat zou zijn om de volledige dataset te vinden, te downloaden en er dan nog eens z'n eigen gegevens in terug te vinden, dan nog zou dat (in theorie) 6.5 miljoen keer een download betekenen, een opslag op een lokaal medium en een zoekopdracht op de eigen harde schijf.

De implementatie kon misschien beter, en misschien ook niet. Ik heb 'em niet getest.
Reageer
beeldbuijs @DealExtreme213 maart 2026 11:40
Dat de data illegaal online staat, wil nog niet zeggen dat de politie dat dan ook maar kan gaan doen.

Als de politie dat wel gedaan had, was de kritiek weer niet van de lucht geweest. Wat dat betreft kan de politie het hier nooit goed doen.
Reageer
Cambionn @DealExtreme213 maart 2026 10:50
De data staat online, iemand die iets wil kan toch beter die dataset downloaden dan een site van de politie hammeren, of ben ik nou gek?
Even zonder diep na te denken over de details van deze specifieke casus. Het ding is natuurlijk wel dat het downloaden van zo'n dataset over het algemeen illegaal is, en de tool van de politie niet. En hoewel mensen met slechte intenties het sowieso wel zullen doen, zullen degene die beetje slim zijn het wel zo veel mogelijk via legale wegen doen wanneer die optie er is. Hoe minder illegale dingen je opstapelt, hoe ze je voor kunnen pakken, en hoe minder straf je krijgt als je toch gepakt wordt. Dus ja, meer moeite doen om via een legale tool data te krijgen kan mogelijk best interessant zijn.

Ben het verder wel met je eens dat je kan discussiëren over of dit wel de ideale afweging is, en dat het niet perfect waterdicht is (hoewel ik zomaar alles eruit gooien want het staat toch al gelekt ook niet de juist aanpak vind, van politie mag je best wat meer zorgvuldigheid verwachten dan dat). Maar alleen al dat men niet zelf opnieuw kan checken nadat er verbeteringen zijn is bijvoorbeeld niet handig.
Reageer
ObsidianPrime @Cambionn13 maart 2026 11:47
Maar waarom zou je het opnieuw willen checken? Je emailadres stond er wel in of niet, dat verandert niet met het aanpassen van het mailtje dat ze versturen.
Reageer
Cambionn @ObsidianPrime13 maart 2026 12:27
Ik zou de vraag omdraaien: waarom zou je dat niet mogen? Misschien Is iemand het mailtje kwijt en wil die gewoon graag een nieuwe? Dacht iemand "mooi, ik weet genoeg" en heeft hem verwijderd om later te bedenken dat hij het toch graag bewaard had maar de mail is al permanent verwijderd. Mensen kunnen allerlei redenen hebben, ook de meest domme. Dat zou eigenlijk niet uit moeten maken.

Ik kan me zelfs indenken dat gezien het bestaan van deze publieke tool waarin de data bewaard en uitgegeven wordt, je recht hebt dit op te vragen zolang de tool de data heeft. Immers, alle data over jou persoonlijk is persoonsdata, ook de boolean "zit in deze hack". Nou hoeft dat natuurlijk niet via de tool zelf, en zou je in het ergste geval dan vast via andere wegen alsnog een verzoek kunnen doen. Maar er is ook niet echt een reden om het lastig te maken. Er zit vrij weinig extra risico in iemand die na X tijd nog een keer hetzelfde checkt, en voor spam zijn er meer oplossingen dan een keiharde 1x grens.
Reageer
jongetje @DealExtreme213 maart 2026 10:10
Helemaal met je eens.


Security through obscurity
Reageer
joon @DealExtreme213 maart 2026 12:12
Ja wilde zelf weten wat voor data er specifiek is gelekt over mij, er is maar een manier om daar achter te komen.

Uiteindelijk viel het gelukkig mee, ben er alsnog niet blij mee maar het geeft een bepaalde rust.
Reageer
Jerie @DealExtreme213 maart 2026 15:10
Ik snap wel dat ze dat doen, gezien hoe ik de tool gebruikte. Ik heb alle emailadressen van mijn vrouw, onze schoonmoeders, en mijzelf ingevoerd. Vervolgens toen ik vroeg was het: 'ja, ik kreeg een mail van de politie'. Mensen zien de politie als autoriteit. Dat zo'n autoriteit je eenmalig email stuurt kan heftig zijn, wanneer men die handeling niet zelf uitvoerde. Dat wil je niet steeds herhalen.
Reageer
fuzzyIon 13 maart 2026 10:01
Wat een sh*t show. De politie hashed omdat anders elke email er uit getrokken kan worden. Dat duurd wel even met 6 miljoen gebruikers. Je moet zowiezo vanaf elk ip niet meer dan 1 0f twee requests toestaan. Daarnast zullen kwaadwillende heus wel gaan betalen voor de gestolen informatie ipv proberen om check je hack aan te vallen die door de politie nota bene gehost wordt l0l
Reageer
GertMenkel
@fuzzyIon13 maart 2026 10:28
Duurt wel even? Een naïeve implementatie van vijftien jaar geleden op alleen de CPU doet zo'n 65 duizend hashes per seconde. Een regex uitvoeren op 10GB data duurt veel langer, en een hash + salt van ieder mailadres in de database stoppen kost je hooguit een kwartier rekenwerk op een werkcomputer.

Als je de mailadressen wilt, dan download je de dataset toch gewoon? De hele dump staat gratis online, het onion-adres is met vijf minuten Googlen wel te vinden en de dataset staat gehost in Rusland dus die gaat niet offline gehaald worden. Daarmee heb je ook meteen telefoonnummers, rekeningnummers, en notities die je kunt gebruiken om legitiem te lijken in je phishingmail.

Ik snap dat de politie niet aan het probleem wil bijdragen en geen spambot wil worden, maar ik vind de beperking wel heel extreem. Ik heb zelf mijn eenmalige mail "verspild" doordat ik sinds het datalek direct alle mail op het gelekte alias de prullenbak in heb laten sturen om mijn spamfilter te trainen (nadat ik bij Odido het adres heb veranderd, natuurlijk). Ik kan dat wel weer even tijdelijk uitzetten, maar die mail krijg ik nu niet meer. Mijn fout natuurlijk, maar ik zie niet wat het probleem zou zijn om maximaal eens per week een mail te sturen, eventueel met een code om je mailadres uit de politiedatabase te halen als spammers er wel mee aan de haal gaan.
Reageer
MSalters @fuzzyIon13 maart 2026 10:29
Ja, dat duurt wel even. Met een milliseconde per gebruiker ben je zo wel een heel uur kwijt. Dat kost je al gauw een euro aan CPU kosten.

Nee, serieus, waar heb je het over?
Reageer
fuzzyIon @MSalters13 maart 2026 11:42
Veel gespin en weinig wol. juridische risico beperking voor de buehne.
Reageer
bwerg @fuzzyIon13 maart 2026 11:26
De politie hashed omdat anders elke email er uit getrokken kan worden. Dat duurd wel even met 6 miljoen gebruikers. Je moet zowiezo vanaf elk ip niet meer dan 1 0f twee requests toestaan.
Je haalt hier twee dingen door elkaar. Hashen doe je om de impact te verkleinen als iemand directe toegang krijgt tot de database van dit politie-systeem. Requests limiteren doe je om de mogelijkheden tot scraping te beperken door gebruikers die 'netjes' via de website gaan.

Voor het eerste scenario is requests limiteren mosterd na de maaltijd, en voor het tweede scenario maakt het niet uit of data gehashed is of niet.
Reageer
fuzzyIon @bwerg13 maart 2026 11:46
De boel ligt al op straat dus juridische indekking. Odido had gewoon transparant kunnen zijn: "Dit is wat wij van iedere gebruiker opslaan dan kan iedereen voor zichzelf wel nagaan wat de inpact is" Hoe goed bedoeld ook van de politie kunnen zij hun tijd beter besteden aan opsporing ipv leuke projectjes die niets toevoegen.
Reageer
Krulliebol @fuzzyIon13 maart 2026 14:24
De gegevens die Odido heeft, verschillen per gebruiker. Het is dus wel wenselijk om na te kunnen gaan welke gegevens Odido specifiek van jou heeft.
Reageer
fuzzyIon @Krulliebol13 maart 2026 16:24
Het is standaard per abonnement dat je aan gaat toch? Ik kan mij voorstellen dat bij een bepaald abonnement een standaard documenten procedure hoord.
Reageer
mjl @fuzzyIon13 maart 2026 11:35
Ik heb wel meer dan 2 e-mail adressen die ik dan zou willen checken. Het is tenslotte een database waarin data van meerdere hacks opgeslagen zijn.
Reageer
jeffer 13 maart 2026 10:37
Ik vraag me iets af, en misschien hebben jullie hier een antwoord op.


Zowel politie als havibeenpowned geven aan dat mijn iban gelekt is maar F-secure geeft aan dat dit niet zo is.
Iemand die de dataset had gedownload gaf aan dat er in de complete datset helemaal geen iban gegevens staan.

Hebben de hackers dit dan niet gelekt zodat ze iets achter de hand hebben zodat Odido alsnog gaat betalen voordat dit ook wordt gelekt?
Of kan ik er vanuit gaan dat alleen de hackers mijn iban hebben en niet de hele wereld mijn iban heeft?

Ik heb zelf nooit een mail gehad van Odido wat er gelekt zou zijn, alleen een mail met "uw gegevens zijn mogelijk gelekt".


Toevoeging:
Sinds vorige week ontvang ik meerdere spam calls per dag, van vage bedrijven of een ai aan de lijn. Daarvoor nooit echt last van gehad.
Ik wordt nu dus toch geforceerd om actie te ondernemen en een nieuw nummer te nemen, een nummer die ik echter al 20+ jaar heb.

[Reactie gewijzigd door jeffer op 13 maart 2026 10:39]

Reageer
edie @jeffer13 maart 2026 11:00
Politie en havibeenpowned zullen aangeven aan je iban mogelijk gelekt is. Er wordt gekeken of je e-mail (gehasht) voorkomt in de dataset, en zo ja dan krijg je een lijst met gegevens die in de totale dataset zitten.

Wat niet wil zeggen dat bij jouw specifiek al die gegevens ook in de dataset zitten; maar het is 1. veel meer werk om dat per e-mail te bekijken, en 2. niet echt relevant. Als je voorkomt in de dataset, ga er dan gewoon vanuit dat alle gegevens die daar zijn opgesomt nu bekend zijn en neem de nodige voorzorgsmaatregelen.
Reageer
GoodOldMe @edie13 maart 2026 11:33
Je wil toch weten of je je paspoort of je rijbewijs moet vernieuwen? Ik weet niet meer met welke van de twee ik me ooit heb geïdentificeerd...

Nu heb ik al een bericht gekregen vanuit mijn Nordvpn-account met informatie van hun "dark web monitor" dat mijn rijbewijsnummer er bij stond. Die informatie had Odido toch ook kunnen geven?
Reageer
verkeerslicht @GoodOldMe13 maart 2026 12:04
Eens!

Een kennis van mij heeft ook NordVPN, en bij het invoeren van mijn mailadres kon ik niet alleen dat mijn paspoort-documentnummer was gelekt, maar ook welk nummer er was gelekt.

Toen bleek dat het nog geldig paspoort was, heb ik deze meteen als vermist opgegeven.
Reageer
supersnathan94
@verkeerslicht13 maart 2026 13:11
Toen bleek dat het nog geldig paspoort was, heb ik deze meteen als vermist opgegeven.
Waarom?

Is alleen maar zonde van je geld. Documentnummers zijn er juist om uit te geven zonder gedoe. Mocht het nodig zijn dan is het voor instanties op te vragen wie het dan precies wat, maar met alleen het documentnummer kun je niks doen.
Reageer
verkeerslicht @supersnathan9413 maart 2026 15:48
Misschien overkill, maar ik begreep dat sommige instanties met documentnummers, initialen en geboortedatum allen (zonder verdere authenticatie) weleens leningen willen uitgeven. Ook die gegevens van mij lagen namelijk op straat.

Daarnaast zou mijn paspoort over één jaar niet meer geldig zijn. En gezien ik voorlopig niet buiten de EU kom, heb ik ook niet snel een nieuwe nodig. Zodoende vind ik het wel een veilig gevoel dat dat paspoort er niet meer 'is'. ;)
Reageer
supersnathan94
@verkeerslicht13 maart 2026 17:10
Boor dergelijke instanties maakt het dan ook niet uit dat jouw paspoort er dan ook niet meer “is”. Als ze toch niks checken gaan ze ws ook niet kijken of het document nog wel geldig is.


Maar dergelijke bedrijven moeten echt oppassen. Dat is namelijk hoe je een WWFT sanctie krijgt. Verkeerde KYC enzo.
Reageer
tweak4all @jeffer13 maart 2026 11:52
Voor mijn gevoel is de dataset full_odido_shinyhunters.txt onvolledig, omdat (mijn) gegevens zoals IBAN, adres en woonplaats ontbreken. Maar dit geldt niet voor alle records.

[Reactie gewijzigd door tweak4all op 13 maart 2026 13:32]

Reageer
jeffer @tweak4all13 maart 2026 13:17
Ja, precies dit. Heel goed dat die info niet gelekt is naar de rest van de wereld maar komt dit nog, of is dit bewust en zal dit zo blijven.
We komen er misschien vanzelf achter maar dit is een vraag die bij mij nu al een tijdje in me hoofd rondgaat.
Uiteraard hebben de hackers ze wel want dit behoort gewoon tot de "klanten" dataset.
Reageer
tweak4all @jeffer13 maart 2026 15:44
Ik weet zo even niet precies waar ik dit gelezen heb, maar shinyhunters hebben wel aangegeven dat ze nog meer informatie hebben, die ze voor zichzelf bewaren.
Reageer
roelboel 13 maart 2026 09:54
Begrijp ik het dan goed dat het algoritme O(n) is: om een e-mailadres te testen moet je voor ieder record het record's salt nemen, hashen en vergelijken?
Reageer
thimodz @roelboel13 maart 2026 10:04
Daar zit het verschil, want het gaat hier om een pepper en niet een salt. Een pepper is een soort geheime sleutel die herhaaldelijk gebruikt wordt, en is dus niet uniek per e-mailadres. Dan krijg je een lookup van O(1), want je voegt gewoon constant dezelfde pepper toe aan de e-mail en berekent daarvan de hash. Minder veilig in theorie, maar zeker een veel betere optie dan het rechtstreeks opslaan van de hash om de effectiviteit van rainbow (lookup) tables terug te dringen mochten de gegevens ooit publiek worden - ténzij de pepper ook lekt.
Reageer
SwaggyEggs @thimodz13 maart 2026 10:31
Kan je die pepper niet reverse engineren?
Reageer
thimodz @SwaggyEggs13 maart 2026 10:46
Nou, als het goed is zal die pepper een hele lange tekstwaarde zijn, dus dat zal niet zo simpel zijn. Hashalgoritmen zelf zijn one-way en dus niet omkeerbaar of te reverse engineeren.

Wat je ziet bij het kraken van hashes is dus dat er dus van die bovengenoemde rainbow tables worden gebruikt, dat zijn databases van normale tekst en de hash die daarbij hoort. Die worden opgebouwd door massaal dat hash-algoritme los te laten gaan op allerlei tekstcombinaties, en vervolgens kun je in die database een bepaalde hash opzoeken om te kijken wat de oorspronkelijke tekst was. Afhankelijk van het hashalgoritme kan het lang duren om hier een fatsoenlijke dataset van op te bouwen, de meeste hashalgoritmen gericht op veiligheid zijn performance intensief om te berekenen. Het kost dan veel meer tijd.

Door een pepper te gebruiken wordt het dus weer een stuk moeilijker want je voert een heleboel extra tekens toe aan de tekst die je gaat hashen. De kans is dan een stuk kleiner dat die tekst terug te vinden is in een rainbow table. Probleem is wel dat als er 1 hash te herleiden is, dat je pepper dan ook direct op straat ligt die bij alle gebruikers is toegepast. Dan zou je specifiek een rainbow table op kunnen gaan bouwen gericht op e-mailadressen icm de pepper.

Overigens lijkt dat laatste scenario me erg onwaarschijnlijk, bij wachtwoorden is dat wel een ding maar e-mailadressen worden te pas en on te pas onversleuteld opgeslagen. Die is waarschijnlijk al lang ergens anders een keer gelekt voordat je op dit punt bent, plus dat in dit specifieke geval een crimineel gewoon direct de Odido dataset kan downloaden.

[Reactie gewijzigd door thimodz op 13 maart 2026 10:53]

Reageer
bwerg @roelboel13 maart 2026 10:14
Er staat nergens dat deze hashes gesalt worden. Er wordt alleen een pepper gebruikt, dat is een geheime globale waarde die niet verschilt per mailadres. Dus nee, ze nemen een (hash van) het ingevoerd mail-adres, plakken daar intern de pepper bij, en hashen dat (nogmaals). Dan gewoon checken of die hash bekend is, en zo niet, die opslaan. Dat is O(1).

Een salt kan hier niet omdat er niets is om die salt aan te koppelen, salts komen bijvoorbeeld uit gebruikersnamen in scenario's met gebruikersnaam en wachtwoord. Salts bieden bijvoorbeeld bescherming tegen hergebruikte wachtwoorden (die na salten verschillende hashes hebben), dat is hier niet aan de orde omdat "hergebruik van mail-adressen" geen ding is.
Reageer
Olaf van der Spek @roelboel13 maart 2026 09:58
Er staat niet dat zout gebruikt wordt. Zou ook weinig toevoegen.

[Reactie gewijzigd door Olaf van der Spek op 13 maart 2026 09:58]

Reageer
Olaf van der Spek 13 maart 2026 09:55
Dit verklaart mogelijk ook waarom ze geen email sturen als je niet voorkomt. Je weet in dat geval echter niet zeker of je echt niet voorkomt, of dat de email misschien toch niet is aangekomen.. of dat je een typefoutje hebt gemaakt.

[Reactie gewijzigd door Olaf van der Spek op 13 maart 2026 09:55]

Reageer
m.z @Olaf van der Spek13 maart 2026 10:07
Ja, maar het maakt nu wel verwarrend als je 2e poging doet om te controleren of je er nu wel in voorkomt, dus ook geen e-mail krijgt. Waar kan je dan vanuit gaan dan?
Reageer
Cambionn @Olaf van der Spek13 maart 2026 10:34
Sterker nog, toen ik jaren terug nog bij T-mobile zat, had ik een mail address dat nu niet meer bestaat. Als ik die hier invul, zal ik nooit antwoord krijgen want een mail met antwoord komt niet aan :+.

En tja, die email bestaat wellicht niet meer, maar andere persoonsgegevens die in de hack zaten wel. Dus dat kan wel uitmaken. En laat T-mobile nou ook nog eens het enige bedrijf zijn waar ik niet een AVG verwijderverzoek had ingediend na vertrek omdat die 4 A4'tjes uitgeprint, ingevuld met een hoop persoonsgegevens, en verstuurd als aangetekende brief vereisten indertijd (ja echt, hoe kom je erop). Via andere tools getest en ik heb geluk dat mijn gegevens blijkbaar wel verwijderd zijn (of iig niet hierin zaten) ondanks dat dat dus ook niet overal netjes is gebeurd.
Reageer
mugenmarco 13 maart 2026 10:04
Maar staan onze Odido wachtwoorden wel of niet op het darkweb?

Kleine FYI:

Sommige mensen beweren dat de datalek geen negatieve gevolgen heeft voor Odido, maar bekijk hun forum eens en zie het aantal topics over mensen die willen opzeggen:

https://community.odido.nl/search?q=opzeggen&gs_data_source%5B0%5D=community

[Reactie gewijzigd door mugenmarco op 13 maart 2026 10:05]

Reageer
jongetje @mugenmarco13 maart 2026 10:13
Wachtwoorden staan niet in een/het CMS, dus zijn ook niet gelekt.

Dat er een kolom met "password" is (en leeg is) betekend niet dat er een wachtwoord is gelekt. Deze vraag komt elke keer terug en ik raad je aan om, als je dat niet gedaan hebt, overal waar kan 2FA aan te zetten (ook bij Tweakers). Mocht je wachtwoord gelekt worden in de toekomst zitten ze niet meteen in je account.
Reageer
loki504 @mugenmarco13 maart 2026 13:21
Zolang ik niet op datum kan selecteren heb je er weinig aan....... want ik kan niet zien of dat er meer of minder zijn dan bv een jaar geleden. Ook gaat het om forum posts waarbij of mensen hulp nodig hebben of hun ongenoegen uiten. 90% zal stilletjes opzeggen en daar hoor je niets van.
Reageer
gerritjan @mugenmarco13 maart 2026 11:11
Maar hoeveel mensen zeggen nou echt op? !00? 1000? 10.000? Klein bier voor Odido.
Reageer
supersnathan94
@mugenmarco13 maart 2026 13:16
Oke 7.000 topics.

Je weet dat ziggo dat ieder maand ongeveer 10.000 klanten kwijt is en dat ze daar niet eens wat voor hoeven te doen? Dat is al minstens 5 jaar het geval?

nieuws: Ziggo verloor 120.000 vaste klanten, Vodafone kreeg er 44.000 abonnees bij

die 7000 topics heeft erg weinig te maken met deze hack overigens. Kijk er maar eens doorheen. De meeste hebben er niks mee te maken.
Reageer
Eis-T 13 maart 2026 09:48
Bedankt voor de duidelijke uitleg!
Reageer
drakiesoft @Eis-T13 maart 2026 11:04
Er wordt een mail gestuurd, dus ergens op een server staat die mail nog als Verzonden? Logt die server geen mailadressen? Wat gebeurt er met bouncers. Verder heb je denk ik als odido klant nooit toestemming gegeven dat email of andere persoonlijke gegevens voor andere doeleinden gebruikt wordt, ook niet in gehashte vorm. De politie begeeft zich hier op glad ijs.
Reageer
AuteurYannickSpinner Redacteur @drakiesoft13 maart 2026 11:35
Er wordt een mail gestuurd, dus ergens op een server staat die mail nog als Verzonden? Logt die server geen mailadressen?
Nee, dat staat in het artikel uitgebreid beschreven hoe dat werkt.

Daarnaast heeft Odido hier niets mee te maken; dit is een politietool. Je vraagt aan de politie of ze willen checken of jouw mail in de gestolen dataset staat. Je mag dat ook niet doen!
Reageer
drakiesoft @YannickSpinner13 maart 2026 15:52
Een politietool die gebruik maakt van gestolen data. Wat klopt hier niet. Het zou fijn zijn als hier een juridische uitspraak over komt danwel avg hier iets van vindt. Immers ze hebben de gestolen data gewoon binnengehaald anders kunnen ze het niet hashen. Dit is glad ijs tenzij dit getoetst wordt. Lijkt me als tech journalist dat jullie dit onafhankelijk gaan checken en niet zomaar de blauwe ogen van de blauwe pet geloven.

[Reactie gewijzigd door drakiesoft op 13 maart 2026 15:55]

Reageer
AuteurYannickSpinner Redacteur @drakiesoft13 maart 2026 16:09
Er zijn ongetwijfeld juridische kaders die de politie in bepaalde omstandigheden ten gunste van het maatschappelijk belang uitzondering op de wet geven. Ze mogen immers ook door rood rijden. Zo ook het downloaden van gestolen gegevens.

Ik wil je graag doorverwijzen naar dit artikel, daar staan wat antwoorden in review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf
Reageer
mjl @drakiesoft13 maart 2026 11:42
Hoeft niet? Als de mail alleen verstuurd wordt en dan gewist is is die ook gewoon weg, waarschijnlijk tijdelijk in de cache van de server en die wordt geleegd en overschreven met nieuwe tijdelijke data. Daarnaast zal de mail via een encrypted verbinding verstuurd worden.
Reageer
Werelds @drakiesoft13 maart 2026 11:35
Er wordt een mail gestuurd, dus ergens op een server staat die mail nog als Verzonden?
Nee. De "verzonden" map is een client-side dingetje, in de zin dat het doorgaans de email applicatie is die een kopie maakt van de te verzenden email en die simpelweg nóg eens naar de server stuurt, maar nu enkel als storage in een specifieke map. Dit is te automatiseren aan de server-side kant, maar is uitgerekend bij web applicaties meestal niet het geval. Die werken niet met in- en outboxes en dergelijke.
Logt die server geen mailadressen?
De politie zegt van niet, dus tenzij dat incorrect is of ze liegen, nee. Mijn servers loggen bijvoorbeeld geen reet omdat ik geen interesse in die gegevens heb.
Wat gebeurt er met bouncers.
Bounces als in berichten die naar jou gestuurd worden, maar jouw email provider bounced ze terug? Ik neem aan dat de politie een leeg Return-Path in de email headers heeft, of daar een email adres in heeft staan dat wel emails accepteert, maar ze verder meteen weg gooit.
Verder heb je denk ik als odido klant nooit toestemming gegeven dat email of andere persoonlijke gegevens voor andere doeleinden gebruikt wordt, ook niet in gehashte vorm. De politie begeeft zich hier op glad ijs.
Geen glad ijs hoor. Dit is in het publiek belang. En ze doen het op een manier waarop jouw email adres gewoon niet uit te lezen is. Niets mis mee onder de AVG.

[Reactie gewijzigd door Werelds op 13 maart 2026 11:39]

Reageer
AuteurYannickSpinner Redacteur @Eis-T13 maart 2026 09:51
<3
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq