Hackers zetten eerste batch met gestolen Odido-data online - update 2

De ransomwarebende Shinyhunters heeft gegevens van Odido-klanten online gezet. Het gaat om een relatief beperkte batch, die desondanks 9GB aan data bevat, met 1 miljoen records van klanten. De groep zegt dat Odido niet heeft onderhandeld.

Op de darkwebsite van Shinyhunters is inmiddels een eerste batch te downloaden met records van klanten van de provider, die eerder deze maand werd gehackt. "Odido heeft de verkeerde keuze gemaakt, op iedere mogelijke manier", zeggen de criminelen. "We hebben jullie de kans gegeven dit stil en binnen een paar dagen op te lossen, maar in plaats daarvan kozen jullie ervoor om te vertragen."

De bende heeft een beperkte batch online gezet. Het gaat om een txt-bestand van 9,34GB dat gecomprimeerd is naar 264MB. Dat bestand bevat 1 miljoen records. Dat is slechts een fractie van de gegevens die zijn gestolen; Shinyhunters heeft het zelf over in totaal 21 miljoen records. Voortaan publiceert de groep dagelijks 1 miljoen nieuwe records, tenzij Odido betaalt, zeggen de hackers.

Odido werd eerder deze maand gehackt, maar heeft nog niet gezegd of het onderhandelt met de criminelen. Odido moest de afgelopen week nog rectificeren welke data er was gestolen. De NOS ontdekte dat er onder andere gevoelige data over klanten met problemen was buitgemaakt, waarvan de provider aanvankelijk zelf niets wist.

Odido bevestigt in een update dat het geen losgeld aan de hackers heeft betaald. "Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren. We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen."

Update, 12.06 uur – Reactie van Odido toegevoegd.

Update, 17:38: De data bevat wél bsn's, bericht RTL Nieuws. Het zijn btw-nummers van zelfstandig ondernemers, die tot 2020 hetzelfde was als de bsn van een privépersoon. Het gaat in de data om enkele tientallen gevallen.

Odido Shinyhunters

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 26-02-2026 11:43
794 • submitter: RobinNL

26-02-2026 • 11:43

794

Submitter: RobinNL

Lees meer

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
Oplichtwebsite over Odido-datalek is niet meer bereikbaar
Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Beveiliging en antivirus Odido

Reacties (790)

-Moderatie-faq
790
768
309
26
6
359
Wijzig sortering

Sorteer op:

Weergave:
roawser 26 februari 2026 12:46
Hier de 257 velden die in de vrijgegeven files zitten.

AANVULLING:

Ten eerste, ik ga niet in op vragen als 'waar staat dit' en 'kun je mij een kopietje sturen'. Ik heb de data zelf niet eens.

Ten tweede, wie denkt dat het een excelletje is die is naief. Shinyhunters zegt 21 miljoen records te hebben, en heeft er vandaag een klein deel van gepubliceerd. Vanuit professioneel oogpunt weet ik dat zulke TXT-bestanden makkelijk tientallen gigabytes groot kunnen zijn. Die open je niet zomaar even in Kladblook op je laptopje of telefoon.

Zinloos dus om dergelijke vragen hier te posten, ga buiten spelen.
  • Id
  • IsDeleted
  • MasterRecordId
  • Name
  • Type
  • RecordTypeId
  • ParentId
  • BillingStreet
  • BillingCity
  • BillingState
  • BillingPostalCode
  • BillingCountry
  • BillingGeocodeAccuracy
  • ShippingStreet
  • ShippingCity
  • ShippingState
  • ShippingPostalCode
  • ShippingCountry
  • ShippingGeocodeAccuracy
  • Phone
  • Fax
  • AccountNumber
  • Website
  • PhotoUrl
  • Industry
  • AnnualRevenue
  • NumberOfEmployees
  • Description
  • Rating
  • OwnerId
  • CreatedDate
  • CreatedById
  • LastModifiedDate
  • LastModifiedById
  • SystemModstamp
  • LastActivityDate
  • LastViewedDate
  • LastReferencedDate
  • IsActive
  • SourceSystemIdentifier
  • IsPartner
  • IsCustomerPortal
  • ChannelProgramName
  • ChannelProgramLevelName
  • Jigsaw
  • JigsawCompanyId
  • AccountSource
  • SicDesc
  • ConnectionReceivedId
  • ConnectionSentId
  • IsPriorityRecord
  • vlocity_cmt__AccountPaymentType__c
  • vlocity_cmt__AutoPaymentAmount__c
  • vlocity_cmt__AutoPaymentCardType__c
  • vlocity_cmt__AutoPaymentMethodId__c
  • vlocity_cmt__BillDeliveryMethod__c
  • vlocity_cmt__BillFrequency__c
  • vlocity_cmt__BillingEmailAddress__c
  • vlocity_cmt__CLTV__c
  • vlocity_cmt__Churn__c
  • vlocity_cmt__ContactPreferences__c
  • vlocity_cmt__DateFounded__c
  • vlocity_cmt__DirectoryListed__c
  • vlocity_cmt__Disclosure1__c
  • vlocity_cmt__Disclosure2__c
  • vlocity_cmt__Disclosure3__c
  • vlocity_cmt__EnableAutopay__c
  • vlocity_cmt__IsPersonAccount__c
  • vlocity_cmt__IsRootResolved__c
  • vlocity_cmt__LegalForm__c
  • vlocity_cmt__NetWorth__c
  • vlocity_cmt__NumberofLocations__c
  • vlocity_cmt__PartyId__c
  • vlocity_cmt__PersonContactId__c
  • vlocity_cmt__PremisesId__c
  • vlocity_cmt__PrimaryContactId__c
  • vlocity_cmt__RootAccountId__c
  • vlocity_cmt__SLA__c
  • vlocity_cmt__Status__c
  • vlocity_cmt__TaxID__c
  • vlocity_cmt__vCustomerPriority__c
  • vlocity_cmt__vSLAExpirationDate__c
  • vlocity_cmt__vSLASerialNumber__c
  • vlocity_cmt__vSLA__c
  • Account_Relationship_Owner__c
  • Account_Salesforce_ID__c
  • Chamber_Of_Commerce_Number__c
  • Customer_Code_Legacy_System__c
  • Is_B2B_Account__c
  • House_Number_Extension__c
  • House_Number__c
  • Main_Address__c
  • Number_Of_Employees_Range__c
  • Password__c
  • Segment__c
  • Sizo_Key__c
  • Tax_ID__c
  • Billing_Address__c
  • PO_Box_Number__c
  • PO_Box__c
  • Service_Aggregator_ID__c
  • Trade_Name__c
  • Billing_Line_2__c
  • AccountRecordTypeFormula__c
  • Business_Segment__c
  • Flash_Message__c
  • NumberOfVoiceSubscription__c
  • UserProfile__c
  • LID__LinkedIn_Company_Id__c
  • Ident_prep_flag__c
  • UserRole__c
  • SObjectLog__c
  • CorrelationID__c
  • Sales_Channel__c
  • Financial_Subscriptions__c
  • VIP_Customer__c
  • Data_Subscriptions__c
  • Total_Subscriptions__c
  • PowerTeamName__c
  • Siebel_Customer_ID__c
  • LastNCRefreshTimestamp__c
  • Bank_Account_Holder_Name__c
  • Bank_Account_Number__c
  • Paper_Invoice__c
  • Payment_Method__c
  • Payment_Terms__c
  • Subscriber_statement__c
  • Sum_Sheet__c
  • VAT_Statement__c
  • Payment_responsible__c
  • VAT_On_Invoice__c
  • Account_shielding__c
  • Chamber_Of_Commerce_Formula__c
  • City__c
  • CountryCode__c
  • Num_Active_Assets__c
  • Num_of_Active_Child_Accounts__c
  • Num_of_Child_Accounts__c
  • Power_Team_Name__c
  • Paper_Invoice_Charge__c
  • ParentAccuntName__c
  • Parent_Account_Type__c
  • Postal_Code__c
  • ResBus__c
  • Send_Outbound_Message__c
  • Street_Address__c
  • AccountManager_ReadOnly__c
  • Bank_Details_Check__c
  • Bill_Day__c
  • Branche_ReadOnly__c
  • CurrentHeirarchyLevel__c
  • Customer_Level__c
  • Divert_Code__c
  • HasInvoiceContact__c
  • HasInvoiceNotification__c
  • Invoice_Charge_Indicator__c
  • Invoice_Charge__c
  • ExpenseManagementIsActive__c
  • Partner_ReadOnly__c
  • Payment_Method_Check__c
  • Publication_Method_Indicator__c
  • ReportingGroup_ReadOnly__c
  • SalesDepartment_ReadOnly__c
  • SalesTeam_ReadOnly__c
  • SegmentOverwrite_ReadOnly__c
  • Segment_ReadOnly__c
  • Total_Data_Voice_Subscriptions__c
  • Unbilled_Airtime__c
  • External_Reference_Number__c
  • Brand_Type__c
  • Customer_Brand_Type__c
  • ExpenseManagement_ReadOnly__c
  • vlocity_cmt__AutoPaymentLimitAmount__c
  • vlocity_cmt__BillCycle__c
  • vlocity_cmt__BillFormat__c
  • vlocity_cmt__BillNumberOfCopies__c
  • vlocity_cmt__CreditRating__c
  • vlocity_cmt__CreditScore__c
  • vlocity_cmt__CustomerClass__c
  • vlocity_cmt__CustomerOfBrand__c
  • vlocity_cmt__Juridsiction1__c
  • vlocity_cmt__Jurisdiction2__c
  • vlocity_cmt__PreferredLanguage__c
  • vlocity_cmt__PrepayReloadThreshold__c
  • vlocity_cmt__TaxExemptionEndDate__c
  • vlocity_cmt__TaxExemptionPercentage__c
  • vlocity_cmt__TaxExemptionStartDate__c
  • vlocity_cmt__TaxExemptionType__c
  • KvK_Number__c
  • Num_of_Assets_LifeCycle__c
  • Num_of_Non_Inactive_Assets_LifeCycle__c
  • Last_Opportunity_Close_Date__c
  • Num_Of_Open_Opportunities__c
  • Password_Flag__c
  • Activation_Date__c
  • Business_Type__c
  • Contract_Sign_Date__c
  • Customer_Type__c
  • Room__c
  • Brand_logo__c
  • Max_Network_auth_Setting__c
  • Part_of_invoice_in_MTM__c
  • vlocity_cmt__BillingAccountStatus__c
  • vlocity_cmt__CustomerSinceDate__c
  • vlocity_cmt__FraudReason__c
  • vlocity_cmt__HasFraud__c
  • Customer_Classification__c
  • Service_Manager__c
  • Pilot_Status__c
  • Distributor__c
  • Partner_Manager_ReadOnly__c
  • Partner_Manager__c
  • Power_Team_ReadOnly__c
  • Power_Team_Tele_Name__c
  • Sales_Team_ReadOnly_Tele2__c
  • Pilot__c
  • sales_team_tele2__c
  • Cluster_Account__c
  • VispBillCycle__c
  • vlocity_cmt__CustomerPriority__c
  • vlocity_cmt__UpsellOpportunity__c
  • Operational_Partner_Manager__c
  • Partner_Type__c
  • Segment_Indicator__c
  • Block_Status__c
  • Dealer_Code__c
  • Password_Formula__c
  • IsConverted__c
  • Owned_by_Salesforce__c
  • Partner_Authorization__c
  • Sugar_Contact_Id__c
  • Customer_Segment_Profile__c
  • ispId__c
  • Customer_Segment_Profile_ReadOnly__c
  • HasSensitivityDataPermission__c
  • Root_Account_Link__c
  • NoPenaltyReason__c
  • NoPenaltyUntil__c
  • Billing_Scenario__c
  • coosto__Facebook_Id__c
  • coosto__Instagram_Id__c
  • coosto__LinkedIn_Id__c
  • coosto__Twitter_Id__c
  • coosto__WhatsApp_Id__c
  • coosto__Youtube_Id__c
  • Eligibility_check_skipped_reason__c
  • Eligibility_check_skipped_until__c
  • HasB2BSensitivityDataPermission__c
  • Flolive_account__c
  • Customer_Channel_Profile__c
  • Is_Channel_Profile_Manually_Changed__c
  • Customer_Channel_Profile_ReadOnly__c
  • InactivationDate__c
  • Has_Insurance__c
  • Chubb_insurance__c
  • Inflation_Correction__c
  • attributes_type

[Reactie gewijzigd door roawser op 26 februari 2026 17:22]

Reageer
licon @roawser28 februari 2026 10:25
Lek in dag 1 en dag 2 waren bovenstaande account lijsten, maar in dag 3 zijn het persoonsgegevens lijsten. Dit zijn de nieuwe velden.

Id
IsDeleted
MasterRecordId
AccountId
LastName
FirstName
Salutation
MiddleName
Name
RecordTypeId
Phone
Fax
MobilePhone
HomePhone
OtherPhone
Email
Title
Department
Birthdate
OwnerId
CreatedDate
CreatedById
LastModifiedDate
LastModifiedById
SystemModstamp
LastActivityDate
LastCURequestDate
LastCUUpdateDate
LastViewedDate
LastReferencedDate
EmailBouncedReason
EmailBouncedDate
IsEmailBounced
PhotoUrl
JigsawContactId
ConnectionReceivedId
ConnectionSentId
IsPriorityRecord
ContactSource
vlocity_cmt__Status__c
Gender__c
ID_number__c
ID_type__c
ID_valid__c
Initials__c
Is_Portal_User__c
Role__c
vlocity_cmt__ContactNumber__c
SelectEmailPDFContact__c
IsPartnerContact__c
Person_ID__c
Use_Personal_Data_Channels_Copy__c
Use_Personal_Data_Channels__c
Use_Personal_Data_Modified_Date__c
Use_Personal_Data__c
Merge_with_winning_contactId__c
URLContactClassic__c
BirthDate__c
Nationality__c
Commercial_offering__c
Commercial_offering_channels__c
Newsletter__c
Newsletter_channels__c
Third_party_offerings__c
Third_party_offerings_channels__c
Use_location_data__c
Use_location_data_channels__c
Use_research_data__c
Use_research_data_channels__c
Use_usage_data__c
Use_usage_data_channels__c
Commercial_Offering_Channels_Copy__c
Newsletter_Channels_Copy__c
Third_Party_Offerings_Channels_Copy__c
Use_Location_Data_Channels_Copy__c
Use_Research_Data_Channels_Copy__c
Use_Usage_Data_Channels_Copy__c
Username__c
Brand__c
Receiving_Reset_Password_User_Name__c
Receiving_Username__c
IsSignee__c
RootAccountExpenseManagement__c
Legal_Guardian_Email__c
Unmerge_AssetId__c
Receiving_User_Salutation__c
vlocity_cmt__HasFraud__c
Is_Marked_Deleted__c
vlocity_cmt__Gender__c
vlocity_cmt__UserLeaseExpires__c
vlocity_cmt__UserLeaseToken__c
vlocity_cmt__UserName__c
vlocity_cmt__UserPassSalt__c
vlocity_cmt__UserPass__c
Identification_Validation_Status__c
COPS_Language__c
E_mail_user_formula__c
coosto__Facebook_Id__c
coosto__Instagram_Id__c
coosto__LinkedIn_Id__c
coosto__Twitter_Id__c
coosto__WhatsApp_Id__c
coosto__Youtube_Id__c
Account_Segment_Indicator__c
Infonova_Id__c
Telemarketing_Opt_in__c
attributes_type
Reageer
HenkEisDS @roawser26 februari 2026 13:14
Ik herken deze namen bijna allemaal als Salesforce veldnamen. Alles wat __c achter de veldnaam heeft is een custom veld, iets dat niet in standaard Salesforce zit. Vlocity was een bedrijf dat een industriespecifieke laag op Salesforce heeft gebouwd, dat bedrijf is later door Salesforce overgenomen en heet tegenwoordig Industries Cloud.
Reageer
SanderBos @HenkEisDS26 februari 2026 16:12
Maakt dit het dan niet onwaarschijnlijker dat het met screenscraping is gedaan. Kun je als gewone Salesforce gebruiker in een klantenservice rol deze veldnamen zien?

(misschien in de HTML bron?)
Reageer
HenkEisDS @SanderBos26 februari 2026 16:45
Ja als je toegang hebt tot het object en de velden kun je naast het Label dat je in je scherm ziet ook de API name zoals hierboven zien. En een medewerker hoort in veel gevallen gewoon toegang te hebben tot deze gegevens dus dat is verder niet gek.

Wat wel gek is is dat er blijkbaar geen limiet op aantal records is gezet, terwijl dit wel makkelijk kan. Welke menselijke medewerker moet meer dan 200 records per dag inzien? Dat soort acties zou je toch minimaal 4 ogen naar willen laten kijken.

Daarnaast was er waarschijnlijk ook ongelimiteerde API access voor medewerkers terwijl dit ook makkelijk dicht te zetten is.


Al met al, beetje prutswerk als je het mij vraagt.
Reageer
Connor @HenkEisDS27 februari 2026 14:08
Met Salesforce Inspector Reloaded plugin trek je de inhoud van een objec zo naar excel. Gebruik het regelmatig.
Reageer
HenkEisDS @Connor27 februari 2026 14:17
Ah een connaisseur. ;) Ja ik gebruik het ook regelmatig in dev omgevingen, maar in acc/prod is het geblokkeerd omdat daar klantdata staat.
Reageer
themadone @HenkEisDS26 februari 2026 17:29
Ach, dan kaap je gewoon de datawarehouse job toch?

Vroegah, voor dat iedereen al zijn data in de cloud had zitten gingen er bij de beheerders allerlei alarmbellen af bij dit soort extracties en al helemaal tijdens de bijbehorende upload naar buiten.

Maar, met de cloud heb je die beheerders niet meer nodig, lol, en kan je het prima af met een paar functioneel beheerders die technisch zwak zijn maar wel sexy management presentaties kunnen maken toch?

Salesforce zelf zal in de basis geen limieten op APIs leggen, zou ook gek zijn, hiervoor heb je gewoon capabele mensen nodig. Helaas wordt de cloud vaak verkocht als manier om van die capabele en vervelende(want zeggen wel eens nee tegen domme ideeën) mensen af te komen en C level management trapt er vaak in.
Reageer
wooha @themadone26 februari 2026 18:27
Ik ken Salesforce niet, maar met die aantallen en soort klanten zou je verwachten dat ze een verantwoordelijkheid voelen om hun klanten op zijn minst limieten in te kunnen laten stellen, misschien zelfs met (lage) default limieten en waarschuwingen per account. Hacks van klanten stralen namelijk ook op hun af.
Reageer
themadone @wooha26 februari 2026 19:53
Oh de optie zal er gerust zijn, maar een lage default worden niet technisch handige klanten weer boos van. Want waarom kan ik niet alle klanten in een keer naar Excel halen blablabla. Dus ik snap Salesforce in deze prima, dit was sowieso geen hack van Salesforce maar waarschijnlijk gewoon een compromised (functioneel)beheerders account bij odido. En daar doe je als SaaS leverancier weinig aan.
Reageer
Jonathan-458 @wooha26 februari 2026 21:34
Er zijn voldoende opties binnen Salesforce om dit te voorkomen.
Reageer
HenkEisDS @themadone26 februari 2026 21:30
Hoe zie je dat voor je? Een goed ingerichte integratie user laat zich niet zo eenvoudig social engineeren. Die zitten achter slot en grendel want niemand hoeft daar mee in te loggen.

Verder vind ik je erg kort door de bocht in het wegzetten van een hele functiegroep. Ik heb totaal andere ervaringen met salesforce beheerders.
Reageer
themadone @HenkEisDS26 februari 2026 21:38
Die zit 9 van de 10 keer in de password safe van de functioneel beheerder die prima te phishen of social engineeren is.

En ik zeg hiermee niet per se iets negatiefs over functioneel beheer, ik zeg meer iets negatiefs over denken dat je geen technisch beheer meer nodig hebt.
Reageer
MaZo @HenkEisDS26 februari 2026 13:37
Dat kan kloppen. Salesforce wordt specifiek benoemd door Shinyhunters...
Reageer
HenkEisDS @MaZo26 februari 2026 13:42
Ja dat was al bekend inderdaad. Shinyhunters richt zich erg op Salesforce klanten. Recente KLM hack was ook door hen, maar de lijst van getroffen bedrijven is erg groot.
Reageer
Heaget @roawser26 februari 2026 14:15
Tool om files te checken. Let wel op dat je zelf de dump-files moet downloaden.

GitHub - datasafari-org/Odidoviewer: HTML5 viewer to display the Odido breach files by ShinyHunter
Reageer
roawser @Heaget26 februari 2026 14:23
De community weet me iedere keer te verbazen. Ik kan je niet vertellen of het werkt, ik heb de data niet en geen belang erbij (nooit Odido klant geweest). Ik kwam achter de veldnamen en vond die relevant voor een techforum, bv de m.i. terechte conclusie van SunnieNL in 'Hackers zetten eerste batch met gestolen Odido-data online - update' Maar hoe dan ook heb je waarschijnlijk een flinke gamer-rig nodig om alles in te kunnen laden.
Reageer
Heaget @roawser26 februari 2026 14:33
Ik werk als Cyber Security Analist, en ik kan vertellen dat deze tool werkt. Daarnaast worden de files van 250mb per stuk in een goeie 2-3 seconden geparsed. Dit is een knappe tool en zeer snel gemaakt.
Reageer
Jerie
@Heaget26 februari 2026 19:59
250 MB is gecomprimeerd, de tool kan ze niet gecomprimeerd parsen. Je zult ze dus eerst moeten decomprimeren. Dan kom je uit op 10 GB.
Reageer
licon @Heaget27 februari 2026 03:03
Tsja, ik zou gewoon voor 1M regels, GPU acceleratie gebruiken. Geen transformers met KV-cache die opblaast, maar meer moderne onderzoeks varianten die lineair schalen in plaats van kwadratisch. Hoe ver ben jij met de grote data-analyse rapportage over welke trends er te zien is in de gebruikersdata qua spreiding in locatie voor kritieke gebruikersgroepen en qua spreiding in Odido e-mail/SMS trends bijvoorbeeld?

[Reactie gewijzigd door licon op 27 februari 2026 11:57]

Reageer
Justevo @roawser26 februari 2026 15:52
Duurde 30 seconde op een oud Macbookje.

Dan doet je uitspraak me wel ernstig twijfelen aan je kennis en kunde eerlijk gezegd.
Reageer
Heaget @Justevo26 februari 2026 15:56
Sorry ik zit te slapen...

[Reactie gewijzigd door Heaget op 26 februari 2026 15:57]

Reageer
licon @Justevo27 februari 2026 05:25
Ja, het staat vol met slordige programmeerfouten. Zie mijn andere opmerking: licon in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'
Reageer
ZinloosGeweldig @roawser26 februari 2026 16:16
Voor door een paar honderdduizend records heen zoeken heb je een flinke gamer-rig nodig? :?
Reageer
mcpoesen @ZinloosGeweldig26 februari 2026 18:07
Enige wat je nodig hebt is ram. bij het openen van het bestand (voor journalistieke doeleinden) merkte ik dat er consistant 10.3GB aan ram wordt verbruikt.
Reageer
licon @mcpoesen27 februari 2026 03:27
Is niet zo gek. Het bestand is zelf 10GB, dus 10GB aan ram bij het openen is een tekstbewerker, en 10GB aan VRAM bij het inladen op een GPU voor GPU hardware acceleratie algoritmes.

[Reactie gewijzigd door licon op 27 februari 2026 07:34]

Reageer
licon @mcpoesen27 februari 2026 07:29
Laat het maar weten als jij voor ZFM of andere journalisten interesse hebt in een geanonimiseerde grote data-analyse rapportage over welke trends er te zien is in de gebruikersdata qua spreiding in locatie voor kritieke gebruikersgroepen en qua spreiding in Odido e-mail/SMS trends bijvoorbeeld...

[Reactie gewijzigd door licon op 27 februari 2026 11:57]

Reageer
licon @ZinloosGeweldig27 februari 2026 03:18
Met GPU acceleratie, dan nog zorgen dat die 10GB in het VRAM past, en niet je KV-cache kwadratisch opblaast zoals bij standaard transformer libraries...

[Reactie gewijzigd door licon op 27 februari 2026 03:23]

Reageer
SebasFM @roawser26 februari 2026 16:26
Een dataset van 21 miljoen records is voor een gemiddelde DBA peanuts en zeker niets geks.
Reageer
themadone @SebasFM26 februari 2026 17:31
Select * from leaked table where name=me

Runtime, 30-40 ms lol
Reageer
Goldwing1973 @roawser26 februari 2026 19:17
Ik heb nu ook de data binnen gehaald, en met de tool duurde het me 3 minuten om de volledige 10.1 GB te parsen, en dat op een 10e gen i3 NUC met 16GB Ram

Dus een "gamer PC" is ook wel ietjes overdreven.
Reageer
Jerie
@roawser26 februari 2026 19:37
Ik kan je niet vertellen of het werkt
Maar hoe dan ook heb je waarschijnlijk een flinke gamer-rig nodig om alles in te kunnen laden.
Het werkt maar het is niet heel bijzonder. Vooral voor mensen die een browser nodig hebben om een JSON bestand te parsen, lol. Vanuit de CLI kun je met jq ook e.e.a. filteren of parsen. Bijvoorbeeld met jaq kun je interactief zoeken in een JSON bestand. Want, ongecomprimeerd is het een JSON bestand van 10 GB.

MBPs komen tegenwoordig standaard met 16 GB RAM. Dus die kun je volledig in je RAM laden. Ook kun je zaakjes uit het JSON bestand filteren en wegschrijven. Dan heb je minder RAM nodig. Tenslotte heb je ook nog een snelle swap (want NVMe).

Dus nee, hier heb je geen 'flinke gamer-rig' voor nodig. En al had je wel een flinke machine nodig, dan kun je tijdelijk een machine huren.
Reageer
fastedje @roawser27 februari 2026 08:19
Met steaing tools zoals grep en awk kan je prima specifieke info filteren uit enorme files. Het duurt naar gelang de grootte van de file wel minuten of langer, maar dit is zeker te doen. Je hebt daar echt geen Gigabytes RAM voor nodig.
Reageer
licon @Heaget27 februari 2026 05:08
Tweakers-level-Feedback:

Memory is het grootste probleem. De SObjectLog velden zijn de boosdoener: volledige activiteitenhistorie per record tegelijkertijd in het geheugen laden is inefficient. Dan nog object overhead, de tweede kopie die applyFilters() aanmaakt met .filter(), en de 6 tijdelijke arrays van rebuildDropdowns(). Je tab crash te snel op een laptop met weinig werkgeheugen.

UI freezes. elke ~5000 records roept de main thread rebuildDropdowns() + applyFilters() aan. Vertraging gegarandeerd. Throttle op wall-clock tijd in plaats van recordcount.

Dedup werkt niet. je stuurt alleen IDs van hetzelfde bronbestand naar de worker. Cross-file duplicaten gaan er gewoon doorheen. De "dupes skipped" teller liegt dus structureel.

Worker wordt nooit gestopt. bij "Clear All" blijft de worker doordraaien en vult DATA stilletjes opnieuw. Hoist de worker reference en roep .terminate() aan.

XSS in bestandsnaam. jouw function esc(s) escaped geen single quotes maar gebruikt ze wel in onclick="removePending('...')". Voeg .replace(/'/g, ''') toe.

[Reactie gewijzigd door licon op 27 februari 2026 05:58]

Reageer
NSG @Heaget26 februari 2026 17:20
Ze gebruiken naar verluid een gemodificeerde versie van deze officiële tool https://developer.salesforce.com/tools/data-loader
Reageer
dubstepjoris @roawser26 februari 2026 13:22
Ik zie ook Password__c staan, is dat die oude passphrase van T-Mobile / Tele2 of is dit een ander wachtwoord iets?
Reageer
AuteurTijsZonderH Nieuwscoördinator @dubstepjoris26 februari 2026 13:30
Dat is het 'contractwachtwoord' dat je inderdaad zelf op kon geven als je telefonisch iets wilde laten wijzigen aan je contract. Goede beveiliging tegen simswapping.
Reageer
ict @TijsZonderH26 februari 2026 13:45
Goede beveiliging tegen simswapping.
Normaliter wel. Tenzij dat wachtwoord nu dus door nalatigheid op op het web staat.
Reageer
Zenomyscus @ict26 februari 2026 14:07
Ik mag hopen dat het een password hash is en niet een plaintext password. Met een hash is er weinig aan de hand, mits er een goed algoritme is gebruikt. Je kunt dan niet het wachtwoord zelf herleiden, dus de hash is in principe onbruikbaar (met de huidige rekenkracht bij moderne encryptiestandaarden).
Reageer
wuzzy @Zenomyscus26 februari 2026 14:12
Volgens Shinyhunters zelf was het plaintext. Als ik het goed begrijp moest het wachtwoord over de telefoon genoemd worden dus dan moet de servicemedewerker ook het wachtwoord kunnen lezen en bevestigen.


Toevoeging: ja als je het plaatje onderaan het artikel bekijkt zie je dat ze het over plaintext passwords hebben. Dat zal hem zijn.

[Reactie gewijzigd door wuzzy op 26 februari 2026 14:13]

Reageer
Zenomyscus @wuzzy26 februari 2026 14:16
Hm ja dat is een goed punt. Al moet je dat soort data alsnog versleuteld opslaan. In plaats van een hash kun je het gewoon versleutelen en kan het aan de medewerker getoond worden wanneer dat nodig is. Zo moeilijk is dat niet. Ik sla zelf alles versleuteld op zodra het ook maar iets met klanten te maken heeft. Het enige nadeel is dat je niet op die gegevens kunt zoeken. Je zult dus moeten zoeken op klantnummer bijvoorbeeld, dat is dan het veld wat niet versleuteld is. De rest, naam, email, adres, echt alles kun je gewoon versleutelen. Helaas gebeurd dat dus te weinig.
Reageer
Davey400 @Zenomyscus26 februari 2026 14:24
Niet om het goed te praten, maar bij een via de stem door te geven password is opslaan als hash een stuk lastiger in de controle, omdat je dan bij controle ook exact dezelfde spelling (inclusief hoofd/klein en leestekens) moet aanhouden om een hash-match te krijgen.

Dat is wel te doen, maar niet heel praktisch.
Reageer
Zenomyscus @Davey40026 februari 2026 14:29
Handig is het misschien niet nee, maar je zou dan voor versleuteling kunnen kiezen ipv hashen. Maar ook met een hash moet het lukken. Je kunt de input opschonen, door bijvoorbeeld alles lowercase te maken en whitespace eruit te halen. De medewerker heeft een invoerveld, die stuurt dat naar de server waar vervolgens de input weer opgeschoond en gehasht wordt. Dan vergelijk je die hash. Uiteindelijk zijn er genoeg opties te bedenken, zelfs wanneer je zou willen hashen. Al is gewone versleuteling in dit geval handiger. Het probleem is dat veel bedrijven / ontwikkelaars daar vanaf het begin al geen rekening mee houden.
Reageer
The Third Man @Zenomyscus26 februari 2026 14:31
Het kan nog steeds tijdens/via de hack ontsleuteld zijn. Hoe het nu op het net is gedumpt hoeft niet de exacte weergave van de originele opslag te zijn.
Reageer
Dakdak @Davey40026 februari 2026 15:39
Je kan toch bij de eerste keer invoeren van de wachtwoord tekst toch melden dat leestekens worden genegeerd en hoofd- of kleine letter niet uitmaken? Laat de user gewoon iets invullen en laat op de regel eronder zien hoe dat in het systeem wordt opgeslagen. Dan kun je prima een zin met spaties en hoofdletters erin hebben.

Je kunt ook slechts een beperkte set tekens toelaten. Desnoods met een specifiek schermtoetsenbord.

De telefonische check van het wachtwoord later via de klantenservice kan op dezelfde manier werken. Dus toestaan dat hele zinnen worden ingevoerd door de klantenservice en dan worden de leestekens er automatisch uitgehaald.

Je kan ook een wachtwoord aan laten maken door verplicht drie verschillende duidelijke woorden te kiezen uit een roterende lijst. Die moet de klant dan onthouden voor zichzelf.
Reageer
The Third Man @Dakdak26 februari 2026 17:47
Je kan toch bij de eerste keer invoeren van de wachtwoord tekst toch melden dat leestekens worden genegeerd en hoofd- of kleine letter niet uitmaken? Laat de user gewoon iets invullen en laat op de regel eronder zien hoe dat in het systeem wordt opgeslagen. Dan kun je prima een zin met spaties en hoofdletters erin hebben.
Mensen lezen beroerd. Dat is bij een normaal bedrijf al een probleem (hoe vaak ik niet al aan mensen moet uitleggen dat Outlook en VPN wachtwoorden niet hetzelfde bij ons zijn, het staat met koeienletters bij elk inlogscherm) laat staan bij een algemene internetprovider waar Jan en alleman gebruik van wil maken.

In de praktijk laten de grote bedrijven wel zien wat handigst werkt: of je bent strict wat je accepteert, dus geen spaties, geen non-latin characters, geen ShellShock en aanverwant riskante interpunctie, enzovoort (laat de gebruiker maar iets kiezen wat wel sowieso transparant werkt), of je biedt iets wat het hele probleem omzeilt zoals een 'magic' inloglink of een passkey.

[Reactie gewijzigd door The Third Man op 26 februari 2026 17:48]

Reageer
ZinloosGeweldig @Zenomyscus26 februari 2026 16:21
In plaats van een hash kun je het gewoon versleutelen en kan het aan de medewerker getoond worden wanneer dat nodig is.
En dus ook aan de cybercriminelen die een medewerker account gekaapt hebben.

Het feit dat deze gegevens ontfutseld zijn, is op geen enkele manier bewijs dat de gegevens niet at rest encrypted waren.

At rest encryption beschermt tegen diefstal van gegevens direct vanaf de storage, niet tegen diefstal van gegevens via een interface waarbij de data niet meer "at rest" is.

[Reactie gewijzigd door ZinloosGeweldig op 26 februari 2026 16:24]

Reageer
ict @wuzzy26 februari 2026 14:42
Als je dacht dat het niet erger kon, chapeau odido |:(
Reageer
937mako @wuzzy26 februari 2026 14:43
Als het wel plain text is dan konden de servicemedewerkers er waarschijnlijk niet zomaar bij. een servicemedewerker van Odido heeft mij namelijk een keer letterlijk aan de telefoon om mijn wachtwoord gevraagd. En nee het was geen scammer/phisher, maar het was écht de klantenservice van Odido |:(

[Reactie gewijzigd door 937mako op 26 februari 2026 14:43]

Reageer
Hans_G @wuzzy27 februari 2026 09:04
De servicemedewerker kan ook het wachtwoord intypen en dan het systeem laten checken of de hashes overeenkomen. Het ww hoeft dus echt niet in platte tekst worden opgeslagen.

Zo werkt het immers ook bij normaal inloggen; gebruiker geeft wachtwoord, systeem verhasht dit en controleert of het overeenkomt met de opgeslagen hash.
Reageer
Triblade_8472 @ict26 februari 2026 14:32
[...]

Normaliter wel. Tenzij dat wachtwoord nu dus door nalatigheid op op het web staat.
Nalatigheid?

Ik bedoel dus niet of het wel- of niet versleuteld is. Jij zegt nu dat het door nalatigheid komt, dat het 'op het web staat'. Ik zie dat ook op andere fora met minder technisch onderlegde mensen.

Wat van deze hack vindt jij nalatig van Odido?
Reageer
Florimon @Triblade_847226 februari 2026 18:02
Ze hebben nagelaten hun authorisaties zo in te richten dat een account van een klantenservice medewerker niet meer records kan benaderen dan uit hoofde van zijn functie redelijk is. Bijvoorbeeld max 1000 per dag ofzo.
Reageer
ict @Triblade_847226 februari 2026 14:50
Ik ben waarschijnlijk inderdaad minder technisch onderlegt dan de meeste hier, goed opgemerkt. Maar heb inmiddels genoeg gelezen (op tweakers/dit fora) dat odido het nodige heeft nagelaten om de omvang en schade van de hack te beperken. In mijn ogen is te weinig doen om schade te beperken terwijl je dat wel had moeten doen omwille van de risico's en gevoelige data nalatig. Als je wilt dat ik details noem wat ze precies hebben nagelaten dan moet ik daar even rustig voor gaan zitten.
Reageer
Triblade_8472 @ict26 februari 2026 14:58
Voor wat ik gelezen heb is de beveiliging vrij standaard geweest, niks om nalatig over te zijn iig.
Username, password en MFA.

De zwakke schakel was de mens die zich op alle vlakken liet inpakken. Dat kan je Odido niet kwalijk nemen wat mij betreft.


Wat wél kwalijk is, is onversleutelde wachtwoorden en te lang bewaarde gegevens. Maar dat staat buiten deze discussie.
Reageer
ict @Triblade_847226 februari 2026 16:34
De zwakke schakel was de mens die zich op alle vlakken liet inpakken. Dat kan je Odido niet kwalijk nemen wat mij betreft.
Mwa dat is jouw mening, mensen kun je trainen/opleiden en als dat teveel moeite is kun je mensen/processen monitoren/controleren en ingrijpen indien nodig.
Reageer
Triblade_8472 @ict26 februari 2026 16:55
En waar staat dat ze dat niet zijn? Wellicht een stagiair of een nieuwe medewerker?

Het punt is, je kan niet zomaar roepen dat ze schuld hebben zonder feiten.
Reageer
ict @Triblade_847226 februari 2026 18:58
Ik zeg niet dat ze niet (voldoende) getraind zijn. Jij zegt dat de zwakke schakel de mens is en da tje dat odido niet kunt kwalijk nemen. Ik geef aan dat je dat wel kunt want ze hadden mensen kunnen trainen of als dat geen garantie is kun je controlemechanismen inbouwen om dit te waarborgen.

Feit is dat ze data (op een manier) opgeslagen hadden/hebben wat niet had gehoeven/gemogen. Feit is ook dat ze de beveiliging niet op orde hadden(/hebben), ze zijn namelijk relatief simpel gehackt. Feit is ook dat ze zich nou niet van hun beste kant laten zien in het inspannen klanten het vertrouwen te geven alsof ze weten waarmee ze bezig zijn. De communicatie en compensatie is namelijk betreurenswaardig.
Reageer
Crazy Harry @Triblade_847226 februari 2026 21:38
Voor wat ik gelezen heb is de beveiliging vrij standaard geweest, niks om nalatig over te zijn iig.
Username, password en MFA.

De zwakke schakel was de mens die zich op alle vlakken liet inpakken. Dat kan je Odido niet kwalijk nemen wat mij betreft.
Dat is slechts de autorisatie. Er bestaan meer mogelijkheden tot beveiliging. Maar niet bij Odido dus, terwijl die wel ook bij hun hadden moeten bestaan.
Reageer
Triblade_8472 @Crazy Harry26 februari 2026 22:10
Maar wèlke dan? Wat hadden ze niet dat ze wel hadden moeten hebben? Men roept heel veel, maar er zijn geen feiten. Noem ze dan ook.

Ja eentje hierboven is er genoemd. En de vraag is of dat een Salesforce ding is of een odido ding.
Reageer
The Third Man @ict26 februari 2026 14:29
Zolang je het maar niet hergebruikt is dat niet erg. Elk normaal woord staat wel in een gelekte passwordatabase, maar dat haalt de beveiliging niet onderuit als ik nu Granaatappel of Bakfiets als contractwachtwoord zou instellen.
Reageer
ict @The Third Man26 februari 2026 14:45
als het wachtwoord moet beschermen tegen simwapping en dat wachwoord in plaintext op het web staat dan is dat dus geen:
Goede beveiliging tegen simswapping.
Reageer
The Third Man @ict26 februari 2026 17:43
Het beschermt toch gewoon? Bedenk even hoe het werkt: om te simswappen moet je een supportverzoek beginnen, dus je moet gaan bellen met de helpdesk. Die vraagt en checkt het wachtwoord en valideert daarmee dat ik de abonnementhouder ben en niet een hacker/scammer. Hoe gaat de hacker/scammer nou weten dat ik bijvoorbeeld Bakfiets als contractwachtwoord heb gekozen en niet Granaatappel als beiden als plaintext op het web staan? Aangenomen dus, wat ik al zei, dat je het niet hergebruikt of op een andere manier eenvoudig te herleiden maakt (zoals de naam van je kind of woonplaats).

Het is wezenlijk anders dan een gelekt wachtwoord voor authenticatie hebben, want dat gaat via een inlogmethode (klantomgeving bijvoorbeeld), valt te robotiseren en gaat niet via een support call met een mens ertussen die het gaat opvallen dat je steeds een ander woord probeert.
Reageer
ict @The Third Man26 februari 2026 19:29
Ik denk dat we langs elkaar praten, al mijn reacties m.b.t. simswapping gaan over dat de wachtwoorden door deze hack op het web (komen te) staan. Hierdoor is het nu dus geen goede beveiliging meer tegen simswapping.
Hoe gaat de hacker/scammer nou weten dat ik bijvoorbeeld Bakfiets als contractwachtwoord heb gekozen en niet Granaatappel als beiden als plaintext op het web staan?
Het juiste contractwachtwoord staat nu toch in plaintext (al dan niet gekoppeld aan andere data) online? Daarmee kan toch iemand odido bellen en zijn gang gaan. Dat dit nu (hopelijk) gepatcht is neemt niet weg dat als een hacker deze data voor zichzelf had gehouden dat diegene dan ongestoord had kunnen simswappen, waardoor een contractwachtwoord geen goede beveiliging tegen simswapping is als dat is gehackt.

Net als dat nieuws: Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming mij niet beschermt tegen kwaadwillende die met mijn gegevens aan de haal gaan.
Reageer
SebasFM @TijsZonderH26 februari 2026 15:56
Kan iemand vertellen of dit nog steeds gebruikt wordt? Ik wist van het hele bestaan hiervan niet af, maar wellicht handig tegen SIM swapping ja.
Reageer
AuteurTijsZonderH Nieuwscoördinator @SebasFM26 februari 2026 16:00
Ik heb dit toevallig een half jaar geleden nog moeten gebruiken omdat mijn e-sim niet werkte. Toen was ik m'n wachtwoord overigens vergeten en lieten ze me ook niets veranderen, dus het werkt wel. Ben bijna blij dat Shinyhunters dit lekt, kan ik m'n wachtwoord weer opzoeken.
Reageer
SebasFM @TijsZonderH26 februari 2026 16:03
Dat moet ik dan ook eens laten instellen, aangezien ze mijn nummer ruim een half jaar geleden probeerden over te nemen. Ik kreeg namelijk een nummerportering code per SMS toegestuurd. Heb daar toen melding van gemaakt bij Odido dat ik dat niet was en ze zouden daar een aantekening van maken, maar ze hebben mij nooit verzocht om een extra wachtwoord o.i.d. in te stellen. Ga ik een dezer dagen meteen regelen!
Reageer
AuteurTijsZonderH Nieuwscoördinator @SebasFM26 februari 2026 16:13
Ik heb het ook ooit ingesteld toen het nog T-Mobile was. Volgens mij is dit zo'n legacyding dat ze vroeger aanboden maar inmiddels niet meer heel actief, want ik hoor ze er ook nooit meer over. Maar het is de moeite waard het uit te zoeken!
Reageer
gertvdijk @TijsZonderH26 februari 2026 16:04
Ben bijna blij dat Shinyhunters dit lekt, kan ik m'n wachtwoord weer opzoeken.
Jamaar gelukkig (?) hebben ze die check nu maar gewoon helemaal uitgezet. 😅
Zodra we hoorden dat deze codewoorden in het lek voorkwamen, is de telefonische verificatie op basis van deze codewoorden direct stopgezet.
(onderaan in de Q&A bij https://www.odido.nl/veiligheid)
Reageer
dubstepjoris @TijsZonderH26 februari 2026 13:39
Dank voor de toevoeging!
Reageer
SunnieNL @roawser26 februari 2026 13:17
Dan is hierbij in ieder geval bekend dat het daadwerkelijk salesforce is en dat dit een database extract is en geen screenscraping. In dat laatste krijg je een groot deel van deze velden niet.
Reageer
Connor @SunnieNL27 februari 2026 14:15
Met Salesforce Inspector Reloaded Inspector trek je zo het hele object naar excel of csv als je bent ingelogd en je hebt rechten.
Reageer
MarcMK2 @roawser26 februari 2026 16:29
kan iemand mij uitleggen wat deze velden zijn?
  1. coosto__Facebook_Id__c
  2. coosto__Instagram_Id__c
  3. coosto__LinkedIn_Id__c
  4. coosto__Twitter_Id__c
  5. coosto__WhatsApp_Id__c
  6. coosto__Youtube_Id__c
Reageer
haborym @MarcMK226 februari 2026 17:18
De _c betekent dat het custom velden zijn. Gezien coosto een software oplossing is voor social media Marketing kan het zijn dat er vanuit de coosto oplossing gegevens werden gesynced naar het Salesforce platform of vice versa.
Reageer
willemb2 @roawser26 februari 2026 13:15
Jigsaw

JigsawCompanyId
?? Jigsaw voorheen Google Ideas? Jigsaw de dating app? Jigsaw de ransomware?
Reageer
SunnieNL @willemb227 februari 2026 14:33
Salesforce.com Introduces Jigsaw for Salesforce CRM - Salesforce
Reageer
willemb2 @SunnieNL27 februari 2026 15:37
Oh, dank! Gelukkig ligt mijn figuurzaag niet op straat :+
September 1, 2010 4 min read
Vandaar, da's van na mijn tijd in die wereld.
Reageer
Malarky @roawser26 februari 2026 14:21
Als Odido haar verantwoordelijkheid neemt informeert ze vandaag nog alle 100,000 klanten welke data van hen sinds vandaag online staan, maar dat gaan ze niet doen en de overheid gaat ze daartoe ook niet toe aansporen. Het is dus moreel volledig te verantwoorden dat je zelf download en verifieert vanavond omdat de overheid die als taak heeft ons te beschermen dit laat lopen.
Reageer
Beat The Best @roawser26 februari 2026 16:22
Ik zie in deze lijst dan weer geen documentnummers tbv identificatie.
Reageer
Wouterbmol @roawser26 februari 2026 16:46
Bedankt voor de informatie, maar waarom deze arrogante toon en interessantdoenerij?
Reageer
OuweDorper @Wouterbmol27 februari 2026 10:25
Helemaal eens. Ik snap dat ook niet helemaal en stoor me er ook aan. Post het, of post het niet. Maar dat posten alsof je gedwongen bent en dat infantiele toontje hoeft echt niet.
Reageer
R3d3y3sRob3rt @roawser26 februari 2026 16:47
Contract_Sign_Date__c

Een beetje Slimmerik stuurt je t.z.t. dus een leuke aanbieding voor verlenging van je contract.

De klant is blij dat hij/zij kan verlengen en geeft met plezier de gegevens door welke nog ontbreken aan de lijst hierboven. Henk en Ingrid tuinen er met open ogen in.
Reageer
lolosss @roawser27 februari 2026 02:07
BillingGeocodeAccuracy ?
Reageer
roawser @barkeeper3026 februari 2026 13:22
Die manier is er, maar ga ik zeker niet gebruiken. Ik zit in het securityveld en begeef me al in een grijs gebied. Deze informatie is (vind ik) nuttig op een tech-forum maar de rest bewaar ik niet en verspreid ik niet.

AANVULLING: ja sorry, als je me dan via DM gaat vragen kun je ook je rickroll krijgen https://h1.nu/shinyhunters

[Reactie gewijzigd door roawser op 26 februari 2026 14:37]

Reageer
johanneslol @roawser26 februari 2026 13:33
Weet je toevallig ook of het al ergens op staat zoals pwned ? Ik wil graag zien of ik er zelf ook tussen zit.
Reageer
Caldera @johanneslol26 februari 2026 14:15
Dit is nogal een omvangrijk lek dus ik denk wel dat Troy Hunt het zal toevoegen aan haveibeenpwned, of hopelijk dat Odido zelf het voortouw neemt en gebruik zal maken van haveibeenpwned of misschien zelfs de tool van die Politie om iedereen op een makkelijk bereikbare manier zelf te laten inzien wat er van hun gelekt is.
Reageer
roawser @johanneslol26 februari 2026 13:48
Ik kom nooit op pwned. Als je zelf niet weet waar zoiets te vinden is, heb je er ook niks te zoeken. En dit is maar een klein percentage wat vandaag gepubliceerd is. De kans dat je precies daar in staat is zowiezo klein. En of Shinyhunters de rest nog gaat publiceren moet ik straks even aan mijn glazen bol vragen, die is nu in onderhoud.
Reageer
Papiersnee @johanneslol26 februari 2026 18:36
Je kunt je het beste gewoon aanmelden en afwachten of/tot je een mail krijgt. Je kunt je ook hier aanmelden: https://www.politie.nl/informatie/checkjehack.html (Let wel op; Mogelijk heeft de Politie de dataset (nog) niet in handen en wordt je dus niet of pas veel later geïnformeerd.

Als je de eerdere mail hebt gehad van Odido, ga er maar van uit dat je in een van de datasets zit die nog niet zijn gepubliceerd er vanuitgaande dat Odido niet gaat betalen om dit te stoppen, is het dus een kwestie van afwachten in welke batch je mogelijk zal verschijnen.

[Reactie gewijzigd door Papiersnee op 26 februari 2026 18:37]

Reageer
kodak
@johanneslol26 februari 2026 19:34
Of je er tussen zit is een vraag die je hoort te stellen aan het bedrijf waar je klant bent. Die zijn wettelijk verplicht controle te hebben over de verwerking van jou persoonlijke gegevens. Dus ook als ze gelekt zijn. Dat het bedrijf al lange tijd zeer onduidelijk is van wie er precies wel en geen gegevens gelekt zijn is juist reden om daar nu extra naar te vragen. Hun argument is tot nu toe dat ze geen signalen hebben dat de gegevens misbruikt worden. Maar zowel het onbekend lekken als dit publiek lekken is misbruik. En van dit publiek lekken kunnen ze het echt niet meer af doen alsof er geen misbruik is. Ze zullen dus antwoord moeten geven.
Reageer
Brainfaal @roawser26 februari 2026 15:11
Bij deze enorm bedankt voor je aanvullende inkijk in deze zaak en het risico wat je bereid bent te nemen om ons verder in te lichten waar een (bijvoorbeeld) Odido verzaakt :)
Reageer
patjem @roawser26 februari 2026 15:29
Nu ben jk dus al de hele middag dat liedje aan het neuriën. Zonder te klikke
Reageer
crptc @roawser1 maart 2026 05:02
@roawser Gaat ons niet over het wel of niet voorzien van info maar de toon die je tegen alle lezers van je reactie aanslaat.

[Reactie gewijzigd door crptc op 1 maart 2026 05:03]

Reageer
Arnoud Engelfriet 26 februari 2026 13:02
Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.
Reageer
Rixard @Arnoud Engelfriet26 februari 2026 13:23
Maar hoe kan ik weten of ik er zelf in voor kom, zonder het te downloaden? Ik wil die zekerheid graag hebben, aangezien ik geen e-mail heb gehad van Odido, terwijl ik voor zowel vast als mobiel al jaren klant bij ze ben en ik me niet kan voorstellen dat ik niet tussen die 6 miljoen klanten/records zit.
Reageer
sll @Rixard26 februari 2026 13:32
Vroeg of laat (nu dus nog niet) wordt je mailadres doorzoekbaar op https://haveibeenpwned.com/

Je kunt je mailadres nu al invullen en kijken of deze niet eerder is gelekt... Er wordt aangegeven welke lek het betreft.

Dit is een betrouwbare site. Andere organisaties (bijvoorbeeld Firefox) gebruiken deze site ook om te waarschuwen bij datalekken.
Reageer
Rixard @sll26 februari 2026 13:56
Helaas werkt haveibeenpwned niet voor mij, aangezien ik voor ieder bedrijf/website een ander e-mailadres gebruik (in dit geval dus odido@[mijndomeinnaam.tld]). Aangezien ik alleen al meer dan 500 accounts heb, zal ik een veelvoud hiervan aan e-mailadressen hebben. Ik kan geen wildcardsearch doen, maar moet dan voor elk mogelijk e-mailadres een eigen api-call doen. Boven de 500 unieke adressen begint dat bovendien ook nog eens aardig duur te worden.
Reageer
sll @Rixard26 februari 2026 14:17
Tja, dat is ook een nadeel van veel mailadressen gebruiken, de administratie... Ik vermoed dat niet al je adressen zijn uitgelekt door het Odido-lek...

Buien de API heb ik nu ook momenteel niets. Misschien zijn er 3rd-party beveiligingsproducten (wachtwoordmanagers etc.) die alle entry's kunnen checken? Anders zou ik het ook niet weten.
Reageer
Rixard @sll26 februari 2026 14:24
Het voordeel is juist dat ze enkel m'n odido-mailadres hebben. Maar aangezien ze m'n voornaam en achternaam en bankgegevens ook hebben kunnen ze mijn echte mailadres of het mailadres van bijvoorbeeld mijn bank ook wel ongeveer raden. Dus het helpt wel tegen spam, maar niet tegen zo'n omvangrijk lek als dit.
Reageer
Tjidde @Rixard26 februari 2026 14:15
Je kunt als het goed is bij haveibeenpwned een account aanmaken en dan via een tijdelijke DNS record dat account koppelen aan een domein. Een volledige domein check doen.Ik weet niet wat daar de limieten van zijn.
Reageer
Rixard @Tjidde26 februari 2026 15:21
10 mail-adressen is de gratis limiet. Helaas val ik daar al (ruim) boven.
Reageer
Wolly @Rixard26 februari 2026 14:10
Je kan gewoon een domain alert instellen op haveibeenpwned
Reageer
JustVodka @Wolly26 februari 2026 14:57
Tot 10 adressen per domain is grais, daar boven moet je een subscription nemen. Die zijn er in verschillende staffels.

https://haveibeenpwned.com/Subscription

Boven de 500 is het $163 per maand.

Maar ze gaan pas klagen als er meer adressen dan waar je voor betaald (meer dan 10 als je niks betaald) in hun database voorkomen.

Ik heb ondertussen meer dan 10 adressen die in lekken voorkomen, dus ik zie niks meer. Alleen dat er x aantal adressen voor komen. Je ziet dus niet welke adressen meer.
Reageer
licon @JustVodka27 februari 2026 02:54
Tsja, is dat het geld waard? Ze verkopen een hoop leugens over lekken die niet echt bestaan of niet in de mate bestaan zoals ze beweren. Dat is hun hele verdien model op gebaseerd...

[Reactie gewijzigd door licon op 27 februari 2026 11:31]

Reageer
Rixard @Wolly26 februari 2026 14:16
Je kan gewoon een domain alert instellen op haveibeenpwned
Dat dus niet 'gewoon'
Reageer
Wolly @Rixard26 februari 2026 14:29
Hoezo niet? Kwestie van inloggen en instellen.
Reageer
Rixard @Wolly26 februari 2026 15:19
Hoezo niet? Kwestie van inloggen en instellen.
Nee, helaas.

Als er meer dan 10 mailadressen van een domein voorkomen, gaat haveibeenpwnt er vanuit dat je een bedrijf bent en moet je een (behoorlijk dure) betaalde dienst van ze afnemen. Inmiddels zijn er ruim meer dan 10 adressen van mijn domein bekend (denk aan de lekken van LinkedIn, Adobe, Soundcloud, Duolingo, Abondonia, River City etc.)
Reageer
stenkate @Rixard26 februari 2026 15:33
Wat je zegt klopt, bij >10 e-mailadressen binnen een domein moet je betalen om in de haveibeenpwned database te zoeken.


Maar:

Als je een alert op je domain instelt, dan krijg je wel elke keer een mail dat er een e-mailadres gevonden is, met daarin context van de breach. Je zal niet zien om welke e-mailadres het gaat, maar wel bijvoorbeeld zien 'breach: Odido'.
Reageer
Rixard @stenkate26 februari 2026 16:25
Die alert of notificatie zoals haveibeenpwnd het noemt geldt alleen voor het mailadres waar je mee aangemeld bent en dus niet voor het odido-mailadres. Ik zou een apart account kunnen aanmaken voor het odido-mailadres als alternatief, dan weet ik in elk geval of ik straks in het lek zit.
Reageer
beerse @Rixard26 februari 2026 14:53
Ooit ben ik ook zo begonnen toen ik ging internetten via demon.nl. Dat werkt, ondertussen bij freedom.nl nog steeds goed. In dit geval zal ik bij odido mijn mail adres aanpassen van tmobile@mijndomein.freedom naar odido@mijndomein.freedom en in mijn mail omgeving tmobile@mijndomein.freedom direct naar de bittenbak sturen.
Reageer
Rixard @beerse26 februari 2026 15:11
Precies. Of in elk geval het tmobile-adres een apart label geven zodat je extra op let bij mail aan dit adres. Dat is wat ik doe.
Reageer
licon @Rixard27 februari 2026 02:43
Je kunt ook gewoon via een niet nader gespecifieerde ongecensureerde chatbot de dataset zelf doorzoeken...

[Reactie gewijzigd door licon op 27 februari 2026 03:37]

Reageer
Rixard @licon27 februari 2026 10:49
Oh, nice. Mijn interesse is gewekt.
Reageer
licon @sll27 februari 2026 04:25
Uiterest onbetrouwbare bron die haveibeenpwned: Bij sommigen zijn wel initialen, achternaam, en adres gelekt, maar geen email, dus kan haveibeenpwned het niet eens vinden. Bij anderen is er wel een email, maar geen automatische incasso, dus geen echte bankgegevens behalve en alleen standaard string 'Paper_Invoice__c' gelekt en zegt haveibeenpwned dat toch echt ook de bankgegevens gelekt zijn!
Reageer
beerse @Rixard26 februari 2026 14:46
Je hoeft niet te weten of je zelf in de lijst voor komt. Het beste kan je er van uit gaan dat je in de lijst voor komt. En ga uit van het beroerdste scenario: met alle gegevens die je ooit aan die club (of diens voorgangers) heb doorgegeven. Dus ga er van uit dat je iets meer gerichte spam krijgt. En ga er van uit dat je voor phising en dergelijke ook wat vatbaarder bent.

Dat je geen bericht hebt gekregen van Odido zou kunnen inhouden dat ze van jou een oud mail adres hebben of zo iets. Of dat ze om (vage) redenen denken dat jij niet in de dataset zit.
Reageer
svenk91 @beerse26 februari 2026 18:39
Ik wil vooral weten of ik mijn rijbewijs, ID kaart, of paspoort moet vervangen. Ik ga er al vanuit dat 1 daarvan nu gelekt is maar ik zou niet meer weten welke dat is. Odido reageert niet als je daar om vraagt, dan moet je je tot een andere bron wenden. Ik hoop dat haveibeenpowned die info bekend maakt,
Reageer
DaFeliX Developer @svenk9127 februari 2026 06:49
Sinds 26 feb staat ie op HIBP.
Reageer
licon @DaFeliX27 februari 2026 11:19
HIBP zegt als je email in de lijst voorkomt, dat gewoon dat alles is gelekt, ookal is het daadwerkelijke veld gewoon leeg ("")... Dus HIBP is niet te vertrouwen! Van lek 1 was de 1 miljoen datapunten zijn er maar 46 BTW-belastingnummers/BSN, dus 99,9954% kans dat HIBP er naast zit, en 0,0046% kans dat je 1 van de 46 bent van wie het BTW-belastingnummer/BSN daadwerkelijk is gelekt. Van lek op dag 2 klopt ook het een en ander niet. De gelekte data is veel minder dan ze verkondigen.

[Reactie gewijzigd door licon op 27 februari 2026 12:14]

Reageer
Rixard @beerse26 februari 2026 16:32
Ik heb geen oude e-mailadressen. Ik een eigen domein met catch-all en die heb ik al bijna zolang als T-Mobile bestaat.
Reageer
Memori @Rixard26 februari 2026 16:07
Beter nog, ik kan mij voorstellen dat je graag je eigen gegevens zoals die gelekt zijn wilt zien.
Reageer
Rixard @Memori26 februari 2026 16:26
Zeker!
Reageer
Jittikmieger @Rixard27 februari 2026 07:10
Ik heb gisteravond tegen 24.00 uur een mail ontvangen van Have I Been Pwned met de mededeling dat mijn gegevens in de dataset van de Odido hack zitten. Wij zijn al 14 maanden geen klant meer bij Odido en ik heb ook geen mail gehad van Odidio met de mededeling dat mijn gegevens betrokken waren bij de hack.
edit:
Het mailadres dat ik gebruikte ten tijde van onze Odido abo, gebruik ik nog steeds. Ik heb inmiddels wel alle accounts waar ik dit mailadres gebruikt heb aangepast naar een ander e-mail adres, dus krijg ik er nu mail op het bij Odido gebruikte mail adres, dan heeft het met de Odido hack te maken.

[Reactie gewijzigd door Jittikmieger op 27 februari 2026 07:13]

Reageer
Rixard @Jittikmieger27 februari 2026 10:51
Of Odido niet heeft gemaild is dus geenszins een garantie dat je niet in de dataset zit. Erg slecht.

Odido zegt dit op hun website:
  • Ik heb nog geen e-mail gehad of heb nog niets gehoord. Wat betekent dit? Zijn jullie al klaar met het informeren van klanten? En ben ik niet geraakt als ik geen e-mail heb gehad?

    Heb je nog geen e-mail of sms van Odido gekregen? Dan mag je ervan uitgaan dat je niet geraakt bent. Check voor de zekerheid ook je spamfolder nog een keer om te kijken of een eventuele e-mail daar terecht is gekomen.
bron: https://www.odido.nl/veiligheid

[Reactie gewijzigd door Rixard op 27 februari 2026 10:54]

Reageer
Verwijderd @Arnoud Engelfriet26 februari 2026 13:24
Erg zwart witte uitspraak dit. Het downloaden is niet strafbaar. Het is een ontiegelijk grijs gebied dat ben ik eens, maar het doel waar je het NA het downloaden voor gebruikt bepaald pas of het strafbaar is.
Reageer
sll @Verwijderd26 februari 2026 13:46
Onzin: downloaden is hartstikke strafbaar: ga maar na, iedereen is (terecht) boos dat hun data is uitgelekt, maar jij wilt weten of er erin staat, dus je downloadt alle data. Hiervoor moet je naast je eigen uitgelekte regel, ook de 6.199.999 andere regels downloaden... Waarom zou jij meer rechten hebben dan de hackgroep of iedere toekomstige misbruiker om wel om de privacy van je mede-slachtoffers te schenden?
Reageer
Verwijderd @sll26 februari 2026 13:47
het staat in de wet zelf:

Artikel 139g van het Wetboek van Strafrecht

Lid 2: "Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben [...] van de gegevens vereiste."
Reageer
Morrowind3 @Verwijderd26 februari 2026 13:59
Sleutelwoord daar is Algemeen Belang. Je eigen interesse valt daar moeilijk onder te schuiven, denk ik.

Je kunt met dit soort grijs gebieden maar beter voorzichtig zijn. Als de verkeerde persoon het niet eens is met je creatieve interpretatie heb je mogelijk een groter probleem dan een Tikkie van het CJIB
Reageer
Verwijderd @Morrowind326 februari 2026 14:15
het is geen 'creatieve interpretatie'

het is de letterlijke wettekst die bedoeld is om de security community te beschermen

als digital forensics specialist is mijn werk het vaststellen van feiten. wanneer een provider als odido herhaaldelijk moet rectificeren omdat ze de omvang van hun eigen lek niet kenden, is onafhankelijke validatie (OSINT) geen 'eigen interesse', maar noodzakelijke maatschappelijke controle.
Reageer
SirRosencrantz @Verwijderd26 februari 2026 15:54
Ik denk dat Arnoud vooral "gewone" burgers bedoelt, niet iemand die zich professioneel bezighoudt als digital forensics specialst. Ik heb bijvoorbeeld (behalve dat ik zelf potentieel in de data sta) geen enkele reden om deze data te downloaden. Ik kan er als burger niks mee. Dat jij het als professional download is mogelijk in de rechtbank te verantwoorden zoals een journalist dat ook doet. Maar als burger zou ik het risico niet nemen en wacht ik liever op een expert die dit deugdelijk ontsluit, of het nou een journalist is of haveibeenpwnd.
Reageer
asset185 @SirRosencrantz26 februari 2026 16:30
Ik vraag me af hoe groot de pakkans is dat een gewone burger gepakt wordt die die dit download om te kijken of hij/zij op de lijst staat.

Het hele probleem is juist dat de pakkans zo ontzettend klein is. De politie heeft aangegeven dat ze Odido steunen dat ze niet betalen. Maar als jij straks opgelicht wordt door een of andere kneus die deze gegevens misbruikt dan zegt de politie: kunnen we niks mee, hebben we geen tijd voor of het is civiel recht.

Oplichterij is nu al aan de orde van de dag. En de pakkans is veel en veel te klein. En met deze lek wordt het allemaal nog laagdrempeliger.
Reageer
Verwijderd @SirRosencrantz26 februari 2026 16:00
ik begrijp je punt, maar de wet maakt dat onderscheid tussen expert en burger niet zo hard.

artikel 139g lid 2 kijkt naar de handeling en het belang, niet naar je kvk-inschrijving.
als een burger aantoont dat een provider onjuiste info geeft, dient zijn verificatie ook het algemeen belang.

Voor de 'gewone' burger is artikel 40 Sr (noodtoestand) juist essentieel
als jij niet kunt vertrouwen op de info van odido en je wilt voorkomen dat je morgen slachtoffer bent van sim swapping of je een wazige BKR registratie voor een lening op je naam hebt dan is zelfhulp (het verifiëren van je eigen risico) juridisch gewoon keihard verdedigbaar als noodtoestand.

het probleem met wachten op een expert of HIBP is dat de schade dan vaak al geleden is.
de wet biedt juist die ruimte zodat je niet lijdzaam hoeft toe te kijken hoe je digitale identiteit wordt misbruikt terwijl odido zich in stilte hult of nog meer verwarring zaait.
Reageer
SirRosencrantz @Verwijderd26 februari 2026 16:06
En hoe ga je dat voorkomen dan? Want zelfs als ik weet dat ik in deze dump zit, dan kan ik nog steeds niks meer dan ik nu doe: waakzaam zijn voor spam/scam/phishing, rekeningnummers in de gaten houden en eventueel een nieuw paspoortnummer aanvragen. Persoonlijk vind ik dat Odido trouwens op zijn minst de mogelijkheid moet geven om kostenloos je telefoonnummer te wijzigen, maar goed dat is een andere discussie.
Reageer
Verwijderd @SirRosencrantz26 februari 2026 16:14
een nieuw paspoort gaat je niet helpen omdat je BSN (veld TaxID) permanent is. en daarmee juist een argument voor de download. het downloaden van je eigen records is geen 'preventie', het is bewijsvoering.

bewijsvoering voor aansprakelijkheid:
Als er over drie jaar fraude wordt gepleegd met jouw BSN, moet jíj bewijzen dat die data door de schuld van odido op straat is beland. Tegen die tijd is de dump offline en heeft odido de logs gewist.
de dataset is jouw bewijs om de schadeclaim terug te leggen bij de veroorzaker. Odido

Instanties of je bank doen helemaal niets op basis van 'ik stond misschien in een lek'.
ze willen weten welke velden er precies gelekt zijn.
alleen met die feiten kun je een dossier openen dat je beschermt.

de wet (Art. 40 Sr) erkent dit recht op zelfverdediging. het veiligstellen van bewijsmateriaal over je eigen identiteit in een situatie waarin de verantwoordelijke partij (odido) de omvang niet kan of wil erkennen, is de enige manier om niet levenslang achter de feiten aan te lopen.
Reageer
SirRosencrantz @Verwijderd26 februari 2026 16:17
Er is alleen herhaaldelijk gezegd door mensen die de data gezien hebben (waaronder journalisten van deze site) dat er geen BSN in de gegevens staat, alleen documentnummers. Jij zegt nu dus dat taxid bsn-nummers omvat?

[Reactie gewijzigd door SirRosencrantz op 26 februari 2026 16:20]

Reageer
Florimon @SirRosencrantz26 februari 2026 18:19
Tot 2020 was voor zzp'ers hun BTW-nummer (TaxId) hetzelfde als hun BSN. Na terechte kritiek op dit 'systeem' heeft de belastingdienst nieuwe BTW-nummers uitgegeven die losstaan van de BSN nummers. Maar zoals we weten bewaarde Odido lekker alle oude data zelfs van mensen die (allang) geen klant meer zijn, dus daar zit ook data van vóór 2020 bij. Er is inmiddels al vastgesteld dat dergelijke herleidbare BTW-nummers (ook van mensen die zich intussen allang bij de KvK hebben uitgeschreven) óók in de gelekte gegevens zitten.
Reageer
Verwijderd @SirRosencrantz26 februari 2026 16:24
mijn fout , maar dat is niet de kern van het probleem ik pakte het slechts even als voorbeeld
Reageer
sgouman @SirRosencrantz26 februari 2026 18:01
Lees update 2. Zitten dus wel BSN's bij
Reageer
tfro71 @SirRosencrantz26 februari 2026 20:25
Tax-id is BTW nummer en de belastingdienst hanteerde lange tijd dat het BTW-nummer van ZZP-ers (zakelijke klanten dus) gebaseerd was op het BSN. Dus het BSN is niet gelekt, het BTW-nummer is gelekt en dat raakt alleen ZZP-ers met een zakelijk abo.
Reageer
licon @Morrowind327 februari 2026 02:51
Eigen interesse is ook aanmerkelijk belang. Is wel interessant trouwens. Haveibeenpwned liegt zoals ik eerdere zei ontzettend. Bij sommigen is de email adres gelekt, niet bankrekening en telefoonnummer, want die velden zijn leeg, maar dan liegt haveibeenpwned gewoon dat die data ook gelekt is. Bij sommige is wel naam en andres gelekt, maar geen email.

[Reactie gewijzigd door licon op 27 februari 2026 04:15]

Reageer
DdeM @Verwijderd26 februari 2026 14:00
Algemeen belang != persoon belang. Ofwel "Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact." maar jij mag het niet. Dat jij mijn gegevens voorhanden heeft dient namelijk geen enkel algemeen belang.
Reageer
Verwijderd @DdeM26 februari 2026 14:21
je maakt een denkfout door te denken dat alleen de journalistiek het algemeen belang dient. de journalistiek duidt de gebeurtenis, maar de security community duidt het technische risico.

het algemeen belang is dat we exact weten welke vleden (vlocity_cmt__TaxID__c, Password__c) gelekt zijn, zodat er passende adviezen gegeven kunnen worden

een journalist kan die data niet forensisch valideren daar zijn specialisten voor nodig

zonder die download is er geen bewijs en geen accurate risico analyse

het feit dat jouw data in die set zit, is een technische onvermijdelijkheid van het onderzoek.net zoals een rechercheur die een gestolen vrachtwagen doorzoekt ook de pakketjes van derden voorhanden heeft. dit is geen privacy-schending, maar noodzakelijke waarheidsvinding.
Reageer
DdeM @Verwijderd26 februari 2026 14:41
Dat can journalist was uiteraard alleen een voorbeeld van een groep die het wel mag, in bepaalde gevallen. Daar zit geen denkfout in, dat er andere groepen zijn die het ook mogen lijkt me vrij voor de hand liggend, maar we zien hier op een "tech" nieuws site dus dat Arnoud een journalist als voorbeeld naam is logisch.

Dat veranderd er niets aan dat iemand vanuit zijn persoonlijke interesse het nog steeds niet zomaar mag downloaden en aangezien jij in je eerdere post niet aangaf een digital forensics specialist te zijn en het evt vanuit die rol te downloaden lijkt het me niet vreemd dat is daar dus ook niet van uit ging.
Reageer
Verwijderd @DdeM26 februari 2026 14:50
maar mijn rol maakt hier niet uit.

we gaan het nog even concreter maken.

als een bedrijf jouw data verliest, moeten ze je informeren over de aard van de gelekte gegevens.
wanneer een bedrijf (zoals odido) vaag blijft of de omvang herhaaldelijk bijstelt, ontstaat er een vacuüm.

dat vacuüm is al voldoende belang om niet meer te vertrouwen op het contacteren van odido haar data officer en is al voldoende recht om het bestand NA downloaden in te zien. LET OP! alleen om je eigen gegevens op te zoeken! de rest moet je wettelijk gezien negeren.

dit valt onder noodweer. of nog specifieker: Art. 40 Sr

[Reactie gewijzigd door Verwijderd op 26 februari 2026 14:52]

Reageer
DdeM @Verwijderd26 februari 2026 15:11
Art 40 gaat over overmacht, niet noodweer (dat is artikel 41 en gaat specifiek over fysieke aanranding). Enfin dat is hier niet het geval, Odido heeft aangegeven tot welke gegevens de hackers toegang hadden en ik betwijfel te zeerste dat het feit dat er laten bleek bij bepaalde mensen ook aantekeningen gelekt te zijn voldoende is om van overmacht te spreken.
Reageer
Verwijderd @DdeM26 februari 2026 15:17
artikel 40 Sr beslaat inderdaad de overmacht, maar specifiek de noodtoestand (een conflict van plichten). het gaat erom dat de burger het recht heeft zichzelf te beschermen wanneer een instituut faalt in zijn zorg en informatieplicht.

je zegt dat odido heeft aangegeven wat er gelekt is maar gisteren bleek juist dat hun eerdere verklaringen onvolledig waren als een provider pas na externe druk toegeeft dat er meer gevoelige data op straat ligt is het vertrouwen in hun aard van de gegevens technisch en juridisch geschaad

Het zelfstandig verifiëren van je eigen risico in een vacuüm van betrouwbare informatie is de letterlijke wettelijke definitie van een proportionele handeling onder noodtoestand.

Je wacht toch ook niet tot het huis is afgebrand omdat de brandweer (odido) zegt dat het wel meevalt met de rook.
Reageer
sll @Verwijderd26 februari 2026 13:54
Hier staat dus dat het downloaden wel het "algemeen belang" moet dienen. Tenzij je journalist of Troy Hunt bent, zou je dat moeilijk aan kunnen tonen. Slechts uit interesse downloaden, of om te checken of je er zelf in staat (betreft dus alleen je eigen belang) is dan geen geldige reden.
Reageer
Verwijderd @sll26 februari 2026 14:04
het algemeen belang is niet exclusief voor journalisten. als een telecomprovider onjuiste informatie verstrekt over de ernst van een lek is onafhankelijke verificatie door de security community (OSINT/forensics) een essentieel maatschappelijk goed. we kunnen niet blind varen op de pr afdeling van een gehackt bedrijf

lid 2 is er juist om te voorkomen dat professionals die de impact analyseren, juridisch gelijkgesteld worden met de criminelen
Reageer
sll @Verwijderd26 februari 2026 14:12
Het onderzoek van Odido is nog bezig en kan nog maanden of nog langer duren. Om nu al te zeggen dat ze onjuiste informatie hebben verstrekt is denk is wel snel. Gisteren werd nog bekend dat Odido niet wist dat er meer vertrouwelijke data is gelekt...
Reageer
Verwijderd @sll26 februari 2026 15:23
hier raak je precies de kern.

als een provider maanden nodig heeft om de feiten boven tafel te krijgen, terwijl de data al op straat ligt, is de schade voor de klant al onherstelbaar.

artikel 40 Sr (noodtoestand) erkent dat je op dit moment niet stil hoeft toe te kijken. het zelfstandig vaststellen van het risico is dan geen interesse, maar een noodzakelijke handeling om de impact te beperken.
Reageer
DonJunior @Verwijderd26 februari 2026 13:53
Maar als jij die dataset download heb je naast (mogelijk) je eigen gegevens. Ook ineens de beschikking over (laten we zeggen) mijn gegevens en die van duizenden anderen.
Ik zie ook niet hoe het in het algemeen belang is dat jij deze dataset gaat downloaden?
Reageer
Verwijderd @DonJunior26 februari 2026 13:57
Zodra data op een publieke dumpsite staat is de vertrouwelijkheid al geschonden.je kunt niet "inbreken" op een bestand dat door de dief op een presenteerblaadje wordt gezet. De wetgever heeft voor het bezit van die data een ander artikel gemaakt: 139g (heling). en dat is de uitzondering van lid 2.
Reageer
Jerie
@Verwijderd26 februari 2026 14:33
Dat is dan op te lossen door direct alle records die niet van jou zijn te verwijderen. Weet jij hoe dat moet? Ik betwijfel het. Plus, om tot dat niveau te komen, moet je eerst de complete dataset downloaden. En die wil je niet in je bezit hebben.

Een betere benadering is de volgende:

1) Aanname dat Odido niet gaat betalen.

2) Komende weken komt er iedere dag een deel van de paste online. Ben jij klant (geweest) bij Odido? Dan sta je er in. Dus in de komende weken wordt je data gelekt.

3) Persoonlijk ga ik dan ook een nieuw paspoort aanvragen. Nieuw IBAN was ik toch al van plan.

4) Laat de notificatie aan HIBP en politie.
Reageer
Verwijderd @Jerie26 februari 2026 14:38
Onderbuikgevoelens. Verder gaat het om wat deze data toe voegt aan data wat al in eerdere lekken is vrijgekomen. De combinatie is namelijk het echte gevaar. En om dat vast te stellen heb je deze gegevens nodig.
Reageer
Jerie
@Verwijderd26 februari 2026 16:58
De vraag was weet je hoe dat moet, ja of nee? Het gros van de mensen die door dergelijke records zouden gaan spitten weten dat niet. Die weten ook niet hoe ze dergelijke data veilig verwijderen. Die laten de data op hun computer staan, en dat is wel degelijk strafbaar. Dat je het zou downloaden en dan enkel parsen om jouw persoonlijke data eruit te halen en de rest verwijderen, daar is weinig mis mee (let wel dat je het enkel download, en niet meehelpt met uploaden zoals met BitTorrent, en let er op dat je de data overschrijft). Dat de pakkans laag is, is helaas waar, maar dat maakt het nog geen 'onderbuikgevoelens'.
Reageer
Verwijderd @Jerie26 februari 2026 17:01
zo als aangegeven strafbaarheid hangt vast aan het doel. een link naar een tool is eerder gegeven. er is geen enkele noodzaak andere gegevens dan je eigen uit de dumps te trekken
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Verwijderd26 februari 2026 21:30
Echter, wanneer je de hele dump download trek je die andere gegevens dus ook binnen. Vertrouwelijke gegevens van andere onschuldige slachtoffers. Van "eruit trekken" kan je amper spreken wanneer de dump clear tekst is.
Reageer
Verwijderd @Bor26 februari 2026 22:14
Dat doet in dit geval helemaal niet ter zake. Je mag altijd je eigen gegevens in zien en je kan nou eenmaal niet alleen jou stukje los downloaden.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Verwijderd26 februari 2026 22:45
Dus doet juist heel erg ter zake. Je hebt namelijk de dump nodig incl de gestolen informatie van anderen om je eigen informatie in te kunnen zien op dit moment. Proportionaliteit en doelbinding.
Reageer
Verwijderd @Bor26 februari 2026 22:49
Dit is het punt waar de nuance van het strafrecht cruciaal wordt:

het bezit van andermans gegevens is normaal gesproken wederrechtelijk (art. 139g Sr).

MAAR de uitzondering waar het hier om gaat: als je selectief je eigen gegevens verifieert en de rest negeert of verwijdert, handel je proportioneel en te goeder trouw.

dat is de juridische grondslag die de wetgever voorziet voor noodzaak / eigen bescherming (Art. 40 Sr, lid 2 Sr).

het feit dat je technisch de hele dump moet downloaden om je eigen records eruit te halen, maakt dit niet automatisch strafbaar.

strafbaarheid wordt niet bepaald door “hoe technisch” maar door doel en intentie.

je hoeft niet per se iets te doen met de gegevens van anderen
het gaat erom dat je slechts je eigen data gebruikt voor bewijs/veiligstelling.

dat is proportioneel en juridisch verdedigbaar.
Reageer
roawser @Verwijderd26 februari 2026 13:51
138c Sr:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
Je kunt twisten over de semantiek van 'niet-openbaar' maar het is in beginsel gewoon strafbaar.
Reageer
Verwijderd @roawser26 februari 2026 13:52
Nee want de publicatie maakt het openbaar
Reageer
roawser @Verwijderd26 februari 2026 13:54
dus onder 2, 3 en 4 zijn ook niet van toepassing als ze 'gepubliceerd' zijn? Eigenlijk zeg je dat het hele wetsartikel zinloos is.
Reageer
Verwijderd @roawser26 februari 2026 14:27
Dat zeg ik niet. Ik zeg alleen dat het uit maakt wat het doel is NA de download.
Reageer
AJ @Verwijderd26 februari 2026 17:12
lees je effe in...
Reageer
Verwijderd @AJ26 februari 2026 17:18
ik ben ingelezen. strafrecht stopt niet bij de delictsomschrijving.
ik wil je niet persoonlijk aanvallen, maar misschien moet je zelf ook even gaan lezen voor je dit soort zaken roept
Reageer
azuidhof @Verwijderd26 februari 2026 19:15
Bedoel je dat je de juridische consequentie overziet van het verschil tussen data die op een openbare URL in te zien is, en data die in beginsel niet openbaar hoort te zijn? Want je suggestie is dat "openbaar" op het eerste slaat en als juridische leek heb ik daar geen idee van. Je moet dus wel zeker zijn van je zaak (zou kunnen dat je dat bent) voordat je hoog van de toren blaast
Reageer
Verwijderd @azuidhof26 februari 2026 19:22
dit is precies waar de nuance van 139g Sr (heling van gegevens) om de hoek komt kijken. er is een cruciaal verschil tussen openbaarheid en wederrechtelijkheid. De data hoort niet openbaar te zijn. daar heeft iedereen gelijk in. de diefstal was een misdrijf (138ab Sr).

Maar dat gaan we even uitdiepen.

de data is technisch openbaar: Zodra een hacker de dump op een publiek toegankelijke URL plaatst (zonder wachtwoord of encryptie), kan iedereen erbij.

juridisch gezien kun je niet inbreken op een bestand dat open en bloot op een publieke server staat.

het downloaden valt dan niet meer onder computervredebreuk, maar onder heling (het voorhanden hebben van door misdrijf verkregen gegevens).

en daar komt mijn eerdere punt terug: 139g lid 2 Sr zegt dat heling niet strafbaar is als je te goeder trouw handelt in het algemeen belang (of ter bescherming van jezelf in een noodtoestand, Art. 40 Sr).

Ik blaas dus niet hoog van de toren vanuit een mening maar vanuit het strafrecht: een verboden bron maakt een handeling niet automatisch strafbaar voor de ontvanger mits er een geldige rechtvaardigingsgrond is.

Juist omdat odido de omvang niet kan bevestigen ontstaat die grond vanuit Art. 40 Sr voor de burger om zelf zijn bewijslast veilig te stellen.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Verwijderd26 februari 2026 21:38
en daar komt mijn eerdere punt terug: 139g lid 2 Sr zegt dat heling niet strafbaar is als je te goeder trouw handelt in het algemeen belang (of ter bescherming van jezelf in een noodtoestand, Art. 40 Sr).
Echter is het voor een doorsnede burger lastig om zich te beroepen op algemeen belang. Dat kan bv gelden voor journalisten die iets op een professionele integere manier aan de kaak willen stellen. Dat geldt niet zomaar (tot waarschijnlijk helemaal niet) voor jan en truus die de dataset even downloaden om te kijken of ze er ook in zitten.

Of er van een noodtoestand sprake is.... Artikel 40 sr gaat helemaal niet over een noodtoestand maar over overmacht. En de noodtoestand; dat is hier ook niet specifiek en onomstotelijk van toepassing volgens mij:
De noodtoestand in het Wetboek van Strafrecht verwijst naar situaties waarin iemand een strafbaar feit pleegt om een onmiddellijk en ernstig gevaar af te wenden, en kan worden ingeroepen als een rechtvaardigingsgrond.
Bij overmacht in noodtoestand gelden natuurlijk ook nog de beginselen van proportionaliteit en subsidiariteit.

[Reactie gewijzigd door Bor op 26 februari 2026 21:41]

Reageer
Verwijderd @Bor26 februari 2026 22:20
met alle respect, maar je juridische definitie van Art. 40 Sr is onvolledig. Artikel 40 Sr is juist de kapstok voor de noodtoestand (overmacht als rechtvaardigingsgrond). dat is basiskennis strafrecht.

het conflict van plichten is hier glashelder:

1 de plicht om de wet na te leven (geen gestolen data bezitten).

2 de plicht/noodzaak om je eigen rechtszekerheid en identiteit te beschermen (bewijslast verzamelen) wanneer een instituut als odido faalt in haar zorgplicht.

Subsidiariteit? Er is geen ander middel. De politie haalt servers offline (zie bnr), odido geeft vage info. als de burger nu niet zijn foto van de schade maakt, is het bewijs weg.

dat jij dit wegzet als jan en truus die even downloade miskent de ernst van een identiteitslek. voor een gedupeerde is het veiligstellen van bewijs een bittere noodzaak, geen hobby.
Reageer
AJ @Verwijderd26 februari 2026 22:01
Art. 40 Sr heeft daar helemaal geen betrekking op als je de set download is dat voor 100% opzetheling max 4 jaar of een boete van een ton succes met je verdediging
Reageer
Verwijderd @AJ26 februari 2026 22:25
je strooit met maximale strafmaten, maar je mist de juridische essentie. strafrecht is geen invuloefening waarbij je alleen naar de delictsomschrijving kijkt.

voor heling is wederrechtelijkheid vereist. als een burger handelt om zijn eigen fundamentele rechten (privacy/identiteit) te beschermen tegen onomkeerbare schade (fraude), is die wederrechtelijkheid er simpelweg niet.

Noodtoestand (Art. 40 Sr) is er juist voor het conflict van plichten wat de echte afweging is.

de plicht om geen data te bezitten vs. de noodzaak om bewijs te verzamelen tegen een provider die de omvang van het lek niet kan duiden.

een burger die selectief zijn eigen records verifieert en de rest vernietigt of negeert, pleegt geen misdrijf tegen de maatschappij, hij voert forensische zelfverdediging uit.

succes met je eigen verdediging van een onhoudbaar, zwart wit standpunt terwijl de data van 1 miljoen nederlanders op straat ligt en de politie de bronnen offline haalt. morgen volgt de volgende miljoen. enz enz enz.
Reageer
AJ @Verwijderd26 februari 2026 22:46
dank je
Reageer
Mad Marty @Verwijderd27 februari 2026 10:46
Dit is dezelfde redenering als wanneer iemand z'n fiets niet op slot heeft gezet en je 'm voor de zekerheid maar meeneemt voordat iemand anders het doet 8)7
Reageer
Verwijderd @Mad Marty27 februari 2026 10:47
Nee dat is diefstal. Je hebt geen belang.
Reageer
Sangreall @Verwijderd26 februari 2026 13:57
Raar dat jouw comment geen hogere waardering heeft maar de ongenuanceerde van Arnoud +3. Je hebt helemaal gelijk.
Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 26 februari 2026 21:32]

Reageer
Wannial @Sangreall26 februari 2026 15:28
Omdat Arnoud jurist is (specifiek op it vlak) en tweakers regelmatig van informatie voorziet.

Het is dus geen ongenuanceerde uitspraak.
Reageer
Verwijderd @Wannial26 februari 2026 15:36
dat iemand een gerespecteerd jurist is, betekent niet dat een specifieke uitspraak in een specifieke context automatisch genuanceerd is.

juist een jurist zou moeten weten dat de wet niet ophoudt bij de definitie van een delict, maar pas echt begint bij de strafuitsluitingsgronden.

het noemen van een verbod zonder de wettelijke uitzonderingen voor het algemeen belang (139g lid 2) of de noodtoestand (Art. 40 Sr) is per definitie ongenuanceerd.

zeker in een zaak waar de bron (odido) zelf toegeeft de controle en het overzicht kwijt te zijn.

autoriteit is geen vervanging voor de volledige wettekst.
Reageer
MarcMK2 @Verwijderd26 februari 2026 16:22
Ik denk dat de waarschuwing van Arnout in dit geval wel op deze manier gedaan moet worden want hier op tweakers zullen er genoeg mensen zijn die deze set kunnen achterhalen maar niet een security analyst (of soortgelijk) zijn. Hierdoor zullen ze niet precies weten wat de wet als uitzonderingen erin heeft staan en is het beter om duidelijk te communiceren dat in de basis dit strafbaar is.
Reageer
Verwijderd @MarcMK226 februari 2026 16:27
Misschien tijd voor diezelfde tweaker om ook eens binnen de grenzen van de wet te leren tweaken dan... want de wet kennen behoort tot je burgerplicht
Reageer
MarcMK2 @Verwijderd26 februari 2026 16:51
Als je als tweaker je binnen de infosec begeeft ben ik idd van mening dat je op de hoogte moet zijn van deze wetgeving. Als je als tweaker normaal gesproken met home assistent automations doet of websites bouwt kan ik begrijpen dat je niet op de hoogte bent van alle nuances die er deze wetgeving zitten. Waarschijnlijk weet je wel dat je niet mag inbreken op andermans computer en dat je niet alles mag downloaden. Voor deze tweakers is een herhaling van "het is verboden om deze dataset te downloaden" de correcte manier van communicatie omdat ze 1. geen security analyst zijn en 2 zichzelf ook geen journalist noemen. Het grijze gebied hoeft hier niet benoemd te worden want dat is niet van toepassing op deze persoon. Als de tweaker zelfstandig de dataset kan vinden is het grijze gebied van toepassing maar een DM sturen naar roawner voor de dataset ben je niet de tweaker die het grijze gebied moet opzoeken.
Reageer
Verwijderd @MarcMK226 februari 2026 16:59
een dm sturen naar een willekeurige user op een website om data op te zoeken is wel ongeveer het slechtste advies dat je kunt geven. daarmee begeef je je pas echt op glad ijs (actieve verspreiding/heling).

zelfstandig feiten vaststellen uit de bron is juridisch iets heel anders dan vragen in de dm
waarom zou je je eigen gegevens delen met een onbekende derde om te checken of je gelekt bent?
dan lek je jezelf voor de tweede keer.

forensics draait om de chain of custody.
data uit een DM is juridisch waardeloos als bewijs tegen odido.

juist omdat mensen zulke onveilige en juridisch riskante suggesties doen is het essentieel dat de volledige wettekst (inclusief de uitzonderingen) bekend is. een burger moet weten dat hij het recht heeft op eigen, veilige verificatie via de bron, zodat hij niet afhankelijk is van schimmige dm's of een provider die de feiten niet op orde heeft.
Reageer
TeunVR @Arnoud Engelfriet26 februari 2026 13:26
Ik neem aan dat Odido nu een exact overzicht aan mij gaat geven met welke data er gelekt is van mij?
In plaats van dat vage mailtje van ze.
Reageer
lucatoni @Arnoud Engelfriet26 februari 2026 13:44
Helemaal gelijk, maar volgens mij is er altijd iets als een "slachtoffer" perspectief, waardoor wederrechtelijkheid moeilijk te bewijzen valt. Daarnaast is het maatschappelik niet opportuun om hierop mensen te vervolgen. Maargoed, dat maakt het geen wettelijke uitzondering, hoogstens een verzachting van omstandigheden. Ik denk dat ieder daar zelf een keuze over moet maken.
Reageer
banaj @Arnoud Engelfriet26 februari 2026 13:49
Waarom zou dit strafbaar zijn? Artikel 138c spreek over "niet-openbare gegevens". De gegevens zijn nu openbaar, met (TOR-)browser te downloaden voor iedereen die daar zin in heeft...
Reageer
n00bs @Arnoud Engelfriet26 februari 2026 14:23
Goed punt. Ik zou graag ter verificatie willen weten of mijn gegevens hier tussen zitten en zoja welke, hoe ga ik daar nu achter komen?
Reageer
TouW @Arnoud Engelfriet26 februari 2026 16:20
Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.
Kleine juridische nuance: art. 139g Sr gaat over gegevensheling; art. 138c Sr gaat over het opzettelijk en wederrechtelijk overnemen of doorgeven van niet-openbare gegevens.

In de Memorie van Toelichting bij Computercriminaliteit III wordt expliciet gemaakt dat deze strafbepalingen, die zien op niet-openbare gegevens, niet bedoeld zijn om het downloaden strafbaar te stellen wanneer data al publiek via internet is gepubliceerd; de kernvraag is dus of zo’n dump in strafrechtelijke zin nog “niet-openbaar” is, bijv. afgeschermd/besloten, of feitelijk vrij toegankelijk.

Tegelijk: als (voormalig) klant heb je, net als journalisten, een legitiem belang om te weten welke persoonsgegevens van jou zijn gelekt, zeker als Odido daar niet volledig transparant over communiceert. De veilige route is om Odido formeel om inzage te verzoeken in welke exacte persoonsgegevens van jou zijn gelekt (bijv. via een AVG-inzageverzoek/recht op inzage), in plaats van de dump zelf te downloaden.
Reageer
XVI @TouW26 februari 2026 23:00
Intuïtief zou ik zeggen dat dit vergelijkbaar is met de discussie of enkel het uploaden van ongeautoriseerde media zoals films (civiel) illegaal is of dat dat ook geldt voor het downloaden.

Door de dataset te downloaden help je als het ware het verdienmodel van de hackergroep. Hoe meer exposure hoe eerder geneigd bedrijven zijn om de ransom te betalen. Net zoals je bij het downloaden van films toch ook ergens geld onttrekt aan de economie.

Maar net als bij het laatste zul je waarschijnlijk niet zomaar veroordeeld worden voor het downloaden van het materiaal ook al mag je het niet doen want men kan er vaak toch niet makkelijk achter komen. Maar word je ermee gepakt of verspreid je het dan is dat gewoon illegaal en kun je vervolgd worden, in het geval van een uit een hack verkregen dataset met privé-informatie dus ook strafrechtelijk.
Reageer
tfro71 @Arnoud Engelfriet26 februari 2026 20:23
Je kunt met 6,8 miljoen klanten of 28 miljoen records op Tor nog wel een discussie voeren over de vraag of het nog "niet-openbare" informatie betreft :9
Reageer
Beastelson @Arnoud Engelfriet26 februari 2026 13:21
Hoe kan iemand dan het beste controleren of zij tot de vrijgegeven database behoren? Als één van de gedupeerden zou ik graag willen weten of ik 1) onderdeel van deze batch ben en 2) wat er nou precies van mij gelekt is
Reageer
G. B. @Beastelson26 februari 2026 13:43
Vroeg of laat komt de dataset beschikbaar op https://haveibeenpwned.com/ en https://www.politie.nl/informatie/checkjehack.html hier kan je dan zonder de dataset te downloaden checken of je gegevens gelekt zijn.
Reageer
dutchgio @G. B.26 februari 2026 13:48
Maar dat is niet anders dan wat je nu al weet; als Odido je heeft geïnformeerd zal je er ongetwijfeld in zitten. Die sites gaan ook niet per account aangeven welke gegevens er in zitten, alleen dat ze er in zitten.
Reageer
Caldera @dutchgio26 februari 2026 14:21
Ik vertrouw Odido nu niet echt enorm dat ze iedereen hebben geïnformeerd die dat moet worden aangezien ze niet eens doorhadden dat er meer informatie was gelekt dan ze eerst zeiden. Hopelijk kunnen ze op zijn minst met de Politie heel snel een oplossing maken met die tool om een lijst te laten zien met welke persoonlijke gegevens er precies bij zitten
Reageer
xzaz @G. B.26 februari 2026 14:25
haveibeenpwned mag deze data ook gewoon niet hebben. Sowieso raar dat ze al die data vasthouden.
Reageer
aap @xzaz26 februari 2026 15:20
haveibeenpwned slaat alleen e-mailadressen op en wachtwoorden in een aparte lijst, zodanig dat er geen koppeling tussen mailadressen en wachtwoorden is.

Bovendien kun je alleen zoeken of een mailadres in de lijst staat; je kunt niet een volledige lijst met gehackte e-mailadressen ophalen.

https://haveibeenpwned.com/FAQs

Het zal allemaal wel legitiem zijn, anders waren ze intussen al lang aangepakt.
Reageer
Maestro.mosjuh @xzaz27 februari 2026 10:36
Op basis waarvan concludeer jij dat haveibeenpwned deze gegevens niet "mag" hebben?
Reageer
Calypso @G. B.27 februari 2026 06:57
Dat vroeg is op dit moment al (in elk geval de nu gepubliceerde site); ik kreeg vanochtend de melding dat mijn gebruikte mailadres er in zat.
Reageer
Wilke @Beastelson26 februari 2026 13:27
Precies dit. Ik wil die dataset helemaal niet hebben, maar wil graag wel weten (van iemand anders dan Odido zelf, want nul vertrouwen) of er gegevens van mij in voorkomen.
Reageer
Beastelson @Wilke26 februari 2026 13:35
Exact. En ik zou graag actie nemen voordat het op https://haveibeenpwned.com/ komt te staan. Als dat nog een maand duurt, terwijl mijn paspoortnummer nu vrij te downloaden is, heb ik een probleem
Reageer
PolarBear @Beastelson26 februari 2026 18:51
Realistisch gezien, wat gaat iemand doen met je paspoortnummer?
Reageer
juke1349 @PolarBear1 maart 2026 13:41
Vluchten boeken.. Visa aanvragen..
Document nummer is ook vaak een controlepunt bij officiële aanvragen, zoals uitkeringen..

En als ik me goed herinner: Toen ik laatst de officiële "stop killing games" petitie bij de Europese Commissie ondertekende, zat document nummer er tussen om te bewijzen dat ik Europeaan ben.
Reageer
gimbal @Beastelson26 februari 2026 13:50
Die wil is heel erg te begrijpen. Maar rechtvaardigt niet het downloaden van de persoonsgegevens van vele andere mensen.

Nu mag je gaan bewijzen dat je een degelijk mens bent en niet iets doet enkel omdat je dat zelf wil. Zo werkt de wet niet.
Reageer
ict @Arnoud Engelfriet26 februari 2026 13:47
Denk dat dit bij potentiele gedupeerde (oud)klanten ook wel van toepassing is.

En anders is er nog altijd dit:
De titel 'journalist' is in Nederland en België in principe niet wettelijk beschermd; iedereen mag zich journalist noemen, wat bijdraagt aan de persvrijheid.
Reageer
padapada @Arnoud Engelfriet26 februari 2026 14:21
Lijkt mij dat je als klant en dus belanghebbende mag controleren of je erbij zit. De bad Guys doen het toch al.
Reageer
n.adema @Arnoud Engelfriet26 februari 2026 17:13
Hoe controleer je dan of gegevens ertussen zitten? Het zou wat wezen als je hiervoor de rechter wordt getrokken wordt, omdat jouw gegevens mogelijk op straat liggen door Odido. Maar goed dat je het meldt.
Reageer
Jittikmieger @Arnoud Engelfriet27 februari 2026 03:56
Je hoeft zelf niet te kijken in de data of je er tussen zit, wanneer je je aangemeld hebt op Have I Been Pwned. Ik heb gisteravond iets voor twaalven een mailtje van Have I Been Pwned ontvangen, dat mijn gegevens in de dataset zitten van de Odidio breach.

Wat ik vervelender vind is dat Ik niet op de hoogte ben gesteld door Odidio dat mijn gegevens gestolen zijn! Wij zijn dan een oude klant, wij zijn 14 maanden geleden bij ze weggegaan. Ik wist dus niet dat ik er tussen zat - al hield ik er wel rekening mee. Dus geen mail van Odido, wel van Have I Been Pwned...

Hmmmm.... Odido... Hmmm.... Niet zo netjes! Foei! Hele dikke foei!
Reageer
TouW @Arnoud Engelfriet2 maart 2026 21:28
Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.
@Arnoud Engelfriet Twee kanttekeningen bij deze stelling.

Ten eerste: art. 138c Sr betreft gegevensdiefstal, niet gegevensheling. Dat artikel ziet op het wederrechtelijk overnemen van gegevens uit een geautomatiseerd werk, oftewel uit de bron. Gegevensheling staat in art. 139g Sr. Het onderscheid is relevant, want wie een reeds gepubliceerde dataset downloadt neemt niets over uit de Odido-database.

Ten tweede, en belangrijker: zowel art. 138c als art. 139g vereist dat de gegevens niet-openbaar zijn. De Memorie van Toelichting is daar expliciet over: "Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download." (Kamerstukken II 2015/16, 34 372, nr. 3, p. 87). Het Gerechtshof Den Haag bevestigde dit criterium van feitelijke toegankelijkheid (ECLI:NL:GHDHA:2024:217).

Ethical hacker Sijmen Ruwhof bevestigde tegenover RTL Nieuws dat de data inmiddels zonder speciale software voor iedereen downloadbaar is via het reguliere internet (Bunskoek & Verlaan, 2026). De bestanden staan op een regulier IP-adres, niet achter Tor.

In 2023 schreef u over exact dit scenario: "de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. [...] Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar." (Ius Mentis, 15 december 2023). De wet is sindsdien niet gewijzigd.

Dit is overigens geen aanmoediging om de data te downloaden, maar een correctie op de juridische onderbouwing.
Reageer
CelisC 26 februari 2026 11:51
Dus die hackers stelen de data, of hebben die data op andere wijze verkregen terwijl ze daar geen recht toe hadden, kloppen vervolgens bij Odido aan om hen feitelijk af te persen. Odido gaat niet mee met hun eisen en vervolgens zeggen de hackers "We were reasonable".

Ongeacht van wat we van de situatie vinden, acht miljoen Nederlands zijn nu dus de dupe (als we de Ben gegevens meerekenen). Ik heb overigens nog helemaal geen bericht van Odido voorbij zien komen sinds hun eerste mailronde naar gedupeerden toe, dus ik weet ook niet wat ik nu verder wel of niet kan doen.

Wat een schijnvertoning...
Reageer
Richardus27 @CelisC26 februari 2026 12:05
Die hele tekst heeft een soort toon van "wij zijn de good guys die een corrupt bedrijf hebben betrapt en ze hebben aangespoord om te verbeteren" of iets dergelijks.

Het zijn gewoon criminelen die op hun eigen gewin uit zijn. Odido treft blaam voor het slecht beschermen van gegevens, die van mij zitten er ook tussen en ik ben er absoluut niet blij mee. Maar deze smeerlappen zijn degenen die miljoenen Nederlanders in de problemen brengen. "We are not to blame for this, Odidio is". Nee, jullie misdaad blijkt niet te lonen en gooien alle gegevens op straat als een kind dat z'n zin niet krijgt. Ik hoop echt dat ze keihard worden aangepakt als ze worden gevonden.

Neem je IT skills gewoon mee naar een bedrijf en ga werken voor je geld.
Reageer
n4m3l355 @Richardus2726 februari 2026 14:07
Ik denk dat niemand hier denkt dat de hackers iets goed doen. Echter Odido doet toch alles fout wat men fout kan doen. Ze verzamelen teveel data (vraag me zelfs af of deze data verzameld woede legaal is), ze slaan data slecht op, ze hebben slechte data beveiliging, slecht opgeleide customer service die hackers makkelijk kunnen exploiteren, slechte communicatie richting klanten na de data theft en vervolgens stellen ze zich ook nog eens bot op door geen verantwoordelijkheid te nemen in deze hele afgang.

Ik hoop dat de hackers worden gepakt, maar tegelijkertijd hoop ik ook dat Odido zoals sommige bedrijven hier aan ten onder gaan. Een bedrijf dat zo groot en tegelijkertijd zo slecht functioneerd en daarmee miljoenen mensen in de problemen brengt hoort niet te bestaan.
Reageer
dbs1 @Richardus2726 februari 2026 13:09
Odido is gewoon verantwoordelijk. Ik ga even zoeken of mijn gegevens ertussen zitten, maar ik hoop echt op een hele flinke dikke claim. Odido treft hier alle blaam. En ze zouden gewoon moeten hebben betaald. Minder dan 1 euro per klant. En dan durven ze nog te beweren dat ze klantgericht zijn? Laat me niet lachen.

Iedereen die Odido hier in bescherming neemt moet zich echt diep en diep schamen.
Admin-edit:-knip-
Illegale zaken verwijderd.

[Reactie gewijzigd door Bor op 26 februari 2026 18:36]

Reageer
Nico Klus @dbs126 februari 2026 13:22
Dus als er bij jou ingebroken wordt ben jij daar ook zelf verantwoordelijk voor?

Dan had je je beveiliging maar beter op orde moeten hebben.


Nee, het uitgangpunt is dat iedereen met zijn tengels van andermans spullen af moet blijven.
Reageer
asset185 @Nico Klus26 februari 2026 14:02
Alleen bevat het lek talloze gegevens die Odido al lang had moeten verwijderen of die ze zelfs niet eens mochten hebben. Odido is in heel veel zaken in gebreke gebleven.

Er is genoeg op Odido aan te merken. Daarbij had Odido gewoon een verantwoordelijkheid omtrent beveiliging.

[Reactie gewijzigd door asset185 op 26 februari 2026 14:03]

Reageer
joassens @Nico Klus26 februari 2026 13:27
Ik zou zeggen, als je de voordeur op slot doet, maar de achterdeur wagenwijd open laat, dan zal de verzekering ook niet willen uitkeren.
Reageer
mash_man02 @joassens26 februari 2026 13:43
Dan zal er wel iets gestolen moeten worden, anders hoef je niets te claimen bij je verzekering.

En is het dan zo dat diegene die naar binnen gewandeld is en iets van jou meegnomen heeft gevrijwaard is van alle blaam want dat is wat deze gasten zeggen. Wij stelen, maar als het lukt is het jouw schuld, maakt niet uit hoe.

Natuurlijk is er een verantwoordelijkheid, maar er is in beide gevallen een heldere grens overschreden, en dan is alleen de bestolene aan te spreken is nooit het volledige verhaal.
Reageer
Aldy @joassens26 februari 2026 16:58
Dit gaat niet over een verzekering, want zelfs als er niets gestolen is, dan is het binnengaan van een woning zonder uitnodiging, strafbaar. Als er een heterdaadje optreedt, dan is er niets gestolen, maar de insluiper wordt wel vervolgd.
Neemt niet weg dat als je niet alle deuren sluit, dat je wel oerdom bent en het dievengilde uitnodigt. En je bent ook verantwoordelijk dat het zo makkelijk is gegaan. En dit schetst ook het probleem van de hack bij Odido. Ze hebben niet alle deuren goed gesloten, maar de dieven hadden niet mogen binnenkomen. Ja, Odido is volledig verantwoordelijk voor de gestolen data, want ze hebben er niet alles aan gedaan om de hackers buiten de deur te houden. Maar dit gaat dus over verantwoordelijkheid.
Reageer
Chorro @Nico Klus26 februari 2026 13:28
De crux zit 'm als je het mij vraagt in het feit dat er naar verluid data tussenzit van personen die al JAREN geen enkele relatie tot Orange/T-Mobile/Odido hebben gehad. Dan ben je als Odido zijnde gewoon compleet malafide als het ook nog eens zó makkelijk is om zo'n extreme set aan diverse type data van klanten te exporteren door onbevoegden.

Ook hun hele attitude in de mail (die ik overigens rond 20:00 uur ontving en het dus in het nieuws als eerste moest vernemen) die ze gestuurd hebben zint mij totaal niet.

Nee; de inbraak zelf zijn zij niet tot nauwelijks verantwoordelijk voor. Wat er gestolen is en hoe zij hierop acteren is echt om te janken en kan Odido niet erg genoeg voor gestraft worden als je het mij vraagt.
Reageer
iGeoffrey @Nico Klus26 februari 2026 13:29
Dat is zeker het uitgangspunt, maar helaas werkt dat niet zo.
De gemiddelde verzekeraar wil niet voor niets dat je alles op slot zet wat op slot kan.

Als je de voordeur open laat staan en vervolgens je TV weg is zal je verzekeraar ook zeggen. Eigen schuld.
Reageer
Dream_ON @iGeoffrey26 februari 2026 16:51
Dat is de verzekeringskant. Degene die je TV heeft meegenomen is nog steeds strafbaar en een dief.
Reageer
iGeoffrey @Dream_ON26 februari 2026 17:44
Het gaat erom dat je zelf ook verantwoordelijk bent en blijft om de boel op slot te zetten en de beveiliging op orde te hebben. En vooral de mens alert moet houden die toegang hebben tot alles achter het slot.

Uiteraard, de dief moet met z'n tegels overal vanaf blijven, maar zelf moet je zorgen dat losse tengels er toch niet bij kunnen.
Als je in dat laatste te laks bent moet je ook accepteren dat er gevolgen zijn.

Het is goed dat het OM zich met een onderzoek richt op de criminelen, maar de AP is zelf ook een onderzoek gestart naar Odido, dat is niet voor niets. En Odido heeft eerder al een boete van ik meen rond de 1,5 miljoen gehad, omdat een deel van hun beveiliging niet op orde was m.b.t. hun aftapsysteem.
Reageer
Dream_ON @iGeoffrey26 februari 2026 17:47
Eens dat er ook naar Odido een ondezoek wordt gedaan en mogelijk gestraft wordt, maar dat staat los van de diefstal van data.

Vraag me af waarom er al niet eerder een audit is geweest bij odido op dit punt, dan was dit heus wel naar boven gekomen. Of hebben ze het genegeerd? Onderzoek is ook beetje kalf en put nu.
Reageer
mrtak @Nico Klus26 februari 2026 13:28
Odido heeft al een paar keer het keurmerk 'Onveilig wonen' gekregen van de politie.

Je huis of fiets goed op slot doen is een vereiste. Meer kun je niet doen. Minder wel.
Reageer
Alex Boom @Nico Klus26 februari 2026 13:33
Juist, en door te betalen geef je ze meer geld om het daarna bij iemand anders ook weer te doen. Ik zeg opsporen en levenslang opsluiten, ze hebben geen idee wat andere criminelen met deze info bij zoveel mensen aan ellende kunnen veroorzaken
Reageer
KeiFront @Nico Klus26 februari 2026 13:47
Nee het uitgangspunt is dat bedrijven correct omgaan met privacy gevoelige data en hun security op orde hebben.
Reageer
Guincho @Nico Klus26 februari 2026 17:34
Je moet met tengels van andermans spullen afblijven zeker waar!

Maar als je spullen van iemand leent, moet je daar ook voorzichtig en verantwoordelijk mee omgaan! Als je een laptop of boek van een vriend leent bijvoorbeeld laat je dat toch ook niet zomaar in het openbaar liggen terwijl je even naar de wc loopt ofzo (misschien niet het beste metafoor, maar je snapt wat ik bedoel).

Dat dit erg foute criminelen zijn, haalt niet weg dat Odido hier ook erg fout zit. In mijn ogen zijn beide crimineel bezig.
Reageer
bzzzt @dbs126 februari 2026 14:15
En ze zouden gewoon moeten hebben betaald.
En dan hebben de hackers geld nodig en dreigen nog een keer. Nu 'maar' 2 euro per klant. En dan nog een keer. Er is geen enkele manier waarop je zekerheid krijgt dat het dan klaar is. Er blijft altijd een enorm risico dat de data alsnog een keer op straat belandt.
Reageer
dbs1 @bzzzt26 februari 2026 16:05
Wat een onzin. Dan hebben die gasten geen enkele poot meer om op te staan.
Reageer
bzzzt @dbs126 februari 2026 16:12
Waarom onzin? Welke garantie biedt zo'n hackers groep dat ze de data ook echt verwijderen? Of sowieso niet al verder gelekt hebben. Het kan ook best gebeuren dat iemand in zo'n groep er met de data vandoor gaat, nadeel van dergelijke losse criminele verbanden. Die gasten hebben echt niet allemaal netjes hun erewoord gegeven en een VOG ingeleverd of zo...
Reageer
Isegrimm @dbs126 februari 2026 16:23
Je post heeft een hoog rel-gehalte.
  • Odido heeft fouten gemaakt. Dat daardoor de hackers geen blaam zouden treffen voor hun daad is een onjuiste aanname.
  • Delen van de dataset op die manier is illegaal
  • De illegaliteit van een bepaalde handeling achterlijk vinden, is stemmingmakerij.
Reageer
Aldy @dbs126 februari 2026 17:01
Claimen zonder schade wordt helaas voor jou niet toegekend. Zo werkt het dus niet.
Reageer
WillC @dbs126 februari 2026 17:05
ik denk dat er maar weinig te vinden valt in de minder dan 1% gereleasde portie aan informatie ben ik bang., ik denk dat het meer van een openbare waarschuwing is naar Odido dat ze geen grapje maken over het in bezit zijn van de data.
Reageer
Ypho @dbs126 februari 2026 13:49
Iedereen die de dataset wilt inzien, DM mij maar even. Ik mag de onion link waarschijnlijk niet delen hier. Wat eigenlijk ook achterlijk is, maar goed.
De dataset downloaden is illegaal (zie reactie hierboven van Arnoud), het delen ervan zal in het verlengde ervan ook strafbaar zijn.
Reageer
Ypho @dbs126 februari 2026 16:15
Noem mijn reactie idioot, maar ik heb de regels/wetgeving niet verzonnen.

Overigens benoem ik heel specifiek downloaden en het delen ervan. Niet over het inkijken (op wat voor manier dan ook), want hoe dat zit weet ik niet.
Reageer
Aldy @dbs126 februari 2026 17:06
Heb je geen bericht gekregen van Odido dat jouw gegevens gehackt zijn? Zo ja, dan is de kans 1:6 dat je gegevens ertussen staan en morgen 1:3. En als je gegevens op het darkweb staan, wat heb je aan die wijsheid? Je kunt er helemaal niets mee.
Reageer
iAR @CelisC26 februari 2026 13:02
Het is de omgekeerde wereld. Maar goed, we hebben het hier over criminelen. Die handelen niet vanuit "onze" richtlijnen.

Odido had laatst ook niets meer op de website staan rond dit gebeuren. Ik had soms wel eens gewild dat ik zo makkelijk van dingen af kwam. Stel je voor dat je op je werk kunt zeggen: ik heb mijn werk af en ik heb dit heel goed gedaan, mijn focus ligt bij het blij maken van mijn werkgever. En dan heb je in werkelijkheid niets gedaan en ga je dat ook niet doen.
Reageer
HoppyF @CelisC26 februari 2026 19:56
Natuurlijk zijn de hackers strafbaar maar Odido is zeker wel verantwoordelijk voor wat er gebeurd is.
Dat maken de hackers pijnlijk duidelijk door de data zo te presenteren.
Ze bluffen ook niet maar hebben werkelijk de data in handen.
Het gaat de hackers om geld, maar 1 miljoen is t.o.v. wat ze buit hebben gemaakt een schijntje.
De financiële schade voor Odido zal vele malen groter zijn, zeker wel tientallen miljoenen Euro’s
Behalve imago verlies zullen huidige Odido klanten zo snel mogelijk willen overstappen.
Dat kost ze dus ook nog eens geld als gevolg van deze hack.
Ik ben oud klant dus was al weg maar anders zou ik per direct opzeggen.
Reageer
reikz @CelisC26 februari 2026 15:01
Oh, arme multi biljoen bedrijf /s. Odido is verantwoordelijk, Het is geen gratis service wat ze bieden, als het niet deze groep was, dan was het een ander groep hackers geweest.
Reageer
Marty007 @CelisC26 februari 2026 15:17
Laat odido dan alle klanten in ieder geval een nieuw paspoort of id bewijs vergoeden, maar dat doen ze ook niet.
Odido wil sowieso niet betalen of het nu de hackers of hun klanten zijn, zal hun een zorg zijn, jammer joh, maar odido blijft maar concurrenten overnemen, het is een zooitje, dat blijkt nu wel.
Ook data die ze niet mochten opslaan of data die al lang verwijderd had moeten worden.

Ook de diensten zijn al gestript ondertussen, waar ik eerder via tweak een mooie gb lijn up en down had, zit je met odido op een glasvezel vpn, je deelt dus uiteindelijk nog de verbinding die die router heeft, en dus geen eigen lijn zoals bij tweak was.

Ik hoop niet dat odido hier zomaar mee weg komt
Reageer
Anonymoussaurus 26 februari 2026 12:00
@TijsZonderH Odido heeft zojuist een update geplaatst op hun website: https://www.odido.nl/veiligheid
Onze focus ligt altijd bij onze klanten, en dat blijft zo. Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren. We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen.

[Reactie gewijzigd door Anonymoussaurus op 26 februari 2026 12:00]

Reageer
Genosha @Anonymoussaurus26 februari 2026 13:22
Als Odido vanaf het begin eerlijk en duidelijk was geweest welke en hoeveel informatie er gestolen was dan had ik ze het voordeel van de twijfel nog kunnen geven. Maar er is veel meer buitgemaakt dan Odido in eerste instantie melde. Vervolgens was de reactie van Odido dat klanten een gratis veiligheidspakket kregen en geen compensatie.

Wat een pauperfirma.
Reageer
iGeoffrey @Genosha26 februari 2026 13:45
Ik had ze aan de lijn voor zo'n voucher code. Puur, omdat ik wilde uitzoeken hoe dit proces te werk ging.
De code ook ontvangen uiteindelijk, maar het bijzonder eraan is. Ik moest nu extra vragen beantwoorden om aan te tonen dat ik IK ben. Allemaal antwoorden die "gewoon" te vinden zijn als je momenteel in deze dataset zit die uitgelekt is.
Dus naam, adres, postcode, e-mailadres, laatste 4 cijfers van je de IBAN en installatiedatum van mijn Odido Thuis verbinding.

Dit schiet dus niet op.

Nou komt het mooiste. Aan het eind van het gesprek was er nog de durf om mij te vragen om mijn telefoonnummer op de marketing en promolijst te zetten om te kunnen bellen als er acties zijn.
Ik vrees dat we voorlopig sowieso kunnen lastiggevallen worden ;-)
Reageer
Genosha @iGeoffrey26 februari 2026 14:52
Die jongens en meisjes in het call center die gewoon hun draaiboek moeten doorlopen en hun targets moeten halen is natuurlijk weinig te verwijten. Ze moeten ergens in het gesprek een sales moment plakken wat natuurlijk niet te doen is nu.

Wel schandalig dat je dus moet bewijzen dat jij jij bent met gelekte data. Ze hadden ondertussen wel die half miljoen brieven kunnen versturen met een unieke code erin die gebruikt kan worden voor verificatie. Maar laksheid is het eerste wat bij mij op komt met Odido.
Reageer
iGeoffrey @Genosha26 februari 2026 17:35
Eens hoor, maar die jongens en meisjes hebben ook leidinggevende met nog wat lagen erboven. Ergens zou iemand kunnen bedenken dat het "voorlopig" even niet handig is om op deze manier commercieel bezig te zijn. Maar goed, áls ze zou makkelijk zouden denken...

Dan maak het ik het bruggetje...

Dan zouden ze inderdaad ook bedacht kunnen hebben zo'n unieke code te versturen.

Want, nu is het zo dat ik extra antwoorden moest geven, waarvan de antwoorden ook wel ergens te vinden is in de hoeveelheid data.
Reageer
Guincho @Genosha26 februari 2026 17:43
En dat deelden ze niet eens in berichten naar klanten. Nee ze zetten het op de website, niet eens home page, en laten het nieuws dit maar naar buiten brengen. Vind ik erg kwalijk.
Reageer
The Zep Man
@Anonymoussaurus26 februari 2026 12:32
Onze focus ligt altijd bij onze klanten, en dat blijft zo.
(...)
We zetten ons onverminderd in om onze klanten en onze medewerkers op de best mogelijke manier te ondersteunen en te beschermen.
Leuke marketingspeak. Als dat zo was, dan kon men niet met zoveel records aan de haal gaan.

[Reactie gewijzigd door The Zep Man op 26 februari 2026 12:33]

Reageer
Anonymoussaurus @The Zep Man26 februari 2026 12:33
En ook: als dat zo was, hadden ze hun klanten netjes ingelicht over deze hele heisa, ook ex-klanten van jaren terug.
Reageer
The Zep Man
@Anonymoussaurus26 februari 2026 12:34
Ze geven nergens aan dat ze zich inzetten voor hun ex-klanten. :|
Reageer
Anonymoussaurus @The Zep Man26 februari 2026 12:35
Bestaande klanten hebben ook geen mail gekregen wat ik heb begrepen uit reacties onder de artikelen.
Reageer
Sam Barendsma @Anonymoussaurus26 februari 2026 12:49
ik heb op 12 feb een nette mail ontvangen over alles wat er gelekt is en wat je kan doen om te voorkomen dat je benadert wordt door scammers.

het was natuurlijk gewoon een zakelijke mail zonder veel inhoud het blijft immers een groot it bedrijf maar de mails zijn zeker verzonden naar actieve klanten
Reageer
Anonymoussaurus @Sam Barendsma26 februari 2026 12:55
@Styreta I stand corrected, then. Maar wat was er dan precies loos? Er was namelijk veel kritiek over de manier waarop Odido dit communiceerde (of naja, amper communiceerde...)
Reageer
Styreta @Anonymoussaurus26 februari 2026 13:02
Ik denk dat het euvel is dat het lang duurt voordat je vanuit Odido iets hoort en de communicatie nogal onvolledig is. De pers is elke keer sneller en vollediger met hun informatie.
Reageer
Thecis @Styreta26 februari 2026 21:35
Dat behoort niet het probleem van de klant te zijn. Veel informatie moet toch echt vanuit Odido zelf komen. Hoe bot het ook klinkt, maar dan moeten ze
a) vollediger zijn
b) sneller zijn / meer mensen inzetten / goede compensaties voor de werknemers geven die hier dan in hun vrije tijd mee bezig zijn.

Ongetwijfeld is het al alle hens aan dek, maar m.i. pakken ze het niet goed op. Dat had en kan echt een stuk beter.
Reageer
kabelmannetje @Sam Barendsma26 februari 2026 13:17
Meer dan "je gegevens zijn MOGELIJK gelekt", heb ik nooit ontvangen. Eén nikszeggend mailtje. Wat een dramatisch slechte communicatie.
Reageer
Styreta @Anonymoussaurus26 februari 2026 12:46
heb ik en vele wel hoor. En ook ex klanten, zo kwam heel veel geneuzel juist aan het licht, dat mensen die al jaren geen klant meer waren ook een mailtje kregen met "uw data is gelekt".

Niet dat je ook maar iets aan dat mailtje had....
Reageer
kdemetter @The Zep Man26 februari 2026 12:56
Klopt, maar het zou nog erger zijn indien ze die criminelen betaald hadden.
Dus dat laatste was op zich een juiste beslissing.
Reageer
William_H @kdemetter26 februari 2026 14:00
Dat kun je je afvragen. Niet dat ik het aanmoedig, maar bij de hack van Pornhub zijn uiteindelijk geen gegevens op straat terecht gekomen. Toch opmerkelijk dat zo'n bedrijf meer bereid is te doen voor z'n "klanten" dan een "respectable" bedrijf als Odido.
Reageer
ict @The Zep Man26 februari 2026 13:36
klinkt ook als meineed als ze dit bij een rechtszaak (die ongetwijfeld gaat komen) met een strak gezicht herhalen.
Reageer
AuteurTijsZonderH Nieuwscoördinator @Anonymoussaurus26 februari 2026 12:09
Staat erbij!
Reageer
Jaldea @Anonymoussaurus26 februari 2026 12:56
Oftewel, we hebben geprobeerd het onder de mat te vegen, maar zijn niet slim genoeg en nu de sjaak, hierbij onze excuses.
Reageer
iAR @Anonymoussaurus26 februari 2026 13:03
Treurig dat je dat op de homepage niet van ziet. En dat je een random arbitrair zelfstandig naamwoord achter een / moet plaatsen...
Reageer
olafmol @Anonymoussaurus26 februari 2026 13:04
Cyber! Rian van Rijbroek kom er maar in! ;)
Reageer
LentilGod @Anonymoussaurus26 februari 2026 21:33
Nvm

[Reactie gewijzigd door LentilGod op 26 februari 2026 21:34]

Reageer
Toonen1988 26 februari 2026 12:02
Ze zeggen dat zij niet verantwoordelijk zijn en dat de schuld bij Odido ligt. Maar zij zijn wel degene die de gegevens hebben gestolen, online hebben gezet en Odido proberen te chanteren. Daarnaast publiceren ze zonder enige terughoudendheid privégegevens van onschuldige mensen. Als deze groep werkelijk geen schuldige wilde zijn of geen deel van het probleem wilde zijn, hadden ze Odido kunnen informeren zonder te chanteren of persoonlijke gegevens openbaar te maken.

De klant is de enige onschuldige en die worden het hardst getroffen.
Reageer
CriticalHit_NL @Toonen198826 februari 2026 12:09
Het is de omgekeerde wereld, de bankrover uithangen en dan zeggen dat ze hun geld moeten afstaan om de spullen terug te krijgen. :+

Niks anders dan financieel gewin als doel.
Reageer
Erebos @CriticalHit_NL26 februari 2026 13:44
Primair is Shinyhunters hier natuurlijk fout maar ook Odido heeft hele grote steken laten vallen die ze erg goedkoop hadden kunnen opvangen door wel te betalen. Als ik mijn fiets niet op slot zet dan roept ook iedereen dat het mijn eigen schuld is dat die gejat is en zegt de verzekering ook zoek het maar uit. Odido had "de fiets" terug kunnen kopen voor een schijntje van de waarde maar zegt: ach ik gebruikte hem toch niet dus laat iemand anders er gelukkig mee worden.

Als shinyhunters het losgeld had ontvangen en toch data gepubliceerd dan hadden ze de volgende keer zeker geen losgeld ontvangen dus ik verwacht dat ze zich wel aan de deal hadden gehouden.
Reageer
CriticalHit_NL @Erebos26 februari 2026 13:55
Dat Odido hier met zijn werkwijze fout zit staat buiten kijf, maar er is ook zoiets principieels dat je niet aan andermans spullen zit of inbreekt als de deur niet op slot zit of het raam open staat. Helaas werkt het internet niet zo met deze principes en met name omdat men niet ter plaatse is van het delict.

Maar men is hier principieel tegen het belonen van chantage, dat kan ik best begrijpen, anders creëer je een drijfveer om dit soort criminaliteit nog verder te laten groeien omdat het toch makkelijk geld is, mits je de kennis hebt.

Nu snap ik je beredenering ook, maar niemand voorkomt dat ze gewoon onder een andere naam doorgaan zonder dat men weet dat het onder een andere naam opereert waardoor ze alsnog losgeld gaan ontvangen.

Het gevoel van onschendbaarheid op het internet is het grootste gevaar wat men makkelijker tot dit soort acties laat overgaan dan een bank te beroven, deels omdat het succesvoller is en je niet fysiek direct in gevaar bent en als je ook nog eens in een land als Rusland woont die het niet boeit wat men elders uitspookt. :+

Maar laat dit een wake-up call zijn voor andere bedrijven, want er zullen er vast genoeg zijn die dringend veranderingen moeten doorbrengen om dit te voorkomen en anders kopje onder gaan als ze slachtoffer worden want alles wat aan dit schimmige internet vasthangt is een uithangbord als uitnodiging voor criminaliteit.
Reageer
Erebos @CriticalHit_NL26 februari 2026 14:43
Laat ik het dan zo zeggen: Als Odido betaald had en verder net zo veel informatie zou delen met haar klanten als dat ze nu doen had niemand geweten van de hack (even uitgaande van mijn eerdere stelling dat Shinyhunters woord zou houden). Wat mij betreft mogen ze nu een boete krijgen voor het behouden van data die ze niet hadden mogen bewaren, die een veelvoud is van wat ze hadden kunnen betalen aan SH.


Het is makkelijk om principieel zijn als het je niets kost ( of in dit geval minder dan in het belang van je klanten te opereren) Als het Odido werkelijk om principe gaat dan bieden ze iedere klant vervanging van ID en/of RBW waarvan de nummers ge lekt zijn maar die verantwoordelijkheid nemen ze ook niet dus ik geloof niet zo veel meer van de goede bedoelingen van Odido
Reageer
Mathijs Kok @Erebos26 februari 2026 15:00
Primair is Shinyhunters hier natuurlijk fout maar ook Odido heeft hele grote steken laten vallen
Daar weten we gewoon nog niets van. Welke fouten heb jij het over? Als het account van een databeheerder is gehackt, ligt alles open. Dan is er amper een methode om het scrapen van de HELE dataset te verhinderen.

De haat tegenover ODIDO is diep maar amper gebaseerd op feiten. Gelukkig zie ik nu dat user moderatie daar tegen in gaat.
Reageer
Erebos @Mathijs Kok26 februari 2026 15:15
Data bewaren van klanten die al meer dan een eventuele bewaar plicht weg zijn lijkt mij een heel mooi voorbeeld.


Al is het bewaren van persoonlijke ID gegevens zonder dat daar een juridische reden voor is nog veel erger.

En, nee voor een SIM only abonnement hoeft dat echt niet.
Reageer
Mizgala28 @Toonen198826 februari 2026 12:17
Het is inderdaad Odido hun schuld niet dat deze groep besloten heeft gegevens van hun te stelen.

Het is echter wel Odido hun schuld dat de beveiliging zo extreem laks was dat er zoveel gesloten is.

En leven kennende gaat Odido hier niks van leren, en ze zijn dan niet de eerste of laatste bedrijf die dat doet.
Reageer
Mathijs Kok @Mizgala2826 februari 2026 15:00
Het is echter wel Odido hun schuld dat de beveiliging zo extreem laks was dat er zoveel gesloten is.
Vertel, blijkbaar weet jij wat er gebeurt is!
Reageer
Casejunky @Toonen198826 februari 2026 12:05
Ze zeggen dat zij niet verantwoordelijk zijn en dat de schuld bij Odido ligt. Maar zij zijn wel degene die de gegevens hebben gestolen, online hebben gezet en Odido proberen te chanteren. Daarnaast publiceren ze zonder enige terughoudendheid privégegevens van onschuldige mensen. Als deze groep werkelijk geen schuldige wilde zijn of geen deel van het probleem wilde zijn, hadden ze Odido kunnen informeren zonder te chanteren of persoonlijke gegevens openbaar te maken.

De klant is de enige onschuldige en die worden het hardst getroffen.
Ja ze hebben wel een beetje White Knight syndroom hoor, net doen alsof ze het beste voorhebben met de getroffenen terwijl ze zelf met hun vuile fikken aan spullen hebben gezeten waar ze niet aan horen te zitten.

Als je niks fout doet hoef je je ook niet te verschuilen achter de fouten van een ander.
Reageer
ict @Toonen198826 februari 2026 13:39
als we kijken naar alle lijntjes waar odido buiten heeft gekleurd zie ik ze eerder als een groep white hat hackers die met een fooi van een miljoen beloond hadden kunnen worden als bug bounty program om deze grove nalatigheid van odido aan de kaak de stellen en te patchen
Reageer
FairPCsPlease @Toonen198826 februari 2026 15:58
Precies. "Odido heeft de verkeerde keuze gemaakt, op iedere mogelijke manier", zeggen de criminelen. Die criminelen hebben zelf de verkeerde keuze gemaakt, door op deze manier geld te willen 'verdienen'. Ik zet hier verdienen tussen haakjes, want ze hadden de keuze kunnen maken om geld te verdienen, maar ze kozen ervoor om data te roven en als ze daar geld voor krijgen is het geroofd geld.

En ik als klant van Ben, waarvan ook gegevens gestolen zijn, ben het eens met de mensen die klant zijn van Odido en hier stellen dat je never nooit moet betalen voor afpersing, want zo hou je het verdienmodel in stand en beloon je de criminelen voor hun criminele gedrag.
Reageer
0_Cypher 26 februari 2026 15:39
Uiteraard zijn dit criminelen. Maar denk dat Odido's toon als zijnde we doen goed voor ons klanten ook de plank misslaat in het niet betalen.

Ik weet vrijwel zeker dat als er gevoelige interne data uit gelekt was (interne documenten welke ze liever niet zichtbaar hebben voor het publiek) dat ze een andere afweging zouden hebben gemaakt. Maar deze gelekte klant gegevens kost ze niet direct iets, dat is eigenlijk het probleem van de klanten en niet van hen.

Buiten de slechte PR, maar die hebben ze toch al. Denk dat dat ze financieel een afweging hebben gemaakt wat het ze gaat kosten als ze niet betalen aan verloren klanten, en wat het ze kost als ze wel betalen. Ik betwijfel of het belang van hun klanten hier erg zwaar in mee weegt.
Reageer
man-o-script @0_Cypher26 februari 2026 20:01
Gezien wélke data er gelekt is, zie de velden in de bovenste comment, is het bedrijfs- en concurrentietechnisch ook verre van slim dit te laten lekken. Concurrenten (lees KPN/Vodafone) maar ook telecomcowboys hebben nu inzicht in de complete klantendatabase. Niet alleen de klantdata zelf, maar ook hoe die bij Odido zijn gekomen (saleskanaal, dealers, partners), demografie, etc. Nu gaan de grote partijen hier wellicht alleen strategisch naar kijken en wellicht acteren, maar er zijn zat cowboys die hier minder fraaie dingen mee gaan doen. Dus los van klanten die zelf vertrekken, gaat de markt voor Odido ook echt een stuk complexer worden.
Reageer
urandom092645 @0_Cypher27 februari 2026 10:31
Dat ze er voor hebben gekozen om slachtoffers 2 jaar Norton te geven is nog tot daar aan toe, maar niet betalen is onexcuseerbaar.

Ja, je houdt het verdienmodel in stand. Maar het verdienmodel kan nooit bestaan als bedrijven hun zooi beter op orde hebben. Odido heeft ook geen bug bounty program (voor zover ik kan vinden) Dit, samen met de al bekende informatie, toont toch echt wel aan dat ze niets geven als het om data- en klantveiligheid gaat.

Ik sta eventueel wel open voor wetgeving tegen het uitbetalen van losgeld en chantage, met gegarandeerde celstraf én boete. Dat maakt het hacken van bedrijven die in Nederland hun werkzaamheden uitvoeren toch een stuk minder interessant. Hierin moet wel een afweging gemaakt worden, want als bedrijven geen losgeld mogen betalen hebben zij nog minder belang bij het verhogen van de veiligheid.

Zowiezo mag er een boete betaalt worden aan getroffen slachtoffers, ook al is daar geen "aantoonbare" schade voor.
"Oh maar dan gaan de kosten voor het bedrijf/de eindklant omhoog" Ja en? Dat heet ondernemersrisico en m a r k t w e r k i n g, als een bedrijf zijn zooi niet goed op orde heeft hoor het niet te bestaan.
Reageer
Mbb15 26 februari 2026 11:44
Is er ergens te achterhalen welke gegevens van jou zijn gelekt? Dan weet ik welke maatregelen genomen kunnen worden...

Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe. Of het verstandig is om hackers te betalen is een tweede maar als je moet kiezen tussen 2 kwaden weet ik het antwoord wel.
Reageer
Silentek @Mbb1526 februari 2026 11:46
RTL had iets meer details erbij staan:

"De gestolen gegevens bevatten informatie uit het klantensysteem van Odido. Het gaat om de gegevens van zo'n 680.000 personen en 320.000 bedrijven. In de gelekte data zijn onder andere te vinden:
  • Volledige namen
  • Woonadressen
  • Telefoonnummers
  • E-mailadressen
  • IBAN's
  • Aantekeningen van klantenservice
  • Wie er aanmaningen of sommaties krijgt 
    "
bron: https://www.rtl.nl/nieuws/binnenland/artikel/5571885/odido-data-dark-web-oud-klanten-shinyhunters
Reageer
Bekers @Silentek26 februari 2026 12:01
Ik ben wel benieuwd naar de daadwerkelijke gegevens die (mogelijk) van mij gelekt zijn. (dus niet de categorie) Ik ben al lang klant bij Ben/T-Mobile/Odido en ik heb bijvoorbeeld geen idee welk documentnummer ze van mijn ID hebben liggen. Dus ik weet ook niet of het zin heeft een nieuwe te halen, want misschien is het wel al een oud nummer... (en of het überhaupt zin heeft een nieuwe te halen?)

Trouwens, in de mail die ik kreeg vanuit Odido hierover stond trouwens expliciet:
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
  • ...
  • etc.
Maar ik ben dus toch benieuwd welk nummer gelekt is (adres/e-mail/IBAN/etc. is natuurlijk duidelijk, maar gegevens van m'n ID weet ik dus niet.

En ik denk dat ook @Mbb15 dat bedoelt.
Reageer
gitaarwerk @Bekers26 februari 2026 12:09
Ga er vanuit dat alles gelekt is. Hoewel ik het zwaar klote vind, is het ook zo dat je als Odido beter niet kunt betalen. De imagoschade is meer dan ze lief is al. Als ze wel zouden betalen, dan is het alsnog mogelijk dat de gegevens uitlekken, en zijn we ook nog eens een provider kwijt. Ik wil nog steeds liever niet naar een andere provider als KPN die me persoonlijk hebben genaaid. Als de gegevens bekend zijn, dan moeten we hier wat mee... Gebeurt het hier niet nu, dan later ergens anders. Groot datalek zorgt voor de nodige verandering, ipv vele kleintjes (hoop ik). Ik hoop dat we hiervan kunnen leren. En met "we" bedoel ik niet wij als gebruikers, maar vooral grote bedrijven en overheden om na te denken over een beter systeem.

(En ja, hoop is uitgestelde teleurstelling :P )
Reageer
SkillZ4LollZ V2 @gitaarwerk26 februari 2026 12:11
Nobele instelling, maar ik denk dat jij een van de enige bent die de huidige situatie voor lief neemt. En dat het gebeurt is een ding an sich, maar de response van Odido alleen al zou bij "not done" zijn.
Reageer
gitaarwerk @SkillZ4LollZ V226 februari 2026 12:38
Ik snap je reactie. Ik vind, net als de reageerders onder jouw reactie dat Odido niet moet betalen. Ik ben misschien wat lief omtrend de rest. Odido hun reactie verder naar klanten toe is wat mij betreft ook niet voldoende. Ik hoef zeker geen firewalls en antivirus, gratis gegeven, die wellicht meer tracking in zich hebben dan ik zelf al tegen houd... ;). Nee, dat is niet voldoende. Ik ben echt een voorvechter van privacy en in dagelijks werk hier veel mee bezig. Hoe we in algemeenheid werken is ondermaats, ver ondermaats... maar dit is niet alleen issue bij Odido, maar overal. Zelfs als er wel focus op is, is er nog zoveel te doen.

Ik vind dat we als maatschappij veel te veel willen vastleggen en meten en diigtaal willen doen, omdat het handiger/goedkoper is. In geval van het laatste, betekent het ook vaak dat er minder mensen meer beslissingsbevoegdheid hebben en minder controles (of niet toereikend). Maar Odido alleen gaat dat niet oplossen. Stel dat dit zou gebeuren bij de overheid. Zeg... DigiD heeft teveel informatie, en dat gaat wellicht zo allemaal naar de USA. Dan zijn we ook klaar. Ik weet niet wat ik erger vind, eigenlijk....

Er is een oplossing tegen dit soort issues, dat is gewoon niet je gegevens achterlaten. Maar dat wordt een lastig bestaan... de eisen van diensten en overheden zijn te hoog... voor naar de UK gaan is het invullen van de ETA is ook ingrijpend qua privacy. Ik vind het echt niet normaal hoeveel daar gevraagd word, en maar niet te spreken over de kwaliteit van de software... Enige optie is niet meer naar de UK te gaan.

Je bent gewoon de klos als burger; en we laten het ook gebeuren door allemaal gewoon door te gaan met mobiele telefoons blijven kopen, meer willen voor minder. En dan maakt het ook alleen maar aannemelijker dat we alles zullen accepteren. Bankieren zonder smartphone is bijna onmogelijk gemaakt. Diezelfde telefoon die automatisch facebook lite bijvoorbeeld installeert en activeert (en afluisters). Nog maar niet te spreken wat andere mensen meebrengen.

Sorry voor mijn spreekbeurt.. ik ben niet heel optimistisch,... maar ik hoop op verandering doort dit soort massale lekken.
Reageer
aaten @SkillZ4LollZ V226 februari 2026 12:19
Ik ben ook odido klant voor zowel mobiel als internet/tv dus mag ook een duit in het zakje doen.

Nooit maar dan ook nooit betalen. Als iedereen zich aan die standaard houdt dan is het namelijk snel afgelopen met deze ongein. Je weet nooit of de data achteraf alsnog gelekt gaat worden en je betaalt om het systeem in stand te houden. De reactie van Odido is wat mij betreft de enige juiste en zou door iedereen gehanteerd moeten worden.
Reageer
Rhinosaur @aaten26 februari 2026 12:23
Je bent echt ongelofelijk naïef als je denkt dat niet betalen de hackers gaat stoppen. Ze hadden gewoon verlies moeten nemen hier.
Reageer
aaten @Rhinosaur26 februari 2026 12:33
Misschien mijn tekst nog eens doorlezen? Je lijkt het punt namelijk niet te begrijpen.

Niemand, maar dan ook echt NIEMAND zou ooit moeten betalen. Dat zou de standaard moeten zijn.

Je mag best werk voor me doen, dan ga jij een bedrag eisen en ik betaal niet. Dan ga je werk voor een ander doen, jij eist weer een bedrag en diegene betaalt niet. Vervolgens doe je weer werk voor iemand en gaat een bedrag eisen en diegene betaalt ook niet.
Ben je dan echt zo dom om een vierde keer weer werk te gaan doen terwijl je weet dat je niet betaalt gaat worden?
Reageer
Nickstyle @aaten26 februari 2026 12:40
Die ongein zal nooit stoppen. Die data blijft geld waard, nu gaan andere dat miljoen wel ophalen in via phishing en identiteitsfraude. Criminelen passen zich aan, nu doet een andere partij die fraude als we nooit betalen gaan die 2 partijen samenwerken.
Reageer
aaten @Nickstyle26 februari 2026 12:42
De grap is dat het dan vele malen minder waard wordt omdat je veel meer werk hebt terwijl de inkomsten in verhouding 0 zijn. Het is vrij naïef om dan te denken dat dingen nooit stoppen.

Beetje hetzelfde als denken dat de V&D nooit zou ophouden met bestaan.
Reageer
Nickstyle @aaten26 februari 2026 12:57
Deels heb je een punt alleen het gebeurt uit lage lonen landen en met phishing en fraude kun je wel meer als een miljoen binnenharken.

Doordat Odido niet betaald en accepteerde dat alles gepubliceerd wordt van 1/3 d Ed bevolking. Voor de fraudeurs heeft een nieuwe hack weinig waarde ze hebben ruim voldoende data om mee te gaan werken. Dat haalt iig de waarde voor de hack fors onderuit, alleen helemaal stoppen zal het nooit denk ik.

Als consument alleen als je bij die 1/3 zit is wel zuur, die groep zit de komen maanden/jaren met de risico’s.
Reageer
Geim @aaten26 februari 2026 14:08
Beetje hetzelfde als denken dat de V&D nooit zou ophouden met bestaan.
Slecht voorbeeld: https://www.vd.nl/ :)
Reageer
i-chat @aaten26 februari 2026 12:55
En dan verkoop je de data aan oplichters die betalen in de regel wat minder maar je gaat er niet van hoeven stoppen met hacken

Juist omdat dit zo goed verdient blijft onze data soms toch min of meer veilig

Een hacker die losgeld eist en het dan toch vrijgeeft is snel zijn gouden bergje keijt dus doorgaans gaat dat wel goed en kennelijk ook verbazend professioneel

Een betere optie zou zijn dat we de impact van dit soort hacks verkleinen

Geen bsn nunner maar een pgp-key om te bewijzen wie je bent een key die ook gewoon weer ingetrokken kan worden na een hack en zo zijn er tientallen maatregelen te bedenken
Reageer
Mathijs Kok @aaten26 februari 2026 15:06
Misschien mijn tekst nog eens doorlezen? Je lijkt het punt namelijk niet te begrijpen.Niemand, maar dan ook echt NIEMAND zou ooit moeten betalen. Dat zou de standaard moeten zijn
We snappen je punt wel, maar het is eenvoudig onzinnig om te denken dat dit ooit gaat gebeuren. Wetten om het betalen van losgeld strafbaar te maken hebben nog nooit gewerkt.

Als ik moet kiezen tussen het failliet gaan van mijn bedrijf of het betalen van geld, dan betaal ik. Net zoals jij dat zou doen.
Reageer
Calypso @Rhinosaur26 februari 2026 12:30
Je bent net zo naief als je denkt dat betalen de hackers gaat stoppen of publicatie gaat voorkomen.

Het verschil? In 1 van de 2 gevallen hou je in elk geval het losgeld.
Reageer
TheBull @Rhinosaur26 februari 2026 12:31
Als je denkt dat betalen de hackers gaat stoppen, dan ben je pas naïef !!!!.
Dan houd je hun verdienmodel in stand.
Goede zaak van Odido om niet te betalen. (Ja, ik ben ook Odido klant ...)
Reageer
tommien @Rhinosaur26 februari 2026 12:31
Ik denk ook niet dat ze zouden stoppen als je wel betaald. Dan kunnen ze namelijk snel geld verdienen. :)
Reageer
kodak
@Rhinosaur26 februari 2026 12:45
Wat is er volgens jou naief aan de stelling? Want het verdienmodel van de criminelen is betaling krijgen door afpersing.

Natuurlijk kun je stellen dat de criminelen ook andere verdienmodellen kunnen toepassen. Maar dat is niet zomaar lucratief genoeg en dus geen zekerheid. Het is eerder naief om te denken dat betalen de criminelen stopt terwijl je er geen enkele zekerheid over hebt. Dat is ook waarom Odido geen verantwoordelijkheid neemt als de gegevens wel misbruikt worden. Het valt niet zomaar te bewijzen dat het toch uit dit lek komt. Hopen dat het niet uit dit lek komt omdat er wel betaling is gedaan is wensdenken om het goed te praten criminelen geld te geven en laten afpersen.
Reageer
hottestbrain @Rhinosaur26 februari 2026 13:22
Dus jij gelooft de afpersers hier op hun blauwe ogen? Ik zou in dat geval anderen niet als naïef wegzetten.
Reageer
nevyn67 @aaten26 februari 2026 12:22
En als Odido gebruiker waarvan ook data zal lekken. Ik ben het ook helemaal mee eens.

NIET BETALEN!
Reageer
Croga @aaten26 februari 2026 14:10
Nooit maar dan ook nooit betalen. Als iedereen zich aan die standaard houdt dan is het namelijk snel afgelopen met deze ongein.
Nope. Losgeld is bijvangst. Ze verkopen deze data aan andere partijen die het gaan gebruiken om de slachtoffers échte schade te berokkenen. Of Odido nou had betaald of niet maakt de hackers echt maar heel weinig uit; het echte geld zit in de data, niet in het losgeld.

Odido heeft gelijk dat ze niet betalen. Maar dat gaat er op geen enkele manier voor zorgen dat dit soort dingen niet meer gebeuren.
Reageer
JizLt82 @aaten26 februari 2026 13:16
Ook van mij is alles gestolen, incl. Documentnummer. En ook ik zeg: nooit betalen!
Behalve aan mij natuurlijk....
Reageer
ict @aaten26 februari 2026 13:54
Maar door deze wanvertoning bied odido nu alle klanten gratis 'digitale bescherming' (wat natuurlijk 100% garantie is dat je niets overkomt /s) nieuws: Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Back on topic, door de wanvertoning van odido hebben ze al betaald d.m.v. damage control in de vorm van een schijnvertoning.

En dat terwijl de oplossing die een stuk meer bescherming voor klanten bood voor het oprapen lag.

O(lie)dido(m)
Reageer
J_van_Ekris @SkillZ4LollZ V226 februari 2026 12:34
Nobele instelling, maar ik denk dat jij een van de enige bent die de huidige situatie voor lief neemt. En dat het gebeurt is een ding an sich, maar de response van Odido alleen al zou bij "not done" zijn.
Hier nog een Odido klant (zelfs 3x). De ellende dat ik nu structureel BKR en bankrekening in de gaten moet houden heb ik toch al. Ik vertrouw die hackers zowieso voor geen centimeter en voor hetzelfde geld zit ik in een "voorproefje" van de dataset. Dus als klant heb ik de pijn al.

Laat Odido dat geld maar uitgeven om mij als klant beter te helpen met schadebeperking (wat mogelijk ook langer houdbaar is dan deze ene hack) dan criminelen te belonen voor hun criminele gedrag.
Reageer
asset185 @gitaarwerk26 februari 2026 12:28
Alleen gaat dit verstrekkende gevolgen hebben.

Het systeem van automatische incasso's werkt niet meer zoals het gewerkt heeft. En de beveiligingsvragen die vaak telefonisch gesteld worden zijn ook waardeloos geworden.

Phising is nog nooit zo makkelijk geweest. Allerlei kleine boefjes kunnen nu grasduinen in gevoelige informatie waar zelfs uit te halen is wie mogelijk kwetsbaar is voor oplichting.
Reageer
J_van_Ekris @asset18526 februari 2026 12:45
Alleen gaat dit verstrekkende gevolgen hebben.
Nee eens. En ik denk eerlijk gezegd dat dat een goede stap is.
Het systeem van automatische incasso's werkt niet meer zoals het gewerkt heeft. En de beveiligingsvragen die vaak telefonisch gesteld worden zijn ook waardeloos geworden.
De huidige systemen zijn naief: als je mijn naam en bankrekeningnummer kent, kun je een incasso starten of bij Zalando dingen op afbetaling kopen. Gewoon absurd dat je met info die plaintext op mijn bankpas staat dit soort bevoegdheden kunt claimen. Bij bedrijven staat het zelfs op het briefpapier. We moeten af van het hebben van specifieke kennis over een persoon automatisch leidt tot bevoegdheden. In deze tijd is dat concept volledig achterhaald.

Dus ja het zuigt enorm dat er veel data op straat ligt. Maar dat is na enkele grote hacks toch al het geval. Maar de wereld waarin authenticatie gebaseerd is op "geheime informatie" is voorbij, omdat dat altijd kan lekken. Hopelijk is dit een wakeup call dat we naar een nieuw wereldbeel toemoeten waar we beter omgaan met toestemming voor riskante handelingen dan vragen hie je kat heet.
Reageer
asset185 @J_van_Ekris26 februari 2026 13:14
Je hebt zeker gelijk. De huidige systemen zijn naief. En werken al langer iet meer.

Eigenlijk is het bijzonder dat nu de gegevens van ruim 6 miljoen Nederlanders op straat liggen er niet per direct door de banken gestopt wordt met het op deze manier afhandelen van transacties. Voordat dat gaat gebeuren zal er nog wel heel wat fraude gepleegd moeten worden.

Maar het is eigenlijk zot hoe makkelijk het geworden is. Vandaag een Tor browser downloaden, even een beetje moeite doen om te zoeken naar het onion adres van deze club. En je kunt vanavond al allerlei criminele activiteiten ontplooien. Zonder enige echte ICT kennis. Cybercriminalitiet is nog nooit zo makkelijk geweest. En sterker nog. Je hoeft niet eens voor deze gegevens te betalen. Je kunt ze zo gratis downloaden. Dus geen gehannes met Bitcoin. Maar alleen even de Tor Browser downloaden en eventjes zoeken naar het onion adres.

Het is toch te idioot voor woorden dat onze digitale infrastructuur qua veiligheid een houwtje touwtje oplossing is waardoor cybercriminaliteit makkelijker geworden is dan fietsendiefstal.

[Reactie gewijzigd door asset185 op 26 februari 2026 13:26]

Reageer
cem. @gitaarwerk26 februari 2026 12:18
Imago van Odido is al beschadigd afgelopen dagen daarom betaalt Odido helemaal niets. Odido heeft schijt aan de klanten, Odido houdt liever miljoenen voor zich zelf dan al het gegevens van klanten op straat komt.
Reageer
divvid @cem.26 februari 2026 12:26
die komen toch wel op straat. rechtstreeks of via de achterdeur. Als klant kan je beter met je portemonnee hierover een mening geven, dat helpt meer
Reageer
ict @divvid26 februari 2026 14:03
Mijn odido internet thuis abonnement gaat pas over een paar weken in, monteur moet nog langskomen. €110 cashback is al binnen. Mobiel abonnement is al ingegaan. iPhone 16 (voor €280 gekocht door korting via odido) ook binnen, dat abonnement loopt nog wel bijna twee jaar maar deze hack/nalatigheid is contractbreuk van odido toch (contract zegt vast wel ergens dat ze mijn gegevens niet op straat gooien)? Ik zou dus als klant zonder boete alles kunnen opzeggen(?)
Reageer
urandom092645 @divvid27 februari 2026 10:35
Zoals hierboven vermeld, het gaat hier om reputatie. En de reputatie, bevestigd door Tweakers, is goed.
Reageer
kw_nl @cem.26 februari 2026 12:30
Je weet toch wel hoe dit werkt? Je hebt 0 garantie dat als je betaalt dat het dan klaar is. De kans dat ze over een half jaar weer geld vragen met het zelfde dreigement is reëel.
Reageer
urandom092645 @kw_nl27 februari 2026 10:34
Het sleutelwoord is hier reputatie. Shinyhunters heeft een goede reputatie en diverse instanties (waaronder Tweakers) hebben dit inmiddels bevestigd.

Als een hackersgroep alsnog data bloot stelt of om meer losgeld vraagt wordt dat algemeen bekend nieuws en zal deze groep nooit meer vertrouwd worden, oftewel al hun klandizie weg.
Reageer
Prince @cem.26 februari 2026 12:32
Het is erg dubbel.

Betalen ze, dan zetten ze deze groep aan om dit vaker te doen bij anderen.

Nu blijkt het toevallig zo te zijn dat Odidoo data bewaarde die ze al hadden moeten weg doen, maar dit wist de groep ook maar pas nadat ze deze data hadden. Ze minimaliseren hun criminele gedrag omdat Odidoo ergens oude gegevens niet opgeruimd hadden.

Niet onderhandelen met criminelen of terroristen is de beste zet. Geen geld betalen, niet toegeven aan dwang of de eis om losgeld te betalen.

Je mag er zeker van zijn dat Odidoo helemaal doorgelicht gaat worden door de juiste instanties en boetes zullen krijgen voor de inbreuken die ze gemaakt hebben. Dit neemt niet weg dat deze hacker-groep crimineel is en zelf ook een correcte straf moeten krijgen voor de inbreuken die zij gemaakt hebben.
Reageer
ict @Prince26 februari 2026 14:15
Niet onderhandelen met criminelen of terroristen is de beste zet. Geen geld betalen, niet toegeven aan dwang of de eis om losgeld te betalen.
Maar de zelfde overheid die dit altijd hoog van de toren blaast doet het zelf wel geregeld.

Google: overheid betaald losgeld terroristen
Je mag er zeker van zijn dat Odidoo helemaal doorgelicht gaat worden door de juiste instanties en boetes zullen krijgen voor de inbreuken die ze gemaakt hebben.
De boetes die de Autoriteit Persoonsgegevens (AP) oplegt zijn doorgaans peanuts en als ze al tot een boete komen is het nog maar de vraag of die in stand wordt gehouden.

nieuws: Raad van State houdt AVG-boete voor DPG in stand, maar verlaagt die met de helft

en vervolgens eindigt het geld van de boetes niet bij gedupeerden maar bij de overheid die vervolgens de AP in de kou laat staan:

nieuws: Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging
Reageer
Thijs_Rallye @cem.26 februari 2026 14:49
Odido heeft schijt aan de klanten
Dat was wel duidelijk als ze zo schofterig omgaan met die gegevens.
Reageer
LightningWave @gitaarwerk26 februari 2026 12:25
Waarom zouden we een provider kwijt raken als ze betalen?
Reageer
66JustMe819 @gitaarwerk26 februari 2026 12:37
Of Odido betaald de hackers of Odido vergoed getroffenen de kosten voor nieuwe identiteitsbewijzen en wat dies meer zij om de gestolen informatie irrelevant te maken. Aangezien Odido geen van beide doet en ook niet van plan lijkt te zijn zijn alle praatjes in de zin van "betalen is contraproductief" excuuspolitiek en iedereen die daar intrapt, mijns inziens, nogal goedgelovig op zijn minst. Als klant betaal je gewoon dubbel, je abonnementskosten en de schade die door deze hack veroorzaakt wordt, als Odido (aandeelhouder) loop je 0 risico.....
Reageer
gitaarwerk @66JustMe81926 februari 2026 12:43
Ik zie nog steeds liever dat Odido niet betaalt aan de hackers. Aan vervanging van identiteitsbewijzen, lijkt mij ook een goed idee.

Als klant betaal je zeker dubbel, en als burger driedubbel. AVG boetes komen ook niet bij ons terecht. En dan niet te spreken over de gemaakte uren om je in te dekken en controles. Maar als consument zijn je uren niets waard.
Reageer
BzR @gitaarwerk26 februari 2026 13:03
Bij je principe blijven is natuurlijk goed maar Odido naait jou nu ook, dan wel niet persoonlijk maar hebben er geen moeite mee om hun ex klanten te naaien door gegevens langer te bewaren als nodig of zoals het naar lijkt, ook gegevens over klanten hun persoonlijke situaties en betaalgedrag en wie zegt dat ze dat niet van jou hebben zonder dat je het weet? Het is een onbetrouwbare club.

Die informatie hebben zij totaal niet nodig voor hun dienstverlening dus eigenlijk zou de ACM nu moeten optreden en Odido keihard moeten aanpakken of zelfs moeten sommeren hun activiteiten in Nederland te stoppen.

Die hack is al heel dom dat met een mooie praatje je blijkbaar heel makkelijk aan gegevens kan komen maar goed dat kan bij andere providers misschien ook wel gebeuren maar informatie bewaren van ex klanten die allang al weg zijn of nog erger, persoonlijke situaties en betaalgedrag van klanten bewaren is misschien nog wel erger als het data lek zelf.
Reageer
gitaarwerk @BzR26 februari 2026 14:40
Helemaal mee eens. Ik moet het ook beetje op mij in laten werken en wat voor gevolgen dit mogelijk voor mij gaat hebben. In verhouding met KPN laten ze me niet betalen voor niet geleverde diensten en tegen willen en wetens bepaalde praktijen uitvoeren waar ze onder hun dienstverlining uitkomen. Fatsoen laat ik even achterwege in vergelijking met Odido :+

Het meer data bewaren dan nodig is, klopt. Maar deels. Niet alle data valt over een kam te scheren. Sommige data heb je nodig voor je wettelijke bewaartermijn voor de belastingdienst. Dan heb je meer systemen. En ieder systeem, mits goed getagerosieerd heeft hun eigen doelstelling met de daarbijbehorende wettelijke bepalingen. De ene harder dan de andere, afhankelijk van het privacy beleid, wetgeving en voorwaarden. Mijn kennis rijkt niet verder dan dat ik weet wat er bij komt kijken, maar niet in detail hoe dit zit.

Die hack is inderdaad "dom", maar vergis je niet hoe gemakkelijk je overal kan komen met een babbeltruc, een linkje, etc. Overigens als medewerker van een bedrijf op bepaalde posities kan je beter die gegevens niet op linkedIn zetten. Maar iedereen vind dat we dit moeten doen. Dit is een goudmijn voor social engineering. Daar kan ik ook een aardige rant over houden, maar denk dat hier op tweakers een bekend verhaal is.

Ik vind wel dat je bepaalde data echt wel nodig is voor je dienstverlening. Maar gevoeligere data, bijvoorbeeld van bekende/beruchte Nederlanders, of speciale gevallen, door teams gedaan moeten worden met meer bevoegdheden. Daar zou je ook niet zomaar bij kunnen komen.

Best practise is ook vaak gelaagdheid in deze priveleges. Zowel in de interfaces, als in APIs met bijbehordene authenticatie en authorisatie. Daar gaat het vaak mis, mede door artificiele deadlines en shortcuts met ondoordachte risicoanalyse.

En... bedrijfscultuur helpt soms wel/niet mee.
Reageer
NeverSettle @gitaarwerk26 februari 2026 13:10
Als ze wel zouden betalen, dan is het alsnog mogelijk dat de gegevens uitlekken, en zijn we ook nog eens een provider kwijt.
Geen idee hoe het zit met de groep ShinyHunters, maar er zijn hacker groepen die zich wel aan de deal houden. Als zij dat niet doen dan zijn zij niet meer geloofwaardig en betalen de volgende gehackte slachtoffers (organisaties/bedrijven) niet.

Aan de andere kant kan ik Odido ook wel begrijpen, zij hebben al reputatie schade opgelopen. Door te gaan betalen voor de gelekte data is dat ook min of meer een uitnodiging voor toekomstige hacks.
Reageer
gitaarwerk @NeverSettle26 februari 2026 14:43
Klopt.. een hoop hacks zijn gewoon businessmodels. Het is eigenlijk te gek voor woorden. Maar overheden en bepaalde bedrijven doen dit bijna ook openlijk. NSO-group bijvoorbeeld. Overheden maken hier ook graag gebruik van. En niet vergissen, ook overheden hebben belang bij aankoop van dit soort data. Ik gok dat bepaalde grote landen hier rustig voor willen betalen. Zowel vijanden,...als bondgenoten. En dat klinkt allemaal heel alu-hoedje; wellicht is het ook een beetje? who knows...
Reageer
bArAbAtsbB @gitaarwerk26 februari 2026 15:47
het is veel erger dat men 9 MILJARD winst heeft gemaakt in 2024 (2025 nog niet bekend) maar hun beveiliging gewoon niet op orde hebben!

Ze zijn direct verantwoordelijk voor alle gevolgschade, en dat gaat mogelijk meer kosten dan 1 miljoen losgeld!
Reageer
Snuitebolletje @Bekers26 februari 2026 12:30
Hier ook erg benieuwd wat er van mij gelekt is. Mobiel, vast, oude tele2 en t-mobile gegevens....
Ik kreeg op email adressen die >8 jaar geleden gebruikt zijn voor een t-mobile abonnement nog een waarschuwing.

Toch ben ik blij dat ze niet betaald hebben. Niet laten afpersen, daarmee hou je het alleen maar in stand.
Reageer
keepbeep @Bekers26 februari 2026 12:51
Daar ben ik inderdaad ook erg benieuwd naar. Welk id hebben ze van mij bewaard en is die nog geldig? Alleen dan weet ik wat ik moet vernieuwen.
Reageer
Hansie9999 @Silentek26 februari 2026 12:19
Aantekeningen van klantenservice
Daar ben ik wel benieuwd naar, of er veel mensen gaan kunnen kijken of ze officiëel een "McEnroe" zijn :)

Als ze daar eens in gaan neuzen gaan denk ik nog de meeste "schandaaltjes" boven komen :)
Reageer
HijDieAllesWeet @Silentek26 februari 2026 12:27
Als de data toch openbaar raakt is er misschien een handige jongen die er een telefoongids website van maakt. Kan nog best handig zijn.
Reageer
Mathijs Kok @HijDieAllesWeet26 februari 2026 15:13
Als de data toch openbaar raakt is er misschien een handige jongen die er een telefoongids website van maakt. Kan nog best handig zijn.
Als al mijn data daarin zou staan, zou ik daar niet erg blij over zijn.
Reageer
licon @HijDieAllesWeet27 februari 2026 04:37
Zo'n website zal gelijk offline gehaald worden. Enige manier is een decentrale blockchain of zoiets...
Reageer
Upr0ar @Silentek26 februari 2026 13:04
Goed om te weten, dan hebben ze nu dus alleen nog maar mijn volledige naam en woonadres - de rest heb ik inmiddels al gewijzigd.
Reageer
cracking cloud @Mbb1526 februari 2026 11:51
Je hebt een mail gehad van odido met daarin wat er is gelekt. Bij mij stond er bv geen bsn in (want die heb ik nooit gedeeld met odido) maar bij sommige anderen stond dat er wel expliciet bij vermeld.
Reageer
Mirved @cracking cloud26 februari 2026 12:02
Nee in die mail staat wat mogelijk gelekt is. Niet wat precies. Ik weet dus niet of rijbewijs of paspoort gelekt is. Er staat:

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Reageer
vosManz @Mirved26 februari 2026 12:09
https://www.odido.nl/veiligheid
Ik heb gezien dat er verschillende soorten e-mails worden gestuurd met betrekking tot de data die mogelijk gelekt is, heb ik wel de juiste mail gekregen?

Wij hebben 4 varianten van dezelfde e-mail persoonlijk naar onze klanten gestuurd. Per klant verschilt welke data mogelijk is gelekt. Deze 4 varianten zijn: 
  1. Alleen naam en adresgegevens zijn gelekt
  2. Naam en adresgegevens en bankgegevens zijn gelekt
  3. Naam en adresgegevens en ID-gegevens zijn gelekt
  4. Naam en adresgegevens en ID-gegevens en bankgegevens zijn gelekt.
Het zal voorkomen in een huishouden dan wel onderneming dat er meerdere verschillende soorten e-mails zijn verstuurd. Dit komt doordat er meerdere accounts op 1 adres kunnen voorkomen. In zijn algemeenheid geldt dat alle tips die we geven om extra voorzichtig te zijn voor alle varianten raadzaam zijn om te volgen. Extra voorzichtigheid is altijd beter.
Als je dus een mail hebt ontvangen waarin de identificatiegegevens worden genoemd kun je er denk ik wel vanuit gaan dat die onderdeel waren. Anders vermoed ik dat Odido ze niet heeft en dus geen onderdeel zijn van het lek.
Reageer
Mirved @vosManz26 februari 2026 12:11
en dan weet je nog niet of het een rijbewijs of paspoort is geweest.
Reageer
Tomac5 @cracking cloud26 februari 2026 11:58
Ik zit bij Odido (zakelijk) en heb geen mail gekregen. Kan me haast niet voorstellen dat wij niet getroffen zijn eerlijk gezegd
Reageer
vosManz @Tomac526 februari 2026 12:04
Zakelijke klanten zitten niet in het lek (volgens https://www.odido.nl/veiligheid, bijna onderaan)
Reageer
HarryDeCowboy @vosManz26 februari 2026 13:06
Er staat bij dat de eindgebruikers niet getroffen zijn door het lek. De accounthouder zelf wel is me ook bevestigd door Odido zelf (ben zelf zakelijke klant).
Reageer
Tomac5 @HarryDeCowboy26 februari 2026 14:38
Aha. Ik ben de accounthouder en enige eindgebruiker. Dus dan ben ik ook gewoon de pineut.
Reageer
ronaldvd_nl @vosManz26 februari 2026 12:29
Er staat: "Voor zakelijke klanten zijn de gegevens van eindgebruikers niet gelekt."
Hieruit begrijp ik dat de gegevens van degene die het contract heeft afgesloten, en dus geen eindgebruiker hoeft te zijn, wel gelekt kunnen zijn.
Reageer
Dennism @cracking cloud26 februari 2026 12:00
Weet je dat zeker? Ik heb bijvoorbeeld als klant alleen een mail gehad op 12 februari, waar een aantal zaken stonden die mogelijk gelekt zijn en een aantal zaken die niet gelekt zijn. Maar ik heb daarna geen verdere opvolging meer ontvangen waarin Odido uitsluitsel geeft over welke data van mij exact gelekt is.
Reageer
cyclone @cracking cloud26 februari 2026 12:11
Is er nog een reden om Odido te geloven op hetgeen wat ze zeggen?

Is natuurlijk aan een ieder om dat voor zichzelf te bepalen, maar inmiddels hebben ze te lang hun mond gehouden (men wist al bijna een week gehackt te zijn voor ze hier melding van hebben gemaakt), zich niet aan wet en regelgeving gehouden (de melding had direct bij constatering van de hack gedaan moeten zijn zo dicteert de NL wet en regelgeving en als klap op de vuurpijl blijkt nu dat men klant gegevens langer bewaard dan ze zelf beloven en wettelijk is toegestaan).

Odido heeft zich hiermee aangetoond een onbetrouwbare partij te zijn die zich niet aan haar eigen beloftes houdt en lak heeft aan wet en regelgeving.

Ik geloof ze niet (meer).
Dus alle mooie mails (ik heb ze ook ontvangen) zijn in mijn beleving loze frases / valse beloftes / even onbetrouwbaar als ze gebleken zijn te handelen.
Reageer
DdeM @cyclone26 februari 2026 13:30
De wet stelt dat ze het zo snel mogelijk moeten melden wanneer duidelijk is dat er een lek is geweest. Het lek is in het weekend van 7-8 februari gebeurd en op 11 februari hebben ze het publiekelijk gemeld nadat ze hadden vastgesteld op welke systemen er was ingebroken. Dit is wettelijk gezien nog binnen de marge, want ze mogen eerst vaststellen of ze überhaupt klanten moeten informeren.
Reageer
wooha @cracking cloud26 februari 2026 12:33
BSN ? Misschien bedoel je de nummers van identificatiebewijzen?

Waarom zou Odido op hun “veiligheid” pagina expliciet benoemen dat ze geen BSN (mogen) verwerken en dat die dus niet gelekt zijn en tegelijk klanten mailen dat hun BSN wel is gelekt ?
Reageer
Dream_ON @wooha26 februari 2026 17:38
Zakelijke klanten waarbij btw nummer bestond uit BSN. Maar dat was dus eigenlijk al openbaar, kon je zo vinden. Dat is eerder een fout van de overheid die dat zo bedacht had.
Reageer
wooha @Dream_ON26 februari 2026 18:12
Die berichten had ik gemist en nu snap ik waar dat verhaal vandaan komt. Er wordt gesproken over tientallen. In eerste instantie al suf van de overheid inderdaad.

Alleen snap ik nog niet waarom Odido dat niet meldt en waarom ze überhaupt het BTW nummer niet noemen op hun "veiligheid" pagina. Het zal om het veld vlocity_cmt__TaxID__c gaan. Misschien inderdaad omdat het publiek is/was, maar het lijkt me wel belangrijk als context bij de BSN ontkenning daar. Het oude BTW nummer zal inmiddels namelijk moeilijker te vinden zijn.

Ik vraag me ook af of Odido (en andere bedrijven) klanten hebben gevraagd naar hun nieuwe BTW-id, ter vervanging van hun oude BTW nummer, na de overgang bij de belastingdienst. Daarmee was de indirecte verwerking van het BSN niet meer een noodzakelijk gevolg van belastingwetten. Misschien hebben klanten dan niet gereageerd.
Reageer
Dream_ON @wooha26 februari 2026 18:27
Het kunnen ook niet actieve klanten zijn geweest. Die zullen niet (meer) reageren.

Misschien dat in de chaos bij odido ook niemand direct de link tussen btw nummer van had gelegd.
Reageer
scramados @Mbb1526 februari 2026 11:46
Mijn gegevens zitten er ook tussen en toch wil ik dat Odido niet betaalt. Het betalen van zulke hacker groepen geeft 0 garantie en zorgt er wel voor dat ze nog meer geld hebben om de volgende hack uit te voeren.
Reageer
checkpointx @scramados26 februari 2026 12:25
Wat een onzin dat het 0 garantie geeft dat de gegevens niet alsnog naar buiten komen. Het hele business model van dit soort hackersgroepen is dat ze betrouwbaar zijn. Als ze nu de gegevens van Odido alsnog naar buiten zouden brengen als er betaald is, dan zal een volgende partij die ze hacken zeker niet betalen.

Het merendeel van dit soort hackersgroepen is vrij professioneel en betrouwbaar, vaak hebben ze ook gewoon een soort "klantenservice" waar je mee praat en onderhandelt als getroffen bedrijf en ook kan er onderdeel van de deal zijn dat ze het getroffen bedrijf helpen om de beveiliging op te schroeven om een volgende hack te voorkomen.

Het klinkt allemaal leuk van "we onderhandelen niet met hackers" maar dit ligt echt veel genuanceerder. Je moet ook het belang van de mensen niet vergeten van wie de data gelekt is. Aangezien dat hier aanzienlijk lijkt te zijn vind ik het wel erg makkelijk om te zeggen "goed dat ze niet betalen".
Reageer
Zoidberg_AvG @checkpointx26 februari 2026 13:08
Wat een onzin dat het 0 garantie geeft dat de gegevens niet alsnog naar buiten komen. Het hele business model van dit soort hackersgroepen is dat ze betrouwbaar zijn. Als ze nu de gegevens van Odido alsnog naar buiten zouden brengen als er betaald is, dan zal een volgende partij die ze hacken zeker niet betalen.
Je kan simpelweg niet van garantie spreken als je überhaupt niet weet wie de hackers zijn, er is nul garantie dat de gegevens na betaling gewoon bewaard worden en over x jaar alsnog op het dark-web verkocht worden. Het enige wat we kunnen vaststellen is dat het om een club mensen met een slecht werkend moreel kompas gaat, ik hang zelf weinig waarde aan de beloften van dit soort mensen.
Het klinkt allemaal leuk van "we onderhandelen niet met hackers" maar dit ligt echt veel genuanceerder. Je moet ook het belang van de mensen niet vergeten van wie de data gelekt is.
Het belang van de mensen van wie de data gestolen is en de mensen van wie de data in de toekomst gestolen gaat worden is dat er geen winst te halen is met het stelen van data.

Het "we onderhandelen niet met hackers" rust op hetzelfde principe als "we onderhandelen niet met terroristen", Je helpt de situatie op korte termijn mij houdt ondertussen het probleem in stand.
Kennelijk leveren de gegevens veel minder op op het darkweb dan het miljoen dat ze van odido vragen, anders hadden ze er wel direct voor gekozen de gegevens te verkopen.

Nooit betalen == minder geld voor dit soort clubs om hun activiteiten van te betalen == op termijn minder hacks.
Ik zit zelf niet bij Odido maar als dat wel zo was zou ik alsnog willen dat ze niet betalen, liever mijn gegevens openbaar dan dat ik indirect meebetaal aan de volgende hack.
Reageer
ict @Zoidberg_AvG26 februari 2026 14:38
Het "we onderhandelen niet met hackers" rust op hetzelfde principe als "we onderhandelen niet met terroristen", Je helpt de situatie op korte termijn mij houdt ondertussen het probleem in stand.
Waarom blijft de overheid het dan doen? (Google: Nederland betaald losgeld terroristen)
Kennelijk leveren de gegevens veel minder op op het darkweb dan het miljoen dat ze van odido vragen, anders hadden ze er wel direct voor gekozen de gegevens te verkopen.
Dit klinkt als een aanname, of weet jij uit welke ethische belangen deze partij opereert? Het is toch alom bekend dat betalen & publiceren de partij in zijn eigen voet schiet. Daarnaast moeten bedrijven de beveiliging op orde hebben. Wees blij dat er hackers zijn die hier aandacht voor vragen en zelfs een oplossing bieden, een incentive vanuit de overheid komt er niet hoor.
Reageer
Zoidberg_AvG @ict26 februari 2026 16:17
Waarom blijft de overheid het dan doen? (Google: Nederland betaald losgeld terroristen)
Omdat de Nederlandse overheid niet perfect is.

Een link naar een Google search ga ik trouwens niet eens naar kijken, als je een punt wil maken kom je maar met links naar artikelen.
What's next, moet ik ook nog even naar de lokale bibliotheek om te kijken of er in de boeken nog iets te vinden is dat bij jouw standpunt past?
Dit klinkt als een aanname, of weet jij uit welke ethische belangen deze partij opereert?
Ze willen geld, dat heeft weinig met etnische belangen te maken. Uit niks wat ShinyHunters in het verleden hebben gedaan blijkt dat iets anders dan geld verdienen als motivatie hebben.
Reageer
ict @Zoidberg_AvG26 februari 2026 16:43
Een link naar een Google search ga ik trouwens niet eens naar kijken, als je een punt wil maken kom je maar met links naar artikelen.
Waar denk je dat die google link naartoe verwijst. kan hier wel 10 artikelen neergooien maar via die google search heb je ze voor het uitzoeken, van nu.nl tot het NRC. Leek mij wel zo doelgroep gericht.
What's next, moet ik ook nog even naar de lokale bibliotheek om te kijken of er in de boeken nog iets te vinden is dat bij jouw standpunt past?.
In de bibliotheek kun je ook zoeken welke boeken ze hebben en er een uitkiezen, dus welk punt wil je nu maken?
Ze willen geld, dat heeft weinig met etnische belangen te maken. Uit niks wat ShinyHunters in het verleden hebben gedaan blijkt dat iets anders dan geld verdienen als motivatie hebben.
Misschien komt dit als een verassing maar bedrijven opereren ook met geld als drijfveer. Dat neemt niet weg dat ze ethische (iets anders als etnische < hebben ze in de bibliotheek vast een mooi boek over en anders kun je op google het verschil opzoeken, ik durf namelijk geen link meer te plaatsen :+ ) belangen kunnen hebben.

[Reactie gewijzigd door ict op 26 februari 2026 16:44]

Reageer
Zoidberg_AvG @ict26 februari 2026 17:15
In de bibliotheek kun je ook zoeken welke boeken ze hebben en er een uitkiezen, dus welk punt wil je nu maken?
Dat ik het onjuist vind om in een discussie te verwachten dat de ander op zoek moet gaan naar bronnen die jouw standpunt onderbouwen. Dit komt echt over als "hier heb je een google link, zoek het lekker zelf uit".
Misschien komt dit als een verassing maar bedrijven opereren ook met geld als drijfveer.
ShinyHunters is geen bedrijf maar een criminele organisatie.

En als we toch de taal-nazi aan het uithangen zijn, het is een verrassing, een verassing is een stuk minder aangenaam :+
Dat neemt niet weg dat ze ethische ( ... ) belangen kunnen hebben.
Dat zou kunnen, maar ik heb hier geen enkele aanwijzing voor kunnen vinden, niets wat ze doen wijst erop dat ze andere drijfveren hebben dan euro's binnen harken.

Als je iets van een bron hebt die er op wijst dat ze ethische belangen hebben zie ik het graag, enkel beweren dat het zo zou kunnen zijn zonder onderbouwing lijkt me niet heel zinvol.
Reageer
ict @Zoidberg_AvG26 februari 2026 19:18
Dat ik het onjuist vind om in een discussie te verwachten dat de ander op zoek moet gaan naar bronnen die jouw standpunt onderbouwen. Dit komt echt over als "hier heb je een google link, zoek het lekker zelf uit".
Dat verwacht ik niet, ik geef je een lijst met bronnen om aan te klikken, je hoeft dus zelf niets meer te zoeken. Die lijst is juist het tegenovergestelde van cherry-picking/bronnen die mijn standpunt onderbouwen. Het hele idee van een lijst met relevante bronnen aan te reiken die enkel op een zoekterm gebaseerd zijn voorkomt namelijk dat ik selectief ben.
ShinyHunters is geen bedrijf maar een criminele organisatie.
Het ging over de drijfveer geld en dat ethische belangen in jouw ogen dan geen rol zouden spelen. Die drijfveer en belangen zijn zowel toepasbaar op bedrijven als organisaties die crimineel opereren. In mijn ogen is het verschil dat je hier wilt maken dus irrelevant.
En als we toch de taal-nazi aan het uithangen zijn, het is een verrassing, een verassing is een stuk minder aangenaam
Ik vond mijn alinea anders best wel een 'burn' dus beide had gekund ;)
Dat zou kunnen, maar ik heb hier geen enkele aanwijzing voor kunnen vinden, niets wat ze doen wijst erop dat ze andere drijfveren hebben dan euro's binnen harken. Als je iets van een bron hebt die er op wijst dat ze ethische belangen hebben zie ik het graag, enkel beweren dat het zo zou kunnen zijn zonder onderbouwing lijkt me niet heel zinvol.
Het is bijna etenstijd dus ik zal het kort houden, het feit dat ze niet alle data op dag 1 online gegooid hebben vind ik best ethisch, (en ja het is tactisch financieel ook een slimme zet, alhoewel odido al heeft aangegeven niet te betalen dus deze zet zal tevergeefs geweest zijn maar resultaat is dat klanten nog even beschermd zijn wat best ethisch is).

De onderhandeltactieken van de groep moge dan hard zijn, ze zijn wel duidelijk. Heb ze ook nog niet op kleine lettertjes kunnen betrappen. Iets waar 'legitieme' bedrijven niet vies van zijn, evenals onderhandeltactieken of handelspraktijken waar letterlijk doden bij vallen. *edit: Ook dat vind ik ethisch.

Strekking is dat ik het grotere geheel bekijk, ben ik blij dat mijn gegevens op het web komen? Nee. Vind ik dat ik de schuld bij diegene moet leggen die iets doet dat voorkomen had kunnen worden (**edit: Odido) door een bedrijf die volgens de wet moet opereren? Ja. Is ShinyHunters dus de kern van dit hele probleem? Nee.

[Reactie gewijzigd door ict op 26 februari 2026 19:20]

Reageer
Zoidberg_AvG @ict26 februari 2026 20:44
Dat verwacht ik niet, ik geef je een lijst met bronnen om aan te klikken, je hoeft dus zelf niets meer te zoeken.
Dat moet ik wel, want lang niet alles wat er in de lijst staat is relevant voor jouw stelling, het merendeel van wat ik op de eerste pagina zie onderbouwt de stelling helemaal niet. Het is daarnaast ook helemaal niet zeker dat ik überhaupt dezelfde resultaten zie als jij voorgeschoteld hebt gekregen.
Het is bijna etenstijd dus ik zal het kort houden, het feit dat ze niet alle data op dag 1 online gegooid hebben vind ik best ethisch, (en ja het is tactisch financieel ook een slimme zet, alhoewel odido al heeft aangegeven niet te betalen dus deze zet zal tevergeefs geweest zijn maar resultaat is dat klanten nog even beschermd zijn wat best ethisch is).
Zie je niet zelf hoe onlogisch je manier van denken is in deze, je hebt het over een klant die nog even beschermt is, maar tegen wie zijn ze dan nog even bescherm? tegen acties van diezelfde hackers.
De maffia handelde ook precies volgens dit principe, ze eisen betaling voor bescherming, maar dat is dan vooral bescherming tegen die zelfde maffia die je winkel komt verbouwen als je geen bescherming koopt.

Je kunt niet dreigen met iets immoreels en dan vervolgens claimen moreel bezig te zijn omdat je niet of slechts gedeeltelijk gedaan hebt waar je mee gedreigd hebt, die hele manier van denken is zo krom als een banaan.
Nee. Vind ik dat ik de schuld bij diegene moet leggen die iets doet dat voorkomen had kunnen worden
Eens dat er schuld bij Odido ligt, maar daarna beredeneren dat ShinyHunters geen enkele schuld heeft of moreel handelt is een valse wederzijdse uitsluiting.
Dat een partij in zekere mate schuld heeft aan iets betekend niet automatisch dat alle andere partijen volledig onschuldig zijn.

Dat het makkelijk te hacken was of dat de data niet zolang opgeslagen mocht worden was is geen argument.
Gegevens stelen, losgeld eisen en persoonsgegevens lekken is niet goed te praten, een"ja maar odido" argument is dan helemaal niet relevant.
Reageer
ict @Zoidberg_AvG27 februari 2026 19:44
Het is daarnaast ook helemaal niet zeker dat ik überhaupt dezelfde resultaten zie als jij voorgeschoteld hebt gekregen.
Valide punt, zal in het vervolg concretere bronnen aanbieden.
maar tegen wie zijn ze dan nog even bescherm? tegen acties van diezelfde hackers.
Nee, die hackers kunnen op elk moment de gegevens misbruiken. Ik had het over darkweb criminelen die met de/je gegevens aan de haal gaan.
De maffia handelde ook precies volgens dit principe, ze eisen betaling voor bescherming, maar dat is dan vooral bescherming tegen die zelfde maffia die je winkel komt verbouwen als je geen bescherming koopt.
Mooie catch 22 inderdaad. Een beetje zoals de overheid die geld wilt voor vrijheid maar door beleid de samenleving en wereld onveiliger maakt en dan met een extra vrijheidsbijdrage komt waarbij diegene die het meeste eraan bijdragen (de armeren) het minst te verliezen hebben bij minder veiligheid, mooie bureaucratische vicieuze cirkel bedacht, goed gewerkt zeggen we dan, chapeau!
Je kunt niet dreigen met iets immoreels en dan vervolgens claimen moreel bezig te zijn omdat je niet of slechts gedeeltelijk gedaan hebt waar je mee gedreigd hebt, die hele manier van denken is zo krom als een banaan.
Toch gaat er nog geld naar Israël waarmee ze genocide financieren en hun militaire macht kunnen versterken, dat is pas krom.
maar daarna beredeneren dat ShinyHunters geen enkele schuld heeft of moreel handelt is een valse wederzijdse uitsluiting.
Jammer dat je dat uit mijn bericht(en) hebt gehaald, ze maken misbruik van het opendeurenbeleid van odido. Maar daarvan gebruikmaken is kapitalistisch gedacht en past perfect in de wereld waarin we leven. Het zou naïef zijn om daar anders over te denken puur omdat er groot wordt gekopt met criminele organisatie. Genoeg bedrijven die veel kwaadaardiger zijn (vallen letterlijk doden bij) die gewoon beursgenoteerd zijn of zelfs ons pensioengeld bedroevend beleggen maar wel zichzelf riant uitbetalen.
Dat het makkelijk te hacken was of dat de data niet zolang opgeslagen mocht worden was is geen argument.
Voorkomen is beter dan genezen en van genezen is hier geeneens sprake. Odido moet zich aan de wet houden en onnodig gegevens opslaan en niet voldoende beschermen is verzaakt. dat is kwalijk en verwijtbaar. Vervolgens naar de boeven wijzen als schuldige is lekker makkelijk, die hoeven en zullen namelijk geen verantwoording af te leggen in deze zaak.
Gegevens stelen, losgeld eisen en persoonsgegevens lekken is niet goed te praten, een"ja maar odido" argument is dan helemaal niet relevant.
Nogmaals wat odido heeft gedaan maar vooral niet heeft gedaan (data niet opslaan/verwijderen en beter beschermen) is kwalijker dan een criminele organisatie die van deze zwakheden gebruik maakt voor winstbejag.
Reageer
Zoidberg_AvG @ict27 februari 2026 22:05
Nee, die hackers kunnen op elk moment de gegevens misbruiken. Ik had het over darkweb criminelen die met de/je gegevens aan de haal gaan.
En diezelfde hackers kunnen nu alsnog bij de gegevens, maar nu zonder ervoor te betalen.
Nou heel erg bedankt ShinyHunters, fijne club, misschien een keer een bloemetje naar toe sturen.....
Een beetje zoals de overheid die geld wilt voor vrijheid maar door beleid de samenleving en wereld onveiliger maakt en dan met een extra vrijheidsbijdrage komt waarbij diegene die het meeste eraan bijdragen (de armeren) het minst te verliezen hebben bij minder veiligheid, mooie bureaucratische vicieuze cirkel bedacht, goed gewerkt zeggen we dan, chapeau!
[......]
Toch gaat er nog geld naar Israël waarmee ze genocide financieren en hun militaire macht kunnen versterken, dat is pas krom.
Beide argumenten zijn schoolvoorbeelden van whataboutisme en verre van relevant.
Jammer dat je dat uit mijn bericht(en) hebt gehaald, ze maken misbruik van het opendeurenbeleid van odido. Maar daarvan gebruikmaken is kapitalistisch gedacht en past perfect in de wereld waarin we leven.
Met dit soort redenaties kun je alle criminaliteit die op het verdienen van geld gericht zijn, en dat is praktisch 100%, goedpraten.
Jammer dat je dat uit mijn bericht(en) hebt gehaald,
Je weigert ook maar een letter negatief over de daden van de hackers te spreken en zegt: ''het feit dat ze niet alle data op dag 1 online gegooid hebben vind ik best ethisch". Elke keer als ik beredeneer waarom dat niet ethisch is begin je weer over wat Odido allemaal fout doet, maar nogmaals, dat is helemaal niet relevant.
Reageer
ict @Zoidberg_AvG1 maart 2026 01:44
Je weigert ook maar een letter negatief over de daden van de hackers te spreken
slechte hackers doen slechte dingen. goede bedrijven moeten goede dingen doen (en dus niet onnodig en teveel data opslaan en deze onvoldoende beschermen). het is makkelijk te wijzen naar de slechte hackers als je van hun mag verwachten dat ze slechte dingen doen terwijl de goede bedrijven in plaats van goede dingen juist slechte dingen doen zoals in ze odido zaak.

als ze niet alle data online gooien en odido een tweede derde, 100e kans geven de schade te beperken dan is dat ethisch. het risico voor getroffen klanten wordt daarmee beperkt. ook als de hackergroep toch besluit zelf met de gegevens aan de slag gaat. dan is dat nog steeds minder risico dan wanneer alles online staat en iedereen ermee aan de haal kan.

als odido een kostenafweging maakt om gegevens onnodig op te slaan en onvoldoende te beschermen dan is dat hun keuze en aanvaarde risico. als de hackers dat risico tarten en odido besluit niet te betalen dan is het odidos schuld dat iedereens data voor het grijpen is.
Reageer
Jerie
@Zoidberg_AvG26 februari 2026 16:46
Door wel te onderhandelen met kun je informatie over ze te weten komen. Bijvoorbeeld over het motief, maar ook over de lokatie en de talen die men spreekt, de afkomst, het verleden van de dader, enz. Ook geeft het de mogelijkheid om te de-escaleren.

Weet je nog de gijzelnemer in Apple Store Amsterdam? Werd mee onderhandelt.

We onderhandelen niet met terroristen is dan ook vooral stoere taal.
Reageer
mugenmarco @scramados26 februari 2026 11:51
Mijn gegevens zitten er ook tussen en toch wil ik dat Odido niet betaalt. Het betalen van zulke hacker groepen geeft 0 garantie en zorgt er wel voor dat ze nog meer geld hebben om de volgende hack uit te voeren.
Het verleden leerde ons dat hackers vaak data niet online zetten als ze betaald krijgen, waarom zou dat nu anders zijn?

Juist als ze betaald worden en alsnog alles online gooien krijgen ze een 'slechte reputatie' (ja, ze hebben al een slechte reputatie maar in dat geval zal niemand nog betalen 'want ze gooien alles toch wel online').

Het is niet alleen de imago schade, maar ook dat ze het vertrouwen van veel klanten kwijt zijn geraakt door niet te betalen of zo'n enorm lakse houding aan te nemen.
Reageer
Acroynum @mugenmarco26 februari 2026 11:53
Als je nooit betaald, dan hebben ze ook geen reden om te hacken.
Behalve om schade aan te richten aan een bedrijf.

Wanneer ze nooit betaald krijgen, wat heeft het hacken dan zin?
Je hebt links- of rechtsom bij zo'n hack reputatieschade.

[Reactie gewijzigd door Acroynum op 26 februari 2026 13:07]

Reageer
Bomb-el @Acroynum26 februari 2026 12:16
Zo werkt het toch gewoon niet, snap niet dat iedereen met deze redenering een +2 krijgt.

Die gasten hebben ook gewoon een business model. En ja, je weet uiteraard nooit of ze de data niet alsnog lekken of verkopen, maar je weet nu in elk geval zeker dat je 8 miljoen huishoudens in de stress en mogelijk in de problemen brengt. Dat is half Nederland.

Het is gewoon principieel doen over de rug je klanten terwijl je zelf de boel hebt verkloot. Of denken we nu echt dat hackers er mee gaan stoppen? Zo naïef zijn we niet met zijn allen toch? |:(
Reageer
BRAINLESS01 @Bomb-el26 februari 2026 12:34
Het is naïef om te denken dat criminelen zich netjes aan de afspraak gaan houden als je ze betaald. Odido had hierin nooit een keuze, zodra iemand er met de data vandoor gaat is het te laat. Die stress bij 8 miljoen huishoudens was niet meer te voorkomen, maar Odido heeft het zo netjes mogelijk opgelost door de hack te melden en in het nieuws te brengen. Er zijn ook bedrijven die proberen het te verbergen, dat wordt gelukkig steeds lastiger.

Odido had meer moeten doen om te voorkomen dat de data gejat kon worden, dat is het enige dat je ze kwalijk kunt nemen. Betalen is het domste wat je kunt doen, zodra de eerste betaling binnen is krijg je de volgende mail voor de volgende betaling.
Reageer
Bomb-el @BRAINLESS0126 februari 2026 12:46
Oprechte vraag, ben jij klant van Odido? Ik wel en ik ken er genoeg en er is werkelijk niemand die vindt dat ze dit netjes hebben opgelost.

Ze hebben welgeteld 1 mail verzonden naar hun klanten. En vervolgens een dag of twee later gezegd dat je niet hoef te rekenen op compensatie. Dit verborgen houden was natuurlijk nooit een optie met een lek van deze omvang, dus daarin hadden ze ook weinig keuze. Damage control, bang voor imagoschade, maar geen enkel invoelend vermogen getoond naar de klanten.

Ze hebben elke stap in de proces vooral aan zichzelf gedacht. Ik vind dat behoorlijk kwalijk, schrijnend eigenlijk.
Reageer
BRAINLESS01 @Bomb-el26 februari 2026 14:08
Nee, maar dat maakt ook niet zoveel uit. Ik heb het nieuws gelezen, het was overduidelijk dat Odido hier ook niet blij mee is en dat ze er achteraf niet zo gek veel meer aan kunnen doen. Odido had weinig opties en het kost ze hoe dan ook al een enorme bak geld, naast de imagoschade. Ik snap wel dat ze niet ook nog financiële compensatie aan klanten willen (of kunnen) geven, uiteindelijk is het geld een keer op. Bovendien zijn klanten niet echt geholpen met een paar euro compensatie, hoeveel moet je dan bieden voordat mensen zoals jij tevreden zijn? Ze hebben netjes een mail gestuurd waarin ze aangeven wat er gestolen is, ze hebben de pers netjes op de hoogte gebracht en gehouden, en ze hebben de afpersers niet betaald. Wat wil je nog meer?

Overigens bieden ze wel compensatie, in de vorm van een gratis 2-jarig F-Secure abonnement. Jij kiest er schijnbaar voor om dat niet te gebruiken. Dat zou ik waarschijnlijk ook niet doen, dus ik snap je keuze. Toch is het dan niet netjes om te doen alsof er helemaal geen compensatie is.
Reageer
Bomb-el @BRAINLESS0126 februari 2026 15:22
Dat laatste klopt, maar dat hebben ze niet eens actief naar de klanten gecommuniceerd. Dat was toch wel het minimale wat ze hadden kunnen doen. Ik denk dat we een andere definitie hebben over wat netjes is

En het is basis van mijn eerdere berichten denk ik wel duidelijk wat ik persoonlijk vind wat ze (nog meer) hadden kunnen en moeten doen. :)
Reageer
Jerie
@BRAINLESS0126 februari 2026 15:16
Doorgaans doen criminelen die het om het geld gaat dat wel. Dat is een honor among thieves. Doen ze dat niet dan hebben toekomstige klanten slachtoffers minder motivatie om te betalen. Daar gast hun verdienmodel.

Tenzij het de criminelen niet om het geld gaat (statelijke actor). Dat vermoeden heb ik hier.
Reageer
aaten @Bomb-el26 februari 2026 12:20
De enige reden waarom hackers er niet mee stoppen is omdat bedrijven vaak betalen. Als niemand meer betaald en er goede vervolging op is dan houdt het inderdaad vanzelf op. Dat heeft niets met naïviteit te maken maar met het businessmodel.

Je doet werk omdat je betaald krijgt, krijg je niet betaald dan stop je met dat werk.
Reageer
liberque @aaten26 februari 2026 13:32
Als een bedrijf niet betaalt dan verkopen ze toch gewoon de datasets aan de hoogste bieder? Een bedrijf de mogelijkheid geven om dit voor te zijn en er dan in 1 keer een mooi bedrag voor te vangen neemt niet weg dat die data op de zwarte markt ook het nodige waard is. Dat Odido nu niet betaalt maakt an sich voor de hackers niet uit. Ze krijgen toch wel geld dus nee; het houdt niet vanzelf op.
Reageer
Bomb-el @aaten26 februari 2026 12:28
Als jij denkt dat het vanzelf gaat ophouden omdat niet iedereen betaalt, dan je dus wel naïef. Sterker nog, ze zullen waarschijnlijk proberen nog gevoeligere data te gaan stelen. Ze hadden gewoon de boel op orde moeten hebben en weigeren nu op de blaren te gaan zitten. Dat mogen wij doen.

Nogmaals, het is gewoon principieel doen over de rug van je eigen klanten. En ook nog voor een waanzinnig laag bedrag, voor de orde van grootte van het bedrijf.
Reageer
aaten @Bomb-el26 februari 2026 12:30
Even mijn tekstje nog een keer lezen zou ik zeggen. Dat is namelijk niet wat ik zei.
Reageer
Aldy @aaten26 februari 2026 22:13
Zal het niet zo zijn, dat als er niet door het gehackte bedrijf betaald wordt, de data in het vervolg te koop wordt aangeboden. Ik denk dat die data van de 6.2 miljoen klanten weleens meer waard kunnen zijn als het te koop wordt aangeboden. Je bedrijft nog steeds hetzelfde strafbare feit, maar je doelgroep is veranderd.
Reageer
nevyn67 @Bomb-el26 februari 2026 12:25
Harddrugsverkopers hebben ook een verkoopmodel - dan ook maar toestaan?

Wanneer je criminaliteit normaliseerd - dan gaat het pas echt achteruit met de maatschappij...
Reageer
Bomb-el @nevyn6726 februari 2026 12:36
Wie heeft het hier over toestaan? Het blijft nog steeds illegaal en hopelijk worden ze gepakt. Die kans lijkt me overigens bijzonder klein, maar dat terzijde.

Het is imo gewoon veel te makkelijk van odido om het zo maar principieel af te doen. Het is niet zo dat er niet vaker met criminelen of terroristen wordt onderhandeld. Dat is nooit wat je wil, maar helaas heb je soms geen keuze.

Maar goed, blijkbaar zit niet iedereen er hetzelfde in.
Reageer
Metalfreak @Bomb-el26 februari 2026 12:45
Simpel: als je betaalt ben je onderdeel van het probleem. Strikt gezien mag je in het kader van know your customer hier dan ook niet eens zaken mee doen en ben je op dat moment net zo illegaal bezig.

Mijn gegevens als ex-klant zitten er ook in en ik vind het een goede zet dat ze niet betalen of onderhandelen.
Reageer
ict @Bomb-el26 februari 2026 14:20
Zodra mijn moderatiestatus het toelaat te stemmen kom ik hier terug, ben het volledig met je eens! Naïviteit is de kern waar het fout gaat.
Reageer
drdelta @Acroynum26 februari 2026 12:23
Dergelijke data sets worden op de zwarte markt ook gewoon verkocht om mensen mee op te lichten.

Wellicht betaald Odido niet, maar dat wil niet zeggen dat een groep scammers er niet voor zou betalen.
Reageer
raceeend9 @Acroynum26 februari 2026 12:57
ze kunnen de data altijd nog verkopen. waarom denk je dat Facebook/google zo groot is? nog maar niet te spreken over informatie die kruidvat doorvekoopt over aankopen.
Waarschijnlijk lekt deze data dan wel uit door het te verkopen aan data handelaren of op het deep-web.
Reageer
Dennism @mugenmarco26 februari 2026 11:57
Het is niet alleen de imago schade, maar ook dat ze het vertrouwen van veel klanten kwijt zijn geraakt door niet te betalen of zo'n enorm lakse houding aan te nemen.
Dan werk je dus mee aan 'misdaad loont', een imho zeer gevaarlijke ontwikkeling. Van mij zou het betalen van dit soort afpersing wettelijk verboden mogen worden met zeer hoge straffen, inclusief persoonlijke aansprakelijkheid voor bestuurders, wanneer instanties of bedrijven het toch zouden doen om inbraken 'stil' te houden.

Verder denk ik dat de houding nog de grootste invloed zal hebben op het vertrouwen van de klanten. Het niet betalen zie ik eerder als pluspunt, ook al zijn mijn gegevens mogelijk gelekt.
Reageer
CAPSLOCK2000
@Dennism26 februari 2026 12:43
Van mij zou het betalen van dit soort afpersing wettelijk verboden mogen worden met zeer hoge straffen, inclusief persoonlijke aansprakelijkheid voor bestuurders, wanneer instanties of bedrijven het toch zouden doen om inbraken 'stil' te houden.
Ik ben fel tegen betalen, maar het verbieden zal zorgen dat de afgepersten geen aangifte meer durven doen en geen hulp kunnen vragen bij professionals (die op hun beurt aangifte zouden moeten tegen hun klant) als zelf denken dat betalen de beste/enige optie is.

Laten we al onze energie richten op preventie (oa door dataminimalisatie), niet op slachtoffers nog verder onder druk zetten. Grote druk op het slachtoffer is in het voordeel van de afpersers.
Reageer
drdelta @Dennism26 februari 2026 12:27
Laten we het dan eerst strafbaar maken, en mensen persoonlijk aansprakelijk stellen, wanneer dit soort informatie überhaupt in deze vorm kan lekken.

Als Odido (et al) al hun klant data nou eens niet in een online omgeven zouden zetten waardoor miljoenen records persoonlijk identificeerbare data zo kunnen lekken. Zelfde met de medische data die bij Clinical Diagnostics kon lekken.
Reageer
Apiekool @drdelta26 februari 2026 12:47
Wie maak je dan strafbaar? De CEO? Head of IT? Of de systeembeheerder die een vinkje vergeten is te zetten (been there, done that, got the T-shirt).

Het is altijd lekker makkelijk vanuit de onderbuik te redeneren. Zo makkelijk is het allemaal niet.
Reageer
drdelta @Apiekool26 februari 2026 13:54
Wie maak je dan strafbaar? De CEO? Head of IT? Of de systeembeheerder die een vinkje vergeten is te zetten (been there, done that, got the T-shirt).
Het lijkt me logisch om te beginnen met de CEO, en het hoofd van IT afdeling, en je kunt inderdaad een discussie hebben over hoe "diep" je moet willen gaan. Als één enkel vinkje deze hack veroorzaakt heeft is het systeem en de manier waarop toegang geregeld wordt volgens mij inherent ontoereikend.
Het is altijd lekker makkelijk vanuit de onderbuik te redeneren. Zo makkelijk is het allemaal niet.
Mogen we niet meer verwachten van miljarden bedrijven, die continue onze persoonlijke data lekken, door hun gebrekkige beveiliging?
Reageer
Apiekool @drdelta26 februari 2026 14:31
Natuurlijk mogen we meer verwachten, zeker op het gebied van "wie mag waarbij". Maar na tientallen jaren werken in de IT weet ik dat niet alles altijd is af te dekken.

In dit geval zijn er door phising usernames/passworden ontfutseld. Ook na alle mogelijke training en awareness campagnes kan dit gewoon gebeuren. Het is rot, maar het is gewoon zo.
Reageer
Mathijs Kok @drdelta26 februari 2026 15:19
Het lijkt me logisch om te beginnen met de CEO,
Dus voor elke overtreding die een bedrijf maakt, is de CEO verantwoordelijk? Neem een groot bedrijf als Shell, ik kan je verzekeren dat die elke dag wel ergens op de wereld een boete krijgt. En al die overtredingen moeten dan op het conto van de CEO? Dat is onzinnig en daarom werkt de wet ook niet zo.
Reageer
Destn @Apiekool26 februari 2026 18:18
Volgens de NIS2 regels zijn nu ook de bestuursleden (persoonlijk) aansprakelijk.
https://certificeringsadvies.nl/nis2-bestuursaansprakelijkheid-en-persoonlijke-aansprakelijkheid/
Reageer
Metalfreak @drdelta26 februari 2026 12:47
Laten we het dan eerst strafbaar maken, en mensen persoonlijk aansprakelijk stellen, wanneer dit soort informatie überhaupt in deze vorm kan lekken.
Het is natuurlijk kwalijk wat er gebeurd is, en zeker op deze schaal, maar zoals jij het stelt zou nooit meer iemand een foutje mogen maken in zijn of haar werk. En dan is het strafbaar, voel jij je dan beter uit een soort wraakgevoel? De gegevens liggen alsnog op straat. Laten we vooral leren van deze hack.
Reageer
drdelta @Metalfreak26 februari 2026 13:48
[...]

Het is natuurlijk kwalijk wat er gebeurd is, en zeker op deze schaal, maar zoals jij het stelt zou nooit meer iemand een foutje mogen maken in zijn of haar werk.
Iemand heeft een systeem bedacht waarmee alle klant data, onversleuteld, door één gebruiker, vanaf het internet, downloadbaar is. "Een foutje maken" staat compleet niet in verhouding tot de schaal waar we het hier over hebben.
En dan is het strafbaar, voel jij je dan beter uit een soort wraakgevoel? De gegevens liggen alsnog op straat.
Dit heeft niets met wraak te maken. Alleen strafbaarstelling zorgt er voor dat dit niet slechts een kosten/baten analyse blijft, zoals dat nu is. En waardoor het nu keer op keer fout blijft gaan.
Laten we vooral leren van deze hack.
Wat gaan we leren uit deze hack, en de volgende hack? Dat bedrijven zoals Odido onze persoonlijk identificeerbare gegevens niet veilig kunnen opslaan? Dat zal ze leren.. :z
Reageer
Dennism @drdelta26 februari 2026 13:09
Hier is sprake geweest van phishing volgens de berichtgeving, kwalijk, maar lastig met 100% te voorkomen. Ik denk dat een foutje maken door een medewerker strafbaar maken niet de oplossing is.

Wel denk ik dat inderdaad dit soort gegeven beter afgeschermd moeten worden, ik snap dat zelfs een helpdesk medewerker veel van deze gegevens nodig heeft om het werk te moeten doen. Zorg er dan echter voor dat het inderdaad niet 'zomaar' vanaf internet te benaderen is, maar enkel via beveiligde omgevingen waar de medewerkers enkel met een andere set credentials in kunnen komen en alleen via beveiligde verbindingen kunnen benaderen.
Reageer
drdelta @Dennism26 februari 2026 13:59
Hier is sprake geweest van phishing volgens de berichtgeving, kwalijk, maar lastig met 100% te voorkomen. Ik denk dat een foutje maken door een medewerker strafbaar maken niet de oplossing is.
Een enkele fout van een medewerker moet ook niet deze impact kunnen hebben.
Wel denk ik dat inderdaad dit soort gegeven beter afgeschermd moeten worden, ik snap dat zelfs een helpdesk medewerker veel van deze gegevens nodig heeft om het werk te moeten doen. Zorg er dan echter voor dat het inderdaad niet 'zomaar' vanaf internet te benaderen is, maar enkel via beveiligde omgevingen waar de medewerkers enkel met een andere set credentials in kunnen komen en alleen via beveiligde verbindingen kunnen benaderen.
Geen enkele (helpdesk) medewerker heeft onbeperkte toegang tot alle informatie van 8 miljoen klanten nodig.
Reageer
R4gnax @Dennism26 februari 2026 19:26
Hier is sprake geweest van phishing volgens de berichtgeving, kwalijk, maar lastig met 100% te voorkomen.
Prima nagenoeg 100% te voorkomen. FIDO U2F authenticatie is namelijk niet phishbaar omdat er niets met de hand afgelezen en ingevuld hoeft te worden en er geen sprake is van een zijlings communicatiepad via het open internet zoals bijv. met number challenge popups binnen authenticator apps zoals van Microsoft, waar criminelen zich als een interne medewerker van de IT afdeling voor kunnen doen om even te vragen de 2FA challenge op te lossen om te checken of alles nog goed geregistreerd staat, etc. etc.

FIDO U2F vereist een authenticator die fysiek bij de plek van inloggen aanwezig moet zijn, ten hoogste draadloos verbonden via Bluetooth, dus zeer beperkt bereik.

[Reactie gewijzigd door R4gnax op 26 februari 2026 19:35]

Reageer
ict @Dennism26 februari 2026 14:31
Naast dat de overheid gewoon losgeld aan terroristen en consorten betaald loont misdaad toch gewoon? Anders hebben wij een heel ander wereldbeeld. Vrede en eerlijkheid bestaan niet. Genoeg bedrijven die de de samenleving/het milieu/de wereld/enz. benadelen en er met een schijntje vanaf komen als ze al bestraft worden. En dan heb ik het nog niet eens over dat belastingontwijking technisch gezien geen ontduiking is maar dat het (o.a. d.m.v. lobbyen) wel mogelijk wordt gemaakt om hiervan gebruik te maken, alsof dat het minder kwalijk maakt. Kijk recentelijk naar die 'vrijheidsbijdrage', bedrijven hebben het meeste last van onrust en toch mogen de burgers onevenredig de rekening betalen en uiteraard betalen de rijkste relatief minder dan de armste.
Reageer
bzuidgeest @mugenmarco26 februari 2026 12:09
Het verleden leert ook dat vaak later stukken alsnog op het internet verschijnen. Groepen vallen uit elkaar. Leden en ex leden stelen van elkaar. De groep kan opgeheven worden en dan doet de opvolger wat anders.

Misdaad mag niet lonen. Dus niet betalen vind ik als odido klant de beste optie. ondanks het gevaar ervan.
Reageer
DdeM @bzuidgeest26 februari 2026 13:07
Groepen hoeven er niet eens eerst voor uit elkaar te vallen: https://www.phishlabs.com/blog/ransomware-groups-break-promises-leak-data-anyway

Het verleden leert gewoon dat ook bekende groepen zich niet aan afspraken houden. Je zou bijna denken da lt het criminelen zijn.........
Reageer
bzuidgeest @DdeM26 februari 2026 13:08
Kijk mooie toevoeging, ik had zo vlug niet een link.
Reageer
pixeled @mugenmarco26 februari 2026 12:07
Het verleden leerde ons dat hackers vaak data niet online zetten als ze betaald krijgen [...]
Is dat zo? Mag ik vragen waar je dat baseert? Wie zegt dat hackers jaren later niet alsnog de boel lekken of verkopen? Voor hen is dat zeker de moeite waard, het levert dubbele inkomsten op.
Reageer
demianmonteverd @pixeled26 februari 2026 12:11
Het is al voorgekomen dat men betaald en de gegevens toch nog een keer verkoopt. Niet betalen is de enige oplossing. Het is pijnlijk en vernederend, maar het is niet anders.
Reageer
vlieger200 @mugenmarco26 februari 2026 12:03
Je gegevens staan links om of rechts om toch al op het dark web. Denk je echt dat Odido het eerste bedrijf is dat gehackt is? Nee, alleen tegenwoordig heb je een meldplicht in Nederland en voorheen niet. We hebben het nog niet eens over je gegevens bij buitenlandse bedrijven. Daarnaast zijn er ook genoeg gegevens al gestolen zonder dat de bron hier vanaf weer omdater niet altijd een afpersing plaats vind.

[Reactie gewijzigd door vlieger200 op 26 februari 2026 12:04]

Reageer
kozue @mugenmarco26 februari 2026 12:27
Als niemand zou betalen heeft deze vorm van criminaliteit geen zin meer en sterft het vanzelf uit. Door te betalen laat je zien dat hiermee geld te verdienen valt en trekt het andere criminelen aan om hetzelfde te doen.
En je maakt van je bedrijf een target voor andere hackers. Als je niet betaalt is de motivatie bij anderen niet aanwezig om jou aan te vallen,
Reageer
mhnl1979 @mugenmarco26 februari 2026 12:29
Het verleden leert ook dat er geen garanties zijn. Het blijven criminelen. Voor hetzelfde geldt betaalt Odido (gaat de maandelijkse prijs omhoog) en worden de gegevens verpatst aan andere criminele organisaties.
Reageer
Biggg @mugenmarco26 februari 2026 13:26
Dus ze zetten dan jouw (de consument) gegevens niet online, maar hebben wel weer een aantal miljoen om mensen in te huren zodat ze elders jouw gegevens kunnen stelen.
Reageer
ceekah @scramados26 februari 2026 11:51
Vervelend! Dit ook al bekend op https://haveibeenpwned.com/ ?
Reageer
Comilion @ceekah26 februari 2026 11:55
Staat deze er al op? Ik ben al een lange tijd klant van odido of eerdere overnames, en heb nog altijd 0 berichtgeving ontvangen. Lijkt me sterk dat ik er niet tussen zit. Ook op haveibeenpwned sta ik er niet tussen.
Reageer
jpsch @ceekah26 februari 2026 12:05
Staat iedereen daar niet op, via de LinkedIn hack?
Reageer
DonJunior @jpsch26 februari 2026 12:56
0
Data Breaches
Good news — no pwnage found! This email address wasn't found in any of the data breaches loaded into Have I Been Pwned. That's great news!
Denk het niet dus..
Reageer
scramados @ceekah26 februari 2026 12:10
Ik bedoelde dat mijn gegevens er ergens tussen staan, ik weet nog niet of het ook echt in de eerste batch zit. Mijn eerdere bericht was daar niet helemaal duidelijk over.
Reageer
xxs @ceekah26 februari 2026 12:31
Ah, HIBP. De grootste heler in gestolen data van dit moment.
Reageer
DdeM @ceekah26 februari 2026 13:10
Nope, laatste keer dat mijn email is gelekt volgens hun is afgelopen december bij SoundCloud. 😬
Reageer
Jaldea @scramados26 februari 2026 11:57
De garantie is er WEL, want als ze zich niet aan hun woord houden, is er uberhaupt geen insentief om te betalen toch? Als de gegevens toch gelekt worden? Een gijzeling werkt alleen als je die niet alsnog dood.
Reageer
DdeM @Jaldea26 februari 2026 13:12
Het zal niet de eerste keer zijn dat gijzelnemer ls iemand alsnog doden na het krijgen van losgeld, net zoals gegevens gewoonweg niet verwijderd worden maar danwel verkocht, danwel opnieuw gebruikt om je nog een keer af te persen https://www.phishlabs.com/blog/ransomware-groups-break-promises-leak-data-anyway


Het zijn criminelen, de enige garantie die je hebt is dat ze crimineel gedrag vertonen.
Reageer
lenwar
@Mbb1526 februari 2026 11:50
Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe.
Lees dit zelf is. Wie denk je dat die 1 miljoen betaald. De klanten van Odido. Odido is 'maar een bedrijf'. Al het geld dat zij hebben wordt betaald door hun klanten.

Ik snap het sentiment hoor, maar het betalen van losgeld, stimuleert dit soort malloten om hiermee door te gaan.
Reageer
Bomb-el @lenwar26 februari 2026 11:58
Jij verwacht echt dat odido het lef zou hebben dit door te rekenen aan zijn klanten? Ze raken er nu al een heleboel kwijt en dan zouden ze wel kunnen opdoeken. Ze moeten gewoon jaarcijfers publiceren, dus dat zou 100% zeker uit zijn gekomen.
Reageer
lenwar
@Bomb-el26 februari 2026 12:05
Ze zullen het inderdaad niet direct in de boeken doorbelasten naar de klanten. Maar onder aan de streep is het een kostenpost, die linksom of rechtsom betaald moet worden. Het scheelt een beetje dat Odido (nog) een BV is, en niet een NV. Dus er wordt niet 'allen maar' naar kwartaalcijfers gekeken.

Bij die jaarcijfers is er straks dan (bijvoorbeeld) 1 miljoen minder winst. Het jaar daarop zal Odido hun prijzen verhogen. Voor 'investeringen in het netwerk' of wat dan ook. Dan nemen ze dit daar gewoon in mee.
Reageer
Bomb-el @lenwar26 februari 2026 13:13
Nee dat snap ik, ik bedoelde meer dat ze de eerstkomende prijsverhoging wel verdomd goed mogen onderbouwen, willen ze niet nog meer klanten gaan verliezen.
Reageer
lenwar
@Bomb-el26 februari 2026 13:40
Denk je dat dit incident in februari 2027 nog heel erg bij mensen actief op het netvlies staan? (of zelfs al in oktober dit jaar.) Mogelijk dat Tweakers het nog aanhaalt als vulling of discussievoer in het artikel, maar ik denk niet dat er over een paar maanden nog veel mensen mee bezig zullen zijn.

https://haveibeenpwned.com/PwnedWebsites - Hoeveel van deze 'pwns' heb je nog actief in je geheugen zitten. (en dan bedoel ik uiteraard van de grotere/algemenere diensten, en niet over een één of andere Amerikaanse Universiteit of Automarktplaats of zo, maar de algemenere diensten waar Nederlanders/Belgen ook redelijkerwijs accounts kunnen hebben. (Instagram, SoundCloud, pi-hole, LinkedIn, Vodafone, Adobe, en dat soort diensten.))
En dat zijn alleen maar de lekken die bij die HIBP zijn afgegeven. https://tweakers.net/nieuws/zoeken/?keyword=datalek#filter:q1bKTq0szy9KUbJSSkksScxJzVbSUSopT03MTkosTvVMKVayilYyNdA1NjczUIqtBQA - Albert Heijn, Postcode Loterij, CZ (de verzekeraar), en ga zo maar door.

Over een paar maanden is iedereen dit weer 'vergeten' (afhankelijk van hoe het blijft na-etteren, natuurlijk.), en gaat dit echt geen impact hebben op de publieke opinie bij de volgende tariefsverhoging.
Reageer
Metalfreak @Bomb-el26 februari 2026 12:51
Denk je nu echt dat je dan een kostenpost op je rekening ziet staan met "Compensatie hack" o.i.d.? Je bent niet zo bekend met hoe bedrijven werken zeker?
Reageer
Bomb-el @Metalfreak26 februari 2026 13:11
Lees eerst maar even wat beter
Reageer
jpsch @Metalfreak26 februari 2026 14:53
vrijheidsbijdrage?
Reageer
nehal3m @lenwar26 februari 2026 11:58
Of de CEO pakt een miljoentje minder dit jaar. Lijkt me niet onterecht.
Reageer
scramados @nehal3m26 februari 2026 12:12
Goed idee, maar ik ben bang dat de wereld helaas niet zo werkt.
Reageer
nehal3m @scramados26 februari 2026 12:26
Nee, ik zie het ook somber in hoor, gerechtigheid wordt ‘m waarschijnlijk niet. Maar het zou wel verfrissend zijn.
Reageer
Zezura @scramados26 februari 2026 12:36
Misschien moeten we daar dan iets aan doen.
Reageer
ict @lenwar26 februari 2026 14:41
die 1 miljoen is peanuts vergeleken bij de 'damage control' die ze tot op heden gedaan hebben. die overigens echt belachelijk laag en onvoldoende is maar dat terzijde. Denk dat alleen al deze schijnvertoon/schijnveiligheid meer kost: nieuws: Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming
Reageer
lenwar
@ict26 februari 2026 15:05
Denk je?
Ik weet niet hoe die licenties uitgegeven worden, maar als (vrijwel) niemand het gebruikt, kost het Odido ook niets. Bij KPN en Freedom krijg je bij glasvezel ook 'gratis F-Secure' erbij. Ziggo geeft Safe Online XL 'gratis' (wat ook vast F-secure is), als je ook Vodafone hebt.
Reageer
ict @lenwar26 februari 2026 16:37
Ze laten bestaande klanten er anders graag voor betalen. Dat het ze zelf weinig kost en de marges ruim zijn zal ongetwijfeld zo wezen. Maar gratis weggeven in plaats van het tegen betaling aanbieden kost ze geld.

Ik had al geen hoge pet van odido maar met deze farce weggeefactie hebben ze in ieder geval bij mij het tegendeel bereikt.
Reageer
InfiniteSpaze @Mbb1526 februari 2026 11:48
je kan https://haveibeenpwned.com/ gebruiken voor je emailadres. Misschien als deze ertussen zit dan zit al je andere data er mogelijk ook tussen de gelekte gegevens. Ik weet alleen niet hoe snel die site is met het toevoegen van breaches.
Reageer
Luoar @InfiniteSpaze26 februari 2026 11:49
Ik wilde net zeggen, kunnen we mooi van de gelegenheid gebruik maken om te kijken hoe snel https://haveibeenpwned.com/ bijgewerkt wordt.. :X
Reageer
P1nGu1n @InfiniteSpaze26 februari 2026 11:53
In februari zijn tot nu toe 11 websites toegevoegd aan HIBP, maar Odido zit daar (nog) niet tussen:
https://haveibeenpwned.com/PwnedWebsites
Reageer
DaFeliX Developer @P1nGu1n27 februari 2026 06:50
Hij staat er sinds 26 bij. Dat vind ik toch best snel :)
Reageer
tedades @InfiniteSpaze26 februari 2026 12:05
Je kunt daar ook notificaties aanzetten voor een email adres. Dan krijgt dat email adres een mail zodra hij gevonden is geworden in een nieuw lek.
Reageer
Romborum @Mbb1526 februari 2026 11:50
Omdat mensen die denken zoals jou ervoor zorgen dat dit soort praktijken doorgaan.

Laat ze maar alles lekken. Weet je wat, we kunnen beter alles zelf als bevolking lekken. Als er niets te stelen valt, dan is het allemaal waardeloos. Het stopt pas als ze er geen geld mee verdienen. Ik vind zelfs dat betalen zwaarder bestraft moet worden dan het datalek zelf.
Reageer
Bomb-el @Romborum26 februari 2026 11:56
Jij bent lekker, consequenties voor odido zijn dus nul komma nul. Lekker over de rug van al je klanten principieel gaan lopen doen terwijl je zelf de boel slecht op orde had. Ze doen niet eens een poging om het te voorkomen.

En dan hebben het over een bedrag van 1 miljoen euro, hoewel ik ergens heb gelezen dat het 500.000 euro was.
Reageer
demianmonteverd @Bomb-el26 februari 2026 12:12
Betalen geeft geen garantie of het niet alsnog verder word ingezet. Dus wat je er ook van kan vinden, de enige juiste actie is niet betalen.
Reageer
Bomb-el @demianmonteverd26 februari 2026 12:24
Pertinent niet waar. Wat hier juist is, is voor iedereen anders. Het zou imo juist zijn als odido na deze shithow de risico's tot het maximale had geprobeerd te mitigeren en dat hebben ze nu bewust niet gedaan. Iedereen heeft nu last, behalve odido zelf. Die overigens, even terzijde, nul komma nul hebben gecommuniceerd naar de gedupeerden behalve 1 enkele mail.

Iedereen snapt dat het geen garantie geeft. Maar we hebben nu wel een andere garantie. 8 miljoen huishoudens in de rats.

Jij bent ongetwijfeld geen klant
Reageer
demianmonteverd @Bomb-el26 februari 2026 14:07
Inderdaad geen klant. Maar je kunt mij in andere lekken vinden als je wilt. Ik sta bijv. in het lek van openai, allekabels, linkedin en nog vele andere (ik list degene die het nieuws op tweakers hebben gehaald).
Reageer
GeeBee @Bomb-el26 februari 2026 12:33
Romburom zegt zwaarder bestraft, dus niet meer dan 0 bestraft.
Reageer
mexicanburribo @Romborum26 februari 2026 11:56
Of een beter idee: zorgen dat er ingezet wordt op betere beveiliging en encryptie bij dit soort belangrijke gegevens en zorgen dat er alleen wordt opgeslagen wat er daadwerkelijk nodig is. (de controlevraag is namelijk meestal de laatste 3 of 4 cijfers van je iban, daar heb je niet je volledige iban voor nodig.) Dat wellicht juist strafbaar stellen. Dan is en de data waardeloos als die wel uit een dump wordt getrokken, loont het ook minder om dit soort tokos aan te vallen en komt het je privacy ten goede.

Je argumentatie leest in ieder geval als een 'ik heb niks te verbergen'.

[Reactie gewijzigd door mexicanburribo op 26 februari 2026 12:02]

Reageer
PCG2020 @Romborum26 februari 2026 12:31
Wil je even je bankrekeningnummer en pincode aan mij "lekken", dan? Want je vindt het blijkbaar geen probleem dat ik even jouw rekening leeg trek, die is immers toch "waardeloos".

O wacht, dat wil je niet? Goh :+
Reageer
Martinspire @Mbb1526 februari 2026 11:51
Wat voor andere maatregelen ga je nemen dan?

Verder is er geen garantie dat die gegevens niet uiteindelijk toch nog lekken. De vraag is verder of ze nog wat voor hun klanten gaan betekenen. Daarnaast lijkt het mij logisch dat met zoveel aandacht je nooit meer gaat betalen, want dan maak je van jezelf alleen maar een groter doelwit. Door niet te betalen geef je duidelijk aan dat er geen geld te verdienen valt. Bovendien kan het nog zijn dat niet alle lekken gedicht zijn en je jezelf alleen maar kwetsbaarder maakt.
Reageer
MeNot2 @Mbb1526 februari 2026 11:55
Ik ook. Ik zou zeker geen miljoen betalen aan criminelen, waarna ze dit dan kunnen gebruiken om nog meer slachtoffers te maken. Dat maakt in mijn oogpunt Odido gewoon een financierder van criminele activiteiten.

[Reactie gewijzigd door MeNot2 op 26 februari 2026 11:56]

Reageer
Bender @Mbb1526 februari 2026 12:05
Waarom Odido niet betaald om een hackers bedrijf te financieren, lijkt me voor de hand liggend..

Je financiert een toekomst van meer hacks, ze hebben immers het geld om personeel te betalen om meer hacks te doen.. zelfs meer personeel aan te nemen.
Reageer
Audioot @Mbb1526 februari 2026 12:07
Het gaat denk ik niet om het geld maar om het gevaar dat de hackers niet zo "eerlijk" zijn om niet alsnog de gegevens online te zetten of achteraf nog meer geld te willen.
Reageer
SgtElPotato @Audioot26 februari 2026 12:23
De vrij dreigende tekst duidt daar ook op. Dit soort partijen moet je NIET betalen. Hoe kwalijk de zaak ook.
Reageer
m.z @Mbb1526 februari 2026 11:54
Nou goede vraag, we moeten nu op mails van Odido en (vooral vanuit) bronnen vanuit gaan hoe en wat. Odido heeft alleen bevestigd wat gebeurd is en wat gelekt is, maar ik vind het een kwalijk zaak dat andere partijen mij moeten vertellen, beter gezegd zelf moet a achterkomen, wat er (mogelijk) op straat komt te liggen en/of gestolen is.
Reageer
Steven030 @m.z26 februari 2026 12:08
Dit. En ik wil vooral tips van wat ik nou zelf echt zou moeten ondernemen. Loop ik echt geen risico als ik alles zo laat? Of is het toch handiger om een nieuw paspoort te nemen? Waarbij het mooi is als zij het zouden betalen, maar alleen al de tip en dat ik vervolgens zelf een nieuw paspoort betaal is al meer dan welkom.
Reageer
m.z @Steven03026 februari 2026 12:15
Nou, dat vraag ik me ook af. Ik zelf weet niet hoeveel baat het heeft als nieuw id zou laten aanmaken, gezien gegevens vanuit vorige id, op kaart nummer na, identiek zijn? En, hoe dwing je dan iemand af dat alleen de recente ID wordt gebruikt.

Ik zelf heb digitaal een klik-en-klaar abonnement genomen, vrij vlak nadat ik nieuw paspoort kreeg….. al kan ik me helaas niet 123 herinneren welke gegevens zijn verwerkt tijdens aanvraag aan Odido. BSN? BSN + documentnummer? 🤔
Reageer
Steven030 @m.z26 februari 2026 15:03
Documentnummer en verloopdatum zijn gelekt. Bij sommigen ook het BSN-nummer.
Reageer
m.z @Steven03026 februari 2026 15:50
Bizar veel, nogal slechte communicatie vanuit Odido dan.

Thanks voor de update
Reageer
Linux gebruiker @Mbb1526 februari 2026 12:10
Is er ergens te achterhalen welke gegevens van jou zijn gelekt? Dan weet ik welke maatregelen genomen kunnen worden...

Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe. Of het verstandig is om hackers te betalen is een tweede maar als je moet kiezen tussen 2 kwaden weet ik het antwoord wel.
Inderdaad, bijzonder hufterig van Odido om hun klanten zo te laten stikken, snap hun redenering dat je niet aan criminelen toegeven moet, in dit geval gaat het om een aanzienlijke maatschappelijke schade op termijn, wat je niet kunt verantwoorden tegenover je klanten. De directie, raad van bestuur zouden het gevraagde bedrag uit eigen zak moeten ophoesten, zou ik denken.
Reageer
Carlos0_0 @Mbb1526 februari 2026 12:12
Jij denkt dat je dan 100% zekerheid heb die hackers niks doen ?, er zullen echt wel paar in die groep zitten die niks doen.
maar je heb 0% garantie, dat er niet een paar echt slechte bij zitten, die al lang een eigen kopietje hebben en het als nog online gooien erna.
Reageer
vlieger200 @Mbb1526 februari 2026 12:15
Reactie van Odido en in lijn met wat de NCSC standaard adviseert: "Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren."
Reageer
jak600 @Mbb1526 februari 2026 12:21
ik ben juist blij dat ze niet betalen.

als niemand ze betaalt wordt de drang om dit te doen ook minder want het kost tijd en energie en het levert niks op.
Reageer
Rob_lyreco @Mbb1526 februari 2026 12:26
Als je eenmaal betaald is het hek van de dam.

Nooit onderhandelen met terroristen. Opsporen en ~per ongeluk~ van de trap laten vallen.

Zeker bij digitale diefstal weet je nooit of die info bij een 100 andere mensen ligt due ook 1 miljoen willen hebben.
Reageer
gamezfreak @Mbb1526 februari 2026 12:26
Is er ergens te achterhalen welke gegevens van jou zijn gelekt? Dan weet ik welke maatregelen genomen kunnen worden...

Waarom betaald Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe. Of het verstandig is om hackers te betalen is een tweede maar als je moet kiezen tussen 2 kwaden weet ik het antwoord wel.
Omdat je alsnog niet weet of ze de gegevens publiceren of niet. Ga er maar van uit dat ze dat wel doen, ook al krijgen ze een grote zak met geld en alles wat ze willen, zolang zij over die gegevens beschikken, weet je niet wat ze ermee gaan doen. Ze kunnen wel zeggen dat als je betaald, dat ze de gegevens niet online gooien, maar dan moet je ze op hun blauwe (of rode) ogen geloven.

Daarnaast kunnen ze de gegevens niet online zetten (lees: open internet), maar door verhandelen via het darkweb, totdat de hogere machten (FBI, Politie, Interpol, Europol) weer een serverpark offline halen. In 2023 stonden mijn gegevens op Genesis Market
In het begin kreeg ik veel spam mails en vaak dreigend, nu krijg ik onzin mails die ik negeer, verder af en toe een telefoontje die met een robot stem zegt dat ik op een vacature heb gereageerd en meer info moet opgeven.

Om je even een idee te geven, je mailadres zit een dataset die verkocht wordt. het kan best zijn dat je mailadres in tientallen datasets zit en dus door verschillende groepen wordt gebruikt. Elke keer dat een dataset wordt gevonden en in beslaggenomen, betekent het dat je mailadres meerdere keren gelekt is.

Er geldt natuurlijk geen garantie dat de datasets die hackers kopen, dat ze werken. Het is gewoon bulk / batchverwerking wat ze doen en naar iedereen zo'n mail afsturen. Houd daarom de meest belangrijke accounts veilig met MFA (al is dat ook te omzeilen), passkey of iets als een Yubikey, mits het ondersteund wordt.

Offtopic:
Was het niet gewoon handiger dat je alles middels DigiD kon doen en dat de verwerker een OK of niet OK terug krijgt?
Reageer
martwoutnl @Mbb1526 februari 2026 12:33
En dan betalen ze en gaat het alsnog online. Je hebt 0,0 garantie.
Reageer
JPK1960 @Mbb1526 februari 2026 12:40
Omdat bij een volgende gelegenheid hws meer zal worden geëist.
Reageer
Polydeukes @Mbb1526 februari 2026 12:44
Waarom betaald (sic) Odido niet gewoon die 1 miljoen, voor zo'n bedrijf is het kleingeld maar miljoenen mensen zijn straks de dupe.
Het is ook een enorm dilemma. Enerzijds wil je niet dat criminaliteit loont, dus als niemand nog losgeld betaalt, verdwijnt langzaam die prikkel. Tegelijkertijd heb je geen enkele garantie dat de criminelen zich aan hun woord zullen houden. Je hebt geen controle over wat ze alsnog met die data zullen doen. Verkopen op t darkweb levert mogelijk meer op dan die 1 miljoen losgeld. Er zijn geen garanties. En tot slot, de schade is al geleden, namelijk reputatieschade. Dit kost Odido veel klanten en dat kost ook een hele hoop geld. En die 1 miljoen losgeld gaat dat niet voorkomen.

Nu is er ook een stroming die zegt dat als criminelen niet betrouwbaar zijn en alsnog de data verkopen of lekken, ze zichzelf in de voet schieten en daarom zich aan hun woord moeten houden, maar het bewijs stapelt zich op tegen hen. Te vaak is gebleken dat ondanks het betalen van losgeld, data alsnog gelekt wordt en er geen garanties zijn.

Daarom is de consensus in securityland om geen losgeld te betalen. Het levert te weinig op en je kunt je gedupeerde klanten helemaal niks garanderen. Je lot ligt in handen van criminelen.
Reageer
crptc @Mbb1526 februari 2026 12:45
En dan? Dan nog zijn je gegeven in handen van criminelen. Nu zijn we allemaal opgevoed met het idee van Robin Hood en dat criminelen eerlijk zijn achter hun boeven tronie, maar dat is niet zo. Betalen is de deur open zetten naar de volgende geld-eis van een partij die de gegevens ook al heeft.

Het is zuur, maar ik sta, als klant van Odido die hoogstwaarschijnlijk ook nu de sjaak is, achter de beslissing van odido. Dat ze gehakt zijn doordat er een medewerker belazerd is is ook gewoon zuur voor hun. We kunnen allemaal heel boos worden op Odido, en er is vast wel iets te zeggen van de security die ze hadden en beter had gekund. Maar zij zijn ook slachtoffer.

Als een oud vrouwtje haar portemonnee op haar rollator heeft liggen zouden we ook niet zeggen dat ze het verdiend bestolen te worden, hoe erg het ook voor het grijpen ligt. De crimineel is degene die hier fout zit.
Reageer
Nickname55 @Mbb1526 februari 2026 12:45
Waarom betaald Odido niet gewoon die 1 miljoen
En wie geeft je de garantie dat er dan niets gebeurt met die data? Die data word dan alsnog verkocht en gebruikt. Ga daar maar vanuit.
Reageer
onok 26 februari 2026 11:52
"We were reasonable" ook :+

Tuurlijk. Je bent crimineel, je steelt persoonsgegevens, heel redelijk allemaal. Ik hoop dat Odido z'n poot stijf hout en geen cent overmaakt aan dit tuig. Mijn gegevens lagen toch al op straat na eerdere hacks bij facebook en linkedin.
Blijf veilig mensen. Zorg voor 2FA, passwordmanager, en het komt allemaal wel goed.
Reageer
William_H @onok26 februari 2026 14:03
Tuurlijk. Dus omdat jou gegevens al gelekt zijn bij twee massief invasieve bedrijven die niks geven om privacy, moeten mijn gegevens ook maar op straat liggen.

Was het maar zo simpel. Genoeg bedrijven en instellingen die genoegen nemen met de gegevens die nu gelekt zijn om mijn identiteit te controleren.
En ik heb niks te zeggen over het identitficatiebeleid van die instellingen en bedrijven. Dus helaas gaat je oplossing niet werken. Totdat bedrijven en instellingen verplicht worden je te identificeren met andere gegevens of op een andere manier (ik heb wel ideeën, maar dat is een andere discussie).
Reageer
magnifor @onok26 februari 2026 14:59
Al die dingen die jij opnoemt gaat niet helpen tegen identiteitsfraude. Je gehele NAW inclusief tel nummer en identiteitsbewijs nummers liggen op straat. Het gevaar is niet dat men ergens in een accountje kan inloggen, het gevaar is dat men 1 zeer gerichte aanvallen kan uitvoeren op specifieke personen want alle controlegegevens kloppen en 2 dat men zich kan voordoen als jou want alle controlegegevens kloppen. 2fa, passwordmanagers en de hele mik mak doet hier echt 0 tegen.
Reageer
Croqy @onok26 februari 2026 12:13
Precies. Merkwaardig dat ik zover in de comments moest scrollen om dit tegen te komen. Er is sprake geweest van gerichte misleiding om aan inloggegevens te komen waarmee vervolgens onrechtmatig inbraak is gepleegd. Dan leggen ze in hun commentaar de bal volledig bij de bestolene, daardoor zullen ze misschien iets beter slapen, wetende dat er verschillende instanties naar ze op zoek zijn...
Reageer
KoffieAnanas @Croqy26 februari 2026 13:48
Reasonable criminals :+

Dat Odido tekort schiet is duidelijk, dat betekent geen vrijbrief voor criminele activiteiten. Of enig sympathie. In dat geval had je contact opgenomen met Odido om hun te wijzen op hun slechte beveiliging. Eventueel licht je de pers in met wat info hierover om druk te zetten op Odido. Maar we hebben het hier over afpersing, een criminele activiteit. Punt.
Reageer
Toonen1988 @onok26 februari 2026 12:08
Een 2FA beschermt alleen tegen ongeautoriseerd inloggen op individuele accounts. Het voorkomt dat iemand met een gestolen wachtwoord je account binnendringt.

Maar hier gaat het niet om accounts, het gaat om een hack van een database. Hackers hebben direct toegang tot de opgeslagen gegevens van klanten, ongeacht of 2FA is ingeschakeld. Zelfs met 2FA zouden de privégegevens nog steeds gelekt worden als de database niet goed beveiligd is.

De angst is hier ook niet dat iemand op jouw account inlogt, maar dat jouw gegevens worden gebruikt door criminelen. Dit staat los van 2FA.

[Reactie gewijzigd door Toonen1988 op 26 februari 2026 12:10]

Reageer
onok @Toonen198826 februari 2026 12:23
Voor een deel klopt het wel wat je zegt, maar uiteindelijk proberen criminelen meestal dmv. fishing/social engineering je accounts in te komen, of ze laten je geld overmaken. Dit is waar ze die gegevens voor gebruiken: hoe meer gegevens ze hebben, hoe betrouwbaarder ze overkomen. Het klopt dat 2FA geen bescherming heeft geboden tegen het stelen van je gegevens, maar het beschermt je wel (deels) tegen de gevolgen daarvan.
Reageer
Genosha @onok26 februari 2026 13:23
Gebruik geen sociale media, gebruik unieke e-mail adressen en wachtwoorden. Vul bij websites waar je nooit gaat bestellen of een dienst afneemt gewoon het adres van het gemeentehuis/politiebureau in. Hoe minder je online zichtbaar bent, hoe beter.
Reageer
ict @onok26 februari 2026 13:41
1 miljoen als bug bounty program voor de omvang van deze nalatigheid van odido te patchen is een schijntje en hadden ze met beide handen moeten aangrijpen om de 6+miljoen klanten te beschermen.
Reageer
Jerie
@onok26 februari 2026 14:44
Voor hun maatstaven waren ze redelijk. Die maatstaven zijn een honor among thieves. Ongeschreven wetten in het criminele circuit. Een voorbeeld in het Nederlandse milieu van zware criminaliteit is 'wie praat die gaat'.

Ze gebruiken ook FAFO als nomenclatuur, dat is opmerkelijk, die stamt namelijk uit Amerikaanse leger. Wat een taalvouten staan er trouwens in deze tekst. Citisen of Nederlands. Moet wel haast expres zijn gedaan. Als je kijkt naar de verdere opbouw van de zinnen zie ik diverse artifacts die duiden op een lazy taal (lees: Russisch). De vraag is dan nog of dit een statelijke actor is of een civiele maar gezien Rusland een criminal enterprise is maakt dat niet zoveel uit. Overigens werken bij THTC specialisten in linguistics.

Mijn take is: het doel is niet direct geld; het doel is de Nederlandse maatschappij te ontwrichten. En dat wijst naar Russische hybride oorlogsvoering.
Reageer
Superkanjo 26 februari 2026 11:47
Wat mij opvalt op de diverse platformen dat het enkel gaat over Odido, dat ze steken hebben laten vallen en moeten bloeden. Ja, Odido heeft steken laten vallen, absoluut, niet goed te praten.

Maar het is natuurlijk de hackersgroep die in mijn ogen ook wel wat aandacht mag krijgen, dit gaat imo veel grenzen over wat zij nu doen.
Reageer
inorde @Superkanjo26 februari 2026 11:58
Het ging de grens al over toen ze bewust probeerde binnen te komen in een systeem waar ze niks te zoeken hebben. Het hele statement is onzin. Odido had de beveiliging niet goed op orde en bewaart te lang gegevens. Tuurlijk kun je ze dat kwalijk nemen. Terechte kritiek en wellicht aankomende schadevergoedingen.

Inbreken en gegevens publiceren is 100% het werk van een criminele organisatie en iedereen die erbij betrokken is moet de bak in. Zelfs al zou de data praktisch publiek staan, het geeft niemand het recht om de boel te gaan chanteren en dan de boel te publiceren. Dit zijn simpelweg criminelen die nu aan het janken zijn omdat ze er momenteel geen geld mee verdienen.

Geef ze in godsnaam geen aandacht online, maar alleen van instanties die ze kunnen vinden en opsluiten. Want elk bericht online is alleen maar aandacht.

Als organisaties consequent niet betalen wordt het verdienmodel ook minder lucratief, dan moeten ze de boel namelijk proberen te verhandelen aan andere criminelen.
Reageer
Stukfruit @Superkanjo26 februari 2026 11:49
En vergeet niet de providers waaruit Odido is ontstaan.
Reageer
SterkeYerke @Stukfruit26 februari 2026 12:14
Hier heb je best een punt. Al die data die veel te lang is bewaard, werd onder T-Mobile (blijkbaar) ook al veel te lang bewaard. Je kunt je afvragen of dat bij T-Mobile in andere landen dan beter voor mekaar is, terwijl de AVG voor alle EU-landen geldt.
Reageer
AlexSoze 26 februari 2026 11:45
Ik vind het zeer kwalijk dat er vanuit Odido geen communicatie is naar zijn of haar klanten. Nu de gegevens online worden gezet zou ik graag mijn abonnementen kosteloos willen opzeggen en een vergoeding voor het wijzigen van mijn legitimatie.

Maar dat zou waarschijnlijk weer niet kunnen.
Reageer
Luchtbakker @AlexSoze26 februari 2026 11:53
Vind het eerder kwalijk dat Jij denkt zomaar om dit soort redenen van je abonnement denkt af te kunnen terwijl dit duidelijk overmacht is.

Geen enkel systeem is 100% waterdicht en zeker niet als er ook mensen mee moeten werken. Ze hadden in mijn ogen alleen wel de schade beperkter kunnen houden.
Reageer
!GN!T!ON @Luchtbakker26 februari 2026 12:01
Ben ik het in dit geval niet mee eens. Odido had nogal wat dingen niet op orde die je van een bedrijf van dit formaat wel zou mogen/moeten verwachten.
  • Gegevens (veel) langer bewaard dan bij wet toegestaan
  • Medewerkers die rechten hebben om het complete klantenbestand van Odido uit te lezen
  • Geen alerting of account locking 'goh dit account heeft in een uur tijd al 25,000 records geopend, dat kan niet kloppen we blokkeren het account.
  • Geen alerting (of uberhaubt toegangscontrole) op gevoeligere klantdata.
Dit zou m.i. reden genoeg zijn dat Odido zich niet zomaar achter 'overmacht' kan verschuilen.
Reageer
Inspired @Luchtbakker26 februari 2026 12:08
Overmacht zeker niet imho. Het lijkt de "standaard" Shinyhunters SFDC breach via een connected dataloader. Advies is al een tijd om admin approval in te stellen en met een allow list te werken. (https://help.salesforce.com/s/articleView?id=005132365&type=1) Van een bedrijf als Odido mag je zeker verwachten dat ze op de hoogte waren van dit risico, en dat ze maatregelen zouden hebben genomen. Deze groep is al sinds juni 2025 op deze manier bezig. Of dit reden is om een contract op te zeggen of een boeten uit te delen moet een rechter bepalen maar ze hebben wel voor een deel zelf schuld als gebruikers inderdaad gewoon zelf apps konden connecten.

[Reactie gewijzigd door Inspired op 26 februari 2026 12:09]

Reageer
Vipertje @Inspired26 februari 2026 23:33
Waarom zou dit niet gewoon door salesforce by default uitgezet worden. Ik kan geen reden bedenken waarom een call center medewerker het nodig zou hebben om apps in te laden. Dat is ook zeker verwijtbaar aan de kant van salesforce als ze op de hoogte zijn van dit security risico
Reageer
Zwarte_os @Luchtbakker26 februari 2026 11:55
Overmacht? Ze hadden hun verantwoordelijkheid kunnen nemen door te betalen of vergoeding uit te keren richting gedupeerden. Odido laat niet zien dat ze verantwoordelijkheid voelen over deze lek.

[Reactie gewijzigd door Zwarte_os op 26 februari 2026 11:56]

Reageer
TheJoe @Luchtbakker26 februari 2026 12:01
10 jaar aan gevoelige klant data bewaren, en dat het dan lekt is geen overmacht.
Reageer
D.nukem @Luchtbakker26 februari 2026 12:26
Het systeem had een scrape-beveiliging moeten hebben dat de boel dichtgooit na een x aantal onmenselijk inzagenverzoeken van een databank.

Een systeem dat al bestaat om brute-force/ddos aanvallen te voorkomen/af te weren.

100%?, Nee, maar de laksheid om de schade te beperken tot een minimun is ze weldegelijk aan te rekenen.
Reageer
StarZ @Luchtbakker26 februari 2026 12:39
Echt complete onzin. Overmacht?!? Hoe kan er 1 medewerker bij 6miljoen klanten? Hoe kan het dat ze al 10 jaar oude data nog steeds opslaan terwijl ze zelf zeggen dat niet te doen? Dit is geen overmacht maar dit is verwaarloosing van je taken.
Reageer
Annihilism @AlexSoze26 februari 2026 11:52
Hey maar je hebt toch gratis internetbeveiliging gekregen :+ !
Reageer
!GN!T!ON @Annihilism26 februari 2026 11:56
Hey maar je hebt toch gratis "kostenloos" internetbeveiliging gekregen !
Las dat en werd toch even goed boos, vind het echt smerig van Odido dat ze doen alsof het een leuk extraatje is en al helemaal dat woordje 'kostenloos', nee Odido mijn data ligt op straat, dat is niet 'kostenloos'.
Reageer
demianmonteverd @!GN!T!ON26 februari 2026 12:15
Je hebt natuurlijk een punt, maar laten we aub blij zijn dat odido in deze nu in elk geval de juiste actie neemt, namelijk niet betalen aan de mensen die de hack hebben uitgevoerd.
Reageer
vozzy867 @Annihilism26 februari 2026 12:18
Moest er wel om lachen. Het lost natuurlijk helemaal 0,0 op. Vroeg me wel direct af of ze dit nu ook zelf gaan gebruiken of dat ze het gevoel van schijnveiligheid nu ook op hun klanten over willen brengen.
Reageer
henswi89 @Annihilism26 februari 2026 12:30
ik heb de grond gelegen van het lachen toen ik dat las van die internetbeveiliging die ze aanboden :D. Zelf niet hun beveiliging op orde hebben, maar wel een "beveiligings pakket" uitdelen die anders toch niemand zou kopen. haha
Reageer
M4x @AlexSoze26 februari 2026 11:55
Inderdaad nul communicatie vanuit Odido, ook niet een mail naar de klanten met de uitleg dat ze niet betalen. Klanten mogen het via de NOS vernemen. Uit alles blijkt dat Odido geen zier geeft om de klantendata: ze hebben het niet goed beveiligd, en na diefstal trekken ze hun handen er vanaf. Uit niks blijkt dat Odido eraan werkt om te voorkomen dat de gestolen data misbruikt zullen worden.
Reageer
moonlander @AlexSoze26 februari 2026 12:08
Je hebt een mail ontvangen. En waarom zou je je legitimatie willen veranderen, men kan niks met paspoort nummers etc. En opzeggen kan na contract datum.
Reageer
pcxs @AlexSoze26 februari 2026 17:28
Weer zo 1 die de klok heeft horen luiden maar niet weet waar de klepel hangt.

Het enigste wat opgeslagen is dat was een documentnr en enkel met dat nr kan je gewoonweg niks.
Je zult fysiek je legitimatie moeten tonen en geen NR want daar gaat niemand mee akkoord.

Maar ja de naam zegt het al die persoon is niet 100%
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq