NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

De hack bij Odido vond plaats doordat aanvallers individuele klantenservicemedewerkers wisten te raken met phishingaanvallen, schrijft de NOS op basis van bronnen. De hackers deden zich daarna ook voor als Odido-werknemers om zo tweestapsverificatie te omzeilen.

De NOS baseert zich op bronnen rondom het datalek bij Odido dat eerder deze week plaatsvond. Eerder deze maand werd de provider door hackers getroffen, waarbij de gegevens van miljoenen klanten zijn ingezien. Volgens de bronnen van de NOS is 'niet waarschijnlijk' dat de hackers al die gegevens hebben gedownload, omdat het om een grote dataset gaat die niet zomaar onopgemerkt kan worden gedownload. Odido waarschuwt er zelf ook voor dat de gegevens in ieder geval zijn ingezien, maar de provider zegt alleen 'niet uit te kunnen sluiten' dat de gegevens gestolen zijn.

Volgens de NOS kon de hack plaatsvinden doordat individuele klantenservicemedewerkers werden gephisht. Na het stelen van wachtwoorden wisten de criminelen zich succesvol voor te doen tegenover de klantenservicemedewerkers als ict'ers van Odido. Daardoor konden ze de tweetrapsauthenticatiecodes van de werknemers stelen.

Met die gegevens was het mogelijk om in de Salesforce-omgeving terecht te komen die Odido gebruikt voor klantregistraties. Daaruit begonnen de criminelen gegevens te downloaden, maar hoeveel er op die manier is buitgemaakt, is niet bekend.

Odido stock (bron: oliver de la haye/Getty Images)

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-02-2026 17:33
385 • submitter: Bl@ckbird

13-02-2026 • 17:33

Submitter: Bl@ckbird

Lees meer

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026

Hackers zetten eerste batch met gestolen Odido-data online - update 2

Hackers zetten eerste batch met gestolen Odido-data online - update 2 Nieuws van 26 februari 2026

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein Nieuws van 19 februari 2026

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Reuters: Odido stelt beursgang uit na negatieve signalen

Reuters: Odido stelt beursgang uit na negatieve signalen Nieuws van 11 februari 2026

Odido belooft bedrijven hogere snelheden en betere ontvangst met 5G-buitenmodem

Odido belooft bedrijven hogere snelheden en betere ontvangst met 5G-buitenmodem Nieuws van 3 februari 2026

Odido verhoogt prijs van Klik&Klaar met 1 euro naar 26 euro per maand

Odido verhoogt prijs van Klik&Klaar met 1 euro naar 26 euro per maand Nieuws van 6 januari 2026

Odido maakt e-simdienst SimWallet voor internet buiten NL beschikbaar - update

Odido maakt e-simdienst SimWallet voor internet buiten NL beschikbaar - update Nieuws van 17 december 2025

Meer producten en artikelen

Beveiliging en antivirus Hack Hackers Odido

Reacties (385)

385

381

201

12

0

145

Wijzig sortering

GeeBee 13 februari 2026 17:36

De grootste fouten worden gemaakt tussen het scherm en de stoel.

Maar als je dit als odidomedewerker(s) via phishing en social engineering laat gebeuren, dan is het wat mij betreft pasje inleveren.

Wat een schade heb je dan veroorzaakt...

[Reactie gewijzigd door GeeBee op 13 februari 2026 17:38]

Hack
Beveiliging en antivirus
Hackers

@GeeBee • 13 februari 2026 18:52

Ik zou het niet de grootste fout noemen dat medewerkers in phishing en social engineering trappen. Het is zeker niet goed, maar het bedrijf is verantwoordelijk om rekening met dit soort risico's te houden en er behoorlijke beveiliging tegen te hebben. Zeker als er al veel waarschuwingen zijn geweest dat 2fa en training echt niet zomaar dat probleem weg neemt.

Als een medewerker toegang heeft tot enorm veel persoonlijke gegevens dan lijkt de grootste fout dat dit lang onopgemerkt bleef, niet op tijd gestopt werd en men kennelijk ook geen benul heeft van welke klanten er gegegevens zijn ingezien of verkregen zijn. Omdat het wettelijk absoluut niet voldoet aan bescherming.

_NooT_ @kodak • 14 februari 2026 10:10

Dat is natuurlijk het echte probleem wat wel makkelijk voorkomen had kunnen worden.

Waarom kan een mederwerker miljoenen gegevens opvragen? Nergens voor nodig. Voor het aanmaken / controleren / aanpassen van een account is maar 1 record nodig. Er mag gewoonweg geen request bestaan die veel meer ophaalt voor een gewone medewerker.

Ik vind dat wel degelijk kwalijk.

@_NooT_ • 14 februari 2026 13:47

Misschien is er wel een database of app exploit gebruikt om dat te omzeilen in Salesforce...

Henkieschmenkie @Urk • 14 februari 2026 19:23

Zouden ze daar dan niks over gezegd hebben?

mac1987 @Urk • 16 februari 2026 14:41

Dat, of een tweede/derdelijns medewerker heeft voor voor het oplossen van issues v.w.b. 'computer says no' uitgebreide rechten op misschien wel (een deel van) de database.
Daarentegen kan ik daar in dit geval weinig bij voorstellen, aangezien klantenservice bij telecomproviders tot nu toe 'computer says no' als prima uitkomst lijkt te hanteren

...

T-men @_NooT_ • 17 februari 2026 11:43

Waarom kan een mederwerker miljoenen gegevens opvragen?

Een medewerker kan uit hoofde van zijn funktie toegang hebben tot miljoenen gegevens. Maar dat wil niet zeggen dat er ook miljoenen gegevens gedownload zijn !
Maar toegang tot al die gegevens betekent voor elk individueel record wel dat de kans bestaat dan het gedownload is. En dus dien je iedereen in het bestand te waarschuwen.

Dus: Kans != gegevens op straat. Maar wel een waarschuwing.

Ik heb geen inzicht in de werkelijke getallen, maar hopelijk wordt de soep wat minder heet gegeten dan wat het nu lijkt.

Def Digital @T-men • 17 februari 2026 22:54

Als een "medewerker" honderden klantrecords opvraagt in een uur, dan zou er toch een alarmbelletje moeten gaan rinkelen.

Felyrion @kodak • 13 februari 2026 23:36

Ik denk dat het feit dat mensen in phishing trappen een gegeven is. De vraag is hoe snel het gebeurt. De één klikt op de meest willekeurige links, maar zelfs een zeer oplettend persoon zal als de phishing poging gericht genoeg is (juiste aanhef, mail van een verwacht persoon, juiist onderwerp, etc.) er altijd in trappen. Test op test wijst dat uit.

Daar moet je dan ook vanuit gaan in je IT ontwerp. Ik kan er gewoon niet bij dat een eerstelijns servicedesk medewerker bij miljoenen klantgegevens kan in korte tijd. Een paar honderd? misschien, maar bij veel meer zou er gewoon een melding gemaakt moeten worden en iemand dit moeten beoordelen.

Dat dit soort simpele dingen niet gedekt zijn zegt genoeg over zo'n organisatie en hoe ze met hun data om gaan.

Tuurlijk zijn er altijd kritieke systemen of personen in een organisatie die om de één of andere redenen meer rechten (moeten) hebben. Maar stap één is toch dit zo beperkt mogelijk te houden om juist dit soort brede phishing aanvallen te beperken qua impact wanneer het misgaat. Want mis gaat het, overal.

Hoboist @GeeBee • 13 februari 2026 18:23

Pasje inleveren vind ik echt te kort door de bocht. Door hoeveel inlogvensters je soms door moet is echt raar. Ik heb er al eens melding van gemaakt, maar elke keer hoor je: nee, dat inlogvenster komt als je ...

Ik snap best dat men op den duur denkt: "o dit zal ook wel weer normaal zijn." Ik kan me voorstellen dat het bij Odido ook zo is.

Je kunt niet alle schuld bij de medewerker leggen. Als de IT-afdeling ook niet duidelijk is ligt daar ook een verantwoordelijkheid.

Hansie9999 @Hoboist • 14 februari 2026 00:53

Na het stelen van wachtwoorden wisten de criminelen zich succesvol voor te doen tegenover de klantenservicemedewerkers als ict'ers van Odido. Daardoor konden ze de tweetrapsauthenticatiecodes van de werknemers stelen.

Als ik dit goed begrijp is dit effectief dus "even leuk aan telefoon je code's doorgeven"

Dat is nu wel ECHT les nummer 1 "er zal NOOIT NOOIT NOOIT een medewerker aan telefoon een code vragen"

Ik vind eigenlijk toch wel echt dat "pasjes inleveren" hier correct is hoor, jeezus !!!!!

DutchKel @Hansie9999 • 14 februari 2026 08:15

“Goedemorgen, u spreekt met IT-beheer. We hebben zojuist een melding gekregen dat er vanaf uw werkplek een bestand is geopend dat mogelijk schadelijke software bevat. Het kan zijn dat u merkt dat uw pc wat trager reageert. We willen dat graag direct voor u oplossen. Zou u voor mij naar odidovirusscan.com willen gaan en daar even inloggen? Dan kunnen we uw systeem controleren en het probleem verhelpen.”

Dit soort scripts werken niet omdat mensen dom zijn, maar omdat ze slim inspelen op hoe ons brein werkt.

Bijna iedereen downloadt wel eens een bestand. Door niet te specificeren wanneer of welk bestand, is de kans groot dat het “raak” voelt. Je brein vult zelf de details in. “Oh ja, ik heb gisteren nog iets geopend…”

Hetzelfde geldt voor een trage pc. Elke computer reageert wel eens minder snel afhankelijk van wat er draait. Als iemand dat benoemt, ontstaat er confirmation bias: ineens koppel je die normale vertraging aan dat vermeende virus.

Daarbovenop komt autoriteit en urgentie. “Met IT-beheer…” klinkt geloofwaardig, zeker in een bedrijfsomgeving waar monitoring normaal is. Mensen zijn gewend dat systeembeheer meer ziet dan zijzelf. Combineer dat met een probleem én direct een oplossing (“ga even naar deze site om het te fixen”) en je zet iemand in actiemodus in plaats van denkmodus.

Onder lichte stress daalt kritisch denkvermogen. Daarom trappen zelfs ervaren developers hier soms in. Kennis helpt, maar psychologische druk werkt bij bijna iedereen.

Dit is precies waarom social engineering zo effectief blijft.

marcop23 @DutchKel • 14 februari 2026 17:57

Wat in mijn ogen ook niet helpt, is dat bedrijven soms zelf al "wazige" domeinnamen gebruiken. Waarom gebruikt Microsoft aka.ms? En zo zijn er meer. Als je wil dat mensen alert blijven op rare domeinnamen, moet je toch als bedrijf zelf geen rare domeinnamen gebruiken.

De IT-afdeling van mijn bedrijf is ook goed in het sturen van mails met [Action required] in het onderwerp. En dan dingen als: "te laat hier aan voldoen zal worden gemeld aan uw teamleider". Het had zo in een spammail kunnen staan!

Zelfs "ga naar deze URL (geen intern domeinnaam) en log daar in met uw <bedrijf> inloggegevens" ben ik tegengekomen, voor een vragenlijst over jouw mening van het team. Dat bleek gelukkig via single sign on te werken, dus iets minder verdacht. Maar kom op.

mvn23 @marcop23 • 14 februari 2026 20:10

Ik neem aan dat je iets van training hebt gehad om phishing te herkennen? Als een mail van de IT afdeling van mijn werkgever aan een aantal kenmerken hiervan voldoet gaat ie gelijk forward naar het threat detection team. Zij mogen het dan lekker verder uitzoeken... Dan heb ik mijn werk gedaan en mogen zij eventuele gevolgen prima melden aan mijn "teamleider".

Skyclad @mvn23 • 15 februari 2026 11:24

Als mensen vaak genoeg training hebben gehad en op eventuele fouten zijn gewezen gaat het meestal na een tijdje wel goed. Maar bij een groot bedrijf als Odido heb je meestal veel verloop, dus veel medewerkers die niet al 5+ jaar in een functie zitten, en ze betalen hun support medewerkers (zeker eerstelijns) waarschijnlijk niet zoveel (volgens Google 2500-2800) dat ze hoogopgeleide systeembeheerders en ethical hackers in het team hebben zitten, ze zullen eerder mensen hebben die net beginnen. Dus dan heb je mensen die niet al die trainingen gehad hebben, en ook niet al het niveau hebben dat ze zelf begrijpen waar ze op moeten letten.

Veel mensen zijn bang iets fout te doen op het werk, en niet iedereen durft alles in twijfel te trekken. Zelfs als van de 100 medewerkers er maar 1 intrapt zijn ze toch al binnen. Zeker als die andere 99 het niet direct melden dat er een phishing attack gaande is.

die_andere @Skyclad • 16 februari 2026 13:04

Is het niet juist zo dat mensen die langer op een functie zitten kwetsbaarder worden voor dit soort aanvallen?

de training is vaak langer geleden of mensen worden juist te zelfverzekerd in hun doen en laten.

Skyclad @die_andere • 16 februari 2026 22:57

Als het goed is wordt de training regelmatig herhaald. Zeker bij dat soort functies hoort dat te gebeuren.

Frikandel81 @DutchKel • 14 februari 2026 09:35

Lang geleden heb ik voor HP desktops en Notebooks tech support gewerkt. Er zijn verschillende afdelingen en je hebt een teamleider die over de "call agents" gaat.

IT berichten, ook zeer urgente, gaan àltijd via de teamleider. Nooit direct naar de agent. Daarnaast zie je op je toestel waar een call vandaan komt, intern of extern. Dus ik blijf het dom vinden dat zoiets kan gebeuren.

Aldy @Frikandel81 • 14 februari 2026 13:41

Lang geleden

Je bent blijven hangen in "Lang geleden". Een heleboel klantenservicemedewerkers werken tegenwoordig vanuit huis. Tijdens de coronapandemie was er zelfs een medewerker van T-mobile, die vanuit Spanje werkte. En als je thuis werkt, dan wordt het dus heel moeilijk om een intern of extern nummer te herkennen. En wat die teamleider betreft, dat is dus leuk als iedereen intern werkt.

ronald136813 @Aldy • 15 februari 2026 13:12

Nee , ik werk de befrijfs telefonie , onze medewerkers hebben een gewoon een app die onderdeel is van de company pabx dus gebruiken altijd zakelijke bedrijfsnummer en interne collega's kun je gewoon aan hun interne nummer zien, zo zijn er ook softclients voor als je op je laptop werkt met een headset o.i.d. dus geen vreemde nummers waar ook ter wereld je jezelf bevindt.

LangeJan85 @DutchKel • 15 februari 2026 09:30

Waarom heb je chat gpt nodig om een reactie te typen? Ben je zelf niet origineel ofzo?

TEAser_ @Hoboist • 13 februari 2026 23:29

Nou nee oneens, we lopen al dik 20 jaar mensen uit te leggen niet alles te geloven wat je op de mail binnen krijgt en vervolgens blijven ze vallen voor precies dezelfde trukjes

n4m3l355 @TEAser_ • 14 februari 2026 05:12

Wetende dat men alsnog voor dit soort trukjes valt, waarom doet de IT niks met deze realiteit?

Een aantal van deze aanvallen zijn bekend, het is niet een zero day exploit, de zwakheid van menselijke medewerkers is een gegeven. Dus waarom worden gebruikers platformen niet aangepast of .. misschien neem beter personeel aan. En daar wringt het natuurlijk ook een beetje... Hoe komt dat onbekwaam personeel toegang heeft tot dergelijke systemen. Als personeel zoiets zomaar doet, dan ligt het probleem echt niet bij het personeel maar aan de omgeving, lees IT/HR.

timeraider @n4m3l355 • 14 februari 2026 08:36

Nja, dit is waarom trainingen als Phished.io bestaan.

Constant medewerkers erop hameren en teste in de hoop dat ze het blijven onthoude

Dreadnought @n4m3l355 • 14 februari 2026 10:13

Ook in de IT is het zo dat het een keer mis moet gaan alvorens er geschakeld wordt. De gedachte "dat overkomt ons toch niet" leeft op veel plekken hoor.

Recursio @TEAser_ • 14 februari 2026 09:49

Mensen vallen voor Social Engineering - heel veel mensen houden zih bezig met het ontwerpen van aanvalsvectoren totdat ze -wel- werken. Dat verschilt niet van hoe mensen vallen voor chips- en bierreclames.

Dus: logisch dat sommige individuen "blijven vallen" voor deze aanvalsvectoren: er zit een hele wetenschap achter waar het individu zonder daarvoor opgeleid te zijn zich tegen moet wapenen. En een e-learning "Klik niet op linkjes in mails" of "geef geen wachtwoorden aan collega's" helpt dan onvoldoende, omdat social engineers bijvoorbeeld gebruik maken van sociale druk ("Doe niet zo moeilijk, ik ben toch je collega" of "Als je geen bier drinkt hoor je er niet bij").

Diablo_GT @TEAser_ • 14 februari 2026 03:19

Inderdaad. Toch zien we domme opmerkingen als dit voorbij komen die een +2 krijgen gemodereerd. Kan dus wel.

Je bent blijven hangen in de mails van 20 jaar geleden. Ook de crimineel evalueert....

8bitfanaat @Diablo_GT • 14 februari 2026 09:08

De crimineel evalueert én evolueert.

108rogar @TEAser_ • 14 februari 2026 12:30

En tegelijkertijd blijven ze medewerkers (en klanten, gebeurt overal) bestoken met vage onherkenbare links, die toch echt legetiem zijn hoor. Of nog erger, van die formulieren op google of microsoft, die net zo makkelijk door phishers aan te maken zijn. Niet gek dat er dan af en toe een phishing link wordt geklikt.

Odido

@Hoboist • 13 februari 2026 19:42

Ik zou de leidinggevende van de verantwoordelijke op het matje roepen en vragen waarom het niet nog eens gaat gebeuren. Daar dan geld in investeren. Bijv. geef iedere medewerker een YubiKey en dit had niet plaats kunnen vinden. Maar dan heb je misschien nog steeds mensen die hun YubiKey laten slingeren of wat dan ook.

PS: inlogvensters los je op met SSO/IDM, bijv. OIDC. KanIDM bijv. heeft uitstekende ondersteuning voor hardware tokens, Authelia weer voor passkeys, en je hebt echt veel keuze op dit vlak.

[Reactie gewijzigd door Jerie op 14 februari 2026 00:12]

BSimpson @Jerie • 14 februari 2026 00:58

Waarschijnlijk weer zo'n organisatie die denkt dat Microsoft goed is in het tegenhouden van geavanceerde phishing mailtjes... "wij hebben E5" Mensen investeer in een goede mailbeveiliging die ook daadwerkelijk BEC/VEC aanvallen kunnen tegenhouden..

Denk ook aan SASE (met ZTNA) of browser security met conditional access en dit had nooit gebeurd zonder dat gebruikers continue zo'n hardware mfa ding nodig hebben die ze dan weer kwijtraken. (en ja dit werkt dus ook op BYOD).

rko4u @Hoboist • 14 februari 2026 10:53

Een medewerker van een helpdesk hoort A goed opgeleid zijn om niet in fishing te trappen, immers op het moment dat je die fishing prompt krijgt heb je al iets gedaan om de visser toegang te geven. B hoort iemand alert te zijn en het liefst te werken met een password manager die aangeeft dat het niet de juiste site betreft. Dit is van zowel de medewerker als zijn manager een grote fout, met serieuze gevolgen voor miljoenen klanten.

Hoboist @rko4u • 14 februari 2026 12:43

Ik ben het eens met hetgeen je zegt. Ik heb dan ook niet gezegd dat ik iets anders vind.

Beveiliging en antivirus

@GeeBee • 13 februari 2026 17:40

Heerlijk flauw, en erg makkelijk. Dit kan echt iedereen overkomen in de haast. Je bent druk, drukke projecten. Er loopt van alles en nogwat met projecten, rapportages (kwartaalverslagen, enz.)

En nee. Ik praat niks goed. Het had niet mogen gebeuren, maar…

((En je zal het op je geweten hebben. Ik zou me heel rot voelen.))

PeaceNlove @lenwar • 13 februari 2026 17:44

Je kan je je internen en externen gewoon trainen op die 2fa. Les 1: als iemand om je 2fa vraagt zeg je NEE. Les 2: je meldt het voorval bij het SOC. Klaar!

@PeaceNlove • 13 februari 2026 18:00

Dat is de theorie. De praktijk zien we nu bij Odido

@tvtech • 13 februari 2026 18:26

Daarom moet je ook niet alleen afhankelijk zijn van MFA. Waarom hebben ze geen verdere maatregelen, zoals:

Phishing resistant MFA
Alleen managed devices toestaan (een hacker/phisher heeft normaliter geen managed device in handen)
Alleen via een VPN verbinding kunnen maken (een hacker/phisher kan normaliter geen VPN connectie opzetten)

Elke maatregel komt natuurlijk met eigen voor- en nadelen, maar een combinatie ervan is over het algemeen heel veilig.

@Cybje • 13 februari 2026 18:34

Punt 2: er zal vast met BYOD gewerkt worden. Zeker voor externen.

@ArmEagle • 13 februari 2026 18:46

Dat zou kunnen, maar dat vind ik wel een erg matige keus. Veel bedrijven die ik ken (en ook waar ik zelf werk) verplichten gewoon managed devices. Een externe medewerker krijgt dus ook een managed device.

pegagus @Cybje • 13 februari 2026 19:42

Dat is tegenwoordig steeds meer de praktijk. Naar ik vermoed goedkoper dan Citrix of Horizon. Maar als externe zit je niet te wachten op steeds weer een laptop en telefoon van de opdrachtgever. Nu kan ik flexibel bij de ene opdrachtgever ook even bij de andere opdrachtgever inloggen.

@pegagus • 13 februari 2026 19:56

Ik vind dat tamelijk bizar om te horen eerlijk gezegd, maar dat verklaart ook wel dit soort datalekken. Dat je met dezelfde, zelf beheerde, device kunt inloggen bij 2 totaal verschillende opdrachtgevers is toch vragen om problemen? Misschien dat jij je zaken op orde hebt, dus ik bedoel dit niet persoonlijk naar jou. Maar als je dit bij 100 externe medewerkers toestaat, weet je van tevoren met vrij grote zekerheid dat het bij 1 of 2 misgaat.

Ik snap dat maatregelen qua cybersecurity vaak niet leuk zijn, of onhandig. Dat kan inderdaad betekenen dat inloggen lastiger is, of dat je meer apparaten op je bureau hebt staan of zelfs moet meenemen. Maar ik snap niet dat we het maar acceptabel vinden om concessies daarin te doen.

Bij elk datalek roepen mensen weer hoe slecht het allemaal is. Maar zodra ze zelf meer moeite moeten doen op hun werk, vinden ze het niet meer leuk. Misschien moeten we dan gewoon accepteren met z'n allen dat onze data lekt.

pegagus @Cybje • 13 februari 2026 20:15

Och, het is nog veel erger. Voor Teams moet je inloggen met jawel je account van de opdrachtgever. Aansluitend heb ik al mijn mail in mijn eigen Outlook, in geval van éên opdrachtgever. Sharepoint kan ik ook zo in.

Maar normaliter log ik in op een virtuele desktop, die (theorie) goed beveiligd is. Een goede tussenstap zou zijn mijn eigen device tot een trusted device te maken.

Schway @pegagus • 13 februari 2026 22:00

Klopt, en als externe ben je inhuur. Je gaat akkoord met de voorwaarde van een managed device of je een andere opdrachtgever vinden.

Dat is wat zzp is. Meerdere opdrachten, meerdere voorwaarden. Ga je akkoord met 5 werkgevers met managed devices, dan ga je 5 krijgen en niet klagen.

Wil je dat niet, dan moet je niet akkoord gaan?

Hoboist @pegagus • 13 februari 2026 23:58

Maar als externe zit je niet te wachten op steeds weer een laptop en telefoon van de opdrachtgever.

Wil een opdrachtgever ook niet teveel middelen verstrekken om te voorkomen dat er sprake lijkt van schijnzelfstandigheid. Werkgevers zijn er nogal huiverig voor tegenwoordig.

Scriptkid @ArmEagle • 13 februari 2026 21:43

Externe met BYOD is al heel lang best practise om een managed virtual te geven,

BYOD is gewoon not done meer om toegang te geven zonder enrollment,

@Cybje • 13 februari 2026 19:20

Helemaal eens hoor. Maar security zit vaak in de weg voor gebruikers. Maar heb je geen security maatregelen dan worden de gebruikers nog veel vaker getroffen. Het is dus vaak een middenweg zoeken met een voorkeur voor alleen toegang wat je nodig hebt en de inlog zo makkelijk mogelijk maken dmv passwordleis inloggen bv.

En het uitleggen aan gebruikers is ook een belangrijk punt.

mphilipp @Cybje • 13 februari 2026 21:59

Precies, zeker als iemand bij gevoelige gegevens kan komen zou dat gewoon standaard moeten zijn. Die hackers kunnen best goed doen alsof ze echt van een interne afdeling zijn. Vooral als ze al bepaalde kennis hebben, door zo'n phisihing mail vergaard. Niet om ze te stigmatiseren, maar niet alle servicedeskmedewerkers zijn even snugger. Sommige mensen trappen makkelijker in iets. Je moet steeds op je hoede zijn.
Je legt in feite een te grote verantwoordelijkheid bij de individuele medewerker. De theorie is heel mooi, maar eigenlijk weet iedereen dat. En toch kun je op een onbewaakt moment op een link in zo'n phishing mail klikken. Niet die domme, waarvan ik er ongeveer 6 op een dag krijg, waarin DHL meldt dat ik een paketje heb gemist. Die zien er zo dom uit, alsof ze door Pipo de Clown zijn gestuurd. Wie daarin trapt, verdient het zeg maar.
Maar ik kreeg een keer op mijn werk een mail met als titel ' planning', werkelijk 3 minuten nadat we in een Teams chat hadden gesproken over een bepaald prioject waarvan collega xyz het draaiboek zou maken en rondsturen. En dan krijg je een mail, die er inderdaad een beetje iffy uitzag, maar het ging over de planning, dus ja...heel dom, maar ik zit nog in de flow van die conversatie en ik klikte erop. ' Gelukkig' was het van onze security afdeling die een test deed. Maar zo zie je maar...ik let daar echt goed op, en vage mails klik ik niet op. Mails van de bank gooi ik ongelezen weg en kijk op de site. Maar het toeval kan een bepaalde situatie creeren waardoor je er toch in trapt.

Odido

@mphilipp • 16 februari 2026 00:05

In een capability-based security design zou het klikken op een link niet mogen kunnen leiden tot een verregaand security risk. Bijvoorbeeld, zou je gebruik maken van QubesOS, dan zou de VM die zo'n link opent ook in geval van een lekke browser niet het hele OS infecteren. En ja, wellicht moet je iedere link die je klikt in een email die niet is gewhitelist in een andere scope uitvoeren.

Niemand verdient het om gescammed te worden. 'Domme' scams waar 'niemand' intrapt zijn op zoek naar 'domme' marks. In geval van een hit, weten ze dat ze beet hebben. Het scheelt ze false positives. Dat is waarom 419 scam werkt. Ze hebben immers geen arsenaal aan social engineers nodig om het te proberen. (Ik zet bewust 'domme' tussen aanhalingstekens want niemand is 'dom' omdat diegene wordt opgelicht. Dat is victim blaming, en shifting the blame.)

BYOD in een virtuele omgeving kan, maar de BYOD gaat ook zero days bevatten. In de browser. En die hele machine is dan compromised want geen servicemedewerker die QubesOS o.i.d. gebruikt.

mphilipp @Jerie • 16 februari 2026 00:29

(Ik zet bewust 'domme' tussen aanhalingstekens want niemand is 'dom' omdat diegene wordt opgelicht. Dat is victim blaming, en shifting the blame.)

Tsja...we kunnen er interessante termen aan hangen, maar sommige mensen vragen erom. Dat is gewoon een feit. Wat denk je nou als je een mail krijgt out of the blue dat je $30,000,000 van iemand kan krijgen? Serieus? Tuurlijk vraagt niemand letterlijk om opgelicht te worden, maar bij sommigen komt het wel heel dicht in de buurt. Dat kun je dan vicitm blaming noemen, maar ik vind het heel erg moeilijk om medelijden te hebben of het naar te vinden dat ze erin getrapt zijn.

Odido

@mphilipp • 16 februari 2026 04:53

Hoe ridiculer het is, hoe beter de signal to noise ratio. Alle mensen die denken 'haha, zo dom ben ik niet' en wegklikken zijn prima, die veroorzaken geen noise. Wil je ze pijn doen, met je ze 'tarpitten'. Wikipedia: Tarpit (networking) het is ook iets dat we denk ik veel gaan zien in de toekomst: ML die dat bij ML poogt.

Niet iedereen heeft voldoende technische expertise. Niet iedereen begrijpt hun UI, of weet hoe op details te letten. UIs zijn niet altijd goed gedesigned, fouten in software liggen constant op de loer. Soft- en hardware veilig houden is een dure (qua tijd en geld) arms race. Mensen zijn mensen, met gevoel en een achtergrond. Sommigen dementeren. De bejaarden van nu groeiden op in een tijd dat men speelde met tol en bal. De veranderingen gaan ook snel voor ze, ze missen houvast. En het gaat toch zo vaak niet?

Door te zeggen 'eigen schuld' en de SOers te ridiculeren schop je de mensen met schaamte richting een verdomhoekje. Nee, we moeten juist open praten over ons falen, en proberen om in te leven in elkaars fouten. Ook ik ben opgelicht in mijn leven, meerdere malen. Men beweegt je een bepaalde kant op, je gaat misschien twijfelen maar doet het toch (de vorige keren ging het ook goed). Erover praten staat ons toe lering te trekken uit. Iedere dag worden mensen verschalkt, en degenen die beweren daar niet voor te zouden vallen, zijn juist uitstekende marks. Want die hebben hun guard down. En ja, op heel wat onderwerpen heb ik daar voorbeelden over mogen leren; Jerie in "Desinformatie en misinformatie: dreiging en aanpak."

Ik weet ook niet of je kinderen hebt maar mijn ervaring met die van mij is dat hun fouten ridiculiseren niet constructief werkt. Ik probeer ze te verbeteren door het goede voorbeeld te geven. Uitlachen bijvoorbeeld, werkt averechts. Dat doe je niet. Waarom zouden we het bij volwassenen wel accepteren? Compassie tonen, troosten, daar hebben ze emotioneel wel wat aan. Proberen te leren van je fouten. Want ook als ouder zijnde, maak je ze zelf ook.

RobbieT @Cybje • 16 februari 2026 16:46

Dus geen OTP codes die gevoelig zijn voor replay en die doorgegeven kunnen worden maar een fysieke security key.

Een FIDO2 / U2F key zoals een Yubikey bijvoorbeeld, dan kunnen OTP codes niet gelekt worden.

Ja, die moet je per gebruiker beheren, maar dan weet je ook dat zo'n social engineering truc afgevangen is omdat er simpelweg geen codes zijn om door te geven.

Odido

@tvtech • 13 februari 2026 19:32

Heb je wel eens met de klantenservice van Odido te maken gehad? You pay peanuts...

@Jerie • 13 februari 2026 19:47

jazeker, en je hebt gelijk. Geldt overigens voor veel klantenservices helaas

Odido

@tvtech • 13 februari 2026 20:02

Vooral eerstelijns.

En zelfs daar besparen ze op met dark patterns, FAQs, contact informatie verstopt, keuzemenutjes, AI, ...

Ook hebben ze de calldesk graag in een relatief goedkoop land zoals Spanje, Portugal, of Ierland.

@Jerie • 13 februari 2026 20:04

Vaak ook India, zelfs bij hele dure onderhoud en support contracten krijg je een onverstaanbare kerel aan de lijn via een 512 baud verbinding

Hoboist @Jerie • 14 februari 2026 00:02

Er zijn ook zeer kundige medewerkers, maar door de werksfeer, het erg meten op snelheid van afhandelen en minder op inhoud en kundigheid gaan die vaak snel weer weg.

Odido

@Hoboist • 14 februari 2026 00:09

Helaas zie je die onzin veel terug bij helpdesks. Ook die van de overheid. Bedrijfsmatig werken, noemen ze dat. Met de nadruk op matig. Van dichtbij mee mogen maken hoe dat een instantie sloopt.

Vaevictis_ @tvtech • 13 februari 2026 18:10

Als dat niet de praktijk is gaat is grondig mis. Dan is er geen goede awareness, training, of procedures. Daarnaast gaat dit over de hack ik hoor weinig over dat ze ook de AVG overtraden. Ben zelf al 4 jaar geen klant meer maar ben ook getroffen.

Zal eens het recht van inzage toepassen, wil nu ook wel weten welke gegevens ze nog hebben en voor welk doel.

FullThrottle @Vaevictis_ • 13 februari 2026 18:25

Inderdaad, tot mijn verbazing heb ik ook een mailtje gekregen waarin nota bene ook nog eens vrolijk staat: "Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging van het contract en overstap naar een andere aanbieder jouw contactgegevens."
Ik denk dat ik ook maar eens wat ongemakkelijke vragen ga stellen.

Mushroomician @FullThrottle • 13 februari 2026 18:39

Hier nog een geval.

Volgende week ben ik 7 jaar geen klant meer. Nog van de tijd dat het t-mobile heette. Ben dus behoorlijk verrast dat mijn mail in de dataset zit.

Standeman @Mushroomician • 13 februari 2026 20:30

7 jaar is verplicht vanuit de Archiefwet voor data waar financiële consequenties aan kunnen zitten.

Dus misschien is dat de reden dat ze nog je gegevens hebben.

Mushroomician @Standeman • 13 februari 2026 20:56

Dan ben ik wel benieuwd wat de financiële consequenties zijn van n.a.w. , email en paspoortgegevens…

[Reactie gewijzigd door Mushroomician op 13 februari 2026 20:56]

Standeman @Mushroomician • 13 februari 2026 21:19

Wanneer er financiële transacties zijn geweest bijvoorbeeld. Notaris werk, schulden, leningen, belastingdienst, etc. Daarbij horen o.a. contactgegevens bij die geregistreerd zijn en d- bewijs bij omdat er een legitimatie plicht is.

Mushroomician @Standeman • 13 februari 2026 21:38

Misschien, maar bij mij is er geen sprake van notaris werk, schulden, leningen, en ja er is wel btw betaald, maar dan volstaat een btw-nummer ook.

NMN1665 @Standeman • 13 februari 2026 23:56

Archiefwet? Gaat die niet alleen op voor de verschillende overheden in dit land?

Standeman @NMN1665 • 14 februari 2026 00:33

Oh, dat is een goede. Geen idee omdat ik de laatste 10 jaar alleen met overheden heb gewerkt.

Ik ga het eens nazoeken.

NMN1665 @Standeman • 14 februari 2026 09:37

Nee dat is het niet. Telt enkel voor overheden.

moimeme @NMN1665 • 14 februari 2026 14:12

Archiefwet wel, maar er bestaan allerlei verplichtingen bij anderen branches.

knakworst @FullThrottle • 13 februari 2026 18:40

Je had natuurlijk ook een mailtje kunnen sturen naar afloop contact om je gegevens te verwijderen. Facturen moeten ze nog wel bewaren. Rest moeten ze dan verwijderen op basis van AVG.

Erkens @knakworst • 13 februari 2026 19:02

het zou dus ook kunnen dat ze het crm rondom de factuurgegevens hebben buitgemaakt

drvinnie @tvtech • 13 februari 2026 18:04

Daar moet je dus je hele proces op inrichten. Bij mijn vrouw op kantoor hebben ze wekelijks phishing tests. Resultaten worden in werkoverleg besproken. Is gewoon onderdeel van de bedrijfsvoering.

@drvinnie • 13 februari 2026 19:23

dat is wel netjes maar ik denk dat ze bij ons flink in protest komen bij wekelijkse tests.
Maar samen met de juiste endpoint beveiliging is het bij hen max beveiligt denk ik zo.

laurens0619 @PeaceNlove • 13 februari 2026 21:44

Dat is te simpel. Ik vermoed dat het hier gaat om de helpdesk voor medewerkers en niet klanten.

een mfa reset is een valide vraag, maar de juiste autorisatie moet wel plaatsvinden dan

BrammeS @PeaceNlove • 13 februari 2026 23:25

Die hackers doen misschien wel 1000 van dit soort gerichte social enginering & phishingaanvallen 999 mensen zeggen misschien wel nee. Maar net die ene persoon die in een moment van zwakte de f2a goed keurt en ze hebben de jackpot.

Til @lenwar • 13 februari 2026 17:45

Precies, iedereen maakt fouten. En deze mensen moet je misschien juist in dienst houden want die trappen er echt nooit meer in.

jimzz @Til • 13 februari 2026 18:05

Ik gok dat ze er de volgende keer gewoon weer in trappen. Nu was het telefonisch, de volgende keer is het een link of een e-mailtje.

Wat ze moeten doen is mensen trainen hiervoor, maar de meeste bedrijven vinden IT een last en een onnodige kostenpost.

NatteKrant @jimzz • 13 februari 2026 18:22

Het is nauwelijks te trainen, de insinuatie dat je dit men training (en dus geld) oplost kan ik niet beamen.

We hebben echt training na training gegegen en de ene awareness campaign na de andere. Dat heeft echt wel resultaat opgeleverd, maar het is echt een utopie om in een organisatie van 10.000 man (of zelf van 1000 man) dit uit te sluiten

lalilaloe @NatteKrant • 13 februari 2026 18:42

Heb zelf ook wel eens vaak moeten bellen met odido voor contracten en zakelijke aansluiting. Die werken met z'n allen ergens in Spanje met meerdere Nederlandse bedrijven. Na paar x aan de lijn geweest ging het al snel bij naam genoemde collegas en dat die ook in Valencia werkte en ff snel zou navragen. Kan me zo voorstellen dat in zo'n gemoedelijke werksfeer je gemakkelijk social engineering toepast met een beetje voorbereiding.

Alfa1970 @jimzz • 13 februari 2026 18:48

Of een USB stick die op het parkeer terrein wordt gevonden.
Dat is één van de favoriete methodes die van tijd tot tijd hier weer eens opduikt.
En ja, de clickbait, die een beetje verstandig persoon al op een mijl afstand ruikt, daar trapt nog steeds de helft in, en dan mag iedereen weer naar het filmpje van Kevin Mitnick kijken hoe die zichzelf op de borst staat te slaan. Dat gebeurt minimaal 3 keer per jaar, dus ja, mensen trainen is goed, maar er zijn er bij die het nooit leren.

telenut @Til • 13 februari 2026 18:02

je wil niet weten hoe groot de lijst "repeated offenders" is bij phishing simulaties...

CaptainKansloos @Til • 13 februari 2026 18:06

My thoughts exactly. Met het vingertje wijzen is makkelijk. Maak ze "ambassadeurs van veiligheid op de werkvloer."

Je hoeft ze ook weer niet meteen loonsverhoging te geven ofzo, maar direct afserveren - tenzij ze grove nalatigheid te verwijten valt - is m.i wel een beetje makkelijk 'blame-and-shame'.

Clu3M0r3 @Til • 13 februari 2026 18:57

Precies, iedereen maakt fouten. En deze mensen moet je misschien juist in dienst houden want die trappen er echt nooit meer in.

Diezelfde redenering is vooral van toepassing op leden van het MT die fouten hebben gemaakt (en waarschijnlijk niet voor de eerste keer).

Ablaze @lenwar • 13 februari 2026 18:14

Dit dus, en daarnaast de vraag waarom zo'n medewerker de verantwoordelijkheid heeft gekregen om miljoenen klantgegevens te beschermen.

Ik begrijp dat klantenservice bij de klantgegevens moet kunnen, maar het is voor een groot bedrijf niet meer dan logisch om die toegang af te stemmen op het gebruik.

TwanVRI @lenwar • 13 februari 2026 18:29

Jij denkt dat dat soort medewerkers te maken hebben met rapportages en projecten? Dit zijn gewoon klantenservice medewerkers die gewoon laatdunkend zijn geweest.

rko4u @lenwar • 14 februari 2026 10:57

Als je in drukte dit soort blunders begaat, ben je niet geschikt voor dat werk. Stel dat je in de luchtverkeersleiding werkt en in drukte fouten gaat maken, bent u dan ook zo mild?

Beveiliging en antivirus

@rko4u • 14 februari 2026 20:32

Nee. Maar nu hebben we het over kantoormedewerkers die bewust misleidt worden. Niet over mensen die gescreend en getraind zijn om continue onder een extreme druk te moeten werken, waar mensenlevens vanaf hangen. Dus je vergelijking raakt lang nog wal.

rko4u @lenwar • 14 februari 2026 22:11

Deze mensen zijn dus ook getraind om hiermee om te gaan, ook om fishing te herkenning en veilig te werken, maar blijkbaar niet capabel genoeg om te voorkomen dat ze gehacked worden.

Jeoh @GeeBee • 13 februari 2026 17:44

Lekker makkelijk om dit af te schuiven op de individuele medewerkers. Waarom kunnen zij het hele klantenbestand downloaden zonder dat er ergens alarmbellen gaan rinkelen? Waarom gebruiken ze geen phishing-resistant MFA zoals passkeys?

Sjaakys @Jeoh • 13 februari 2026 18:06

En wat ik me afvraag, is het mogelijk om bv vanuit extern op dit systeem te komen? Of kan het alleen vanuit een kantoor, of op een trusted device? Want dan is data in handen krijgen weer een stuk lastiger.

ApexAlpha @Sjaakys • 13 februari 2026 18:37

Salesforce is een open SaaS, meestal leunen die puur op account autorisaties en niks meer van netwerk segmentatie.

BugBoy @ApexAlpha • 13 februari 2026 18:52

Als je met het account van een klantenservicemedewerker vrij eenvoudig een kopie kan trekken van zoveel gegevens, dan zit er ergens anders wat goed fout. Dat kan je niet op één enkele klantenservicemedewerker afschuiven. Je zou verwachten dat je niet tot de ruwe data toegang hebt en dat er toch wel een soort van rate-limiter op zou zitten.

Wat mij betreft moeten bedrijven veel zwaardere boetes betalen bij dit soort fouten. Nu is het gewoon "foutje, bedankt". Het wordt zo gespind dat het iedereen kan gebeuren, dus afbreukrisico is nihil.

ApexAlpha @BugBoy • 13 februari 2026 19:00

Er zijn sowieso meerdere accounts gehackt, waarschijnlijk om inderdaad om de rate limiting heen te komen.

Ook zie je aan de gegevens dat de klantenservicemedewerkers niet overal bijkonden, maar alleen bij de gegevens die ze nodig hadden voor contracten.

Aan een contract zitten nu eenmaal wettelijke eisen (naam, geboortedatum, rekening nummer, adres etc...)

Neemt niet weg dat dit makkelijk te voorkomen was als de medewerkers een passkey hadden van €30 per medewerker.

@ApexAlpha • 13 februari 2026 20:13

Die medewerkers hadden die gegevens waarschijnlijk niet eens in hoeven kunnen zien. Als een klant belt dat haar naam verkeerd op de factuur staat, vul je gewoon de juiste naam in. Daarvoor hoef je niet de huidige te zien.

Hoboist @Skit3000 • 14 februari 2026 00:08

De juiste naam moet toch geregistreerd worden? Die wordt ook doorgegeven, dus die weet je. De huidige foutieve naam hoef je inderdaad niet te zien, maar foute en dus fictieve gegevens afschermen heeft denk ik niet zoveel zin.

@Hoboist • 14 februari 2026 22:27

Als je alleen in je systeem kan ingeven dat het nummer dat de klantenservice belt, de naam wil veranderen in Janssen met dubbel s, dan weer je als medewerker inderdaad de naam van die persoon, maar als je dat nergens anders op schrijft ben je het de dag erna weer vergeten (en kan via jouw account in ieder geval geen persoonlijke informatie gelekt worden).

Wellicht is er nog een andere medewerker die uitsluitend als taak heeft om te beoordelen of een ingevoerde wijziging correct is, waarbij wél het hele dossier te zien is. Maar omdat je dan gewoon de lijst af werkt krijgt die nooit meer persoonsgegevens te zien dan van de mensen die toevallig net die dag hebben gebeld over een wijziging. Zelfs als daar dan een lek zou zijn, blijft de schade beperkt.

Hoboist @Skit3000 • 17 februari 2026 08:04

Misschien een mooie oplossing, maar je schrijft

Als een klant belt dat haar naam verkeerd op de factuur staat, vul je gewoon de juiste naam in.

En die naam hoor je gewoon via de telefoon toch? Die klant belt immers en om iemand überhaupt te kunnen helpen heb je toch de naam nodig. En het "gewoon invullen" kan toch doordat de klant je belt en je zijn of haar naam geeft lijkt me.

Daarvoor hoef je niet de huidige te zien.

Eens, maar de huidige naam op de factuur was toch fout? Ik denk dat klantenservices grotere problemen hebben dan het mogelijk uitlekken van fictieve/foutieve namen. Omdat verkeerde namen op de factuur nep zijn zie ik het probleem niet zo.

Veel erger is het als de ECHTE naam uitlekt. Maar ja, die krijg je al aan de telefoon te horen. Of wil je dat mensen anoniem geholpen worden? Ik denk dat je dan een probleem krijgt met de AVG als Jantje simpelweg kan opbellen voor de facturen van Pietje.

@Hoboist • 17 februari 2026 08:53

Het is heel simpel; elke medewerker die zelf persoonsgegevens op kan zoeken is een potentieel doelwit van hackers. Als de medewerker die de telefoon op neemt alleen het verzoek van de klant noteert en daarna krijgt een andere medewerker alleen dát klantenbestand te zien plus de opmerking van wat aangepast moet worden beperk je de schade bij een hack enorm.

Kort gezegd; nu zijn er mogelijk persoonsgegevens van miljoenen klanten gelekt. Als het door mij beschreven systeem was gebruikt, had een hacker hooguit de klantgegevens kunnen zien die tijdens de periode dat toegang is verkregen door een hacker zelf hebben gebeld. Dan ga je van miljoenen naar misschien tientallen of honderden klantgegevens, minimaal een factor tienduizend lager.

Hoboist @Skit3000 • 18 februari 2026 10:11

daarna krijgt een andere medewerker alleen dát klantenbestand te zien plus de opmerking van wat aangepast moet worden

Wat bedoel je met "DAT klantenbestand"? Als iemand belt over een factuur gaat het toch om één klantenbestand (die klant van die factuur). Er is geen ander klantenbestand, want die verkeerde naam bestond immers niet, die was nep en neppe gegevens kun je niet lekken. Ik ga er dus maar vanuit dat je met "DAT klantenbestand" de factuur bedoelt.

Dan krijgt dus die "andere medewerker" dat klantenbestand te zien (de factuur die je noemt) plus de opmerking van wat aangepast moet worden (de nieuwe goede naam). Je hebt dus precies dezelfde situatie waarbij één medewerker alle relevante gegevens heeft. Eerst had diegene de de telefoon opneemt alle relevante gegevens en nu heeft (ook) de tweede medewerker die gegevens.

Kun je duidelijk maken welke gegevens die tweede medewerker niet heeft waardoor het veiliger wordt?

En ja, er gaan dingen grondig mis bij Odido, maar dat gaat niet over een foute naam op de factuur. Het gaat inderdaad over rechten die veel medewerkers veel te veel hebben, maar je voorbeeld van een foute factuur lijkt me geen goed voorbeeld, want je maakt niet goed duidelijk hoe een tweede medewerker helpt in deze specifieke situatie van een foute factuur. Ik begrijp zeker dat een tweede medewerker kan helpen, maar niet bij de factuur, omdat die tweede medewerker alsnog alle informatie krijgt om het goed in het systeem te zetten.

Nogmaals: kun je duidelijk maken welke gegevens die tweede medewerker niet heeft waardoor het veiliger wordt?

[Reactie gewijzigd door Hoboist op 18 februari 2026 10:14]

@Hoboist • 18 februari 2026 11:49

Kun je duidelijk maken welke gegevens die tweede medewerker niet heeft waardoor het veiliger wordt?

Heel simpel. Op dit moment kan elke klantenservicemedewerker de gegevens van elke klant in zien door een simpele zoekopdracht. Dit heeft Odido ook aangegeven, want op deze manier zijn de klantgegevens van (mogelijk) alle klanten gescrapet.

Wanneer je voorkomt dat medewerkers zelf naar klantgegevens kunnen zoeken, voorkom je ook dat ze (onbeperkt) klantgegevens kunnen scrapen. Dé mogelijkheid om dit te doen is door de medewerker die de telefoon opneemt enkel het verzoek van de klant te laten noteren en de tweede medewerker (naderhand) dit verzoek te laten lezen (en daar automatisch enkel de gegevens van deze enkele klant bijvoegen).

Heeft de tweede medewerker toch nog vragen, kan die altijd nog de klant terugbellen.

Hoboist @Skit3000 • 19 februari 2026 15:16

En de tweede medewerker (naderhand) dit verzoek te laten lezen (en daar automatisch enkel de gegevens van deze enkele klant bijvoegen

En wat is dat verzoek dat die tweede medewerker leest? De naam op de factuur aan te passen toch? Welke gevevens heeft die tweede medewerker nodig om de gegevens op die factuur aan te passen?:

De correcte naam
De factuur(nummer)

Zonder die gegevens kan die tweede medewerker toch niet de gegevens in de factuur aanpassen/aan laten passen door een derde medewerker?

Zonder die twee gegevens kun je de naam op die factuur niet aanpassen, ik hoop dat je het daarmee eens bent.

[Reactie gewijzigd door Hoboist op 19 februari 2026 15:18]

@Hoboist • 19 februari 2026 15:51

Die tweede medewerker krijgt in dit geval de gegevens van alleen deze klant te zien adhv het opgegeven (en door de eerste medewerker ingevoerde) factuurnummer, telefoonnummer, of iets als postcode/huisnummer-combinatie.

Zowel medewerker 1 als medewerker 2 heeft hierbij niet de mogelijkheid gehad om willekeurige klantgegevens in te zien en hiermee wordt voorkomen dat een hacker dit allemaal zou kunnen scrapen.

Hoboist @Skit3000 • 20 februari 2026 08:41

Zowel medewerker 1 als medewerker 2 heeft hierbij niet de mogelijkheid gehad om willekeurige klantgegevens in te zien en hiermee wordt voorkomen dat een hacker dit allemaal zou kunnen scrapen.

Euh ja dat is nogal logisch. Daar heeft Odido veel steken laten vallen.

Maar goed, terug naar mijn vraag over wat een tweede medewerker toevoegt. U geeft aan dat die tweede medewerker te zien krijgt:

Die tweede medewerker krijgt in dit geval de gegevens van alleen deze klant te zien adhv het opgegeven (en door de eerste medewerker ingevoerde) factuurnummer, telefoonnummer, of iets als postcode/huisnummer-combinatie.

Het is mij nog steeds niet duidelijk wat het toevoegt waarom die tweede medewerker zo ontzettend veel gegevens te zien krijgt.

@Hoboist • 20 februari 2026 11:00

Op dit moment kan elke medewerker alle gegevens van alle klanten in zien. Als één medewerker wordt gehackt, liggen dus de gegevens van miljoenen mensen op straat.

Als de eerste medewerker alleen het verzoek of de klacht opschrijft plus de gegevens die nodig zijn om de gegevens van deze klant te vinden, kan de tweede medewerker automatisch (als de telefoon opgehangen is) dat verzoek + de klantgegevens getoond worden. En ja, deze tweede medewerker ziet dan alles over die ene klant (wat ook nodig is om het werk te kunnen doen), maar niet van de andere miljoen klanten die niet hebben gebeld.

Resultaat: Als een medewerker nu gehackt wordt, kan de hacker hooguit de gegevens van klanten zien waar die medewerker op die dag mee bezig is geweest (in plaats van de gegevens van alle miljoenen klanten).

Eren @BugBoy • 13 februari 2026 19:24

Als we net als in de VS schadeclaims konden doen, dan gaan bedrijven 1000x keer meer denken over hun security en SOC. Nu is het van ‘ oeps hey, geen gekke telefoontjes opnemen’ en ‘ uh ja, check je bankrekening regelmatig’.

rob12424 @BugBoy • 13 februari 2026 19:25

Ze stonden in de etalage toch? Dat zal dan nu wel helemaal een koopje zijn.......

BugBoy @rob12424 • 14 februari 2026 20:46

Het klinkt beroerd, maar ik denk niet dat veel mensen hun internet of mobiele abbonement opzeggen hierom. Ik denk dat de schade heel erg meevalt (voor Odido).

moonlander @BugBoy • 13 februari 2026 19:40

Je beweert van alles maar er is in dat opzicht nog niks bekend.

BugBoy @moonlander • 14 februari 2026 20:48

Odido geeft zelf aan dat het via een account van een klantenservicemedewerker is gebeurd. Dat je daarmee 6 miljoen klantgegevens in één weekend kan downloaden vind ik wel een fout in de beveiliging.

moonlander @BugBoy • 14 februari 2026 23:38

Dan weet je nog niet hoe het zit.

BugBoy @moonlander • 15 februari 2026 00:58

Odido gaat gewoon niet secuur om met de klantgegevens. Dat je via een klantenservicemedewerker de gegevens van 6 miljoen klanten kan downloaden is gewoon een kapitale fout. Maar geloof maar niet dat je van Odido ook maar iets meer gaat horen. Dat blijft gewoon bij één persbericht (dat zijn ze verplicht) en verder hoor je er nooit meer wat van...

Het is gewoon wachten tot het volgende grote datalek tevoorschijn komt. Wettelijk vastleggen dat elke gedupeerde 100 euro verplicht compensatie krijgt. Wedden dat ze dan wel wat meer werk van de beveiliging gaan maken?

B Tender @BugBoy • 13 februari 2026 22:17

Afbreukrisico nihil is denk ik wat kort door de bocht. Odido wordt op dit moment door letterlijk heel Nederland door het slijk gehaald, het kost redelijk wat reclamespotjes om dat weer recht te trekken. En daarnaast lijkt een (vrij kostbaar) beursgang-traject (mede) hierdoor te zijn afgeketst op het laatste moment.

BugBoy @B Tender • 14 februari 2026 20:49

Je merknaam krijgt even een deukje, maar ik denk dat niemand zijn internet- of mobiele abbonement heeft opgezegd vanwege dit verhaal. Ook kijken mensen bij het afsluiten van een abbonement naar de value-for-money en niet zozeer naar dit soort problemen, want "het kan overal gebeuren".

Nicked @ApexAlpha • 13 februari 2026 19:02

Het is prima mogelijk om IP-allowlisting toe te passen op Salesforce. Werk je thuis, VPN verbinding (ook met 2FA). Vrij eenvoudig enkele extra barrières om dit soort situaties te voorkomen.

ApexAlpha @Nicked • 13 februari 2026 19:08

Als ze de SSO accounts hebben lopen phishing komen ze ook op de VPN in 99% van de gevallen.

Je verplaatst enkel het probleem.

Keypunchie @ApexAlpha • 13 februari 2026 19:13

Defense-in-depth. Niet perfect, maar wel verstandig. Een goed beleid is bijvoorbeeld dat geen enkele "admin" interface plat aan het net mag hangen. Dus bvb. een interface waar je users kan beheren moet dna via VPN/lokaal netwerk benaderd moet worden.

ApexAlpha @Keypunchie • 13 februari 2026 19:15

Ja ik ben het er mee eens, maar je moet het ook in de praktijk bekijken.

Veel medewerkers zitten extern, bij TelePerformance of zo. Veel zitten ook in zuid-Europa of Curacao te werken.

Dus ook als je wel Ip whitelisting doet zou je praktisch iedereen eerst een VPN moeten geven en dan wordt dat je 'voordeur'.

Beste is om passkeys te gebruiken maar dat snappen veel bestuurders nog niet.

BSimpson @ApexAlpha • 14 februari 2026 00:51

Nee hoor! Dit is met een SASE oplossing prima te doen. Dat maakt tenslotte gebruik van Zero-Trust (lees certificaten en posture) je weet dat het altijd een corporate device is.

Of browser security. Zeker met BYOD! Enige wat je nodig hebt is een profiel in je browser en een extensie. En hoppa SaaS applicaties beschermd. Je kan er alleen bij wanneer je de extensie hebt (die proxiet logins) en je bent aangemeld.

Met beide oplossingen was dit nooit gelukt.

Waah @Nicked • 13 februari 2026 20:26

Met hun klik en klaar oplossing krijg je elke 24 uit een nieuw IP-adres

dan wordt het een dagtaak om aan te passen

steefje @ApexAlpha • 13 februari 2026 19:41

Nee sales force kan je ook afschermen beveiligen door alleen toegang te verlenen aan vertrouwde ip adressen, al kan iedereen met bepaalde rechten dit whitelisten

@Sjaakys • 13 februari 2026 18:56

Bij grote exports moet je over t algemeen een batch job starten en kun je die de volgende dag downloaden. Tenminste zo werkte t in t verleden. Geen idee of t nog zo is.

@Jeoh • 13 februari 2026 18:21

Waarom kunnen zij het hele klantenbestand downloaden zonder dat er ergens alarmbellen gaan rinkelen?

Waaruit maak je op dat dit is gebeurd?

Het artikel hint op het tegenovergestelde:

“Volgens de bronnen van de NOS is 'niet waarschijnlijk' dat de hackers al die gegevens hebben gedownload, omdat het om een grote dataset gaat die niet zomaar onopgemerkt kan worden gedownload.”

NBK @w.w.p. • 13 februari 2026 18:44

Ik heb nog steeds geen mail van Odido dat mijn gegevens zijn gelekt dus het zou nog kunnen dat ze inderdaad niet alles hebben buitgemaakt.

NSG @NBK • 13 februari 2026 19:07

Ik heb als ex-klant een mail gehad van Ben omdat ik minder dan 2 jaar geleden ben vertrokken en daarom nog in het systeem sta.

Best gek, want op mijn kalender is 2023 wel wat langer dan 2 jaar geleden.

rob12424 @NSG • 13 februari 2026 19:26

Daar zeg je wat. Ik kreeg ook een mail maar zit al langer dan 2 jaar bij een ander want was bij Odido weggegaan.

EWS99 @NSG • 13 februari 2026 19:45

Ik heb het bericht van Odido gekregen op het email adres dat ik alleen voor tele2 gebruik. Ik ben tot 2021 klant geweest bij Tele2 en sinds 2021 overgestapt naar een andere provider.
Volgens mij hadden ze mijn gegeven al lang verwijderd moeten hebben?

PaulHelper @NSG • 13 februari 2026 19:56

+1 heel leuk ook, paar weken geleden nog gekeken of dat werkte en of ik mijn ben account kon verwijderen. Zag zo snel niet de mogelijkheid en dacht t zal wel. Had ik maar meer moeite gedaan... Of wanneer kan je een inactief account verwijderen?

@NBK • 13 februari 2026 19:15

IK heb de mail om 12 14 vandaag ontvangen. Van mij zijn iig geen identificatiebewijzen bekend geworden.

Een vriendin heeft de mail een uur later ontvangen.

In het bericht van gisteren stond ook dat Odido de mails niet allemaal gelijktijdig kon versturen, maar dat het in de komende dagen zou gebeuren

zalazar @Jeoh • 13 februari 2026 19:04

In het artikel staat dat ze geautomatiseerd data middels scraping uit het klantensysteem hebben gehaald.
Dat betekent dus een pagina oproepen, screenscraping toepassen en de data in een bestand opslaan, geautomatiseerd Next of naar de volgende klant gaan en de volgende pagina scrapen.
Middels deze werkwijze kun je dus niet even het hele klantenbestand downloaden. Deze werkwijze kost nogal wat tijd.

Men had uiteraard wel een limiet kunnen zetten op het aantal klantenpagina's welke een medewerker per dag mag opvragen. En uit het artikel haal ik niet of de inlogsessie voor een bepaalde tijdsduur geld (bijv. 12 uur) waarna de login opnieuw bevestigd moet worden.

bytemaster460 @Jeoh • 13 februari 2026 21:13

Volgens het artikel is dat dus ook niet gebeurd. Zo’n download zou zijn opgevallen.

dutchgio @GeeBee • 13 februari 2026 17:39

Buitenlandse callcenters naar verluid, ook bizar dat die bij zoveel klantgegevens kunnen komen.

xxs @dutchgio • 13 februari 2026 17:48

Vroeger zei men zeer ongepast “pay peanuts and you get monkies”.

Maar vaak is het wel zo dat er relatief weinig betaald wordt voor dit soort functies met als gevolg dat je niet het best getrainde personeel krijgt.

edit:
typo

[Reactie gewijzigd door xxs op 13 februari 2026 18:13]

jimzz @xxs • 13 februari 2026 18:04

En dit is helaas de harde realiteit. Ik heb onlangs mijn odido abonnement opgezegd naar aanleiding van 1 telefoongesprek met de klantenservice. Ze hadden mijn abonnements aanvraag geweigerd. Na bellen, werd me gezegd ja we weten niet waarom u geweigerd bent, alles is in orde en had gewoon goedgekeurd moeten worden. Dus blijven doorvragen wat nu de reden was waarom ik geweigerd werd. Zegt de dame aan de telefoon, ja dat weet ik ook niet zult u zelf maar uit moeten zoeken.

Tja als je zulke incompetente mensen durft neer te zetten ben je mij kwijt als klant. Zeker als relatief nieuwe klant en maar 1 simpele vraag gesteld heb.

Hoboist @jimzz • 14 februari 2026 00:14

Het is ook verstandig om voor het afsluiten van een abonnement oid even de klantenservice te bellen met een moeilijke vraag (eigenlijk zou je dan geen salespersoon moeten spreken).

Heb ik eens bij een doktersassistente gehad: wat ben ik blij dat ik haar een simpele vraag moest stellen voor ik mij aanmeldde: daardoor wist ik dat ik zeker niet bij die dokterspraktijk moest zijn.

The-Source @jimzz • 14 februari 2026 15:28

Nou ik heb recentelijk vanuit zakelijk perspectief contact met Odido dus ook via het nummer wat als zakelijk op de website wordt vermeld. Maar sinds november 2025 verkopen ze geen zakelijke abonnement meer. En op industrieterein was na een check geen consumenten glasvezel beschikbaar (er is wel glasvezel want dat gebruiken we al)

De medewerker die ik aan de lijn had vond ik zeker voor stukje algemene klantenservice eigenlijk wel goed op z'n plek. Hij dacht netjes mee, deed de nodige checks etc. Dat het eind resultaat was dat er niets geschikt was betekende in dit geval niet dat ik een negatieve ervaring had.
(persoon in kwestie was overigens van de consumenten klantenservice)

basroadrunner @xxs • 13 februari 2026 18:31

Bij ons was het : " In tijd van schaarste komt stront boven drijven " Zeer incompetent personeel bij gebrek aan beter.

Odido

@basroadrunner • 13 februari 2026 19:36

Ik heb slecht nieuws voor je: bij VodafoneZiggo toen ze in Maastricht zaten (weet niet of ze er nog zitten) was het niet veel beter.

KPN weet ik niet.

prozak @xxs • 13 februari 2026 20:12

Wat is er ongepast aan deze 'oude' uitspraak? Volgens mij zijn er maar weinig werkgevers die een stel aapjes als medewerkers wil hebben 😁

xxs @prozak • 13 februari 2026 20:18

Omdat het denigrerend bedoeld was naar de geoutsourcete (of maak er een mooi woord van) heldeskmedewerkers in India.

bytemaster460 @xxs • 13 februari 2026 21:24

De uitdrukking bestaat al veel langer en had niets te maken met mensen in India.

xxs @bytemaster460 • 13 februari 2026 21:26

Zo werd hij wel gebruikt binnen meerdere IT organisaties.

moimeme @xxs • 14 februari 2026 14:05

Die is niet IT organisaties eigen. Ik heb het geleerde als plaatwerker bij een metaalbedrijf in de jaren 70.

bytemaster460 @xxs • 14 februari 2026 17:47

Die uitdrukking werd overal gebruikt, voor alle situaties waarbij men beknibbelt op salarissen en vervolgens klaagt over de kwaliteit.

wiseger @xxs • 15 februari 2026 20:47

Welnee, deze uitspraak bestond al voordat outsourcing bestond.

MrMonkE @xxs • 14 februari 2026 02:38

Zei iemand 'peanuts'?

Clu3M0r3 @dutchgio • 13 februari 2026 17:46

Lekker goedkoop. Dat zegt genoeg. Hebben ze bij KPN ook gedaan, zijn ze (voor zover ik weet) deels op teruggekomen.

Correctie: delen van de technische ondersteuning heeft KPN in het buitenland laten afhandelen, niet het klantcontact deel.

[Reactie gewijzigd door Clu3M0r3 op 13 februari 2026 18:52]

Clu3M0r3 @dutchgio • 13 februari 2026 18:54

Buitenlandse callcenters naar verluid.

Nope, ik heb zeer regelmatig in de aanloop naar de aansluit datum van mijn Odido glasvezelverbinding contact gehad met Odido klantenservice, en die spraken allemaal (verstaanbaar) Nederland.

MarcelBreugel @Clu3M0r3 • 14 februari 2026 12:07

Ik heb bij het bellen met de Odido klantenservice toch wel eens vaker gesproken met Nederlanders die in Portugal werkten.

moimeme @dutchgio • 14 februari 2026 14:06

Ja, moeten die de iban hebben?

NatteKrant @GeeBee • 13 februari 2026 17:48

Zo makkelijk weer. Je kunt wel heel stoer mensen aan de schandpaal nagelen, maar dit gebeurd gewoon. Niet bij tweakers uiteraard, wat hier weten we alles en oordelen we vooral over anderen.

Wij doen binnen onze organisatie (10000+ medewerkers) meermaals per jaar een Internal Phishing Campaign als assesment. Je zult versteld staan hoeveel medewerkers telkens weer credentials afstaan. Daarom is het niet alleen zaak om de voordeur te beveiligen, maar ook de juiste middelen moet hebben om na een breach/intrusion zo snel to kunnen detecteren en handelen.

[Reactie gewijzigd door NatteKrant op 13 februari 2026 17:48]

Florimon @NatteKrant • 13 februari 2026 19:28

Veel te makkelijk gedacht weer, "dit gebeurt gewoon". Medewerkers van de klantenservice zullen op een goede/slechte dag niet de gegevens van meer dan zeg een paar honderd klanten in te hoeven zien? Dit betekent dat als het mogelijk is dat een klantenservice medewerker de gegevens van duizenden of zelfs miljoenen klanten op 1 dag in kan zien, er iets fundamenteel mis is met het authorisatie beleid van je klant informatie systeem. Werknemers horen de minimale set van rechten en opvraag capaciteit te hebben om hun werk te kunnen doen, en niet meer.

NatteKrant @Florimon • 13 februari 2026 21:58

Graag wel mijn comment binnen context houden waarin hij geplaatst is.

Dat mensen gephished worden gebeurt gewoon.

Wat jij aanhaalt heb je absoluut, maar daat ging mijn comment niet over

Odido

@NatteKrant • 13 februari 2026 19:38

Daarom moet je ook MFA afdwingen, en nooit je MFA code afgeven. Sterker nog, een FIDO2 van YubiCo kost maar 20 EUR, en dat is een premiummerk.

SpoekGTi @GeeBee • 13 februari 2026 17:59

Tsja en hoe is je interne IT beleid dan ook mbt het opvoeden van je medewerkers.......

hans-martijn @SpoekGTi • 13 februari 2026 18:59

Dat is niet aan de iT, maar aan HR. Niet alle beveiliging is technisch af te dwingen, juist door die gedachte gaat er zo ontzettend veel fout!

Hackers
Hack
Beveiliging en antivirus

@SpoekGTi • 13 februari 2026 19:25

Met bewustwording en training kom je ook maar zo ver. Je haalt nooit een 100% succes rate. Zelfs security experts durven er wel eens intrappen.

bzuidgeest @GeeBee • 13 februari 2026 18:37

Het hele idee achter phishing en social engineering is om mensen voor het lapje te houden. Een evil versie van bananensplit.

Mensen zijn gewoon mensen en die maken fouten. Het kleinste momentje onoplettendheid kan al een issue zijn. Ik heb ook wel eens een "lekje" veroorzaakt. Was met meerdere projecten tegelijk bezig, want druk en voor je het weet mail je wat data van klant A naar klant B. Iedereen geïnformeerd en verder geen ramp. Maar ik zit 25 jaar in het ontwikkel vak en dan maak je 1 keer een foutje? Moet dat ontslag zijn? Belachelijk wat mij betreft. Zoals mijn baas stelt, fouten zijn menselijk en ik heb het niet verborgen zodat het netjes afgewerkt kon worden. Ze beseffen ook wel wat ze vragen van iemand.

Hoe complexer de IT hoe groter de kans op fouten en hoe groter de kans op schade, het hoort er gewoon bij.

HoppyF @bzuidgeest • 13 februari 2026 18:54

Tussen een klein foutje met weinig impact en deze enorme hack zit wel een enorm verschil.
Als je als medewerker zomaar 2FA codes gaat afgeven is er iets grondig mis.

bzuidgeest @HoppyF • 13 februari 2026 19:00

Tussen een klein foutje met weinig impact en deze enorme hack zit wel een enorm verschil.

Nee, de grootste problemen beginnen vaak met een heel klein foutje.

Als je als medewerker zomaar 2FA codes gaat afgeven is er iets grondig mis.

Dat zou niet handig zijn inderdaad, maar ik zie dat niet terug in het artikel. Het staat er niet heel duidelijk wat er werkelijk is gebeurd. Maar in het geval van lastpass was het geloof ik een beheerder waar het wachtwoord van gestolen was en die zoveel mfa prompts kreeg in zijn normale werk dat hij gewoon een keer automatisch teveel op ok gedrukt heeft. Tegenwoordig hebben ze daar cijfer invoer voor uitgevonden. Dan werkt dat niet meer, maar dat is achteraf. Het is een klein foutje met gevolgen.

Ik denk niet dat die medewerkers mfa codes hebben gegeven per telefoon. Wellicht hebben ze een mfa gereset zodat die opnieuw kon worden aangemaakt. Het is niet ongebruikelijk dat dit moet gebeuren bij servicesdesks als gebruikers hun authenticator hebben gesloopt of zo.

Maar goed dat is speculeren.

HoppyF @bzuidgeest • 13 februari 2026 19:18

De exacte oorzaak wordt vast nog wel bekend gemaakt.
Je hebt er niet veel aan want het kwaad is al geschied.
Ik vraag me wel af of ook bekend wordt hoeveel klanten er nu echt getroffen zijn.
Als het mee zit zijn het er niet zoveel als die 6 miljoen.

bzuidgeest @HoppyF • 13 februari 2026 19:22

Ik hoop dat het bekend word. Bij ons op het bedrijf bestuderen we ook incidenten bij andere bedrijven. Na het bijvoorbeeld het LastPass debacle hebben wij ook de mfa aangepast en dat soort dingen. Er zijn recent weer verschillende hacks geweest met interessante observaties waar je wat mee kan. Al is het maar bijblijven met de laatste trucs. Hopelijk voor ze die op je eigen bedrijf toepassen.

Hackers
Hack
Beveiliging en antivirus

@bzuidgeest • 13 februari 2026 19:24

Ook de reden waarom men eerst naar numbermatching is gegaan in vele MFA systemen en vandaag nog een stap verder wenst te gaan met bijvoorbeeld passkeys. Dan is het geen push meer, maar wordt het een pull. Onmogelijk om gebruikers nog te misleiden om per ongeluk een MFA goed te keuren.

En ja, het resetten van een authenticator is een lastig iets. Daar heb je goede procedures voor nodig. Ik blijf het op onze service desk er ook in hameren dat men niet zomaar telefonisch mag aanvaarden van een reset te doen. Je moet kunnen verifieren dat de persoon aan de andere kant van de lijn de correcte persoon is.

@GeeBee • 13 februari 2026 17:46

Lekker kort de bocht.

De werkgever is verantwoordelijk voor goede opleiding en training van medewerkers op dit gebied. Tenzij een medewerker roekeloos is geweest of met opzet heeft gehandeld, is de werkgever aansprakelijk.

Daarnaast is het aan Odido om zero trust principes toe te passen om te voorkomen dat niet iedereen kan grasduinen in dit materiaal.

Vaevictis_ @Ronwiel • 13 februari 2026 18:11

Training, awareness, zero-trust maar ook pentesten, oefenen en audits. Dit had zo voorkomen kunnen worden.

Daarnaast sharding toepassen. Dus gegevens verdelen over meerdere bronnen / systemen.

Florimon @Vaevictis_ • 13 februari 2026 19:19

Precies. Banken komen hier ook niet mee weg, waarom zo'n telecomboer als Odido wel?

baseoa @Florimon • 13 februari 2026 19:51

Ik denk omdat we alleen gelijk handelen in gelijke gevallen

Florimon @baseoa • 13 februari 2026 20:03

Ik zie niet wat er ongelijk is - of het nu een bank is of een telecomboer (of welk ander bedrijf) die mijn persoonsgegevens lekt, mijn risico op identiteitsfraude blijft hetzelfde.
Het wordt tijd dat er stevige consequenties voor dit soort bedrijven zelf aan vastzitten, dan wordt men vanzelf heel proactief en creatief in het opsporen en afdekken van risico's.

Frikandel @GeeBee • 13 februari 2026 17:48

Social engineering kan iedereen overkomen. Zeker in zo'n grote organisatie is het niet de vraag of het gaan gebeuren, eerder wanneer, al kan je de wanneer uiteraard wel uitstellen met goede voorlichting en maatregelen. Ik vind het eerder kwalijk dat er zo ontzettend veel data is gelekt via slechts een paar logins.

Andros @GeeBee • 13 februari 2026 17:48

Telecomproviders werken ook best vaak met externe callcenters met een groot verloop. Een paar studenten die drie maanden een aantal dagdelen de telefoon opnemen om een factuur voor te lezen gaan er niet wakker van liggen dat ze dat baantje kwijt spelen, die zetten ze gewoon op een ander project of zoeken wat anders. Odido kan beter naar hun processen kijken als ik het zo volg, je weet wat je inhuurt.

GrooV @GeeBee • 13 februari 2026 17:54

Alles maar op de slachtoffers afschuiven en niks doen dan komt het helemaal goed.

Jouw reactie is de reden waarom dit nog steeds voor komt. We hebben de persoon ontslagen dus nu is alles weer veilig.

Zorg gewoon voor veilige fool proof systemen, bij Odido werken duizenden mensen, die hebben allemaal niet de technische kennis die wij hier op Tweakers hebben

GeeBee @GrooV • 14 februari 2026 09:15

Volgens mij zijn de personen waarvan al die data nu bekend is de werkelijke slachtoffers.

Hydranet @GeeBee • 13 februari 2026 18:13

PEBKAC

Martinez- @GeeBee • 13 februari 2026 18:38

Fouten maken is menselijk. Het systeem zou hierin moeten beperken. Er is overduidelijk geen of weinig sprake van real-time monitoring geweest evenals het gebrek aan andere beveiligingslagen zoals max aantal requests per tijdseenheid en beperking van toegang tot gegevens.

De medewerker is fout geweest, maar Odido als bedrijf des te meer. Als ik de lijst zie van zaken waar je nu problemen mee kunt krijgen... hier moet de overheid iets mee gaan doen om burgers tegemoet te komen, want anders is het dweilen met de kraan oopen. Een andere manier van identificeren of een verbod op afsluiten van abonnement middels de telefoon bijv.

Brent @GeeBee • 13 februari 2026 18:43

De fout is al die SAAS gebruiken. Vind 1 gaatje, gebruik hem bij elke klant, de helft van de AEX...

Het is typische afvinkveiligheid. Laten een berg 'architecten' zich vast goed voor betalen, voor het adviseren van het uitbesteden van alles.

Orangelights23 @GeeBee • 13 februari 2026 18:57

Victim blaming. Als je dit soort dingen zegt, heb je werkelijk waar geen kaas gegeten van cybersecurity. Dit soort opmerkingen verwacht ik van dronken Ome Ron op verjaardagen, niet van Tweakers.

-Elmer- @GeeBee • 13 februari 2026 19:14

Maar als je dit als odidomedewerker(s) via phishing en social engineering laat gebeuren, dan is het wat mij betreft pasje inleveren.

Het spijt me te moeten zeggen maar wat ben ik blij dat jij niet de CISO bent van mijn organisatie. Waarom?

Victim blaming is een van de slechtste dingen die je kunt doen om de weerbaarheid van een organisatie te verbeteren. Dat creëert angst en geslotenheid. Wat nodig is, zijn transparantie en besef dat dit zelfs de best getrainde medewerkers kan overkomen.
Er is maar één schuldige: de cibercriminelen.
Denk je dat er fouten zijn gemaakt bij Odido? Leg de verantwoordelijkheid dan bij het management en de directie, die mogelijk onvoldoende hebben gedaan aan logging, monitoring, veilige authenticatie en awareness.

Hoboist @-Elmer- • 14 februari 2026 00:20

Heel goed punt over angst: waarom zou je het als gemiddelde medewerker nog melden als je per ongeluk klant A met iets hebt gemaild wat voor klant B bedoeld was? Ontslag hangt immers in de lucht, dus kun je het maar beter verzwijgen als je iets vermoed of iets fout doet.

GeeBee @-Elmer- • 14 februari 2026 10:47

Ja, de cybercriminelen zijn de grootste schuldige. Alleen de slachtoffer is niet de Odido-medewerker, dat zijn de klanten waarvan de data nu op straat ligt.

Er bestaat ook nog zoiets als verantwoordelijkheid en oorzaak-gevolg. Je bent als een IT-bedrijf je klanten aan het waarschuwen er niet in te trappen en dan doet je eigen personeel het wel? Dan gaat er in de volle organisatie iets mis. Personeel, opleiding, IT, databeveiliging, enz.

Dus ja: ik hoop dat de CIO/CTO een onderzoek gaat instellen en dat er maatregelen genomen gaan worden. Zowel technologisch als personeel.

-Elmer- @GeeBee • 14 februari 2026 11:11

Absoluut heeft Odido een verantwoordelijkheid. Maar die neerleggen bij de "gewone" medewerker zou nooit mogen.

Vaak wordt gezegd dat "security zo sterk is als de zwakste schakel". Dat is echt een verkeerd en schadelijk beeld. We moeten er met z'n allen rekening mee houden dat er soms verdedigingsmaatregelen "omvallen" en de algehele security verantwoordelijkheid maken van het hoger management. Het is dus niet de CIO die een onderzoek moet doen, maar er moet een onderzoek plaatsvinden náár de CIO. Hoe kan het dat hij of zij security zo heeft ingericht dat account compromise van enkele medewerkers tot zo'n datalek leidt?

Hackers
Hack
Beveiliging en antivirus

@GeeBee • 13 februari 2026 19:20

Want jij hebt nog nooit een fout gemaakt?

Besef je goed wat dat zou doen in vele bedrijven als je zo een cultuur gaat introduceren? Je zorgt voor een angstcultuur. Niemand wil nog fouten maken, en als een fout wel gemaakt wordt durft niemand deze rapporteren uit schrik voor de gevolgen.

Je wil net het omgekeerde. Je wil mensen net aanmoedigen om, als ze zelfs maar denken iets verkeerd te hebben gedaan, dit zo snel mogelijk te melden. Ik ben als beheerder net gelukkig wanneer ik zie dat een ticket binnenkomt van iemand die denkt een fout met mogelijks zware gevolgen gemaakt te hebben waarbij men meestal de gevolgen zwaar overschat en er gelukkig zelden ook echt iets aan de hand is.

En ja, ook ik heb al fouten gemaakt, ook ik heb in de organisatie al schade veroorzaakt. Dat is nu eenmaal menselijk. Een goede enelstalige term waar je misschien eens wat onderzoek mee kunt doen: A just culture.

GeeBee @Blokker_1999 • 14 februari 2026 09:24

Jazeker wel.

Ooit een poort vergeten dicht te doen en daarna was mijb halve mediaverzameling geencrypt.

Doe ik dat op mijn eigen netwerk dan was dat een pittig leerpunt, doe ik dat op mijn werk en betrof het het klantenbestand dan was het toch wel een ander verhaal.

[Reactie gewijzigd door GeeBee op 14 februari 2026 10:39]

GeeBee @Blokker_1999 • 15 februari 2026 01:40

Just culture.
Het heeft o.a. als voorwaarde, wat ik gelezen heb, dat de organisatie de intrne opleiding op orde heeft. Dat lijkt me bij Odido dus nou juist niet het geval.
Daarnaast is de scheidslijn tussen “menselijke fout” en “onaanvaardbaar gedrag” subjectief.

Bzzje @GeeBee • 13 februari 2026 19:36

Vooral tekenend dat in het mailtje van Odido uitgebreid uitgelegd wordt wat je moet doen om niet in phishing te trappen.... terwijl ze er zelf dus wel gewoon in trappen.

(Alsof je zwemles krijgt van iemand die net bijna verdronken is)

logix147 @GeeBee • 13 februari 2026 20:59

Dat ligt eraan, jij en ik weten niet wat Odido er aan de achterkant aan doet om personeel te trainen. Ik train nu mensen en wij sturen vaak ‘sharepoint’ linkjes rond vlak na een security briefing. Toch trapt 30% erin en die krijgt dan een aanvullende phishings follow up.

Valandin @GeeBee • 14 februari 2026 01:09

Wat ik vooral bijzonder vond is hoe deze providers met hun klantenservice omgaan. Wellicht anekdotisch, maar mijn vriendin heeft eens als bijbaantje gewerkt op de klantenservice van een telecomprovider.

Die telecomprovider besteed de klantenservice uit aan een bedrijf. Dat bedrijf had eigen medewerkers, maar ook vele onderaannemers die op hun beurt weer honderden medewerkers hadden.
Daar werd bij het onboarden dan verteld "Mocht je ooit gevraagd worden waar je bij werkt, zeg dan bedrijf X"

Dat zijn dus écht een hoop schakels en systemen waar óf iets technisch mis kan gaan, of gevoelig kan zijn voor social engineering. Ook dus een heleboel mensen die gewoon zomaar bij klantgegevens kunnen komen, er zat ook geen zichtbare beveiliging op de toegang tot klantgegevens. Ik hoopte maar dat er onderwater wel wat logging zat. Maar als ik alle recente nieuwsberichten en boetes zie die telecomproviders krijgen over het slecht omgaan met gegevens. Als ik alleen al zoek op Tweakers naar "Odido boete" zie ik al:
nieuws: Odido krijgt boete van 175.000 euro voor fout verwerken verkeersgegevens klanten
nieuws: Odido krijgt 1,5 miljoen euro boete voor slechte beveiliging van aftapsysteem

(Let wel dat dit inmiddels zo'n 8 jaar geleden was, in de tussentijd kan het zijn dat dingen anders ingericht zijn. Dit was ook niet bij Odido. Wel bij een andere bekende.)

AnonymousGerbil

@GeeBee • 14 februari 2026 01:57

Mensen zijn nu eenmaal niet goed in multitasken, dwz iemand die bezig is klantvriendelijk te zijn kan niet 100% super-alert zijn op scams.

Hoeveel pasjes je ook inneemt, dat gaat niks komma nul helpen als dat niet onderkent wordt in het ontwerp van de toegepaste 2fa.

yatogami28 @GeeBee • 14 februari 2026 03:57

Het ironische is dat het om werknemers uit india gaat

michelb76 @GeeBee • 14 februari 2026 11:59

Precies. Deze mensen ontslaan zodat de nieuwe mensen deze fouten weer kunnen maken.

GeeBee @michelb76 • 15 februari 2026 01:34

Nee, ergens anders maken ze die fouten niet nog een keer, en ondertussen uiteraard je eigen organisatie verbeteren.

ZinloosGeweldig @GeeBee • 13 februari 2026 17:52

En dan huur je een andere ezel in ter vervanging, die zich nog niet eerder aan die steen gestoten heeft.

Beveiliging en antivirus
Hack

@GeeBee • 14 februari 2026 13:01

De grootste fouten worden gemaakt tussen het scherm en de stoel.

Ja, door de ontwerper die geen rekening houdt met hoe mensen werken.

Maar als je dit als odidomedewerker(s) via phishing en social engineering laat gebeuren, dan is het wat mij betreft pasje inleveren.

Wat een schade heb je dan veroorzaakt...

Nee, deze mensen hebben geen opzettelijke fout gemaakt maar zijn voor de gek gehouden door oplichters. Dat kun je niet helemaal voorkomen. Iedereen maakt fouten. Je kan 1000 keer de phishing doorzien en er dan toch één keer intrappen. De aanvaller kan 1000 keer falen en hoeft maar één keer succes te hebben.

Niemand is echt immuun voor fouten, inclusief de meest fanatieke en security geobsedeerde Tweakers. Als je zelf geen fouten maakt dan springt je kat wel een keer je toetsenbord of zo iets.

2fa is bedacht omdat perfectie niet bestaat. 2fa helpt een hoop maar ook 2fa is niet perfect. Nog beter dan 2fa is 3fa of 4fa of 10fa... al loop je op een gegeven moment ook tegen de grens aan van wat nog werkbaar is. Dat we het bij 2fa laten is belangenafweging en daar hoort ook bij dat het af en toe fout gaat.

WillySis @GeeBee • 14 februari 2026 14:54

Hackers worden er steeds beter in om phishing mails te doen lijken op normale communicatie met een meerdere. De kans dat een medewerker eens in zo'n mailtje trapt wordt ook steeds groter. Op een moment dat je net even wat minder scherp bent kan het eigenlijk iedereen (jij inclusief) overkomen.

Op het moment moeten we gewoon concluderen dat niet elke vorm van 2fa waterdicht is. Eigenlijk zou er een vorm van biometrie (gezichtsherkenning, vingerafdruk, irisscan) onderdeel moeten zijn van een 2fa of zelfs 3fa. Helaas is dat wegens de privacywet niet toegestaan (tenzij vrijwillig en op eigen initiatief). Alternatief is een stuk hardware zoals het controleren van de EMEI code van je (werk)telefoon.

John8 @GeeBee • 14 februari 2026 19:28

Ik heb een sms gekregen van Odido. Ze zeggen dat mijn gegevens ook zijn gestolen.

Kan ik hier een schadevergoeding voor krijgen of aanvragen ?

GeeBee @John8 • 14 februari 2026 20:23

Nee, dat kun je wel vergeten.

Tivoler @GeeBee • 15 februari 2026 15:23

Alsof jij dat in de gaten had gehad; fantast.

GeeBee @Tivoler • 15 februari 2026 17:27

Geen idee. Het bewijzen of iets wel/niet gebeuren zou, is verrekte lastig.
Het enige dat ik kan zeggen is dat ik van onze systeembeheerder ooit een compliment heb gekregen omdat ik als enige een uitgezet testmailtje gemeld heb.

Tivoler @GeeBee • 15 februari 2026 17:46

OK, conclusie: narcist.

GeeBee @Tivoler • 15 februari 2026 20:48

Conclusie: opinionated.

Tivoler @GeeBee • 15 februari 2026 21:42

Tja; Nederlands is vast niet interessant genoeg voor je.

xxs @GeeBee • 17 februari 2026 10:50

Ik zou ook wel eens willen weten welke engineer/consulent die verantwoordelijk is voor de Salesforce omgeving die een download van 6,2 miljoen records toestaat (als dat werkelijk gedownload is) ? Normaliter zit er een limiet op het aantal API calls bij SF.

P-Rock 13 februari 2026 17:50

Odido is al twee keer eerder op de vingers getikt voor hun slechte beveiliging en nu blijkt maar weer dat zich daar niks van hebben aangetrokken. Bedenk je dus goed als je overweegt om een contract af te sluiten bij Odido dat veiligheid van je persoonlijke gegevens niet hoog op hun lijstje staat. Hun matige, laconieke reacties op één van de grootste hacks in Nederland ooit spreekt ook boekdelen.

Brent @P-Rock • 14 februari 2026 01:42

Heb je links naar die 2x?

P-Rock @Brent • 14 februari 2026 11:23

2019: https://www.rdi.nl/actueel/nieuws/2024/03/18/boete-odido
2022: https://www.rdi.nl/actueel/nieuws/2025/10/17/rdi-legt-odido-boete-op-van-ruim-15-miljoen

jackyallstar @P-Rock • 16 februari 2026 07:45

Das dus 1 keer dan, je eerste link gaat over een boete omdat ze (ruwe) informatie hebben verwerkt die ze niet hadden mogen verwerken, als ik het goed begrijp

LangeJan85 @P-Rock • 15 februari 2026 09:26

Hun mobiele netwerk is al super kut, laat staan de hack. Nooit Odido!

mooiboy 13 februari 2026 21:13

Ook wel bizar dat je zomaar bij de front-end van Salesforce kan komen als een niet-Odido medewerker en vervolgens zoveel NAW gegevens kan crawlen vanaf één account.

1. Er was geen conditional access
2. Er was geen mechanisme in het Salesforce pakket dat toegang beperkt na talloze queries in de GUI, of nog erger, een database API kapot kan querying
3. Data exfiltrate bleef onopgemerkt

PaulusTweakers 14 februari 2026 04:50

Ik verbaas me over reacties die de schuld bij “de medewerker” leggen. Ja, medewerkers zijn te phishen, dat is precies waarom je systemen zo moet ontwerpen dat één gecompromitteerd account niet meteen een sleutel tot het hele klantenbestand is.

Odido draaide dit in een Salesforce‑klantcontactsysteem, terwijl Salesforce‑omgevingen vorig jaar al vaker doelwit waren. En dan staan daar ook nog IBAN’s en soms ID‑gegevens in. Dat hoort óf niet in een klantservice‑tool, óf minimaal met strikte afscherming (masking, veldrechten, step‑up, auditlogging en detectie op scraping/bulkgedrag).

Kortom: dit is minder “die medewerker was dom” en meer “de basis architectuur en governance waren niet ingericht”. En dat schuurt met AVG‑principes als dataminimalisatie en privacy by design. Ben benieuwd wat AP zal zeggen.

LangeJan85 @PaulusTweakers • 15 februari 2026 09:23

Leuke chat gpt text man.

fugalism 13 februari 2026 18:07

Dit moet toch het einde voor Odido zijn bijna? Buitenlandse callcenters die bij zoveel data kunnen en geen alarmbellen dat er 6 MILJOEN records gekopieerd worden...

Zodra er een massaclaim komt ben ik de eerste die zich aanmeld. Echt ongelooflijk hoe incompetent ze zijn geweest.

baseoa @fugalism • 13 februari 2026 21:04

De hoeveelheid javascript op salesforce nadat je enkele pagina's geopend hebt is al meer dan 6 miljoen persoonsgegevens (6M maal enkele tientallen bytes per record, zeg). Zo'n transfer valt qua volume echt in het niks, je moet al specifieke monitoring hebben. Niet dat dat ongebruikelijk advies is, maar ik zie het bij klanten slechts zeer zelden geïmplementeerd

Het is ook geen kwetsbaarheid waar we wat van kunnen zeggen, immers kun je het alleen uitbuiten wanneer iets anders je binnenlaat en dát is dan technisch gezien de kwetsbaarheid. Vorige week toevallig een klant gehad die wel wat gaf om onze hardeningadviezen, voor hun heb ik danook een mooi rapport opgesteld, maar het is echt de uitzondering. Sommige klanten lijken niet eens kwetsbaarheden met een laag risico te lezen, laat staan niet-kwetsbaarhedenadvies. Ik ben bang dat vrijwel elke aanbieder waar je ooit mee te maken krijgt, dit soort detectie niet heeft

Mosterd @baseoa • 14 februari 2026 08:15

Je kan deze data makkelijk op veld niveau obfusceren lijkt mij of in ieder geval pas zichtbaar krijgen na een bepaalde handeling, maar alles meteen zichtbaar maken is echt onzin. Dan heb je of de verkeerde data in salesforce gezet als Odido of verkeerde software voor het beoogde doel gebruikt nmi.

adje123 13 februari 2026 17:39

Ik ga van het weekend maar eens bedenken wat voor een schadeclaim ik kan indienen.

tfro71 @adje123 • 13 februari 2026 17:50

Dan zul je eerst moeten aantonen dat je schade hebt. Het heel vervelend vinden is géén schade in NL en dat je er slapeloze nachten van hebt ook niet. Pas bij werkelijke schade kun je het proberen, maar dan is het uiteraard al te laat.

ZinloosGeweldig @tfro71 • 13 februari 2026 19:01

Onze AVG is een implementatie van de Europese GDPR. De Duitse hoogste Federale Rechter, die in een zaak over immateriele schade aan het Europees hof heeft gevraagd of negatieve gevoelens als gevolg van een datalek als immateriele (maar dus wel werkelijke) schade gezien moeten worden onder de GDPR kreeg daarop als antwoord dat dat zo is.

Gelet op een en ander moet op de vierde vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het in deze bepaling gehanteerde begrip „immateriële schade” negatieve gevoelens omvat die de betrokkene heeft ondervonden als gevolg van een ongeoorloofde doorgifte van zijn persoonsgegevens aan een derde, zoals vrees of ergernis, en die zijn veroorzaakt door verlies van controle over die gegevens, mogelijk misbruik van die gegevens of reputatieschade, voor zover de betrokkene aantoont dat hij dergelijke gevoelens, met de negatieve gevolgen ervan, ervaart vanwege de betrokken inbreuk op deze verordening.

https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=303866&pageIndex=0&doclang=nl&mode=lst&dir=&occ=first&part=1&cid=3394677

Als iemand een schadeclaim zou maken, zou ik nú elke organisatie waar je ooit misschien gegevens hebt achterlaten maar die die voor jou zeker niet meer nodig hebben, aanschrijven om gebruik te maken van je recht op vergetelheid. Als je dan hard moet maken dat je inderdaad negatieve gevolgen ervaren heb laat je zien: Ik ben direct bezig gegaan om zoveel mogelijk van mijn gegevens te laten verwijderen, zó veel stress had ik hier van!

[Reactie gewijzigd door ZinloosGeweldig op 13 februari 2026 21:01]

Hack

@ZinloosGeweldig • 13 februari 2026 19:21

Onze AVG is een implementatie van de Europese GDPR.

Niet precies. De AVG is de GDPR. (Algemene Verordening Gegevensbescherming == General Data Protection Regulation)
Een Verordening (Regulation) is in tegenstelling tot een Richtlijn (Directive) directe wet in de gehele Europese Unie. Daar ligt geen implementatie (formeel heet dat transponering) in nationale wetgeving tussen.

De AVG/GDPR laat wel een aantal vlakken open voor lidstaten om zelf in te vullen. En om die vlakken in te vullen hebben we in Nederland de "Implementatiewet AVG" - wat dus alleen een aanvulling is om die paar open hokjes in te kleuren. De Implementatiewet AVG zou bijv. details vast mogen leggen over in hoeverre nationale identitietsbewijzen verwerkt mogen worden.

ZinloosGeweldig @R4gnax • 13 februari 2026 21:02

Dank voor de correctie, heb ik dan altijd verkeerd begrepen

adje123 @tfro71 • 13 februari 2026 17:56

Gelukkig wordt angst/stress door een datalek als immateriële schade gezien.

Harold Finch @adje123 • 13 februari 2026 18:09

Dat wilde ik ook juist gaan schrijven. Op de site voor de collectieve claim n.a.v. het lek bij het bevolkingsonderzoek:

Volgens de Algemene Verordening Gegevensbescherming (AVG) bestaat recht op schadevergoeding, niet alleen bij concreet misbruik maar ook bij de stress, angst en onzekerheid die dit soort datalekken veroorzaken. Juridisch gezien bestaat er dus al recht op schadevergoeding, ook wanneer misbruik nog niet aantoonbaar is.¹

Hoewel immateriële vaak lastig te bewijzen is, onmogelijk is het niet.

1. Bron: https://ibestuur.nl/digit...ng-in-verband-met-datalek

jimmy_dg @tfro71 • 13 februari 2026 21:06

Stel je wordt gebeld door een scammer die jouw gegevens heeft gevonden in dit lek. Hoe ga je dan aantonen dat je schade door het lek hebt ondervonden?

tfro71 @jimmy_dg • 14 februari 2026 13:04

Ja, dat is echt lastig. Zeker met meerdere lekken achter elkaar. Alle lekkende partijen gaan dan zeker naar elkaar zitten wijzen. En als die scammer belt heb je nog geen schade anders dan een paar minuten verloren tijd.

PCG2020 @adje123 • 13 februari 2026 17:48

Lees deze pagina eerst maar even goed door. Er zijn een aantal voorwaarden voordat je in aanmerking komt voor schadevergoeding na een datalek en die vergoeding zal daarnaast proportioneel zijn. Je wordt er dus niet rijk van, zeg maar.

@adje123 • 13 februari 2026 17:48

Probleem met dit soort datalekken is dat je ook moet kunnen aantonen dat je door dit specifieke datalek schade hebt geleden.

Andros @adje123 • 13 februari 2026 17:49

Veel verder dan kosten voor het vernieuwen van een identiteitsdocument of rijbewijs gaat het nu nog niet worden denk ik.

adje123 @Andros • 13 februari 2026 17:56

Nope. Angst/stress door een datalek is een geldige immateriële schade.

mklcln @adje123 • 13 februari 2026 17:40

Die schadeclaim/boete gaat lekker de staatskas in. 🤣

Ulysses @mklcln • 13 februari 2026 17:48

Eh? In welk universum?

A) Door stom ongeluk kun je niet een vordering doen, ook als dit onbekwaamheid ademt, is de basis aanname dat mensen ter goeder trouw handelen niet verwijtbaar en essentieel om geestelijk gezond te blijven vaak
B ) Odido is niet verantwoordelijk voor de daad van criminelen - dus een vordering bij hen is niet ontvankelijk
C ) Welke schade nu precies dan?

tweegroenethee @Ulysses • 13 februari 2026 18:12

Odido is verantwoordelijk voor het beveiligen van klantgegevens, vooral als het gaat om rekeningnummers en identificatie. Daarnaast bewaren ze bewust 2 jaar gegevens van oude klanten. Het feit dat criminelen via een buitenlandse callcenter bij miljoenen klantgegevens kunnen van Nederlands mag wat mij betreft financieel bestraft worden. Schade: verhoogd risico op identiteitsfraude, phishing en financiële ellende. Dat levert stress, tijdverlies en onrust op.

Ulysses @tweegroenethee • 13 februari 2026 18:20

Ja, het is zo dat je van een topspeler in de Nederlandse telecom een goede prijs/kwaliteit verhouding mag verwachten met betrekking tot investeringen die de lading dekken qua veiligheid. Maar ik heb er heel weinig vertrouwen in dat de exacte mate waarin dat wel of niet genoeg is, juridisch aangetoond kan worden of stand houd voor het bepalen van een substantiele claim. Je hebt absoluut een punt dat de grove nalatigheid aan de kant van Odido inmiddels veel makkelijker aan te tonen is. Het fundament onder hun beveiliging blijkt structureel te rammelen.

Maar, en dat blijft het pijnpunt voor een schadeclaim: je zult voor de rechter nog steeds moeten aantonen dat jij persoonlijk, door dit specifieke datalek, concrete financiële of materiële schade hebt opgelopen. De door jou genoemde "stress, tijdverlies en onrust" leveren in het Nederlandse aansprakelijkheidsrecht simpelweg geen harde euro's op.

adje123 @Ulysses • 13 februari 2026 18:29

Hoeveel het oplevert moet nog blijken.

Angst/stress zijn een valide reden om een schadeclaim in te dienen. Dat is gewoon een feit.

adje123 @mklcln • 13 februari 2026 17:41

Die van mij niet.

Skamba 13 februari 2026 17:47

Een hoop mensen hier zullen wel vinden dat ze meer tegen phishing hadden moeten doen. Iedere security-expert weet dat je dat nooit sluitend krijgt. Met phishing testen zie je dat 5-10% er wel intrapt. Bij grote afdelingen zoals support maakt het dan niet uit als je dat cijfer nog eens weet te halveren - je krijgt er altijd wel een paar.

Goede security gaat juist om laterale beweging naar de objective moeilijker te maken. Dat is hier niet adequaat gedaan

Zoals ik het nu lees lijkt het erop dat ze met wachtwoord + 2fa direct in Salesforce konden werken. Normaal verwacht je daarop bijvoorbeeld whitelisting naar de corporate ip-adressen. Waarschijnlijk vonden ze het ook niet nodig om een saas-applicatie op hun SIEM aan te sluiten.

ibmpc @Skamba • 13 februari 2026 17:55

"Een hoop mensen hier zullen wel vinden dat ze meer tegen phishing hadden moeten doen."

Beveiliging tegen phishing ligt niet bij de gebruikers. Wachtwoord+MFA is allang niet meer van deze tijd. Een deel van je security is ook het blokkeren van wachtwoord+MFA en phishing resistant authenticatie verplichten, in ieder geval voor privileged data.

Whitelisting op corporate IP adres staat denk ik in de top 5 grootste beveiligingsrisico's. De enige whitelisting die is toegestaan is op trusted IP adressen (services) of tijdelijke en gedocumenteerde uitzonderingen. Whitelisting is een van de eerste dingen die ik eruit trap in een organisatie.

[Reactie gewijzigd door ibmpc op 13 februari 2026 18:00]

bzuidgeest @ibmpc • 13 februari 2026 18:43

Er is geen phishing resistente authenticatie of social engineering resistente authenticatie. Dat maakt het zo moeilijk te bestrijden. Het is niet anders dan phishing via whatsapp. Het zijn vaak de mensen zelf die overgehaald worden geld over te maken. Net als in dit geval rustig mensen overgehaald zouden kunnen worden om gegevens naar de verkeerde plek te sturen.

Het idee dat beveiliging 100% is en altijd zal blijven is belachelijk. Er zijn mensen bij betrokken en dat is en blijft de zwakke schakel.

ibmpc @bzuidgeest • 13 februari 2026 20:58

Maar als organisatie is het wel je taak om de juiste hulpmiddelen te geven zodat medewerkers hun training kunnen gebruiken. Bijvoorbeeld WHFB en door het uitschakelen van wachtwoorden+MFA. MS Authenticator ondersteunt nu ook attestation voor Entra passkeys. Er zijn zo veel hulpmiddelen voor medewerkers, dat je medewerkers best een beetje mag helpen.

bzuidgeest @ibmpc • 15 februari 2026 13:25

Hoe de klant authenticeert is niet altijd een keuze van een bedrijf. Terwijl je wel diensten levert of onderhoud.
Hulpmiddelen geven nergens garantie op. Er is geen cursus of tool die 100% is, zeker sinds alles op social engineering is overgeschakeld. De mens is niet te vervangen en niet foutloos. Iets anders denken is garantie voor teleurstelling.
Ik denk niet dat ik stel dat je de medewerkers niet moet faciliteren. Wat ik wel zeg is dat dit niets uitsluit.

simnet @ibmpc • 13 februari 2026 18:14

En zijn daarnaast nog legio andere mogelijkheden, zoals voorkomen dat corporate credentials überhaupt op phish sites ingevuld kunnen worden (dit werkt met bloomfilters op een proxy/firewall) of header injection richting saas applicaties om alleen vuit je eigen netwerken toe te staan.

De medewerkers zijn (imho) niet goed genoeg beschermd tegen zichzelf.

ibmpc @simnet • 13 februari 2026 20:03

Mee eens. Je moet niet medewerkers trainen maar zelf nalaten om de medewerkers niet de juiste hulpmiddelen te verschaffen.

Als autobedrijf ga je niet een medewerker trainen op het gebruik van een hamer, maar vervolgens geen hamer verschaffen aan de medewerker.

Odido zit in Entra, dus als ze phishingtrainingen geven, mag de medewerker er vanuit gaan dat er conditional access policies zijn die phishing resistant authenticatie afdwingen. Anders schiet het IT beleid tekort.

baseoa @Skamba • 13 februari 2026 20:02

Onze ervaring met het doen van simulaties is dat als een organisatie op slechts 5-10% zit, het een slechte phishingmail was of een kleine organisatie waar iedereen elkaar en alle leveranciers/klanten kent. Scholing helpt ook slechts beperkt, onder dit percentage komen (bij een echt plausibele e-mail in de inbox, bij een (middel)groot bedrijf) lijkt nagenoeg onmogelijk. Diversiteit is immers hoe we als mensheid zover gekomen zijn en het in verschillende omstandigheden goed doen, mensen reageren altijd weer net anders van elkaar op een nieuwe valstrik

Ik moet het zelf (zover ik weet) gelukkig nog meemaken. Zou hopen dat ik er niet ook voor val, maar bijvoorbeeld vanochtend nog, net uit m'n bed gerold, half wakker moet ik iets aan een leverancier mededelen van dat iets niet gaat, en ik moet echt nadenken met "wacht, wie zegt dat dit wel onze leverancier is en niet iemand die wil weten wanner het kantoor leeg is?". Onschuldig genoeg berichtje, we hebben natuurlijk fysieke beveiliging en meerdere alarmniveaus, en toch: voordat er iemand te plaatse is... 🤷

[Reactie gewijzigd door baseoa op 13 februari 2026 20:03]

coolkil 13 februari 2026 17:36

Hebben er een paar geen e-learnings gedaan….

Matcht wel goed met hun faq

Was de beveiliging van Odido op orde?

De veiligheid van onze infrastructuur en onze klanten is onze topprioriteit. Onze netwerken en systemen zijn ontworpen met het oog op veiligheid. We werken voortdurend aan het verbeteren van onze weerbaarheid. We werken samen met externe beveiligingsexperts om ons continu te verbeteren. Cybercriminelen gaan echter op een zeer geavanceerde en gerichte manier te werk, en helaas is geen enkele organisatie immuun. We werken voortdurend aan verbeteringen en gebruiken dit incident als aanleiding voor een grondige evaluatie.

Wat een grap…

bzuidgeest @coolkil • 13 februari 2026 18:40

Want jij maakt nooit een fout? Daar geloof ik niets van. Het is gewoon een boilerplate die ze moeten hebben, verder zijn het gewoon mensen. En ja ik ben ook odido klant. Zolang niemand daar express de zaak verkloot of niet het minimum heeft gedaan ga ik die mensen niet afzeiken.

coolkil @bzuidgeest • 13 februari 2026 18:58

E learnings gebeuren als goed is op alle niveaus. Ik reken het de specifieke mensen niet aan. Maar ergens in die keten is er iemand verantwoordelijk…

En dan moet je niet met bullshit publieke statements komen dat alles perfect op orde is terwijl je schijnbaar vatbaar bent voor een phishing aanval en mensen hebt die 6,5 miljoen records kunnen inzien…

[Reactie gewijzigd door coolkil op 13 februari 2026 19:01]

bzuidgeest @coolkil • 13 februari 2026 19:04

verantwoordelijk waarvoor? Voor dat mensen fouten maken? Zolang van niemand kan worden aangetoond dat ze werkelijk incompetent bezig waren of er met de pet naar gooiden of zoiets (of bewust beveiling sloopten) heeft straffen of verantwoordelijk stellen geen enkele zin.

Iedereen is altijd zo druk op zoek naar een schuldige. Ik vind het veel belangrijker om te zorgen dat het de volgende keer beter is. Buiten criminele nalatigheid of de hack verbergen etc. heeft iets anders geen toegevoegde waarde.

Hans1990 @bzuidgeest • 13 februari 2026 20:28

Er zal vast niets opzettelijk gedaan zijn. Dat vind ik nog een heel verschil met bijvoorbeeld VW en Dieselgate (of Boeing & MCAS). Mensen die wisten waarom bepaalde keuzes of beslissingen werden gemaakt, puur ten behoeve van winstbejag, mogen wat mij betreft dat uitleggen aan een rechtbank bijvoorbeeld.

Maar waar mensen werken worden ook fouten gemaakt. Ik ben ook wel eens met @coolkil dat individuele medewerkers dan weinig aan te rekeen valt. Maar elk process kan je stabiel afregelen met negatieve feedback: er moet een remmende factor zijn om bepaald gedrag tegen te werken. Ofwel een consequentie wanneer zaken mis gaan.

Ongetwijfeld zullen individuele medewerkers worden afgerekend wanneer zij onnodig klantgegevens gaan opzoeken (tot ontslag aan toe). Maar wie of wat treft het bedrijf dan als zij hun beveiliging en procedures niet scherp genoeg hebben opgezet? Boze klanten die weglopen? Wij Tweakers kunnen hier hard om brommen, maar ik denk dat hun marktaandeel er echt niets om zal geven. Bovendien denk ik dat in de 'race to the bottom' business sector men daar sowieso niet snel wakker om ligt. Er zijn echt maar weinig mensen die hun levenlang principieel bepaalde diensten of bedrijven mijden: de boze klanten van dit schandaal kloppen over paar jaar weer aan vanwege die leuke stunt actie. En mocht je merk impopulair worden, dan doe je even naamswijziging.

Wat wel zou helpen als een waakinstantie o.i.d. bijvoorbeeld boetes kan opleggen aan bedrijven die hun zaken niet op orde hebben of waar het al misgegaaan is (een AP bijvoorbeeld). Ik wil niet teveel tinfoilhat denken hier bij betrekken: met de kritische massa die bvb bigtech bedrijven tegenwoordig al hebben, zou het zou goed zijn dat overheden (en diens uitvoerenden) middelen hebben om daar boven te blijven staan, en niet dat de consument de dupe is van de voortdurende winstoptimalisatie. Komen we toch weer bij Boeing en VW uit...

Wat mij betreft maken bedrijven/instanties die met zulke grote klantenbestanden werken, het onmogelijk om die van buiten een werklocatie te benaderen (ook niet via VPN). Dan maar geen thuiswerk mogelijkheid. En raadpleeg je bijvoorbeeld 100 klantenrecords in een uur? (Dat is bijna 2 per minuut) Dan ligt sowieso dat account er uit tot een IT medewerker even e.e.a gescreent heeft.

bzuidgeest @Hans1990 • 15 februari 2026 13:17

Is dat een heel lange manier om hetzelfde te zeggen als ik?

coolkil @bzuidgeest • 13 februari 2026 20:30

Dit is geen klein foutje… het is ook geen normale netwerk storing van een dag of iets. Dit is 6.5 miljoen mensen aantasten in hun privacy. Lijkt me niet gek dat daar iemand een flinke tik voor op de vingers krijgt

bzuidgeest @coolkil • 15 februari 2026 13:16

Kleine foutjes, kunnen grote gevolgen hebben. Zie de grote internet storingen. Een klein foutje in een core routing tabelletje kan zich over de hele wereld verplaatsen.

Je moet wel de actie en het gevolg uit elkaar houden.

AnonymousGerbil

@bzuidgeest • 14 februari 2026 04:03

verantwoordelijk waarvoor? Voor dat mensen fouten maken?

Nee. Het bedrijf is verantwoordelijk voor een systeem dat, blijkbaar, er onvoldoende rekening mee houdt dat mensen zulke fouten maken.

Als het onmogelijk is om de beveiliging 100% af te dekken dan moet de boel zo ontworpen worden dat de potentiële schade bij dergelijke fouten beperkt wordt tot 6 klanten in plaats van 6 miljoen.

bzuidgeest @AnonymousGerbil • 15 februari 2026 13:21

Dat is onmogelijk, grote systemen geven altijd kans voor grote schade.
Ik zit in ons bedrijf zijn overleg dat security incident bespreekt. Groot en klein. Kijken of ze goed afgehandeld worden, of we er van kunnen leren, verbeter slagen enz.
De meeste foutjes treden op met nieuwe medewerkers aan de service desk. Mensen zijn geen programmeerbare robots. Lage opleiding, gecombineerd met dwingende klanten, hoge stress. Niets is perfect.

Zou ik het liever anders zien? Tuurlijk en we werken om het zo goed mogelijk te maken, maar het blijven mensen en niemand van de klanten betaald voor bank niveau security.

@coolkil • 13 februari 2026 17:44

Nou als je de e-learnings ziet die ik in verschillende organizaties voorbij zie komen, weet ik niet of die écht gaan helpen hiertegen.

coolkil @readefries • 13 februari 2026 17:52

Kan kloppen… maar toch e learnings gecombineerd met echte beveiliging had de impact behoorlijk kunnen verkleinen. Hoe durf je te claimen dat de beveiliging op orde is/was maar hackers zo enorm goed zijn tegenwoordig om vervolgens in het nieuws te zien dat het gewoon phishing was…

ik had iets verwacht in de supplychain problematiek zoals shai hulud worm van een paar maanden terug

MarcelBreugel @readefries • 14 februari 2026 12:14

Ook de e-learning systemen kunnen gecompromitteerd zijn door hackers(groepen).
Bij mij op het werk is het heel normaal om mailtjes met url's te sturen (microsoft forms etc) en daar klikt vrijwel elke collega gedachtenloos op. Bereikbaarheidsmeting is ook zo'n grappig verschijnsel. Ik neem nooit onbekende 06 nummers op als ik geen belletje verwacht, maar dan ben je 'onbereikbaar' en krijg je gezeur.

GrooV @coolkil • 13 februari 2026 17:52

Nou bij zo'n echt gerichte aanval maken ze het toch wel erg lastig om phising te onderscheiden. Helemaal met AI is het een fluitje van een cent om zeer echt uitziende berichten zonder spelfouten te maken. Waar je vroeger een phising mail gelijk herkende is dat echt wel lastig geworden.

En niet iedereen heeft de technische kennis om dit goed te herkennen. Daarom ben ik ook weer voorstander van fysieke sleutels voor 2FA zoals Yubikeys ipv TOTP.

Het wordt tijd dat dit risico erkent wordt en andere maatregelen genomen worden ipv dit maar als "grap" te classificeren. Ook bij bedrijven waar de beveiliging normaal gesproken goed genoeg is kan dit gebeuren

[Reactie gewijzigd door GrooV op 13 februari 2026 17:53]

RobertMe @GrooV • 13 februari 2026 18:21

Nou bij zo'n echt gerichte aanval maken ze het toch wel erg lastig om phising te onderscheiden. Helemaal met AI is het een fluitje van een cent om zeer echt uitziende berichten zonder spelfouten te maken. Waar je vroeger een phising mail gelijk herkende is dat echt wel lastig geworden.

AI maakt het herkennen van phishing helemaal niet lastiger. Stap 1: controleer de afzender. Is het mailadres niet diegene wie die zegt dat die is kan de mail direct de prullenbak in. Daarvoor maakt de inhoud van de mail al niet uit.
En vervolgens nooit op links in mails klikken of handmatig de URL controleren (en hopelijk heb je dan ook een email-client die duidelijk aangeeft wat die URL is en wat het (basis) domein is, zodat https:// odido.nl.phising.site/login duidelijk opvalt dat het niet odido.nl is).

En niet iedereen heeft de technische kennis om dit goed te herkennen. Daarom ben ik ook weer voorstander van fysieke sleutels voor 2FA zoals Yubikeys ipv TOTP.

Software based sleutels zijn in principe vrijwel net zo veilig. Zelfs het gebruik van een password manager waar alles in staat (username + password + het certificaat voor passkeys) zal vele, vele, malen veiliger zijn dan het gebruik van (T)OTP. Want het probleem van OTP is dat het helemaal geen extra factor is. Het blijft "kennis", of dat nu kennis van een one-time pasword is of een "permanent" password maakt niet uit. En zoals in dit geval ook weer blijkt: OTP kun je prima doorsturen en de ontvanger kan er mee aan de slag. Bij passkeys daarentegen is er helemaal niks om door te sturen. "Theoretisch" het private deel van het certificaat, maar ik weet niet van het bestaan van een password manager waar je het certificaat kunt inzien (terwijl de secret om OTP codes te genereren wel inzichtelijk is). Zelfs een backup / export van Bitwarden kun je de private key niet mee er uit halen AFAIK. En ook de daadwerkelijke authenticatie actie kun je niks van doorsturen. Het proces vind onderwater plaats waar de gebruiker geen zicht op heeft (er wordt alleen om.bevestiging gevraagd) en de "codes" die onderwater over de lijn gaan ziet de gebruiker ooit.

Het gebruik van een roaming key voegt alleen toe dat er daadwerkelijk maar één van is (of 2 als je een backup key hebt). Met alle gegevens in een password manager is de kans aanwezig dat iemand zich toegang verschaft tot de password manager. (Maar ook die zou je weer met een passkey kunnen beschermen).

GrooV @RobertMe • 13 februari 2026 18:38

Een Yubikey is echt veel veiliger dan een TOTP of een push authenticatie app. Dit maakt het niet mogelijk om per ongeluk een verzoek goed te keuren want je hebt hiervoor de sleutel nodig. Alle aanvallen op afstand zijn hierdoor onmogelijk geworden, iets wat met andere 2FA methodes wel kan

0x0 @GrooV • 13 februari 2026 20:04

Deze goedkeuringen zijn niet per ongeluk gedaan.
De medewerkers waarvan de login gegevens waren bemachtigd (via phishing) zijn gebeld door een fictieve IT-medewerker, die hen vervolgens om de 2FA code heeft gevraagd.

Werkelijk álles aan dit verhaal stinkt.

De training van de medewerkers is ondermaats.
De firewall settings zijn niet afdoende.
Email filtering is slecht geconfigureerd.
Bestandstoegangcontrole lijkt totaal afwezig.
Volgens de berichtgeving betrof het eerste- of tweedelijns medewerkers, hoe zijn die direct benaderbaar?

Zo gaat het nog even door.
Dit heeft niets te maken met welk authenticatiesysteem er wordt gewerkt.

GrooV @0x0 • 13 februari 2026 23:58

Oké ik ben het met je eens dat er iets gefaald heeft maar ik wil alleen aangeven dat als ze echt de zinnen op je bedrijf hebben gezet en er echt heel veel moeite in steken dan kom je echt overal binnen. En dat is de afweging tussen gemak/werkbaarheid en veiligheid.

Ik wil die illusie doorbreken dat iedereen veilig is, nee niemand is veilig en alles is te hacken. J

0x0 @GrooV • 14 februari 2026 00:17

Zekers.

...en daarom is er regelgeving die het niet toelaat om meer informatie te verzamelen en bewaren dan strikt noodzakelijk is voor de uitvoering van de aangeboden diensten en bijbehorende bedrijfsvoering.

Ik blijf het zeggen; Wat je niet hebt, kan niet gestolen worden.

En dat is de afweging tussen gemak/werkbaarheid en veiligheid

In veel gevallen gemakzucht.

Het uitgangspunt moet zijn vertrouw niets en niemand.

RobertMe @GrooV • 13 februari 2026 18:53

Ik stel toch ook nergens dat dat niet zo is?

Ik stel alleen dat elke vorm van passkey authenticatie veiliger is dan OTP. Ook als dat niet met een roaming key ala een Yubikey is. Óók passkeys in een password manager opslaan / webauthn door de password manager laten afhandelen (of door de browser / het OS) maakt het al vele malen veiliger dan OTP. De extra veiligheid die een roaming key / Yubikey toevoegt is er wel, maar een relatief kleine ten opzichte van uberhaupt passkeys gebruiken. Als in: OTP naar gebruik passkeys is "1000 keer" zo veilig. Gebruik van passkeys met een password manager vs gebruik van passkeys met een Yubikey is "1,3 keer" zo veilig.

En een push melding die om bevestiging vraagt kan ook veilig zijn. Ligt aan de implementatie. Als er een strikte validatie is tussen of die telefoon in de buurt is van het apparaat waarop wordt ingelogd. Volgens mij is dat iets wat Google kan doen met Chrome + Android. Dat die bij een login in Chrome op desktop een melding op de Android telefoon geeft maar er via Bluetooth ook een bevestiging gezocht wordt tussen de desktop en telefoon en die telefoon dus niet aan de andere kant van de wereld kan zijn. Semi hetzelfde dus als een Yubikey via NFC gebruiken waarbij het bereik van NFC bevestigd dat beide apparaten bij elkaar in de buurt zijn. Het bereik van Bluetooth is dan wel groter, maar nog steeds extreem beperkt. Want iemand die binnen jou Bluetooth bereik is kan ook hele andere aanvallen doen, fysiek dus, incl onder dreiging van geweld.

ZinloosGeweldig @coolkil • 13 februari 2026 17:56

Hebben er een paar geen e-learnings gedaan….

Volgens mij is in elke security awareness e-learning het feit dat de kennis je niet imuun maakt een onderwerp, dus dat kun je helemaal niet concluderen.

Hans1990 @coolkil • 13 februari 2026 18:08

Wat daar staat klopt deels. Ik kan waarschijnlijk niet met root:admin naar hun servers SSH'en.

Maar de rest van het bericht klinkt alsof ze het kapstokje 'overmacht' zoeken. ""Nee deze threat actor was veel geavanceerder dan wij hadden kunnen voorzien."" Dat terwijl elke ketting maar zo sterk is als de zwakste schakel, en ik neem aan dat men toch wel bekend is met de term social engineering?

Nu moet ik zeggen dat zo'n verhaal wel in lijn ligt met mijn eigen ervaringen van de klantenservice van Odido. Verder dan wat voorgekauwde scripts komen ze niet, "ons systeem kan dat niet", en je kan ze letterlijk alles wijs maken wat betreffende techniek. Ook wel de druppel geweest dat ik daar weg ben als klant, want naast niet opgeloste technische problemen is er niets vervelenders als een klantenservice zonder slagkracht, die ook nog eens zo verspillend omgaat met nog het laatste stukje klantcontact/-beleving dat in deze tijd nog over is.

0x0 @coolkil • 13 februari 2026 18:10

Bijna alles wat er gespint wordt is een grap.
De ene loze kreet na de andere.

Er is zo enorm veel mis binnen deze organisatie.

Ik snap wel dat het lastig is, maar het altijd "too little, too late".

Wie gaat er nu als schuldige aangewezen worden?
De IT afdeling?
Salesforce?
De medewerkers?
Management?
De "externe beveliginsexperts"?

Telkens wanneer er meer garen wordt gespint rijzen er bij mij meer vragen.

Hoe kan Salesforce niet in de gaten hebben gehad dat er zo veel informatie is weggesluist?
Volgens de berichtgeving waren het namelijk allemaal individuele bestanden.
Hoe kan het dat een individuele klantenservicemedewerker toegang kan hebben tot meer dan één bestand tegelijkertijd?
Hoe is het mogelijk dat meerdere medewerkers direct benaderbaar zijn?
Waarom is de meest cruciale stap in je (wassen-neus) beveiliging zo gemakkelijk te omzeilen?
(Hier heb je je persoonlijke 2FA fob/app, geef die informatie nooit aan iemand anders)

Ik voeg deze vragen toe aan mijn eerdere lijst van "hier-valt-mijn-bek-van-open"-verbazing.

Odido krabbelt nu wel terug en probeert de omvang van hun probleem te minimaliseren.
Ik ben benieuwd of hier een onafhankelijk onderzoek naar komt. Een potentieel van meer dan 6 miljoen klanten die getroffen zijn is één op de drie Nederlanders. Dat is echt enorm.

Transferno @0x0 • 13 februari 2026 18:46

Ik vraag me af of dit geen zwakte van Salesforce is? Het is een SaaS oplossing dus ik zou verwachten dat ze zelf een SIEM integratie hebben wat verdacht gedrag meteen signaleert en zodoende toegang kan blokkeren.

Is dit dus een odido probleem of had het bij elke Salesforce gebruiker kunnen gebeuren?

0x0 @Transferno • 13 februari 2026 19:54

Dat dus.

Het kan een configuratiefout zijn aan hun kant, maar het moet opvallen wanneer een of enkele medewerkers ineens honderdduizenden bestanden aanroepen.

Verwijderd 13 februari 2026 18:55

Wat ik er nu van begrijp:

1) Niemand heeft blijkbaar de server logs bekeken.
2) Er was ook geen rate-limiting op account downloads. (als je meer dan 1000 accounts bekijkt of download in een minuut > automatisch script laten ingrijpen en verzoek stoppen > stuur alarmsignaal naar ICT desk)
3) Niemand monitoort blijkbaar iets.
4) Klantenservice kan alles zien en downloaden (waarom?)
5) Het rechten-systeem lijkt niet duidelijk.

Dat is alsnog slechte beveiliging.

TTommie @Verwijderd • 13 februari 2026 19:20

De beste stuurlui staan weer aan wal:

1 Daar weet je niets van.

2 Geen idee of die mogelijkheid in Salesforce aanwezig is, zo niet is daar ruimte voor verbetering

3 Onzin.
4 Daar weet je niets van, wellicht staan er veel meer gegevens in, niet zichtbaar voor de klantenservice

5 Ook daar weet je niets van.

Conclusie: Je doet een hoop aannames gebaseerd op officieuze bronnen van de NOS en de rest vul je voor het gemak zelf in.

[Reactie gewijzigd door TTommie op 13 februari 2026 21:50]

DavidZnay @TTommie • 13 februari 2026 19:38

Het zijn evengoed wel vragen die gesteld moeten worden. De autoriteiten mogen dan ook best kijken of er sprake is geweest van nalatigheid.

TTommie @DavidZnay • 13 februari 2026 21:47

Oooh zeker, dat zonder meer.

Ik hekel alleen dat geroeptoeter, zonder enige achtergrond kennis meer dan dit bericht.

ZinloosGeweldig @DavidZnay • 13 februari 2026 22:03

Dit zijn geen vragen, het zijn insinuaties en stellingen. (Buiten "waarom?", na een stelling)

Oprecht vragen stellen is terecht. Je eigen niet gestelde maar geimpliceerde vragen zelf beantwoorden met als uitgangspunt "het antwoord is zo slecht als het maar kan" is een ander verhaal.

13 februari 2026 18:10

Ze waren recent nog op de vingers getikt:
nieuws: Odido krijgt 1,5 miljoen euro boete voor slechte beveiliging van afta...

ShadLink @RobbyTown • 13 februari 2026 18:14

1,5 miljoen euro. Werkelijk zet dat geen zoden aan de dijk bij deze bedrijven. Zulke boetes moeten echt minimaal een factor 100 hoger liggen.

@ShadLink • 13 februari 2026 18:22

Los van het bedrag. Men ging ook nog in bezwaar
nieuws: Odido gaat in bezwaar tegen miljoenenboete RDI

Een woordvoerder laat aan Tweakers weten het niet eens te zijn met die lezing: "We hebben een alomvattend beveiligingsplan en daarbinnen zitten ook beveiligingsmaatregelen voor het aftapsysteem. Daarom is de bewering dat er geen beveiligingsplan is wat ons betreft onjuist."

beveiligingsmaatregelen geen idee wat die zijn. Blijft bijzonder even heel klantenbestand kunt ophalen zonder limiet.

Om te kunnen reageren moet je ingelogd zijn