Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

ShinyHunters heeft opnieuw 1 miljoen records aan gestolen Odido-data gepubliceerd. De hackersgroepering gaf al aan dat zij iedere dag een nieuwe batch zal publiceren tot Odido betaalt. Have I Been Pwned heeft de eerste miljoen records toegevoegd aan zijn database.

ShinyHunters heeft een tweede txt-bestand met Odido-data op zijn darkwebsite gepubliceerd. Het gaat om een bestand met 1 miljoen records van 9,60GB, gecomprimeerd tot 307MB. Gisteren zette de ransomwarebende de eerste miljoen records online. ShinyHunters gaf toen aan dat het dagelijks 1 miljoen nieuwe gegevens zou publiceren, tenzij Odido betaalt. Volgens de hackgroep zijn er in totaal 21 miljoen records gestolen.

Odido liet in een reactie weten 'niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren'. Op zijn site dreigt ShinyHunters om vanaf zaterdag iedere dag 2 miljoen records te publiceren. "Dit vanwege het recente standpunt van Odido om geen losgeld te betalen." De gestolen gegevens omvatten onder meer mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en documentnummers, maar ook bsn's van zakelijke klanten en privacygevoelige aantekeningen over klanten. ShinyHunters zegt steeds gevoeligere gegevens te gaan publiceren.

In de database van Have I Been Pwned zijn ondertussen de miljoen records toegevoegd die ShinyHunters gisteren publiceerde. Het gaat volgens HIBP om gegevens van 668.100 klanten. Van 317.000 e-mailadressen stonden nog niet eerder gegevens in een HIBP-datalek. Odido-klanten kunnen hun e-mailadres opzoeken in de database om erachter te komen of hun gegevens deel uitmaken van de eerste batch.

Have I Been Pwned Odido — Als slachtoffers zich op Have I Been Pwned hebben aangemeld voor e-mailnotificaties, zijn ze per mail geïnformeerd.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 27-02-2026 08:59
558 • submitter: Jittikmieger

27-02-2026 • 08:59

Submitter: Jittikmieger

Lees meer

3 dagen geleden

Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort

Ethisch hacker die Odido-losgeld wilde crowdfunden heeft donaties teruggestort Nieuws van 2 maart 2026

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026

Hackers zetten eerste batch met gestolen Odido-data online - update 2

Hackers zetten eerste batch met gestolen Odido-data online - update 2 Nieuws van 26 februari 2026

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026

Meer producten en artikelen

Beveiliging en antivirus Datalek Hack Odido

Reacties (558)

558

546

197

20

1

306

Wijzig sortering

Tommatje 27 februari 2026 09:18

Ik vind dit dus wel serieus eng worden. Dat een groep hackers mijn gegevens hebben, is natuurlijk al ontzettend vervelend. Maar al deze gegevens van miljoenen Nederlanders is gewoon voor alle andere Nederlanders te downloaden, doorzoeken en dus ook te misbruiken. Denk aan stalkers etc. In principe kan iedereen nu vrij eenvoudig opzoeken waar ik woon (er vanuit gaande dat ik in het gelekte bestand sta), veel meer dan een naam heb je niet nodig (er vanuit gaande dat je de gegevens makkelijk kan doorzoeken, ik heb het niet geprobeerd). Ik denk dat daar het échte gevaar in zit voor onder andere slachtoffers van stalking, huislijk geweld e.d. Phishing is maar het begin, dit is gewoon een soort openbaar GBA aan het worden voor alle 6,2 miljoen Odido klanten. Niet alleen voor professionele criminelen maar voor iedereen die nog een appeltje te schillen heeft met iemand, kun je hier heel vervelende dingen mee. Heel erg naar allemaal...

mugenmarco @Tommatje • 27 februari 2026 09:51

En daarom ben ik ook zo pissig over de lakse houding van Odido, mag hopen dat iedereen daar weg gaat en ze failliet gaan.

Aanvulling:

Weet iemand of het waar is dat onze wachtwoorden in plaintext waren opgeslagen? Dus niet encrypted?

[Reactie gewijzigd door mugenmarco op 27 februari 2026 10:00]

XelaRetak @mugenmarco • 27 februari 2026 10:10

Dat van de wachtwoorden was volgens de meest recente info niet waar. Er was een veld in het klantenservicesysteem dat "password_c" als backendnaam had, maar dat was niet daadwerkelijk het wachtwoord maar iets van een controlevraag voor klantenservice.

Wachtwoorden zijn niet plaintext opgeslagen.

locke960 @XelaRetak • 27 februari 2026 11:46

dat was niet daadwerkelijk het wachtwoord maar iets van een controlevraag voor klantenservice.

Dat is niet veel beter. Controlevragen worden gebruikt als het password niet gebruikt kan worden. Met die informatie kun je de klantenservice interessante dingen laten doen en misschien zelfs de controle over het account overnemen.

NLblabla @locke960 • 27 februari 2026 12:08

Er is risico op een zeer gevaarlijke scam, waarbij ze met jouw gegevens een simswap aanvragen, daarmee je telefoonnummer overnemen, en vervolgens bankaccounts of crypto-accounts proberen over te nemen.

Sp3ci3s8472 @NLblabla • 27 februari 2026 12:17

Daarom is een sms of telefoontje een slechte vorm van 2fa, naast de andere gebreken.

NLblabla @Sp3ci3s8472 • 27 februari 2026 12:51

Het risico gaat verder dan 2FA. Als het telefoonnummer overgenomen is en jouw gegevens bekend zijn, kan men bij veel diensten de 2FA resetten, en ben je alsnog je funds kwijt. Dit is al veelvuldig gebeurd bij cryptohandelaren, en deze hack zal daar niet bij helpen. Zelfs bij overstappen naar een andere provider blijft dit risico, tenzij je je 06-nummer verandert.

asset185 @NLblabla • 27 februari 2026 12:58

Daarom snap ik ook niet dat bedrijven nog steeds doorgaan met dezelfde controlevragen waarvan de antwoorden nu op straat liggen.

Vervolgens krijg je hetzelfde liedje. De telecom provider waar dit gebeurt geeft niet thuis. Zegt sorry voor het ongemak, zoek het maar uit en prettige dag verder. De politie die oooh zo blij is dat Odido niet betaald heeft kan of wil je ook niet helpen.

[Reactie gewijzigd door asset185 op 27 februari 2026 13:43]

kabelmannetje @NLblabla • 27 februari 2026 13:30

Gelukkig gebruiken banken geen 2fa met sim.

@locke960 • 27 februari 2026 12:48

Ik mag toch hopen dat Odido de klantenservice inmiddels heeft geinstrueerd om die (inmiddels openbare) data niet meer te vertrouwen

Remzi1993 @Omegium • 27 februari 2026 22:49

Vorige week nog vroeg mijn woningbouw als controlevraag nog wat is je postcode, adres, geboortedatum en naam. Dit is nu dus openbaar. Mensen kunnen nu dus bij iedereen dat het gelekt is allerlei dingen doen. Ik vind het triest. Er is dus een kans dat criminelen allerlei dingen bestellen op naam van anderen.

Slaz @locke960 • 27 februari 2026 14:47

Het ging specifiek om een ‘contactwachtwoord’ dat je in elk geval ten tijde van T-Mobile kon gebruiken als extra beveiligingstrap tijdens contact met de klantenservice. Dit wachtwoord was alleen in te stellen of te wijzigen door een formulier op de post te doen, en werd dus nooit elektronisch ingevuld door de klant. Als dit “password_c” veld bij iemand was ingevuld en je zou een wijziging van je gegevens of een nieuwe simkaart aanvragen, dan moest de klantenservice medewerker eerst om dat contactwachtwoord vragen anders deden ze niks.

Het was dus vooral bedoeld als extra beveiliging tegen simswapping, maar is nu dus waardeloos. Geen idee of de mogelijkheid nog bestaat om zo’n contactwachtwoord aan te vragen.

alexwel @locke960 • 27 februari 2026 15:17

Van wat ik gisteren las, zijn deze controlevragen alleen voor telefonisch contact. Dus dit wachtwoord werd gevraagd als ene odido medewerker een klant belde, of andersom.

Dit systeem zou inmiddels al niet meer gebruikt worden door odido

RielN @locke960 • 27 februari 2026 15:26

Je zou zeggen dat de klantenservice redelijk alert is op deze vorm van scam ;)

Reloop @XelaRetak • 27 februari 2026 11:07

Ik heb de dumps even gedownload om te kijken of ik / familie er tussen staan maar dat is (nog) niet het geval.

Het veld dat jij aanhaalt bevat inderdaad een wachtwoord voor de klantenservice. Echter van wat ik kon zien zou t me niet verbazen als mensen daar gewoon hun wachtwoord invullen dat ze overal gebruiken. Denk aan "naam_jaar_leesteken"

JumpStart @Reloop • 27 februari 2026 12:14

Ik heb de dumps ...

Uhm, niet om het een of het ander, maar hier beken je dus dat je de wet hebt overtreden. Wellicht ietsje voorzichtiger zijn in je bewoordingen.

Remzi1993 @JumpStart • 27 februari 2026 23:00

Nee dat heeft ie niet, zie hieronder:

Het is pas strafbaar als je het op een verkeerde manier hebt verkregen en/of het misbruikt. Om te kijken of je eigen gegevens zijn gelekt valt niet onder die twee dingen. Bron: https://www.security.nl/posting/821908/Is+het+strafbaar+om+online+gelekte+data+te+bekijken

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.

Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

JumpStart @Remzi1993 • 27 februari 2026 23:11

Joh, dat stuk is van december 2023. Toevallig schrijft diezelde auteur in een eerdere nieuwspost over de Odido lek dit: Arnoud Engelfriet in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'

Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.

Dus inmiddels is door jurispudentie en/of wetswijziging dit nu wél gewoon strafbaar.

wooha @JumpStart • 28 februari 2026 00:21

Misschien helpt het om te verwijzen naar een uitgebreider artikel hierover van de door jou aangehaalde Arnoud Engelfriet, gepubliceerd na zijn uitspraak die jij aanhaalt.

Harder moeten zoeken of spitten in data (deep web) is dan een grijs gebied, en -in ieder geval in mijn stellige overtuiging – het Dark Web is dan niet meer openbaar.

...

Artikel 139g kent een uitzondering voor “degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang” die handeling eiste. Ik zie wel hoe “de buurman maakt zich grote zorgen dus ik heb voor hem gekeken” daar onder kan vallen.

Tegelijkertijd kun je die check alleen doen door het hele bestand te downloaden. Dat staat daarna op jouw laptop, en kan door onoplettendheid of wat dan ook een eigen leven gaan leiden. Op zijn minst vind ik dit dus enorm riskant.

Dat lees ik als strafbaar vanwege "in mijn stellige overtuiging ... [nog] niet openbaar" en "kan vallen onder [...] uitzondering" voor strafbaarheid, maar wel "enorm riskant".

[Reactie gewijzigd door wooha op 28 februari 2026 00:29]

pdidi @wooha • 28 februari 2026 14:17

Alles valt of staat dus met de definitie van Openbaar Toegankelijk. En de opmerking van Arnoud dat het zijn "stellige overtuiging" is dat zaken op het dark web niet openbaar zijn, laat ruimte voor interpretatie. Jan en alleman kan tegenwoordig op het dark web zaken zoeken

Verwijderd @wooha • 28 februari 2026 22:00

Nee hoor art 40 sr. Overruled dit want de plicht tot zelfbescherming en bewijsvoering is groter

[Reactie gewijzigd door Verwijderd op 28 februari 2026 22:01]

Remzi1993 @JumpStart • 28 februari 2026 10:54

Nee, je haalt de context weg. Als data openbaar is en je het niet misbruikt dan is het nooit strafbaar.

Malarky @JumpStart • 27 februari 2026 16:02

Maakt niet uit. Odido informeert mij niet wat er gelekt is over mij (en ik sta erin maar heb niets ontvangen van Odido) en de overheid instrueert Odido niet dat zo spoedig mogelijk alsnog te doen. Als de overheid mij niet meer wil of kan beschermen dan moet je zelf maatregelen nemen. Wellicht illegaal maar volledig moreel te rechtvaardigen en aan te moedigen.

JumpStart @Malarky • 27 februari 2026 16:10

Wellicht illegaal maar volledig moreel te rechtvaardigen en aan te moedigen.

Een rechter zal dat anders zien. Zéker als je ook nog eens het overtreden van de wet gaat aanmoedigen.

/maarjemoethetverderzelfweten

Verwijderd @Malarky • 28 februari 2026 22:01

Niet illegaal. Exact wat art. 40 sr beschrijft

Craftop @JumpStart • 27 februari 2026 13:52

Gisteren waren de dumpfiles nog gewoon op het normale web geposts, dus in principe is daar niets strafbaars aan. Als hij het inderdaad over de dag 2 dumps heeft, lijkt het me verstandig voorzichtig te zijn inderdaad.

JumpStart @Craftop • 27 februari 2026 14:52

Sorry, maar waar die informatie staat maakt geen drol uit. Het is illegaal verkregen informatie en, tenzij je als journalist zwaarwegend belang hebt vanwege nieuwsgaring, mag je die informatie simpelweg niet bezitten.

tijgervisuals @JumpStart • 27 februari 2026 18:08

Mijn zwaarwegende belang is te kijken WAT er mogelijk voor een INFO van WIE (misschien mijzelf) door onkunde van ODIDO-werknemers openbaar is gemaakt....

[Reactie gewijzigd door tijgervisuals op 27 februari 2026 18:09]

JumpStart @tijgervisuals • 27 februari 2026 18:37

Helaas voor jou, jij mag niet bepalen wat zwaarwegend is. Dat zal een rechter doen. En die gaat niet per sé mee in jou gedachtegang.

Nou zal het in praktijk wel loslopen uiteraard, dus dit is allemaal vrij hypothetisch, maar wettelijk en strafrechtelijk gezien heb je geen poot om op te staan als je zelf iets in je eigen belang vindt.

Remzi1993 @JumpStart • 27 februari 2026 22:53

Dat lijkt me sterkt, als er ergens een deur wagenwijd openstaat en er ligt iemand op de grond of er is niemand, dan lijkt het mij geen probleem om even rond te kijken of iemand hulp nodig heeft. Straks heeft iemand een hartaanval gehad ofzo. Dit soort uitzonderingen gelden bij alles. Niks is zwart of wit. Er is duidelijk nuance.

Het is pas strafbaar als je het op een verkeerde manier hebt verkregen en/of het misbruikt. Om te kijken of je eigen gegevens zijn gelekt valt niet onder die twee dingen. Bron: https://www.security.nl/posting/821908/Is+het+strafbaar+om+online+gelekte+data+te+bekijken

quote: https://www.security.nl/p...+gelekte+data+te+bekijken
Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.

Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

[Reactie gewijzigd door Remzi1993 op 27 februari 2026 22:56]

Verwijderd @JumpStart • 28 februari 2026 22:02

Klopt maar helaas voor jou heeft nog geen enkele rechter hier een uitspraak over gedaan. Er is nog nooit een zaak gevoerd hierover en dat gaat ook niet gebeuren want art. 40 sr

Remzi1993 @JumpStart • 27 februari 2026 22:51

Het is pas strafbaar als je het op een verkeerde manier hebt verkregen en/of het misbruikt. Om te kijken of je eigen gegevens zijn gelekt valt niet onder die twee dingen.

JumpStart @Remzi1993 • 27 februari 2026 23:15

Jah joh. Ga gewoon mij 3 keer op hetzelfde punt corrigeren. Terwijl je het fout hebt.

Herhaling: Arnoud Engelfriet in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'

MaffeMaarten @Craftop • 27 februari 2026 14:02

Waarom zou "waar je de dump vandaan haalt" het verschil maken of je de wet overtreedt?

Is dat echt zo? Ik ging ervanuit dat het .onion websites niet per se verboden zijn om te bezoeken. En als bezit van deze gegevens verboden is, dan is "ja maar het stond gewoon op het normale internet" waarschijnlijk geen goed excuus...

[Reactie gewijzigd door MaffeMaarten op 27 februari 2026 17:35]

Yaksa @MaffeMaarten • 27 februari 2026 16:28

Ja, maar de voordeur van mijn buurvrouw stond open dus ik ben gewoon naar binnen gelopen om koffie te zetten..................

Remzi1993 @Craftop • 27 februari 2026 22:57

Inderdaad, de wet staat aan jou kant. Zie hieronder:

Het is pas strafbaar als je het op een verkeerde manier hebt verkregen en/of het misbruikt. Om te kijken of je eigen gegevens zijn gelekt valt niet onder die twee dingen. Bron: https://www.security.nl/posting/821908/Is+het+strafbaar+om+online+gelekte+data+te+bekijken

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.

Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

JumpStart @Remzi1993 • 27 februari 2026 23:25

Inderdaad, de wet staat aan jou kant. Zie hieronder:

Haal je deze misleidende post ook nog even weg? Je verwijst naar bron van december 2023 en de situatie is, door jurispudentie en/of wetswijzigingen inmiddels toch echt 180° om.

Remzi1993 @JumpStart • 28 februari 2026 10:52

Kom eerst met citaten en bronnen. Zo snel verandert de wet ook niet. Wetswijzigingen zijn trajecten van een paar jaar.

JumpStart @Remzi1993 • 28 februari 2026 14:39

Nou, diezelfde auteur die het stuk in december 2023 schreef waarschuwt nu om niet op eigen houtje op het dark web de data set(s) te downloaden. Dat valt onder "heling".

Zie nogmaals Arnoud Engelfriet in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'

Remzi1993 @JumpStart • 28 februari 2026 17:48

Ik heb het niet over dark web maar gewoon openbare weg, dus op een openbare website. Je haalt dingen door elkaar.

JumpStart @Remzi1993 • 28 februari 2026 18:50

Elders ook al geschreven: Het maakt niet uit uit welke bron de gestolen data gedownload wordt!

De klantgegevens zijn door hackers illegaal verkregen. Daarmee is die database gestolen goed. Deze gegevens downloaden is heling.

De gebruikte bron maakt voor de wet niet uit. Of de bron publiek toegankelijk is of afgeschermd maakt dus geen enkel verschil.

(Zie je het voor je? Kinderporno is illegaal. Zou het ineens niet meer illegaal zijn als het publiekelijk te bekijken is?)

[Reactie gewijzigd door JumpStart op 28 februari 2026 20:02]

Verwijderd @JumpStart • 28 februari 2026 22:05

Als bewijsvoering is het niet illegaal. Als het je eigen kinderen betreft. Dan hoort het bij waarheidsvinding en dus onder art 40 sr maar dit is wel erg offtopic in mijn ogen hier

Remzi1993 @JumpStart • 1 maart 2026 19:48

Elders ook al geschreven: Het maakt niet uit uit welke bron de gestolen data gedownload wordt!

Wel, voor de rechter maakt het dus wel degelijk uit. Ook motief.

(Zie je het voor je? Kinderporno is illegaal. Zou het ineens niet meer illegaal zijn als het publiekelijk te bekijken is?)

Mensen zoals jij willen altijd je mening doorheen drukken door terrorisme en kinderen erbij te betrekken. Ja, als je als bezorgde ouder online een openbare dataset tegenkomt en je kijkt of je kind ertussen zit is dat wel degelijk niet illegaal, want een bezorgde ouder wilt weten of zijn kind naakt online is gegooid. Maar mensen zoals jij begrijpen nuance niet, en denken vaak in zwart en wit. Misschien tijd om langs een psycholoog hiervoor te gaan?

JumpStart @Remzi1993 • 1 maart 2026 20:29

en je kijkt of je kind ertussen zit is dat wel degelijk niet illegaal

Het is wél illegaal. Het is altijd gegevensheling, ongeacht motief, en daarmee strafbaar.

Er zijn alleen situaties denkbaar waarbij gesteld kan worden, door een rechter, dat er grotere belangen dienen en er niet tot vervolging overgegaan wordt. (Het voorbeeld van een journalist die voor nieuwsgaring toch de gestolen dataset dowload en onderzoekt.)

Maar euh... als je op de man gaat spelen door te suggereren dat ik richting psycholoog zou moeten?

Joh, broekie, ga nog even buiten spelen zeg.

Reloop @JumpStart • 27 februari 2026 15:34

Heb 'm even moeten zoeken maar gewoon kijken is schijnbaar niet strafbaar volgens Arnoud Engelfriet die hier volgens mij ook regelmatig heeft geschreven.
Zie deze link.
Nu staat er wel, "Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar)", maar met bestand neem ik aan dat het dan gaat over de voorbeelden die hij zelf al noemt en niet het bestand dat je download.

Inmiddels kunnen we checken via de welbekende site voor gelekte data dus ik hoef deze moeite ook niet meer te doen. En 10 GB per bestand vult ook snel je schijf

JumpStart @Reloop • 27 februari 2026 15:41

Nou... Nee dus. Niet (meer). Dat stuk uit december 2023 is inmiddels achterhaald.

Zie Arnoud Engelfriet in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'

Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.

Reloop @JumpStart • 27 februari 2026 15:59

Die had ik inderdaad gemist.
Dan zal ik de volgende keer wat geduldiger zijn met haveibeenpwnd.

Bedankt voor de link!

Verwijderd @JumpStart • 28 februari 2026 23:38

Niks achterhaald. Er zijn geen uitspraken gepubliceerd die anders suggereren hoor.

asset185 @Reloop • 27 februari 2026 20:18

En gisteren waarschuwde Arnout Enfelfriet in dat andere nieuwsbericht dat het dowmloaden van deze data steafbaar was.

Verwijderd @asset185 • 28 februari 2026 22:08

Als je de rest van de wetten negeert heeft hij gelijk maar het gaat om het comulatief van de wetten. Art. 40 Sr is de sleutel hier. Je mag altijd downloaden en controleren of jij er in voor komt. En daarna mag je het archiveren om als bewijsmiddel te gebruiken indien het misbruikt wordt.

CMG @Reloop • 27 februari 2026 11:13

In de dag 2 dump was dit veld bij maar 258 van de 1 miljoen records gevuld; voor zover lijkt het niet een veel voorkomend iets te zijn.

licon @CMG • 27 februari 2026 12:22

Tsja, in dump 1 kwam, BTW-nummer maar 46 keer voor, en in dump 2, maar slechts 1 keer voor een betalingsverwerker uit Utrecht... Dus tsja...

royvosch @Reloop • 28 februari 2026 22:17

hoe open jij dat bestand zodat het netjes leesbaar is? ik heb EmEditor gebruikt maat dan is de opmaak niet echt hoe het hoort

Triblade_8472 @mugenmarco • 27 februari 2026 10:03

Over de lakse houding, wat kàn Odido doen dan? Wat zou jij als ceo anders doen hierin?

Beveiliging en antivirus
Hack

@Triblade_8472 • 27 februari 2026 10:38

Ze zouden kunnen beginnen de waarheid te vertellen over wat er in het lek zit en niet verbaasd doen als de NOS ze een datadump laten zien waar meer in zit dan ze zelf rapporteerden.

Pro-actief meewerken met de politie/gemeenten/etc. om kwetsbare mensen te beschermen zou ze ook sieren.

Een eigen datalek-zoekmachine opzetten waar je als (ex)-klant kunt verifiëren dat je in het lek zit zou ook mooi zijn. Het dichten van lekkende zoekmachines op hun website waar je kunt controleren wie er klant van ze is, zou ook mooi zijn (dat kun je mobiel wel opzoeken bij de ACM, maar vast internet niet).

Een melding op de homepage die het datalek erkent zou ook wel mooi zijn, in plaats van een reclame voor de nieuwste Samsung-telefoon.

Een uitleg voor waarom ze gegevens van klanten die al jarenlang uit hun systeem hadden moeten worden verwijderd ontbreekt ook nog. Ze lijken ook weinig geïnteresseerd in het vinden van hoe dat mis is gegaan.

Wat zou ik als CEO anders doen? Ik zal de kans niet krijgen, maar waarschijnlijk niks. Bek dichthouden, verantwoordelijkheid ontwijken, misschien een up-to-date PR-training volgen, zo hard mogelijk werken om bij de beursgang geld binnen te harken en dan een plan maken voor een pensioen of sabbatical. Dat is tenslotte waar je als CEO een riant salaris voor krijgt, het doel is om de aandeelhouders rijk te maken, niet om klanten van dienst te zijn.

Triblade_8472 @GertMenkel • 27 februari 2026 12:59

Over de waarheid vertellen en uitleggen waarom er 10 jaar oude data inzit is natuurlijk dat ze eerst alles goed onderzocht willen hebben voor er conclusie getrokken kunnen worden. Het zijn geen vragen waar spoed achter zit. Daarnaast zal het juridisch waarschijnlijk sterk afgeraden worden. Dit vindt ik niet vreemd.

Een eigen datalek zoekmachine opzetten is zinloos, ze hebben alle getroffenen al een direct e-mail gestuurd met wat er is gestolen.

Over de melding op de homepage, daar ben ik het met je over eens, al snap ik de business kant wel.

Maar dit valt allemaal nog steeds niet onder de "lakse houding" waar mensen het over hebben. Er gebeurt van alles. Dat iemand het er niet mee eens is betekend niet laks toch?

Beveiliging en antivirus
Hack

@Triblade_8472 • 27 februari 2026 13:43

Het zijn geen vragen waar spoed achter zit.

Als geraakte klant ben ik het daar niet mee eens. Eerst sturen ze een vage mail vol met dingen die "mogelijk" gelekt zijn, die linkt naar een pagina die hetzelfde zegt, maar nóg meer "mogelijke" data laat zien. Ik weet nog steeds niet welke data de criminelen precies van mij hebben gedownloaded.

Een eigen datalek zoekmachine opzetten is zinloos, ze hebben alle getroffenen al een direct e-mail gestuurd met wat er is gestolen.

Nee, ze hebben een mail gestuurd naar huidige klanten en sommige ex-klanten. Niet iedereen die in het lek zit, heeft een mail ontvangen. Daarnaast staat niet in de mail wat gelekt is, maar wat er daadwerkelijk gelekt is. Notities als "klant staat onder bewind" zijn blijkbaar niet gevoelig genoeg om te noemen op de datalekpagina.

Op de eerste mail na heb ik niks meer van Odido vernomen. Het aanbod voor twee jaar antivirus die ze als goedmakertje weggeven, moet je zelf op Odido's website lezen (als je de link nog weet, want op de voorpagina staat die niet), daar hebben ze bijvoorbeeld geen mail voor gestuurd. Ik moest er zelf ook via Tweakers achter komen dat ze die actie hebben opgezet.

Dit is volgens mij het op één-na-grootste Nederlandse datalek (Clinical Diagnostics is kleiner qua omvang maar veel gevoeliger) maar Odido behandelt dit alsof het een datalek van de lokale voetbalclub is: "Sorry, gaan we proberen te voorkomen, hier, voor twee jaar B-merk antivirus die andere providers gratis weggeven". Een groots datalek verdient grootste inspanning en de minimuminspanning die Odido momenteel levert, zou ik wel laks durven noemen.

licon @Triblade_8472 • 27 februari 2026 13:30

10 jaar oude data met "X.X.X.X.X. Achternaam(Inactive)" erbij gezet lijkt gewoon hun standaard beleid te zijn..

[Reactie gewijzigd door licon op 27 februari 2026 13:36]

licon @GertMenkel • 27 februari 2026 13:36

Nu heb je een dataset met 2 miljoen datapunten: kun je mooie kaartjes mee maken, zoals: 'Hier is de kaart van Nederland met de Odido klanten met betaalachterstanden om te chanteren'. Hier is een 'kaart van Nederland met de Odido klanten die teveel geld hebben en meer dan 3 abonnementen op eigen naam hebben afgesloten'. Hier is een 'kaart van Nederland met de Odido IoT klanten die gechanteerd kunnen worden dat hun kritieke internet infrastructuur uiteen valt als de Odido hackers hun aansluiting hadden geblokkeerd omdat ze geen losgeld willen betalen'.

[Reactie gewijzigd door licon op 27 februari 2026 13:36]

Beveiliging en antivirus
Hack

@licon • 27 februari 2026 13:47

klanten die teveel geld hebben en meer dan 3 abonnementen op eigen naam hebben afgesloten

Ik denk dat je "familie die samen Odido-korting sprokkelen" bedoelt.

Maar goed, als crimineel zou ik hier heel blij van worden. Je vindt mensen onder bewind/curatele, met een conflict met hun (ex-)partner, en nog veel meer. Ex verhuisd om voor je weg te vluchten? Grep ff op een naam, kans van 1 op 3 dat je je ex kunt terugvinden!

Om van spear phishing nog maar te zwijgen, er gaan de komende factuurronde een hoop mailtjes vanuit 0d1d0 de wereld rond.

licon @GertMenkel • 27 februari 2026 13:53

Bij familie staat in de meeste gevallen staat het abonnement op naam van het kind (als abonnee) maar wordt het beheerd en gecontroleerd door de ouder via Mijn Odido. Dus als je bijvoorbeeld meer dan 5 van die 06/097-nummers bij Odido hebt, dan is dat een indirecte hint voor vermogen en ondernemerschap...

[Reactie gewijzigd door licon op 27 februari 2026 13:56]

Beveiliging en antivirus
Hack

@licon • 27 februari 2026 13:55

Lijkt me nogal afhankelijk van de voorletters van jou, je partner, en je kinderen. Als Jan Janssen en Johanna Janssen samen Joop Janssen, Jodie Janssen en Jeffrey Jansen hebben, staan er vijf nummers op J. Janssen.

Daarnaast staan producten niet in het datalek, alleen contactgegevens, adresgegevens, en wat spul dat in het klantsysteem is ingevuld. Je kunt dus niet zien of iemand meerdere telefoonnummers heeft.

[Reactie gewijzigd door GertMenkel op 27 februari 2026 13:55]

licon @GertMenkel • 27 februari 2026 13:58

Die krijgen allemaal een aparte json entry ookal is de voorletter hetzelfde. Ik zou nog eens beter kijken naar de hints zoals Total_Subscriptions__c, Num_Active_Assets__c, Total_Data_Voice_Subscriptions__c

[Reactie gewijzigd door licon op 27 februari 2026 13:59]

Beveiliging en antivirus
Hack

@licon • 27 februari 2026 13:59

Apart, ik zie vanuit Odido en het nieuws nergens vermeld staan dat dat soort gegevens gelekt zijn. Maar goed, onderhand verbaast het me maar weinig.

@licon • 27 februari 2026 22:58

De meeste gevallen,.. maar zeker niet alle. Mijn kinderen hebben geen abonnementen op naam staan. En voor Opa en Oma nog een klik en klaar abo op mijn naam staan, en thuis glasvezel. Pfff. nu ben ik vermogend!

Desiler @Triblade_8472 • 27 februari 2026 10:21

ID kaarten / rijbewijzen vergoeden mochten die opnieuw aangevraagd worden.

Nairu777 @Desiler • 27 februari 2026 10:59

Die zijn niet uitgelekt. Dit is keer op keer specifiek genoemd in alle artikelen.

DennisDeMennis @Nairu777 • 27 februari 2026 11:56

ze geven zelf aan dat paspoorten en rijbewijzen wel zijn gelekt:
https://www.odido.nl/veiligheid

Nairu777 @DennisDeMennis • 27 februari 2026 12:37

Om welke informatie gaat het:

Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid)

Om welke gegevens gaat het niet:

Scans van identiteitsbewijzen

Vanwege een documentnummer of veiligheid hoef je geen nieuw document aan te vragen. Gaat het om BSN dan is het een ander verhaal.

DeFeCt @Triblade_8472 • 27 februari 2026 10:45

Ik zou het als gebruiker het in ieder geval op prijs stellen als Odido mij laat weten welke gegevens er nu exact zijn buit gemaakt. Ik kom voor in de have-i-been-pwned dataset, maar het is me nog steeds niet duidelijk welke gegevens van mij er nu op straat liggen. Die duidelijkheid zou ik toch mogen verwachten?

Ron79 @Triblade_8472 • 27 februari 2026 11:02

Ze hadden oude data kunnen verwijderen. Dat is sowieso al laks dat dat niet gebeurd is

i-chat @Triblade_8472 • 27 februari 2026 11:34

alle personen die mogelijk getroffen zijn per direct mailen bellen een brief sturen.
een helpdesk openen waar deze mensen naartoe kunnen met vragen over privacy en veiligheid en hoe ze de problemen deels kunnen afwenden..

mensen masssaal een abonement op have-i-been-powned aanbieden of een password manager die deze service integreerd zodat men onmiddelijk en eenvoudig in ieder geval hun passwords eenvoudig kan resetten naar iets wat veiliger is dan wat er gelekt is.

dit kun je allemaal doen zonder ook maar enige schuld of aansprakelijkheid te erkennen of schadevergoedingen te riskeren.

eggsforpedro @i-chat • 27 februari 2026 11:38

alle personen die mogelijk getroffen zijn per direct mailen bellen een brief sturen.

Dat hebben ze gedaan.

_l_Arjan_l_ @eggsforpedro • 27 februari 2026 14:15

Nee hoor. Uit de gegevens van haveibeenpowned blijkt dat ze niet alle gelekte emailadressen gemaild hebben.

Deditio_ @mugenmarco • 27 februari 2026 09:53

Voor veel mensen, inclusief mijzelf, is de stap te groot om over te stappen hierom. Al helemaal wetende dat dit bij elke andere provider ook kan gebeuren.

heerhaan @Deditio_ • 27 februari 2026 10:00

Ik vind het nogal makkelijk om te zeggen dat het bij een andere provider ook kan gebeuren alsof ze allemaal dezelfde mate van beveiliging hebben rond hun gegevens. Het leest voor mij een beetje als een excuus.

En als je kijkt naar wat er überhaupt gelekt is, vind ik het toch behoorlijk erop wijzen dat Odido op ontzettend veel vlakken steken heeft laten vallen. Denk bijvoorbeeld aan dat ze tot wel 10 jaar oude gegevens vasthielden.

Triblade_8472 @heerhaan • 27 februari 2026 10:05

Nee, het is geen excuus het is een reality-check.

Ten eerste hoef je echt niet naar een ander om beter beveiligd te zijn. (wellicht Freedom?)

Ten tweede is dit een call-to-action voor de AP, met name de nationale overheid, om nou eindelijk eens werk te gaan maken van serieuze controles èn boetes. Liefst op hoofdelijk bestuurlijk niveau. Alleen daarmee ga je verandering afdwingen.

TheBigBorg @Triblade_8472 • 27 februari 2026 13:00

Boetes voor bestuurders klinkt mooi, maar helaas hebben bestuurders bijna altijd gewoon een bestuurdersaansprakelijkheidsverzekering. Waardoor hun privévermogen dus toch weer mooi buiten schot blijft.

Triblade_8472 @TheBigBorg • 27 februari 2026 13:06

Vandaar de celstraf erbij. Pak ze waar het pijn doet: tijd en geld.

En de verzekeringen, dat gaat vanzelf pijn doen hoor, als er vaker en vaker bestuurders aangepakt worden.

Net als fatbike verzekeringen nu niet meer bestaat.

TheBigBorg @Triblade_8472 • 27 februari 2026 13:24

Nouja ze zijn nalatig geweest, om mensen daarvoor gelijk maar de bak in te laten gaan vind ik wel ver gaan. Ze hebben onvoldoende de beveiliging op orde gehad, niet opzettelijk gegevens op straat gegooid - dat zijn de hackers. Ik wil absoluut niet goed praten hoe er gehandeld is maar straffen moeten wel proportioneel blijven.

Wat mij betreft zouden we er beter aan doen de Autoriteit Persoonsgegevens eens een keer fatsoenlijk te gaan financieren zodat die voldoende slagkracht krijgt. Ik denk dat er een best grote kans is dat een interne medewerker de uitgebuite kwetsbaarheden al eens anoniem aan de AP heeft gemeld. Als de AP de capaciteit zou hebben serieus naar dat soort meldingen te kijken hadden ze vóór het mis ging een serieuze boete op kunnen leggen en beterschap kunnen eisen, en hadden we deze ellende voorkomen.

Triblade_8472 @TheBigBorg • 27 februari 2026 13:28

Dat er gegevens van 6 miljoen mensen zijn gelekt die gemakkelijk misbruikt kunnen worden vindt ik wel celstraf waardig.

Met name als signaalfunctie naar andere bedrijven met veel gevoelige data.

Sinester @Triblade_8472 • 27 februari 2026 14:17

En wie moet volgens jouw dan precies de cel in? de medewerker die dit perongeluk heeft laten gebeuren? de grootte baas bij Odido?

En wat is precies het nut van zo iemand in de cel stoppen? de gevangenis is hoofdzakelijk bedoeld voor het reformen van criminelen zodat ze de samenleving weer in kunnen. (of ze daar uit houden)

Het enige wat je hiermee bereikt is een familie kapot maken. Dit is echt niet nodig om andere bedrijven een signaal te geven.. die hebben ze nu echt wel gekregen

[Reactie gewijzigd door Sinester op 27 februari 2026 14:19]

Triblade_8472 @Sinester • 27 februari 2026 14:35

Degene die verantwoordelijk is voor het beleid, of het gebrek eraan. Dat kan zijn een manager die gèèn regels heeft opgesteld om dit avg-proof te maken, of juist degene die dit niet heeft uitgevoerd. Er is altijd een verantwoordelijke. Ze krijgen namelijk heel veel betaald voor "verantwoordelijkheid". Laat ze die ook maar eens nemen dan. Alternatief is ze hetzelfde te betalen als een receptie medewerker.

MenN @TheBigBorg • 27 februari 2026 14:30

Maar wat is anders de oplossing, het is zo vaak het geval dat door nalatig bestuur of willens en wetens dat er een loopje met de regels genomen wordt of dit soort onderwerpen niet serieus genomen worden Hoe anders moet je deze groep aanpakken? Het moet hun persoonlijk raken anders blijft het te makkelijk om keer op keer in dit soort situaties terecht te komen.

En het ergste het gaat ten koste van de meest kwetsbare groepen in de samenleving, die worden slachtoffer van oplichting waar ze echt pijn van voelen. Zo’n bestuurder kan zich dat niet voorstellen

En we hebben het hier over grote bedrijven waar bestuurders hoge vergoedingen krijgen, wat past bij de grote verantwoordelijkheid en persoonlijk risico.

[Reactie gewijzigd door MenN op 27 februari 2026 14:32]

TheBigBorg @MenN • 28 februari 2026 15:10

Ik zou de oplossing eerder zoeken in het proactiever toe zien op juiste implementatie van beveiligingsmaatregelen. Bijvoorbeeld door het mandaat van de Rijksinspectie Digitale Infrastructuur uit te breiden met (onaangekondigde) inspecties bij bedrijven met een klantenbestand groter dan x. Die kunnen dan boetes uitdelen vóórdat het misgaat. Geloof me, als dat flinke boetes zijn dan gaan bedrijven wel wat meer energie steken in security en zal als het toch misgaat vanuit het bedrijf zelf wel een verantwoordelijke worden gevonden die vervolgens z'n CV mag oppoetsen.

Vaevictis_ @Triblade_8472 • 27 februari 2026 11:54

Als bestuurders nalatig zijn geweest zijn ze gewoon hoofdelijk aansprakelijk. Dan ben je ook niet verzekerd.

Triblade_8472 @Vaevictis_ • 27 februari 2026 13:07

Als dat zo is, dan hoop ik zeer dat dit ook daadwerkelijk gedaan gaat worden.

En effectievere straffen graag.

Deditio_ @heerhaan • 27 februari 2026 10:05

Elke omgeving is hoe dan ook kwetsbaar. Al helemaal via Social Engineering waarbij geautoriseerde accounts gebruikt worden om gegevens te extraheren. Of Odido het inderdaad zo slecht op orde had moet blijken, maar veel mensen spreken erover alsof Odido de data publiek had staan zonder enige beveiliging. Shinyhunters heeft dit truckje uitgehaald bij honderden bedrijven, wie weet hebben ze gevanceerde tooling om deze data te extraheren en beveiliging vanuit Salesforce te omzeilen.

Ik ben op dit moment klant van Odido, dus Odido heeft data van mij. Dit zou bij de provider waar ik eventueel naar zou overstappen natuurlijk niet anders zijn.

davince72 @Deditio_ • 27 februari 2026 11:53

Social engineering is geen excuus om te accepteren dat gegevens worden gestolen, en al helemaal niet met miljoenen tegelijk!

Dus gebruik dit svp niet als excuus, Odido had betere maatregelen moeten en kunnen nemen.

Neem als voorbeeld die oude gegevens die er ook stonden terwijl die verwijderd hadden moeten zijn. Waarom denk je dat kassa’s einde van de dag leeg gehaald worden en niet 1x per jaar? Om te voorkomen dat bij overval meer dan dag omzet gestolen wordt.

Misschien gek voorbeeld maar komt op hetzelfde neer. Die oude gegevens hadden al weg moeten zijn!

@Deditio_ • 27 februari 2026 12:57

Ze hadden het hoe dan ook slecht beveiligd. Een customer service agent moet bij individuele accounts kunnen, maar als een agent meer dan 60 klanten per uur opvraagt, dan is er duidelijk iets aan de hand. Niemand telefooneert zo snel. Dus een goed systeem heeft een rate limit.

Daarnaast kan je ook werken met een systeem dat als jij een telefoontje van een klant krijgt, het account van die ene klant dan geunlocked wordt, en alle anderen gesloten blijft. Er zijn tal van mogelijkheden.

Dit is 100% een geval van niet genoeg investeren in beveiliging.

SebasFM @Omegium • 27 februari 2026 14:09

Je zou het ook nog kunnen koppelen of de klant daadwerkelijk contact heeft opgenomen, telefonisch/chat/winkel. Als een account dan zit rond te neuzen in de records heb je dat ook zo te pakken. Tenzij natuurlijk de achterkant lek is en daar de database mee leegtrekt...

FicoF @Deditio_ • 27 februari 2026 11:38

Een heleboel van de gelekte data mocht helemaal niet meer in de systemen staan van Odido.

dev-random @Deditio_ • 27 februari 2026 13:37

man man man, waarom blijft dit sentiment na alle details nog naar boven komen.

Nee, niet elke omgeving is hoe dan ook kwetsbaar!
Was dat ook maar een beetje waar geweest hadden alle telecom providers, banken, etc in dezelfde situatie gezeten. Alleen de marktpartijen die het verprutsen eindigen zoals Odido en ja, ze worden allemaal aangevallen.

Net als bij fysieke inbrekers was Odido hier het makkelijkste doelwit, de buren hadden betere sloten, er stonden wat lampen aan terwijl er niemand thuis is, er was misschien zelfs een alarmsysteem aanwezig, etc etc.

En ja, uiteindelijk zal maar weinig telecom provider zich duurzaam kunnen weren tegen de zwaarste statelijke actoren. Er zit misschien een héél klein beetje waarheid in het terugkerende "alles kan gehacked worden" excuus. Maar dat wil niét zeggen dat Odido de georganiseerde misdaad niet buiten de deur kan houden.

redslow @Deditio_ • 27 februari 2026 10:01

Als iedereen weggaat geeft dat een heel duidelijk signaal richting de anderen bedrijven.

Dat het kan gebeuren dat klopt. Dat de anderen bedrijven meer gefocust zullen zijn om dit niet te laten gebeuren. Zeker als de consequenties zijn voor het bedrijf dat ze failliet gaan.

GigaHenk @redslow • 27 februari 2026 11:08

Alleen weten we alllang dat achter alle grote bedrijven ter wereld de zelfde investeringspartijen zitten als Blackrock en Vanguard. Dus of een eventueel fallisement van Odido ook echt wat uit gaat maken.....

Dit is gewoon een bijproduct van centrale registratie. Zo lang dat toegestaan wordt, blijven dit soort gebeurtenissen terugkomen. Er gaat pas wat veranderen indien Database van EU, UN, WEF, CIA of FBI gelekt gaat worden.

Sp3ci3s8472 @redslow • 27 februari 2026 12:21

Hoe kan je weggaan als je nog een jaar of meer aan ze vast zit?

Mag je dit gebruiken als een soort contractbreuk?

redslow @Sp3ci3s8472 • 27 februari 2026 14:58

Ik weet niet hoe het juridisch zit maar zover ik het zie is dit een vertrouwensbreuk. Bij het aangaan van het contract mag je ervan uitgaan dat je data veilig Is. Dat is dus niet gebeuRd. Het vertrouwen is gebroken.

Sinester @redslow • 27 februari 2026 14:13

Zeker als de consequenties zijn voor het bedrijf dat ze failliet gaan.

Vind dat mensen dit maar iets te graag willen. Vinden mensen het dan ook helemaal niet erg dat er ontzettend veel mensen dan hun baan kwijt gaan raken, mensen die hier verder niks mee te maken hebben?

Er is wellicht begrijpelijk 0 begrip voor Odido, maar er lijkt ook 0 gevoel te zijn voor de mensen die daar werken

stresstak @Sinester • 27 februari 2026 16:32

[...]

Er is wellicht begrijpelijk 0 begrip voor Odido, maar er lijkt ook 0 gevoel te zijn voor de mensen die daar werken

En hoeveel werknemers stappen nu op? Bij een bedrijf dat kennelijk minachting heeft voor de privacy van de klant ? Mede schuldig vanaf nu.

Asthaparhim @stresstak • 27 februari 2026 19:51

Ja, dan zijn ze niet telefonisch bereikbaar als iedereen opgestapt is dat zal vast helpen

. Ga je nu ook vragen of Samsung en Apple hierin willen meebetalen als toeleverancier? Gelijk heb je

Bongoan @Deditio_ • 27 februari 2026 09:57

Tot zekere hoogte kan je aannemen dat Odido hier nu juist extra op gefocused is en aanpassingen op uit voert, waardoor het misschien zelfs onwaarschijnlijker wordt dat het weer fout gaat bij Odido (maar dit zijn allemaal aannames dus)

Fishbeast @Bongoan • 27 februari 2026 10:08

Waar mensen werken worden fout gemaakt...

Daoka @Fishbeast • 27 februari 2026 10:25

Dat ben ik zeker met je eens maar laat Odido dan maar bewijzen dat sommige dingen echt fouten zijn. Oude klanten die niet verwijderd zijn laat maar zien dat dit echt in de programma zit en door een bug niet verwijderd zijn. Zoals ik het her en der lees in reacties hier op Tweakers lijkt het erop dat wachtwoorden misschien zelfs plaintext is opgeslagen. Zoiets als dit is echt wel een "fout" dat niet zou mogen gebeuren. We leven anno 2026 waar hacken vaak gebeurt dus voor zoiets als dit zou gewoon controle mogen komen bij elke update die ze daar uitvoeren. Het is geen klein bedrijfje dus waar ze misschien niet aan dingen denken of geen ervaring hebben in ICT.

Het voelt voor mij ieder geval dat ze op de verkeerde plek hebben zitten te besparen en dit niet toe willen geven.

vlieger200 @Daoka • 27 februari 2026 12:34

Misschien is het handiger om niet af te gaan op alles wat hier geroepen wordt maar onderzoeken af te wachten en de conclussies hiervan. Er wordt veel op internet gezegd...

Daoka @vlieger200 • 27 februari 2026 12:56

Daarom zeg ik ook niet dat ze het verkeerd gedaan hebben. Maar zelfs al zouden ze het goed gedaan hebben het is wel een mooi voorbeeld dat niet alle fouten zomaar goed gepraat moeten worden.

Fishbeast @Daoka • 27 februari 2026 14:42

Oude klanten die niet verwijderd zijn laat maar zien dat dit echt in de programma zit en door een bug niet verwijderd zijn

Dit vind ik erg kort door de bocht. Wat dacht je van de mogelijkheid dat personeel te laks is om goed onderhoud te doen op de data die ze in beheer hebben? Dan is het 'at most' een procesfout, maar waarschijnlijk gewoon personeel dat zijn werk niet doet. Dit kan ook voortkomen uit bedrijfsbeleid waar niet openlijk voor uitgekomen wordt: we bewaren data stiekum langer, want we kunnen ze vast gebruiken voor marketing etc. Ik noem maar een paar dwarsstraten.

In al deze gevallen is Odido verwijtbaar nalatig. In het geval van een softwarefout staat deze schuld ter discussie.

My 2 cents :)

Daoka @Fishbeast • 27 februari 2026 17:42

Ik ga er van uit dat zoiets toch wel geautomatiseerd mag zijn. Maar zelfs als het niet geautomatiseerd is kunnen ze dingen tonen zoals dat er wel een functie is of bijvoorbeeld een logboek dat er maandelijks op de wis knop gedrukt wordt en door een fout niet gewist. Maar zo ver ik weet hebben ze nog steeds niet uitgelegd wat er verkeerd ging. Mijn gevoel zegt dus dat data belangrijker was.

En ja het is misschien schuldig tot onschuld is bewezen maar deze manier van denken komt echt wel vanwege hoe bedrijven tegenwoordig zijn. 10 jaar geleden had ik waarschijnlijk niet zo gedacht.

Fishbeast @Daoka • 27 februari 2026 17:44

Mijn gevoel zegt dus dat data belangrijker was

Ik denk dus dat je hier de spijker op z'n kop slaat. Het is inderdaad de automatiseren, maar dan moet dat wel ingericht worden en ook gemonitord.

Enfin, het resultaat blijft hetzelfde: Onze zooi ligt allemaal op straat. Hopelijk pakken ze de boel goed aan daar.

dr86 @Fishbeast • 27 februari 2026 10:35

Probleem is deze dat het fout op fout op fout.

MrFax @Bongoan • 27 februari 2026 10:02

Niet alleen Odido. Ik ga ervanuit dat andere providers ook even wat audits zullen uitvoeren om te voorkomen dat zij ook zo'n grote PR-drama krijgen.

tfro71 @Bongoan • 27 februari 2026 10:30

Odido heeft niet veel geleerd van de boete van 1,5 miljoen van hun vorige lek dus of die focus er nu ècht is? Verder is het lek in salesforce ook al enige tijd bekend.
Dus ik verwacht dat het nog wat kan tegenvallen.

vlieger200 @Bongoan • 27 februari 2026 10:17

Reken maar dat de NCSC en andere toezichthouders er nu bovenop zitten, dit laat de NCSC ook weten in hun communicatie. Dit zal zich ook doorvertalen naar andere providers indien daar wordt geconstateerd dat het niet op orde is.

Jeroenzer @Deditio_ • 27 februari 2026 10:51

Ik zit naar KPN te kijken.

Ik zit helaas nog even vast aan Odido maar einde contract is over naar KPN.

Gamejuize @Jeroenzer • 27 februari 2026 12:08

Ik zit serieus te overwegen om mijn contract van odido af te kopen. Dat is dan 50% van je abonnementskosten. Maar het kwaad is natuurlijk al geschied.

xenn99 @Gamejuize • 27 februari 2026 13:51

Als je het afkoopt beloon je Odido met gratis geld, alleen al daarom zou ik het niet doen.
Zelf houd ik het gewoon in mijn achterhoofd voor de volgende overstap, de komende 2 jaar zing ik wel uit.
(ik ben ook klant van Odido net een maand geleden alles afgesloten, zowel internet als mobiel.)

DonHighor @Jeroenzer • 27 februari 2026 16:37

Ik ga ook naar KPN

jaquesparblue @Deditio_ • 27 februari 2026 10:02

Het gaat er niet om dat het gebeurd. Het kan inderdaad overal gebeuren. Maar het is de lakse houding en minimale berichtgeving naar de getroffen klanten zelf (vooralsnog maar 1 mailtje ontvangen van ze). Ook de manier hoe ze met de data omgaan, niks versleuteld, bewaren ver voorbij hun zelf vastgestelde termijnen etc.

Ik heb zelf inmiddels ook de overstap in gang gezet, terwijl ik heel lang klant ben geweest.

xlvg @Deditio_ • 27 februari 2026 10:09

Ik snap dat overstappen vaak niet wenselijk is maar het is echt geen grote stap. Overlaatst via Belsimpel gedaan en daar werd eigenlijk alles wel voor me geregeld.

Helaas naar Ben overgestopt

Nairu777 @Deditio_ • 27 februari 2026 10:55

Ik kan mij niet voorstellen dat overstappen zoveel gedoe is. Al helemaal met e-sims ben je binnen een paar minuutjes klaar.

Urshurak @Nairu777 • 27 februari 2026 11:52

Nou, voor glasvezel is het wel gedoe. Willen ze perse dat er een monteur langskomt om hun ONT te registreren en te testen. Terwijl alles op zich klaar is, hooguit ander ONT als Odido die terugwil, en wat aanpassingen in OPNsense (VLAN 6, DHCP>PPPoE e.d.) Vorige keer dat zo'n monteur langskwam heb ik week geen internet gehad omdat hij het glasvezelkabeltje niet goed had aangesloten, tot ik zelf dat kastje open ging schroeven..

Ik heb dus zoiets van; Ik betaal meer voor jullie KPN-verbinding (en dan ook nog langzamer want max 1Gb/s bij mij kennelijk), dan verwacht ik ook dat het gaat zoals ik het wil als klant en niet andersom!

[Reactie gewijzigd door Urshurak op 27 februari 2026 12:08]

Ron79 @Deditio_ • 27 februari 2026 11:00

Dat zal.

Ik ben er wel weg gegaan. Als data teruggaat tot 10 jaar hebben ze mogelijk ook mijn ID gegevens van eerdere telefoon abonnementen.

Die phishing via mail boeit me echt geen ruk, die herken ik wel. Maar dat mijn ID op straat ligt wel.

En het zal ook bij andere providers kunnen gebeuren. Voor mij is dit wel een signaal naar Odido, voor hun lakse houding. Te beroerd om hun zaken op orde te stellen!

oompieiserweer @Deditio_ • 27 februari 2026 11:14

De stap om over te stappen van provider is te groot?

In welk opzicht?
Niet dat odido veel aanbied naast het abbo.

Daoka @oompieiserweer • 27 februari 2026 13:14

Voor jou misschien niet maar voor mensen in mijn omgeving wel. Die zien bijvoorbeeld angsten zoals niet weten hoe ze überhaupt zouden moeten overstappen, (ja het is dom maar) bang dat de het bij de nieuwe provider misschien niet of minder goed gaat werken, angst voor vaker storing of dat het verbinden met wifi problemen gaat geven. Of angst dat ze dus een paar dagen dus geen internet zullen hebben. Mensen vinden het een gedoe om de klantnummer op te zoeken. En thuis moeten zijn wanneer hun monteur komt wat niet altijd in te plannen is.

Dus ja ik snap wel dat sommige mensen het problematisch vinden om over te stappen.

oompieiserweer @Daoka • 27 februari 2026 14:01

Dan hadden ze überhaupt geen t-mobile of odido als internet moeten nemen...

Daoka @oompieiserweer • 27 februari 2026 17:47

Wat heeft Odido er mee te maken dat mensen bang zijn om over te stappen? Wat ik zei geldt voor elke provider. Ik zeg niet dat Odido of een andere provider het moeilijk maken. Wel de gedachten van die mensen.

Bedge85 @Deditio_ • 27 februari 2026 11:17

Al helemaal wetende dat dit bij elke andere provider ook kan gebeuren.

Ik denk niet dat dit klopt. Odido heeft namelijk in november 2025 een boete van 1.5 miljoen euro ontvangen vanwege de slechte beveiliging van hun aftapsysteem. Daarom denk ik dat er binnen de organisatie, vermoedelijk vooral vanuit management, een lakse houding is met betrekking tot privacy, beveiliging en procedures volgen.

i-chat @Deditio_ • 27 februari 2026 11:31

dus omdat het toch wel kan gebeuren dat een dronken automobilist het fietspad op komt hoef jij ook bij stoplichten niet op te letten of te stoppen.

ik vind dit soort argumenten een beetje dommig,

desondanks hebben we hier te maken met 2 veel grotere problemen dan het feitelijke lek.

1: het feit dat een bedrijf als ODIDO zich niet in een miljard bochten wringt om voor zijn klanten op te komen en ze te helpen met het afwenden van gevaar.
2: het feit dat heel veel systemen by design onherstelbare schade veroorzaken als ze lekken terwijl we weten dat ze hoe dan ook eens zullen lekken.

het is een beetje alsof je mee-doet aan een bokswedstrijd met een cyanide pil in je mond

ALS je niet geraakt wordt ben je helemaal veilig dus gewoon zorgen dat dat niet gebeurt !!!!

B Tender @Deditio_ • 27 februari 2026 12:17

Ik vind 'de stap' zelf niet heel groot (ervan uitgaande dat je niet in een vast contract zit). Vier klikken en je hebt een nieuw abonnement. Nieuwe router in de meterkast, kabeltje erin en gaan is het voor 95% van de klanten denk ik. Al zal de gemiddelde tweaker er misschien een wat complexere en geavanceerdere opstelling en installatie op nahouden.

Ik zit nog een klein jaar 'vast' aan mn contract en heb niet de juridische kennis om hier vlotjes onderuit te komen, dat is voor mij de drempel. Maar als dat in december is afgelopen ga ik denk ik wel degelijk over op een andere aanbieder.

Mit-46 @Deditio_ • 27 februari 2026 12:21

Lijkt mij dat je overstapt vanwege de manier waarop zij jou en andere behandelen. Naast het feit dat zij gegevens hebben bewaard van personen die daar helemaal geen klant meer zijn geven zij ook een dikke vinger naar alle miljoenen klanten met de manier hoe zij dit aanpakken.
EasyPark net zo destijds en dat was niet eens zo groot.

Op voorhand nalatig en nadien nalatig.

Als dat niet voldoende reden is.

Ik was zeker opgestapt. Ook gedaan bij EasyPark destijds.

Je kan zelf iets doen maar doet dat niet.

[Reactie gewijzigd door Mit-46 op 27 februari 2026 12:31]

Tommatje @mugenmarco • 27 februari 2026 10:19

Als het kalf verdronken is...

De gegevens liggen nu toch al op straat en door de uitgebreide media aandacht weet iedereen dat ook. Nu overstappen heeft geen zin meer. Deze geest krijg je niet meer in de fles.

Ik wacht graag het onderzoek van het OM af om te horen hoe de vork echt in de steel zit, maar nu uit blinde paniek overstappen zorgt er niet voor dat je gegevens 'poef' verdwijnen uit de dataset.

Aardappel @Tommatje • 27 februari 2026 10:53

Als dat de instelling is die mensen aannemen kun je er donderdag op zeggen dat een zelfde scenario voor een andere telecomprovider niet voor nerveuze bestuursleden zorgt.

Met andere woorden, als mensen toch niet overstappen en ze krijgen niet op nauwelijks een boete dan boeit het ze ook niet dat hun beveiliging niet op orde is, en hoeven ze er ook geen geld aan uit te geven.

Ron79 @Tommatje • 27 februari 2026 11:07

Ik hoef mij in elk geval geen zorgen meer maken over zogenaamde facturen van Odido, of deze echt zijn of niet. Want daar komt maximaal nog 1 of 2 van.

En verder moeten ze er maar gewoon eens voelen.

Ik snap zelf ook wel dat het kwaad toch al geschied is en het probleem niet oplost. Maar dit gewoon laten gebeuren, en Odido ook nog een aai over de bol geven? No way!

henk717 @mugenmarco • 27 februari 2026 10:52

Ik denk in sommige gevallen dat dit zeker is, maar in de meeste gevallen niet.
Als een helpdesk accounts aanmaakt wil menig helpdesk ze nog wel eens als notitie zetten, dus dat zal vast wel een keer gebeurd zijn maar daar moeten ze een reden voor hebben gehad. Misschien een bulk aanvraag voor een zakelijke klant. Ik denk dat bij de meeste zaken dit niet het geval zal zijn want de wachtwoord systemen van de klant zullen buiten z'n helpdesk pakket staan.

Joydashy @mugenmarco • 27 februari 2026 10:55

Wachtwoord informatie is wel echt het minst boeiende dat er gelekt is. Je hoort gewoon een password manager te gebruiken.

BSN, NAW, rek. nr., allemaal veel problematischer.

i-chat @Joydashy • 27 februari 2026 11:42

een telco hoort geen bsn te verwerken doen ze dat wel dan gaat daar hoe dan ook een boete voor moeten volgen. alle overige gegevens zijn een stuk lastiger want je zou daarmee kunnen proberen om creditcards ed mee aan te vragen. of een nieuw telefoon abo (maak een fake paspoort met een origineel document nummer en je komt er mogelijk wel mee weg). dikke nieuwe iphone voor jou en de rest zoekt maar uit hoe ze het oplossen. punt is dat er al door heel veel telco's checks worden gedaan door bijvoorbeeld 1 cent te pinnen en de tenaamstelling van de bankrekening te vergelijken met die op het id-bewijs. en banken hebben doorgaans hun beveiliging een stuk beter op orde die checken documenten daadwerkelijk

de grootste dreiging komt nu dus uit social engenering maar daartegen kun je behoorlijk goed wapenen zoals ik hier ook al aangaf : i-chat in 'Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe'

eggsforpedro @mugenmarco • 27 februari 2026 11:41

Dit had ieder bedrijf kunnen gebeuren, en ieder bedrijf had dan voor hetzelfde dilemma gestaan.

Losgeld betalen heeft geen zin. Geen enkele garantie dat de data echt verwijderd worden. Dus ook geen enkele garantie dat je later niet nog eens afgeperst wordt.

Het enige middel hiertegen is betere security. Wellicht gaan we dat krijgen door bedrijven hiervoor aansprakelijk te kunnen gaan stellen. Dan wordt er ook meer in geïnvesteerd. Maar lekken hou je altijd.

Het laatste wat je wilt, is betalen. Juist door niet toe te geven aan de eisen, ontneem je de hackers hun 'macht'. Wanneer ze alsnog lekken, is de hele operatie aan hun kant eigenlijk voor niets geweest, want ze verliezen al hun leverage. In dat geval is het hacken niet rendabel meer, en zal het dus ook minder voorkomen.

[Reactie gewijzigd door eggsforpedro op 27 februari 2026 11:42]

MenN @eggsforpedro • 27 februari 2026 14:46

Dat argument dat betalen geen zin heeft vind ik een enorm rechtlijnige argumentatie. Dat is het zelfde als we moeten geen oorlog voeren.

Daarnaast is het totaal ongeloofwaardig want gegarandeerd dat Odido betaald had als 90% van hun werknemers niet kon inloggen door ransomware.

Nu dat de nadelige gevolgen kunnen worden afgescheept op de maatschappij (als in zoek het maar uit nu je data op straat ligt) gaan ze een beetje een moreel ethisch ‘niet betalen voor het algemeen goed’

Je wil gewoon dat zo’n club alles op alles zet om publicatie te voorkomen. Zelfs als dat hun enorm veel geld gaat kosten. Hun klanten verdienen dat.

De business case weghalen voor deze tak misdaad is niet alleen zorgen dat het niet loont, maar zorgen dat het niet kan!

_NooT_ @mugenmarco • 27 februari 2026 13:44

Als Odido failliet zou gaan hebben veel mensen daar nog veel meer last van. Het is niet dat zij schuldig zijn of doelbewust een slecht beveiligde omgeving hebben ingericht. Mogelijk zijn er wel (wat) laks in geweest of hebben ze dit gewoonweg niet voorzien.

Wat me overigens erg verbaast is dat Salesforce niet meer onder vuur ligt. Zij leveren toch het sysyteem en de API’s? Als dat zo is, dan is het toch gtotendeels hun verantwoording en tekortkoming dat het kon gebeuren? Als jij voor zo’n dienst betaald (en veel waarschijnlijk), dan ga je er toch vanuit dat het betrouwbaar is en je zelf toch niet meer hoeft te checken of het systeem niet te misbruiken is? Wat overigens wel heel goed zou zijn om te doen.

Het zou wel beter zijn als Odido verantwoording neemt voor de gelekte gegevens en Shinyhunters betaald. Niet dat ik vind dat je toe moet geven aan criminelen, maar om anderen te ontzien. Vervolgens zou ik als Odido een flink premie zetten op het opsporen van die lui om een klopjacht te beginnen. Volgens officiele kanalen opsporen zou het mooiste zijn. Dit soort criminelen moeten aangepakt worden en elke cent + boete terug betalen.

Rickardur @mugenmarco • 27 februari 2026 16:25

Ziggo's beveiliging is ook zo lek als een mandje, waarom die nog niet zon lek heeft is mij een raadsel

teron-gorefiend @mugenmarco • 27 februari 2026 16:43

Wij gaan daar inderdaad weg in augustus. Als een bedrijf zo laks doet om je data, dan ga ik wel naar de KPN.

Traumasystems @mugenmarco • 27 februari 2026 17:34

Ja dus de vraag is kan ik nu odido verzoeken tot beeindigen van mijn contact ondank dat het nog 1.5 jaar loopomdat hun mijn gegevens niet afdoende hebben beschermd?

en is het redelijk dat odido opdraait voor vervanging van mijn passport en rijbewijs? Als tevens het wijzigen van mijn bankrekening nummers. Want ik heb geen behoefte om de komende 6 decenia op ijn hoede te moeten zijn voor id diefstal omdat hun de zaakjes niet op orde wisten te houden.

leffert @mugenmarco • 1 maart 2026 23:51

Het is nog erger: ik ben al jaren weg bij T-Mobile en er staan toch nog gegevens online.

robingouw @mugenmarco • 2 maart 2026 11:07

je begrijpt hopelijk ook wel dat wanneer ze wel besloten te betalen ze gelijk prooi zijn om elke keer opnieuw getarget te worden, want odido 'betaald toch wel'.

Hoe kut het ook is, je moet voet bij stuk staan en het juist niet doen. De gegevens zijn al gelekt, daar doe je niks meer aan. Ook al betaal je ze, daar worden de gegevens niet meer door 'niet gehackt' + er is met dat soort groepen nooit een garantie dat ze inderdaad de items niet lekken na betaald te hebben. Misschien verkopen ze het wel door aan weer een andere partij om op die manier toch nog geld te pakken of als ze het goed zouden timen dubbel geld pakken. Of je hebt de 1 miljoen betaald, maar daarna zeggen ze Hey Odido, die 1 mil is leuk. Maar doe er nog maar een. Daar komt geen einde aan.

Hoe je het ook wendt of keert, het is gewoon een k*tsituatie.

[Reactie gewijzigd door robingouw op 2 maart 2026 11:14]

urandom092645 @Tommatje • 27 februari 2026 11:05

Maar al deze gegevens van miljoenen Nederlanders is gewoon voor alle andere Nederlanders te downloaden, doorzoeken en dus ook te misbruiken.

Dat het wel even duidelijk is dat dit niet "gewoon" kan, dit is namelijk strafbaar onder gegevensheling: art. 138c WBVSR met als boete een gevangenisstraf van de vierde categorie.

Dienst tijdelijk niet beschikbaar (wetten.overheid.nl heeft het op het moment wat moeilijk, fallback van inview.nl: Wetboek van Strafrecht artikel 138C | InView)

SPT @urandom092645 • 27 februari 2026 17:13

Dit lijkt niet te kloppen, hoewel het de laatste dagen vaak is aangehaald op allerhande platforms. Dat verbod geldt niet voor openbare data. Zie ook dit artikel van ICT-jurist Arnout Engelfriet. Het zou ook wel erg vreemd zijn dat elke scammer deze data vrijelijk binnenharkt, en dat je dezelfde data - mitst openbaar toegankelijk via een url - niet zou mogen downloaden om te kijken wat er nu precies voor informatie van je in staat.

Martinez- @urandom092645 • 27 februari 2026 14:21

Ja prachtig dat het strafbaar is. Te hard rijden is ook strafbaar, evenals het fietsen met een fatbike door het centrum van een stad midden op de dag.

Jammer dat handhaving enorm tekort schiet en de capaciteit hier niet toereikend voor is. Dus ja: in de theorie strafbaar, in de praktijk niet handhaafbaar. Zeker de categorie mensen die misbruik maken van deze gegevens zullen niet gevoelig zijn voor het argument rondom strafbaarheid.

[Reactie gewijzigd door Martinez- op 27 februari 2026 22:12]

Patrickccc @urandom092645 • 27 februari 2026 14:47

En helpt dat?Dacht het niet.

banaj @urandom092645 • 27 februari 2026 17:55

[...]

Dat het wel even duidelijk is dat dit niet "gewoon" kan, dit is namelijk strafbaar onder gegevensheling: art. 138c WBVSR met als boete een gevangenisstraf van de vierde categorie.

Dienst tijdelijk niet beschikbaar (wetten.overheid.nl heeft het op het moment wat moeilijk, fallback van inview.nl: Wetboek van Strafrecht artikel 138C | InView)

Kun je toelichten waarom dit volgens jou strafbaar zou zijn?

Het gaat - inmiddels - over niet "niet opbare" (= openbare) gegevens...

Remzi1993 @urandom092645 • 27 februari 2026 22:58

Nee, incorrect, zie hieronder:

Het is pas strafbaar als je het op een verkeerde manier hebt verkregen en/of het misbruikt. Om te kijken of je eigen gegevens zijn gelekt valt niet onder die twee dingen. Bron: https://www.security.nl/posting/821908/Is+het+strafbaar+om+online+gelekte+data+te+bekijken

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.

Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

urandom092645 @Remzi1993 • 2 maart 2026 16:24

De gegevens zijn illegaal openbaar gemaakt. Mijn BSN is niet openbaar beschikbaar. Dat het te halen valt via het dark web is irrelevant omdat de data op illegale wijze verkregen is. Ook is het geen algemeen belang van de samenleving (want het moet voor iedereen toepasbaar zijn, en niet alleen jezelf)

Art. 139g van het wetboek van strafrecht, in het specifiek 1.a.:

1Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:
a.verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
b.ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.
2Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.

Remzi1993 @urandom092645 • 2 maart 2026 17:05

Ik had het niet over de dark web, maar gewoon internet.

slijkie @Tommatje • 27 februari 2026 10:47

Dit is gewoonweg heel dom van Odido, ze hadden direct die 1 miljoen dollar moeten betalen. Dat is kleingeld, LESGELD. klaar. Dit soort groepen deleten het erna, anders zijn ze bij volgende slachtoffers de sjaak.

Maar een groep cybersecurity teams en Odido management die dan koppig doen en de held uit willen hangen. Dit gaat ten koste van de bevolking (gedupeerden).

Dat losgeld had direct betaald moeten worden. Punt. Klaar. Hoe oneerlijk & klote het ook is.

NotWise @slijkie • 27 februari 2026 12:45

Ik snap dat je emotioneel bent maar het is kort door de bocht om te roepen dat Odido dom is. Het is van deze specifieke criminele groep bekend dat ze niet te vertrouwen zijn. Dus al had Odido betaald dan was er nog steeds een kans dat de data was gepubliceerd of doorverkocht aan andere partijen.Daarbij is betalen sowieso nooit een goed idee. Als het criminele wereldje eenmaal weet dat Odido toch wel betaald, dan zijn ze de volgende keer weer de sjaak.

ApexAlpha @NotWise • 27 februari 2026 14:03

Sorry maar dit bericht klopt niet echt.

Het is een beetje raar om mafia zoals ShinyHunters te gaan verdedigen maar... je hebt wel redelijke zekerheid dat ze de gegevens niet online zetten als je betaald.

Denk er maar over na: zodra je van één slachtoffer geld vraagt en dan toch gegevens publiceert is je reputatie kapot en betaalt niemand ooit nog. Waarom zou je?

Juist daarom zorgen deze clubs dat ze hun woord nakomen.

De keerzijde is dat ze ook hun woord nakomen je data te publiceren als je niet betaalt, want die reputatie hebben ze ook nodig om geld te verdienen.

NotWise @ApexAlpha • 27 februari 2026 14:13

Ik zou dan dit eens rustig doorlezen. Want ik baseer mij altijd op eigen onderzoek.

Unlike traditional, highly regimented Russia-based ransomware affiliate groups, SLSH is an unruly and somewhat fluid English-language extortion gang that appears uninterested in building a reputation of consistent behavior whereby victims might have some measure of confidence that the criminals will keep their word if paid.

https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

https://www.bankinfosecurity.com/hanging-up-on-shinyhunters-experts-detail-vishing-defenses-a-30657

"There is no benefit to paying the ransom for this group," she said in a post to LinkedIn. "This is a scam by actors who will not delete their data and cannot prove they did and do have a track record of lying."

Ik denk dat een groot deel van de mensen hier geen heeft met wie ze te maken hebben.

[Reactie gewijzigd door NotWise op 27 februari 2026 14:21]

slijkie @NotWise • 27 februari 2026 13:21

Heeft absoluut 0,0 met "emotioneel" te maken. Puur op feiten. 1 Miljoen is kleingeld voor Odido, laat dan alle klanten beslissen om 20 cent op de volgende factuur mee te betalen. Het is gewoonweg onzin om koppig te zijn. De schade is er, dus zet die miljoen dollar op tafel, voor Odido kleingeld.

Als het criminele wereldtje weet? Dat maakt niks uit, je moet gewoon je zaken goed op orde hebben en alles beveiligd. Criminelen proberen het continue bij talloze bedrijven.

Feit is, stront heeft de ventilator geraakt en Odido neemt niet zijn verantwoordelijkheid en gooit alle klanten (de data) voor de bus. Heel simpel, niks meer, niks minder.

Martinez- @slijkie • 27 februari 2026 14:30

Enorm kortzichtig.

Ja, ze hadden hun zaken op orde moeten hebben. Maar betalen geeft geen zekerheid, ook niet bij criminelen. Nu hangt het aan de grote klok, maar de set kunnen ze natuurlijk ook onderhands van de hand doen waarbij je geen flauw benul hebt wie deze in bezit heeft gekregen. Jij kan het dan niet herleiden naar wie het was, maar tegelijkertijd heeft Odido wel betaald en blijven dit soort criminele organisaties in stand gehouden worden.

Criminele activiteiten lonen niet - ookal betreft het helaas 6,2 miljoen klanten (waar ik ook een van ben). Hoe goed hun reputatie ook, niet alles wat gebeurd is publiekelijk en je kan alsnog de lul daarna zijn.

Ik zou, als odido het vroeg, geen enkele cent geven om het af te kopen. Succes met mijn gegevens!

Asthaparhim @slijkie • 27 februari 2026 19:58

Puur op feiten.

Ik mis je garantie dat na betaling er echt niks verder mee gedaan wordt, dus ben gestopt met lezen na deze zin.

munitqua @slijkie • 28 februari 2026 08:58

Ik ben het wel met je eens. 1 miljoen is peanuts. Als Odido niet eens een miljoen wil betalen voor een kans (geen zekerheid) dat onze data gedelete wordt dan moet je dat gewoon proberen. Odido heeft niets voor haar klanten gedaan behalve FSecure wat ronduit een lachertje is en " oh ja oppassen hoor ze hebben je data". We zijn immers 6 miljoen phishing experts , en niemand trapt erin. Het feit dat we uberhaupt lastig gevallen gaan worden interesseert odido ook niet.

Ben er klaar mee ben vanochtend over gestapt op KPN. Bij de vragenlijst van Odido stond de hack er al bij als feedback ;)

MallePietje @NotWise • 28 februari 2026 03:24

Ofido is ook dom. Als ze betalen, laten ze hun klanten zien dat ze in ieder geval hun best doen. Dit levert nu enorme, onherstelbare imagoschade op. En dat Ofido dan vaker aangevallen zou worden? Ik mag toch hopen dat ze als de sodemieter hun "sieber" security op orde gaan brengen, zodat dat niet zo vlug zal gebeuren.

PtrO @slijkie • 27 februari 2026 13:17

tldr; Odido has in stilte allereerst moeten proberen de - aan haar aangetoonde - hackclaim af te kopen omdat achteraf (be)strijden op andermans principes sws niet in het directe belang is van de nu getroffen klanten.

Of het lek daarmee was afgewen(tel)d blijft natuurlijk de vraag maar voor de peanuts van een miljoen (of eerder die €500K) had Odido tenminste in het belang van al haar klanten, dat handelsrisico moeten nemen.
Nu de zaak onder dit vergrootglas ligt, neemt de kans toe - als in wie de grootste heeft - dat data zal worden geopenbaard. De "hackers" (reeds in bezit van data en methodes om te publiceren) verliezen er sws niets meer aan, zullen ook nauwelijks kosten hebben gehad en sws hun statement conform "hun principes" beslist waar maken. Al was het maar dat een volgend geval zich wat eerder gaat bezinnen.

Ook omdat anderen in de scene daar nu hun grijpkansen in zullen gaan zien. Met stille diplomatie, had er verder geen haan naar gekraaid. Het verhaal van niet of wel betalen is net zo (on)waar of daarmee het al of niet hackmodel in stand blijft.

Nogmaals dat de mores of moraal van een onaangedane meerderheid haar principes nastreeft, mag niet maken dat slachtoffers dus maar het aangedane leed (moeten) ondergaan.
Hoe klein de kans ook is, had Odido hier - gezien de schaal - het risico moeten proberen af te kopen en vervolgens in de schaduw daarvan als de sodeju haar systemen herzien.
Het verhaal dat daarmee volgens tegenstanders het "verdienmodel" in stand blijft, is in essentie een andere onderwerp en heeft verder niets te maken met dat betalen hier zou hebben kunnen gezorgd voor mitigatie.

Degene die nu of later schade kunnen (gaan) ondervinden, hebben niets aan de elitaire principes van anderen.
Dat zou nog wat anders liggen, wanneer die anderen - Odido incluis - dan zorgen dat eventueel onverhoopte getroffenen, op hun verzoek, ook schadeloos worden gesteld.
Het is ook buitengewoon lastig om een toekomstig misbruik dan aantoonbaar te liëren aan deze hack. Immers dat aantonen, betekent indirect dat degene die dat bewijs levert, zich in dat proces dus strafbaar maakt aan het zich toe-eigenen van (ook) andermans data.

MallePietje @PtrO • 28 februari 2026 03:37

...De "hackers" (reeds in bezit van data en methodes om te publiceren) verliezen er sws niets meer aan, zullen ook nauwelijks kosten hebben gehad en sws hun statement conform "hun principes" beslist waar maken. Al was het maar dat een volgend geval zich wat eerder gaat bezinnen.

Ik denk dat de hackers er belang bij hebben om de gegevens zodanig te publiceren dat er telkens aandacht aan wordt besteed in media. Dat betekent maximale imagoschade voor Odido. Dat zal een afschrikkend effect hebben.

Ik hoop van harte dat bedrijven hun beveiliging en daarmee hun klanten serieus gaan nemen. (Eerste tip: wat je überhaupt niet bewaart, kan ook niet worden buitgemaakt...) Dat is de beste manier om dit soort situaties te voorkomen.

trucker0werner @slijkie • 28 februari 2026 07:45

Als je denkt dat ze het deleten nadat je betaald dan heb je wel heel verl vertrouwen in ze.

Deze data gaan ze juist uitmelken. Als je betaalt laten ze gewoon zien dat data heel gevoelig us dus of je nig een jeer 10miljoen wil betalen.

Ook dan als er geen bedreiging meer is. Word het achter de schermen mogelijk gewoon doorverkocht.

Als thuis je pc door "microsoft" is vast gezet kun je ook verwachten dat ze meer willen. 1x betalen denken hun uitmelken want ze kynnen toch niks.

Terwijl nieuwe ssd en windows goedkoper is en je daarna weer verder kunt

DealExtreme2 @Tommatje • 27 februari 2026 09:58

Als het gaat om bedrijfsgegevens, dan betalen de meeste bedrijven gewoon. Nu gaat het om klantgegevens: boeiuh!

Alsof niemand snapt dat het normale 'niet betalen advies' gebaseerd is op bedrijfsgegevens en niet op half nederland waarvan het adres ineens publiekelijk is.

En de prijs was lager dan de prijs die ze nu betalen voor deze 'experts'. Man man man.

[Reactie gewijzigd door DealExtreme2 op 27 februari 2026 10:00]

Triblade_8472 @DealExtreme2 • 27 februari 2026 10:10

En terecht. Hopelijk stoppen meer en meer bedrijven met betalen en nemen de hacks op klantgegevens daarom af.

Van mij mogen ze betalen per wet verbieden.

vlieger200 @DealExtreme2 • 27 februari 2026 10:35

Wat jij schetst is niet de waarheid. De NCSC (Overheid) adviseert standaard niet in te gaan op deze chantage.

DealExtreme2 @vlieger200 • 27 februari 2026 10:54

Yep. Standaard. Maar we weten allemaal als de prijs 1 euro was geweest dat het een no-brainer was om te betalen. Het is niet alsof Odido zelf niet OOK verantwoordelijk is.

Stel jij leent je fiets aan mij uit en zegt: ik ga er echt zorgvuldig mee om! En vervolgens zet je hem midden in de stad met een touwtje op 'slot'. Natuurlijk, mensen moeten eraf blijven, maar in dat geval verwacht ik dat jij gewoon die euro gaat betalen aan de dief, zodat ik mijn fiets weer heb.

Natuurlijk, nuance, de diefstal is digitaal en kopieën, maar er is nuance.

vlieger200 @DealExtreme2 • 27 februari 2026 12:24

Dat is dus de grote vraag of Odido verantwoordelijk is en dat is niet aan ons om daar over te oordelen. Een hack en/of sabotage gaat geen enkel bedrijf volledig voorkomen tenzij je alles op papier doet, maar dat levert weer andere risico's op (dat documenten op straat komen te liggen etc.). Alleen bij nalatigheid kan er een verantwoordelijk toegewezen worden aan Odido, alleen is het niet aan jou of mij om te beoordelen of daar hier sprake van is ook aangezien we de exacte toedracht van de hack niet weten hoe deze is uitgevoerd. Hier zal de NCSC en andere overheidsinstanties over oordelen.

Zelf werk ik in deze wereld aan de OT kant en zijn we bezig met de implementatie van de NIS2. Ik kan je verzekeren, je komt veel dilema's tegen van verschillende belanghebbenden.

Cyb @vlieger200 • 27 februari 2026 10:54

De enige reden waarom ze dat adviseren is omdat je criminaliteit dan lonend maakt. Dat neemt niet weg dat het voor bedrijven, afhankelijk van de data, goedkoper kan zijn om wél te betalen.

Catrinus @DealExtreme2 • 27 februari 2026 11:28

En die experts maken zelf deel uit van de hackersgroep in hun vrije tijd

redslow @Tommatje • 27 februari 2026 09:53

Het zijn niet alleen de gegevens van de huidige klanten maar ook van voormalige klanten.

Ik vind met name de lakse houding van het bedrijf vervelend worden. Gelijk het “ach er is niks aan de hand, kan gebeuren” terwijL als het andersom is. Is het vooral jou schuld.

Daarbij ook nog de lakse houding van de overheid die haar mond vol heeft van bescherming van gegevens. Die hadden Odido gewoon moeten aanpakken. Dit als voorbeeld voor de rest.

Nickstyle @redslow • 27 februari 2026 10:41

Idd oud klant kom ik iig nooit meer terug. Mijn verzoek om nu mijn data te verwijderen loopt ook voor geen meter. Na 2 weken reactie van een noreply dat ik op mijn Odido kan inloggen om mijn gegevens in te zien en verwijderen verwijzen ze naar de officiële formulieren op hun website. Die officiële formulieren zaten keurig in mijn verzoek erbij en ze sturen me gewoon weer weg met kluitje in het riet. De afgelopen weken heeft Odido niets laten zien privacy van zijn klanten belangrijk te vinden.

Oranje Banaan @Tommatje • 27 februari 2026 10:18

Inderdaad, ik geef je helemaal gelijk. Ben er ook helemaal klaar mee met Odido. Ik ben daar al meer dan 5 jaar weg, maar toch hadden ze nog mijn gegevens. Mijn gegevens staan dus al gelekt als ik Have I been powned check.

Vooral zou ik nu willen weten wat er van mij gelekt is (zonder zelf opzoek te moeten gaan via illegale wegen) want ik was dus ooit zakelijke klant met een BSN als BTW nummer. Maar Odido zelf geeft niet thuis natuurlijk.

LogiForce @Tommatje • 27 februari 2026 10:06

Vroeger konden mensen dat ook al opzoeken waar je woonde en het telefoonnummer. Dat heette de Telefoongids. Ik vind het dus niet heel speciaal die basisgegevens, maar het digitaal bewaren van identiteitsgegevens is een kwalijkere en gevaarlijkere zaak. Een reden om toch eens te herzien of private ondernemingen uberhaubt wel dit soort documenten zouden moeten kunnen en mogen vragen.

Wat betreft de data in een telefoongids:

Familienaam, Voornaam, Voorletters, Straatnaam en nummer, Postcode, telefoonnumer (vaste aansluitingen alleen)

Dat was de volgorde van data in de telefoongids vroeger.

PtrO @LogiForce • 27 februari 2026 13:23

De data hier gaat heel wat verder dan een (straat)naam, ook omdat aanvullende data misbruikt kan worden om vertrouwen te scheppen. Dit nog los van privé gegevens, zoals gesprek & (wan)betaalgegevens of aantekeningen, die iemand verder kan kenmerken.

LogiForce @PtrO • 27 februari 2026 21:25

Daar heb jij weer gelijk in. Lang leven de analoge administratie, want in die tijd had je dit gezeik nooit.

pheijms @Tommatje • 27 februari 2026 10:17

En ook van bekende Nederlanders, kun je telefoonnummers opzoeken.

Dit gaat nog erg lang en vervelende consequenties hebben, voor veel mensen.

Fermion @Tommatje • 27 februari 2026 10:25

Maar vind jij het erg wat hackers doen? Het zijn immers hackers. Of vind je het erger wat ODIDO heeft nagelaten, daarom bestaat cybersecurity.

Odido was tot medio 2022 een dochteronderneming van Deutsche Telekom, een organisatie die op securitygebied de processen heel goed op orde heeft, the best sofar I have seen. Ergens is ODIDO van het spoor afgegleden en hebben ze besloten het anders te gaan doen, en was kennelijk nooit op orde. Want je glijdt niet directe van het spoor af.

In mijn ogen is dit een groot probleem voor ODIDO, vraag mij af of het OM het ook zo ziet. Zal vreemd zijn als dat niet zo is.

bintang @Tommatje • 27 februari 2026 11:27

Het is inderdaad heel eng, maar als die persoonlijke gegevens nu niet via dit Odido-lek bekend worden, gebeurt het binnen afzienbare tijd wel via een ander bedrijf. Er zijn al zoveel hacks geweest en er zullen beslist meer volgen.
Je zult er dus altijd rekening mee moeten houden dat info die je ooit verstrekt hebt, ook bekend is op plaatsen waar dat niet het geval zou moeten zijn. Ik zou graag willen dat het anders was, maar dit is de realiteit.

harakiri576 @Tommatje • 27 februari 2026 13:04

Doet me denken, BREIN heeft de piratebay blokkade doorgevoerd, maar voor dit soort dingen hebben we niks? Hoezo?

Mar9 @Tommatje • 27 februari 2026 13:58

Klopt want wat als er een oud klasgenoot is of oude vriend van vroeger die nog steeds boos is om iets en via dit jouw woonadres vindt…. Meschien kijk ik te veel films..

gitaarwerk @Tommatje • 27 februari 2026 14:39

Dat klopt. Maar er zijn betere manieren om iemand te stalken dan met deze data eigenlijk. Facebook en Instagram e.d. zijn hier veel geschikter voor. Maar deze data verrijken de ander wel ja. Gezien het ongeveer een kwart van de Nederlanders hun data bevat, verwacht ik eigenlijk ergens een actie van de overheid. Er zal hier iets moeten gaan gebeuren.

banaj @Tommatje • 27 februari 2026 17:53

Niets nieuws onder de zon. Zat sites waar je b.v. 20 miljard records kunt downloaden.

Het enige dat veranderd is, is dat het nu meer zichtbaar is dat er - al jaren - een groot probleem is.

Mic2000 @Tommatje • 27 februari 2026 19:27

Ik vind dan ook dat odido had moeten betalen... Ja je wilt het niet aanmoedigen maar odiddi heeft personeel niet voldoende getraind waardoor ze met social engineering zijn binnengekomen op de systemen.

Omdat er zoveel risico voor zoveel mensen op het spel staan, ja dan vind ik dat odido voor nu maar moet betalen, en hopelijk daarna hun personeel nog stricter en strenger trainen op wat nooit gegeven mag worden.

Daarnaast is het shit dat we nog steeds ouderwetse identificatie hebben (statisch ipv iets met private key) waardoor via de digitale wereld dit veel te snel massaal misbruikt kan worden.

Paul1956 @Tommatje • 28 februari 2026 10:23

Wat maakt het toch uit wat ze te pakken hebben gekregen, je @ adres staat overal op internet terug te vinden met bijbehorend 06 nr. Als je op de Odido site je @ adres invuld zie je dat ze dat weten. Zowat je beheerd toch je eigen gegevens ? Ze mogen gerust mijn bankrekening nummer zien maar dat wil niet zeggen dat die morgen leeg is.Odido ( het vroegere Tele2 ) weet alleen je 06 nr en evt. rekening nummer zowat elke doehetzelf winkel weet dat ook. Het is gewoon een stom in een glas water. Een beetje normaal iemand heeft zijn mobiel beveiligd tegen dit soort misbruik.

Andros @HertogJoris • 27 februari 2026 10:00

Maar daar stonden weer geen documentnummers of BSN's in. Tevens was er destijds geen sprake van verregaande automatisering en identiteitsdiefstal zoals vandaag bestaat. Als je handmatig een heel telefoonboek wilt gaan scammen ben je best een paar maanden bezig voor één regio. En dat is toch iets anders dan een paar miljoen mensen geautomatiseerde mails sturen.

RippedBonobo @Andros • 27 februari 2026 11:43

Er staan in deze hack ook geen documentnummers, bsn of geboortedatums in.

wpm @RippedBonobo • 27 februari 2026 12:31

@RippedBonobo Dit is incorrect, volgens de e-mail welke ik van Odido heb ontvangen. Zijn deze gegevens waarschijnlijk onderdeel van de hack.

licon @wpm • 27 februari 2026 12:44

@RippedBonobo doelt op de 2 klantenbestanden van 10GB die gelekt zijn. Niet op de e-mail van Odido.

[Reactie gewijzigd door licon op 27 februari 2026 12:44]

RippedBonobo @licon • 27 februari 2026 12:47

Exact, ik heb de gegevens bekeken, tot nu toe geen BSN of geboortedatum gevonden. Wellicht komt dat nog.

licon @RippedBonobo • 27 februari 2026 12:51

Correctie: Je kunt wel 46 BTW-nummers in lek 1 en 1 BTW-nummer in lek 2 vinden: gewoon een regex voor BTW-nummers invoeren. BTW-nummers kunnen het BSN nummer bevatten.

RippedBonobo @licon • 27 februari 2026 12:55

Dat klopt, geldt alleen voor ZZP-ers. Daar staat het BSN in het BTW nummer. Maar er is geen dedicated attribuut 'BSN'. Voor zover ik heb gezien....

Als dat uiteindelijk zo blijft, dan vind ik het persoonlijk wel meevallen. Naam/adres/telefoon + bank.

Niet super spannend in deze tijd.

Blijft natuurlijk wel een kwalijke zaak.

PrimalFury @RippedBonobo • 27 februari 2026 13:45

Je mist het volgende nog:

Je kunt ook zien welke mensen in budgetbeheer zitten.
Ook is het wachtwoord te zien die de budgetbeheerder moet doorgeven telefonisch aan de Odido medewerker. Wanneer dat wachtwoord klopt, mag Odido informatie doorgeven van desbetreffende klant.

RippedBonobo @PrimalFury • 27 februari 2026 14:08

Dit kun je niet zien, in de huidige gegevens.

PrimalFury @RippedBonobo • 27 februari 2026 17:26

Zeker wel!

licon @RippedBonobo • 28 februari 2026 10:07

Bij Dag 3 wel ontzettend veel geboortedatums, paspoort/rijbewijs/Europees ID nummers met verloopdatums.

stresstak @Andros • 27 februari 2026 16:56

Als je handmatig een heel telefoonboek wilt gaan scammen ben je best een paar maanden bezig voor één regio. En dat is toch iets anders dan een paar miljoen mensen geautomatiseerde mails sturen.

De telefoonboeken bestonden later ook op cd/dvd. En dat werkte flitsend kan ik zeggen.

mvrtwkrs @HertogJoris • 27 februari 2026 10:02

Er is een periode geweest kon je dit gewoon aanschaffen op CD's

Marcel Br @DealExtreme2 • 27 februari 2026 12:15

Ik heb niet de indruk dat we vanwege provacy vanaf gestapt zijn.

Overigens kregen we alleen de lokale telefoongids.

WhiteSnake76 27 februari 2026 10:15

Bij dit soort dingen tref je meer de gewone burger dan het bedrijf waar de persoons gegevens vandaan komen, bedrijf zal het niet heel veel interesseren dat iemand zijn leven totaal over hoop of kapot word gemaakt door fraude.

Draconian @WhiteSnake76 • 27 februari 2026 10:55

Precies. Als de aandeelhouders maar tevreden zijn. Ze stellen het zelfs uit. Stel je voor dat hun schade lijden door de hack. Liever de klanten dan hun.

https://www.dutchitchannel.nl/news/724648/odido-stelt-beursgang-uit

WhiteSnake76 @Draconian • 27 februari 2026 12:28

Misschien wisten ze toen al dat ze gehackt waren, artikeltje waar je naar linkt is van 11 februari.

harakiri576 @WhiteSnake76 • 27 februari 2026 13:06

Ik denk dat vandaag kan je echt niet te veel doen met alleen maar naam, adres, of IBAN. Ja, je kan phishen, maar bij (overheids)-organisaties zou het niet genoeg zijn voor identificatie.

WhiteSnake76 @harakiri576 • 27 februari 2026 16:11

Ze hebben ook Paspoort ID document nummers en BSN nummers, dus niet alleen maar je Telefoon nummer, adres email, en bankrekening nummers.

Tha Deo 27 februari 2026 09:28

Zie ook deze site: https://datagelekt.nl/odido/

Deditio_ @Tha Deo • 27 februari 2026 09:48

Deze lijkt niet helemaal goed te werken? Ik heb wel een email gehad van HaveIBeenPwned maar deze website geeft aan dat mijn email niet gelekt is...

Justevo @Deditio_ • 27 februari 2026 09:54

Omdat de hackersgroep nog niet alle data tegelijk online heeft gezet.

r03n_d @Justevo • 27 februari 2026 10:38

Als HaveIBeenPwned het al heeft is het dus wel online gezet.

TheVivaldi @Deditio_ • 27 februari 2026 09:57

Bij mij geven beide sites aan dat er niks gelekt is. Mag hopen dat dat zo blijft. Vind het wel absurd dat Odido zélf zo slecht communiceert hierover naar mij toe als klant.

ApexAlpha @TheVivaldi • 27 februari 2026 13:26

De hackersgroep heeft een vrij 'goede' reputatie op het gebied van data online zetten als slachtoffers niet betalen.

Dus reken er maar op van wel dat het vrij komt.

mcobelix @Deditio_ • 27 februari 2026 10:00

Ik heb hetzelfde. HaveIBeenPwned geeft aan dat ik gelekt ben, datagelekt.nl geeft aan dat ik niet gelekt ben.

Tha Deo @mcobelix • 27 februari 2026 10:04

Misschien dat haveibeenpwnd ook al de tweede dataset heeft meegenomen en die datagelekt website alleen die van gister?

FlashBang @Tha Deo • 27 februari 2026 10:37

https://bsky.app/profile/haveibeenpwned.com/post/3mfsxk4naek26

Sinds vanochtend vroeg hebben ze de 2e set er al in zitten

Tha Deo @mcobelix • 27 februari 2026 11:30

Ook bij datagelkt is nu de tweede dataset toegevoegd.

Beveiliging en antivirus
Hack

@Tha Deo • 27 februari 2026 09:54

Op basis van de screenshots online wat tests gedaan. Lijkt enigszins goed te werken, maar hij kan vanwege hashing alleen directe matches vinden.

Als je zoekt op naam op die site, zoek dan "V.L. Achternaam" (twee spaties!). Zoek ook op "V.L. Achternaam(Inactive)" en "X.X.X.X.X. Achternaam".

Telefoonnummers werken ook alleen met directe match dus probeer zowel 06 als +316.

Mailadressen lijkt hij nie altijdt te vinden, misschien dat daar ook een spatiefout in zit. Ik kan het de site niet kwalijk nemen, de data is nu eenmaal niet goed genormaliseerd door Odido, dus als je het datalek direct hasht, kun je als controlesite weinig doen.

[Reactie gewijzigd door GertMenkel op 27 februari 2026 09:56]

licon @GertMenkel • 27 februari 2026 12:26

"X.X.X.X.X. Achternaam(Inactive)" ook niet vergeten!

@Tha Deo • 27 februari 2026 15:26

Thx maar toch trickie om daar nu zelf persoonsdata te gaan invullen.

Je moet er dan wel heel erg op durven vertrouwen dat dit veilig opgezet is.

Orian 27 februari 2026 09:25

Meerdere personen (zie topic op het forum) waaronder ik hebben melding gehad van haveibeenpwned dat data gelekt is, maar nooit enig bericht van odido gehad. Hun eerdere statement dat iedereen binnen 48 uur een mail zou krijgen als data gelekt was is dus gewoon een leugen gebleken. Niet verrassend gezien de totaal incapabele wijze waarop ze dit aanpakken, maar wat mij betreft wel noemenswaardig om aan het artikel toe te voegen.

@Orian • 27 februari 2026 10:03

Ik kreeg vannacht inderdaad ook een email van haveibeenpwned. Een paar geleden klant geweest, maar natuurlijk ook niks gehoord. Ronduit bizar vind ik het.

Replic @Orian • 27 februari 2026 10:23

Ja precies, ik heb zelf ook geen bericht gehad maar zie mijzelf nu wel op de website staan, is wel kwalijk.

Ben inmiddels overgestapt naar een andere provider, natuurlijk zal dat dit niet oplossen, maar sinds dat het geen T-Mobile meer is het alleenmaar gezeik geweest (en t-mobile was ook niet alles hoor...).

Echt jammer dit.

Mooraalkikker @Orian • 27 februari 2026 10:02

Vraag mij overigens wel af hoe accuraat dat haveibeenpwned is. Ik heb vorig jaar een mailadres aangemaakt en dit gebruikt voor odido. Nu dacht ik, ik ga eens kijken met dat mailadres, blijkt dit mail adres al in een gehackte database te zitten van 2019?

Lijkt mijzelf wel heel bijzonder.

locke960 @Mooraalkikker • 27 februari 2026 11:50

Iemand anders had dat mailadres voor 2019 gebruik en het opgeheven waardoor het nu voor jou beschikbaar was?

Mooraalkikker @locke960 • 27 februari 2026 13:11

Zou kunnen, maar het mailadres is aardig specifiek, dus zou dat bijzonder vinden. Maar het kan natuurlijk. Al vraag ik mij af of microsoft zo'n mailadres nadien nog beschikbaar maakt

MrvdB @Orian • 27 februari 2026 16:53

Hier inderdaad hetzelfde verhaal. Geen bericht van Odido, maar al jaren klant sinds de T-mobile tijd. Dus vond het vreemd dat ik geen mail had gekregen. Deze ochtend wel via haveibeenpwned de melding gekregen. Iemand de moeite gedaan om hier nog navraag over te doen bij Odido zelf?

Orian @MrvdB • 27 februari 2026 17:44

Ja, ik heb ze gebeld. Veel verder dan raar, we hebben geen idee en we worden ook niet verder geïnformeerd door de verantwoordelijken boven ons kwamen ze ook niet.

Totale amateuristische zooi daar.

lalilaloe @Orian • 28 februari 2026 23:12

Een kleine gok dat daar de paniek wel uitgebroken is. Maar ook zij (aansturing bij Odido) zullen zich laten adviseren door derden in zowel communicatie naar buiten en intern in de organisatie. Dat gestroomlijnd organiseren ligt soms ingewikkelder dan je op eerste oog zou denken in zo'n grote organisatie. Dat schakelen neemt tijd in beslag en om dat technisch in te richten, kan niet anders dat daar, as we speak, werk wordt verzet om z.s.m. voor elkaar te krijgen.

Dat gezegd hebbende zou je dat als incapabel kunnen zien, je verwacht een draaiboek voor zoiets wel klaarligt. Maar praktijk is maatwerk lijkt me

Bedge85 27 februari 2026 11:20

Voor mensen die aangeven dat een dergelijke hack overal kan gebeuren. In november 2025 heeft Odido ook een boete ontvangen van 1.5 miljoen euro vanwege slechte beveiliging van hun aftap systeem. Daardoor heb ik de overtuiging dat deze hack geen incident is, maar dat er bij Odido een structureel probleem is op het gebied van beveiliging, privacy en volgens van procedures.

masterfragger 27 februari 2026 09:00

PRIMA dat ze niet betalen. Poot stijf houden.

Waarom loven ze geen miljoen uit voor info die leidt tot arrestatie en veroordeling? Mag zoiets in Nederland?

[Reactie gewijzigd door masterfragger op 27 februari 2026 09:01]

djexplo @masterfragger • 27 februari 2026 09:11

Wikipedia: ShinyHunters
On June 25, 2025, French authorities announced that four members of the ShinyHunters cyber criminal group were arrested in multiple French regions for cyber crime activities. The coordinated global law enforcement effort targeting the 'ShinyHunters', 'Hollow', 'Noct', and 'Depressed' aliases.^[143]
It is believed that the French have arrested an affiliate of the ShinyHunters cyber criminal group and not the ring leader, as they are still active.^[144][40]

Er is dus al actief onderzoek en vervolging van deze Franse groep. Maar blijkbaar zijn ze "slim" ge-organiseerd in kleine groepjes die elkaar niet kennen.

pven @masterfragger • 27 februari 2026 09:02

Inderdaad. Het is best vervelend dat mijn gegevens erbij zitten, maar dit soort gedrag moet je niet belonen.

kalikatief @pven • 27 februari 2026 09:26

Odido is onverantwoord met onze gegevens omgegaan en hebben de verantwoordelijkheid om deze gegevens veilig te houden.

Dit is niet een kwestie van belonen, maar van verantwoordelijkheid nemen voordat de schade voor de klant die zijn vertrouwen in jou stelde nog erger de dupe wordt.

Het is leuk om in absolute en idealistische termen te praten, maar ik kan al die gegevens die nu op straat liggen niet terug in het doosje stoppen. Mijn BSN, geboortedatum, volledige naam etc. liggen nu op straat en kunnen voor decennia gebruikt blijven worden. Zelfs als ik verhuis en van rekening, e-mail en telefoonnummer verander blijf ik enorm kwetsbaar, en als je de verhalen hoort van andere mensen die hun identiteit gestolen hebben gehad kunnen die daar voor duizenden uren aan rotzooi van krijgen omdat er creditcards, leningen etc. op hun naam zijn aangegaan, en dan mag je leuk aan alle deurwaarders vertellen en bewijzen dat jij dat geld niet schuldig bent. Dit kan een enorme nachtmerrie zijn voor getroffenen.

Odido kan dit bedrag makkelijk betalen en heeft de morele verantwoordelijkheid dit te doen. Het is toch absurd dat de partij die in gebreke is weigert om hun klanten te beschermen omdat de enige die met de puinhoop blijven zitten diezelfde klanten zijn? Ze willen gewoon het risico niet lopen dat ze de daders nooit identificeren en het geld niet kunnen verhalen.

Wat mij betreft mag de politiek een wet aannemen dat in geval van schade met een herleidbare bron van datalekken deze bron 50 jaar lang aansprakelijk blijft voor de gevolgen van deze datalekken. Het is idioot dat wij allemaal zijn overgeleverd aan de moraal van een bedrijf terwijl dat bedrijf in de realiteit alleen maar interesse heeft in geld.

Ik sta hier als slachtoffer buitenspel en compleet machteloos, en kan alleen de rest van mijn leven met de verbrande peren zitten.

HansMij @kalikatief • 27 februari 2026 09:43

Ik ben ook slachtoffer, maar sta er anders in. Odido heeft zijn zaakjes niet op orde, daar mogen ze best een behoorlijke boete voor krijgen. De overheid heeft in deze ook boter op zijn hoofd, die moet bij bedrijven controles doen over dit soort zaken en bij overtredigen boetes uitdelen. Maar in Den Haag zien ze de noodzaak niet om hier geld voor uit te trekken.

Ik vind het goed dat er niet betaald is. Er zijn genoeg voorbeelden dat na betaling alsnog de data verkocht is (al dan niet verrijkt met data uit andere hacks). Daaruit concludeer ik dat betalen alleen maar uitstel van executie is. Die data gaat toch wel de markt op. Nu weet ik straks welke data van mij gelekt is en kan ik daar gericht op controleren/beveiligen.

Daarbij kan ik me niet voorstellen dat de gegevens die van mij gelekt is (waarschijnlijk NAW + IBAN) niet allang door tientallen webshopjes is gelekt zonder dat daar een melding van is gedaan. Het enige verschil is dat er nu een heel mediacircus van gemaakt wordt, wat wel weer goed is voor de awareness van het grote publiek.

Om nog even terug te komen op Den Haag: wat volgens mij goed zou zijn is dat er boetes bij lekken van gegevens worden uitgedeeld. En dan ook per gegevensveld. bijvoorbeeld 1 euro voor een voornaam, 1 euro voor een achternaam, 5 euro voor een adres, 5 euro voor een email-adres. 15 voor een IBAN. Dan is er voor de CFO van dergelijke bedrijven een noodzaak om zo min mogelijk gegevens op te slaan en deze gegevens te verwijderen als ze overbodig zijn. Die gegevens bewaren zijn dan namelijk een gigantische potentiele kostenpost. Nu is het verwijderen een (veel kleinere) kostenpost omdat dat man-uren kost.

Mathijs Kok @HansMij • 27 februari 2026 09:54

De overheid heeft in deze ook boter op zijn hoofd, die moet bij bedrijven controles doen over dit soort zaken en

De overheid (politie?) moet bij bedrijven de databeveiliging gaan checken? Wat kan er fout gaan?

HansMij @Mathijs Kok • 27 februari 2026 09:57

Volgens mij hebben we een Autoriteit Persoonsgegevens die dat hoort te doen, maar door Den Haag onderbetaald wordt. Misschien kunnen ze met die lek-boetes hun eigen budget aanvullen. Dat zou betekenen dat hoe groter de lekken, hoe meer mogelijkheden AP heeft.

pven @kalikatief • 27 februari 2026 09:32

Jij hebt het idee dat het met een miljoen af kan worden gekocht? Je weet nooit wat ze met je gegevens doen, ook niet als er betaald is. En over hackers die een reputatie hoog te houden hebben wil ik het al helemaal niet hebben.

asset185 @kalikatief • 27 februari 2026 09:54

Het probleem is dat de manier waarop het hele identificatieproces voor een dienst op dit moment werkt gewoon inherent onveilig is. En deze megalek heeft dat hele systeem feitelijk totaal onbruikbaar gemaakt.

Met deze gegevens kan iemand een automatische incasso uitvoeren bij jouw bank. En bedrijven die nu nog steeds op dezelfde manier een klant proberen te identificeren kunnen heel makkelijk denken dat ze met jou inplaats van met de boef te maken hebben.

Dit lek gaat verstrekkende maatschappelijke gevolgen hebben. Want de manier waarop we al jeren dingen hebben gedaan en wat al jaren heel slecht werkte. Werkt nu dus totaal niet meer.

freshy98 @pven • 27 februari 2026 09:22

Dat heb ik dus ook. En wat kan je anders doen?Overstappen naar een andere provider wat hetzelfde kan gebeuren?

Vol Braakzakje @freshy98 • 28 februari 2026 09:44

Als andere providers hun beveiliging wél op orde hebben is dat zeker een goed plan. Gewoon bij Odido blijven is nu een stom idee. Ze moeten gestraft worden voor hun incapabele gedrag.

Ik heb net gecheckt en mijn gegevens liggen nu allemaal op straat. Bah wat een ellende heb ik hier nu van! Door de onkunde en onwil van Odido op hun zaakjes op orde te hebben!

Ik ben natuurlijk direct met al mijn gezinsleden en hechte vriende weg gegaan bij Odido.

Faloude @masterfragger • 27 februari 2026 09:02

Je stelt de verkeerde vraag. Waarom loven ze geen vergoeding uit aan klanten?

masterfragger @Faloude • 27 februari 2026 09:04

Ook belangrijk. Maar goed mijn data is tot nu toe 17x buitgemaakt bij breaches. Ik wil graag dat zulke lui worden gepakt en zit persoonlijk minder te wachten op een vergoeding. Ben minder nijdig op Odido dan op deze criminelen.

Oon @masterfragger • 27 februari 2026 09:14

Want?
Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?

Odido vraagt allerlei gegevens van je en is 100% verantwoordelijk voor het veilig bewaren/verwerken daarvan, dat hebben ze niet gedaan. Odido is toch écht wel de partij die hier de grootste schuld heeft.

Eldunari @Oon • 27 februari 2026 09:31

Het is duidelijk dat Odido hier ook steken heeft laten vallen. Maar primair zijn het de criminelen die schuld hebben.

Als ik mijn voordeur open laat staan, mag er nog steeds niet iemand naar binnen lopen om mijn tv mee te nemen.

Als ik mijn deur en alle ramen op slot heb zitten, maar een inbreker weet toch binnen te komen is er niemand die mij daarvan de schuld geeft. Ook als daarbij de grasmaaier die ik van mijn buurman heb geleend gestolen wordt en ik die al terug had moeten brengen.

Als Odido data van hun klanten heeft die ze daadwerkelijk nodig hebben en ze hebben deze op redelijke wijze beschermd, dan hebben ze niets misdaan.

Nu blijkt dat er ook veel oudere gegevens in staan van oud klanten die al lang verwijderd hadden moeten zijn. Dat is de schuld van Odido.

En er moet gekeken worden of ze de deur toch wel goed dicht hadden gedaan (om terug te komen bij mijn vergelijking).

[Reactie gewijzigd door Eldunari op 27 februari 2026 09:32]

Calypso @Eldunari • 27 februari 2026 09:53

Goed, laat ik even meegaan in de vergelijking die je trekt van de voordeur en een inbraak.

Als jij je voordeur open laat staan (of een zwaar ondeugdelijk slot op de deur hebt) terwijl er in de buurt regelmatig inbraken gepleegd worden, en het bekend is dat jij een flinke hoeveelheid gouden sieraden hebt, dan is de kans heel erg groot dat een verzekering niet tot uitkering van de schade zal overgaan omdat je niet alle noodzakelijk maatregelen hebt getroffen. Dat ze binnen zijn gekomen via een klantenservicemedewerker en zoveel data hebben kunnen stelen is in mijn ogen gelijk aan onvoldoende beveiliging - per definitie. Odido zal in toekomstige verklaringen wel aan gaan geven dat het een "ingewikkelde hack" was etc maar gezien het steeds maar weer moeten aanpassen van hoeveel en wat er naar buiten gekomen is neem ik dat met een korrel zout.

Met security is het altijd zo dat je moet zorgen dat het bij jou lastiger is om binnen te komen dan bij de buurman, waarbij de mate van "lastiger maken" evenredig is met de bezittingen die je hebt.

Hierin is Odido in mijn ogen nog steeds ernstig tekort geschoten, laat staan de andere zaken die niet kloppen aan hun handelswijze:

- Waarschijnlijk niet iedereen ingelicht (er zitten mailadressen in het gelekte bestand die nooit op de hoogte gebracht zijn door Odido)

- Gegevens die langer dan nodig/gerechtvaardigd/aangegeven bewaard zijn

[Opm: mijn reactie was ik begonnen met typen voor je wijziging]

[Reactie gewijzigd door Calypso op 27 februari 2026 09:57]

vosManz @Calypso • 27 februari 2026 10:48

Je haalt hier, net als @ApexAlpha overigens, voor het gemak even twee zaken door elkaar. Je hebt het over een verzekering. Die kunnen aanvullende voorwaarden stellen om uit te keren, waaronder aanvullende beveiligingsmaatregelen (om in de vergelijking verder te gaan, een slot met bepaald keurmerk bijvoorbeeld).

Dat neemt echter niet weg dat je gewoon aangifte kan doen bij de politie, en (als ze gepakt worden) de daders verantwoordelijk zullen worden gesteld voor inbraak/diefstal/computervredebreuk/whatever. Dat staat echter geheel los van de verzekering.

Dus: de criminelen hebben schuld. (En ja, het lijkt erop dat Odido ook zeker de nodige steken heeft laten vallen en daar moet zeker naar gekeken worden, maar dat neemt niet weg dat de criminelen schuld hebben voor het stelen én lekken van de data)

[Reactie gewijzigd door vosManz op 27 februari 2026 10:49]

ApexAlpha @vosManz • 27 februari 2026 12:46

Beide partijen kunnen (deels) schuldig zijn.

Als iemand bij je inbreekt is dat de inbreker, ja. Maar als jij je voordeur open laat als je een weekend weg gaat ben je schuldig aan nalatigheid.

"Steken laten vallen" is wel erg gemakkelijk. Er is gewoon wetgeving rondom het opslaan en beveiligen van data waar ze zich niet aan houden.

TheVivaldi @Calypso • 27 februari 2026 10:03

Precies. In weze ben ik het natuurlijk eens dat je van andermans spullen moet afblijven, ook als de voordeur openstaat. Maar als bekend is dat er veel inbraken gepleegd worden en je laat de voordeur desondanks openstaan, dan is dat natuurlijk niet slim. De boef is uiteraard de grootste schurk, maar toch is het niet handig.

Waarmee ik niet wil zeggen dat Odido de deur open liet staan, want dat zal eerst moeten worden onderzocht. Wat wél beter kan is de communicatie. Als een boef door mijn openstaande voordeur naar binnen glipt en de grasmaaier van de buurman — die ik in bruikleen had — meeneemt, zou ik na het inlichten van de politie toch ook de buurman op de hoogte brengen.

[Reactie gewijzigd door TheVivaldi op 27 februari 2026 10:05]

Danfoss @Calypso • 27 februari 2026 10:16

. Dat ze binnen zijn gekomen via een klantenservicemedewerker en zoveel data hebben kunnen stelen is in mijn ogen gelijk aan onvoldoende beveiliging - per definitie.

Dit inderdaad!. Met alleen de voordeursleutel hebben ze ook de kluis kunnen openen. Wat ook erg is dat dit ook niet opgemerkt is totdat de hackers contact opnamen. Dus ook niemand keek op de camera's die de kluis bewaken.

Overigens vind ik Salesforce en de partners die Salesforce hebben geïmplementeerd bij Odido hier ook een gedeelde verantwoordelijkheid in hebben. Blijkbaar kan je een online only systeem als Salesforce zo inrichten dat 1 account alles kan raadplegen wat natuurlijk als security uitgangspunt al heel erg discutabel is. Op deze risico's moet een klant gewezen worden.

[Reactie gewijzigd door Danfoss op 27 februari 2026 10:17]

ApexAlpha @Eldunari • 27 februari 2026 09:51

Vraag je verzekering eens om geld uit te keren voor je gestolen fiets als je hem niet afsluit. Of mijn een niet goedgekeurd slot afsluit. Of geen tracker erop hebt.

Je bent altijd zelf primair verantwoordelijk om je spullen te beveiligen.

Wat Odido heeft probeert te doen is het equivalent van "De Directie stelt zich niet aansprake voor diefstal" bordjes. Maar die bordjes betekenen niks, en deze digitale equivalent ook niet. Odidio had hun spullen degelijk moeten beveiligen en heeft dat nagelaten.

logix147 @Eldunari • 27 februari 2026 10:07

Ik vind wel dat Odido er met jouw blik easy vanaf komt.

Bedrijven van deze omvang mogen van mij toch wel aantonen dat zij hun schapen droog hebben staan.

Wordt personeel getraind? (als blijkt dat het voordoen als ICT medewerker klopt; au!)
Hoe zit de IT beveiliging in elkaar? (lijkt mij onlogisch dat 1 persoon aan de frontoffice rechten zou moeten hebben een complete dump te maken van je CRM pakket zonder 1 alarmbel)
Zijn de juiste protocollen gevolgd? (of zijn deze er niet)

Als men echt binnen gekomen met zichzelf voordoen als een IT medewerker, dan vrees ik het ergste.

Wat zou onze overheid hiervoor moeten doen?

Allereerst de verhuizing van ons DIGID per direct stopzetten, als we dat met computerchips doen om China, dan is dit soort data ook niet handig om naar de VS te laten gaan.
Regels en gevolgen vaststellen als blijkt dat je als bedrijf nalattig bent geweest.
Burgers 'gratis' voorzien van nieuwe documenten als blijkt dat dit een incident van deze omvang is.
Bedrijf laten opdraaien voor allerminst de kosten van de vervanging van punt 3 als punt 2 van toepassing is. Anders misschien een soort punten systeem dat begint tot max minimaal 75% vergoeden.

Dit soort regels zal bedrijven waarop ze van toepassing zijn dwingen over veiligheid na te denken. Ik heb zakelijk met de Windows 10 > 11 migratie tevaak gehoord: geen budget en er gebeurd toch nooit iets.

Zolang bedrijven geen pijnprikkel registeren en deze voelt men alleen in de vorm van banksaldo reductie, zullen onze gegevens altijd wel te graaien zijn.

Deze kan weer in het ritje van grote hacks. Wie is de volgende... want als de overheid besluit nu niets te doen, dan zal er een nog grotere volgen.

edit:
Volgende al gevonden: nieuws: Ivanti-lek gaf hackers toegang tot personeelsdata Dienst Justitiële Inrichtingen

Al is het alleen voor dit soort groepen om Fame te doen. Als dit soort groepen in ons vriendelijke Rusland/China bevinden, dan is berechten zeer lastig, dat weten we allemaal.

Preventie is nu op z'n zachtst gezegd optioneel, we zijn een heel datarijk land, wellicht dat we daar meer regels aan moeten verbinden.

[Reactie gewijzigd door logix147 op 27 februari 2026 10:24]

@Eldunari • 27 februari 2026 10:17

Het is duidelijk dat Odido hier ook steken heeft laten vallen. Maar primair zijn het de criminelen die schuld hebben.

Tja, criminelen dragen altijd schuld. Het zit al een beetje in de naam. Dat is een beetje een open deur intrappen natuurlijk. Het is hetzelfde als zeggen dat vogels schuldig zijn aan het onderpoepen van je auto.

Als ik mijn voordeur open laat staan, mag er nog steeds niet iemand naar binnen lopen om mijn tv mee te nemen.

Dat is de theorie. In de praktijk weet je dat als je je deur open laat, je tv op een gegeven moment weg is.

Als ik mijn deur en alle ramen op slot heb zitten, maar een inbreker weet toch binnen te komen is er niemand die mij daarvan de schuld geeft.

En dat is bij Odido dus precies niet het geval. Dat de daders met social engineering zijn binnengekomen, is één ding, maar dat ze vervolgens ongelimiteerd overal bij konden komen, is niet bepaald "al je ramen en deuren op slot hebben". Nog even los van het feit dat Odido data verzamelde, waar ze geen grondslag of doelbinding voor hadden en waarbij ze het principe van dataminimalisatie, volstrekt negeerden.

En dan is er nog het ontbreken van data lifecycle management, waardoor ook mensen die al lang geen klant meer zijn, nu ook getroffen zijn door dit lek.

Als je als bedrijf de feiten zo negeert en je beroept op onwerkelijke theoretische scenario's, dan ben je gewoon keihard schuldig, in mijn ogen.

Het argument dat je de criminelen beloont, door te betalen, is in mijn ogen ook gewoon nonsens. Vergelijk het met een gewapende overval. Zeg je dan ook keihard nee, omdat je anders de criminelen beloont? Je moet afwegen of de consequenties van niet betalen, opwegen tegen wel betalen. In dit geval zijn de consequenties vooral voor de klanten van Odido.

Het is bovendien ijdele hoop om te denken dat criminelen wel zullen stoppen met dit soort praktijken, wanneer niemand nog betaalt. Er is altijd een kans dat ze wel betalen en het gaat tenslotte ook om de kick en de roem.

Mijn conclusie is dan ook dat Odido gewoon had moeten betalen. Niet omdat de criminelen beloont moeten worden, maar om alles te doen om de data van hun klanten te beschermen.

logix147 @delphium • 27 februari 2026 10:31

Ik denk dat betalen het juist in stand houdt. Ik denk dat het geld dat een Odido nu had kunnen betalen beter uitgegeven kan worden, middels wetgeving en regels (die er nu niet zijn), om getroffen gebruikers schadeloos te maken: dus door als overheid te beseffen dat dit soort documenten gewoon vervangen moeten worden preventief.

Als we dat gaan doen, is de impact kleiner, financieel en stop je ook dit soort criminaliteit. Lijst met documentnummers op een interpol lijst ofzo en iedereen die dit gegevens gebruikt kan je vanuitgaan dat ze geen zuivere bedoelingen hebben.

Ander voordeel is dat je zo ook zakelijk in elk geval bedrijven dwingt te investeren in de beveiliging, dat is nu een vijfde wiel aan de wagen. Bedrijven die het wel doen ervaren wellicht zo oneerlijke concurrentie van andere partijen die even groot zijn, maar dat maakt niemand wat uit, tenzij het nu groot in nieuws komt.

Gevolg is dat je als getroffen persoon altijd de landing over je heen krijgt en bedrijven komen er vaak ongeschonden vanaf of met een figuurlijke tik op de vingers.

@logix147 • 27 februari 2026 11:03

Ik denk dat betalen het juist in stand houdt. Ik denk dat het geld dat een Odido nu had kunnen betalen beter uitgegeven kan worden, middels wetgeving en regels (die er nu niet zijn), om getroffen gebruikers schadeloos te maken: dus door als overheid te beseffen dat dit soort documenten gewoon vervangen moeten worden preventief.

Getroffenen "schadeloos" stellen is onmogelijk. Als je gegevens eenmaal zijn gelekt, dan heb je daar veel, tot heel erg veel last van. Een bergje geld, gaat daar niets aan veranderen. Zoals ik al schreef, gaat "niet betalen", er niet voor zorgen dat criminelen gaan stoppen met dit soort hacks. Er is altijd een kans dat er wel betaald gaat worden en daarnaast gaat het ook om de kicks.

Ander voordeel is dat je zo ook zakelijk in elk geval bedrijven dwingt te investeren in de beveiliging, dat is nu een vijfde wiel aan de wagen.

Volgens mij is het juist andersom. Als je bedrijven leert dat ze niet hoeven te betalen, bij een dergelijk lek, gaan ze echt niet de bespaarde centjes investeren in beveiliging. Als je ze wel laat betalen, doen ze dat wellicht wel, om te voorkomen dat het nogmaals gebeurt.

logix147 @delphium • 27 februari 2026 18:03

[...]

Getroffenen "schadeloos" stellen is onmogelijk. Als je gegevens eenmaal zijn gelekt, dan heb je daar veel, tot heel erg veel last van. Een bergje geld, gaat daar niets aan veranderen. Zoals ik al schreef, gaat "niet betalen", er niet voor zorgen dat criminelen gaan stoppen met dit soort hacks. Er is altijd een kans dat er wel betaald gaat worden en daarnaast gaat het ook om de kicks.

Een paspoort is ons duurste document wat gelekt kan zijn met 88,65 - de vermissing/gestolen melding is tegenwoordig gratis. Pasfoto kost je 15-20 euro - dus in principe ben je voor dit document met 110 euro klaar.

[...]

Volgens mij is het juist andersom. Als je bedrijven leert dat ze niet hoeven te betalen, bij een dergelijk lek, gaan ze echt niet de bespaarde centjes investeren in beveiliging. Als je ze wel laat betalen, doen ze dat wellicht wel, om te voorkomen dat het nogmaals gebeurt.

Als je het in een wet en regelgeving opneemt dat bedrijven die X klanten hebben daaraan moeten voldoen en daarom dus verantwoordelijk zijn voor de kosten van een lek. Reken maar van yes dat een bedrijf als Odido dan niet deze gegevens op straat had liggen.

Simpel rekenvoorbeeld: stel we gaan van de NOS met 690.000 gelekte emailadressen (waar mogelijk dus ook documenten) gaan rekenen. 690.000 x 110 =75.900.000 wat je als potentieel risico als financieel zwaard van damocles boven je hoofd hebt hangen. Hang daarbij de context dat je als bestuur hiermee ook automatisch persoonlijk aansprakelijk wordt en geloof mij: de IT wereld is morgen dan ineens een stuk veiliger.

Ik denk ook gezien dit soort bedragen dat een OM/overheid hier toch wel kritische vragen over mag gaan stellen - al helemaal vanwege dat ook kritische doelgroepen hiermee dus blijkt onvoldoende beschermd zijn.

We leven helaas gewoon in een wereld waarbij er regios zijn die je een carte-de-Hood geven als je 'Het Westen' lastig valt en daar ga je ze niet kunnen berechten. Dit zijn geen dusdanig zware gruweheden dat je als land 'even je speciale eenheden' inzet voor een stel boeven met als bijgerecht risico: WW3

Ik denk dat vooral niets doen, wat de overheid nu doet, met DigiD o.a. en deze inbraak, want een 'hack/lek' kan ik het niet meer noemen, ook niet bijdraagt aan een veilgere wereld.

M4x @Eldunari • 27 februari 2026 13:46

Als ik mijn deur en alle ramen op slot heb zitten, maar een inbreker weet toch binnen te komen is er niemand die mij daarvan de schuld geeft. Ook als daarbij de grasmaaier die ik van mijn buurman heb geleend gestolen wordt en ik die al terug had moeten brengen.

Dan ben ik toch benieuwd: vind jij dan (a) dat jij de buurman op de hoogte moet brengen van de diefstel van de grasmaaier en (b) dat jij de buurman een vergoeding/nieuwe grasmaaier moet geven?

Het antwoord van Odido op beiden is: ik blijf me inzetten voor een mooie grasmat (en verder niks). :)

asset185 @Oon • 27 februari 2026 09:26

Shinyhunters zijn de grote criminelen. Maar Odido gaat ook zeker niet vrijuit. Als ze zich gewoon netjes aan de AVG gehouden hadden was de schade aanzienlijk kleiner geweest. Het grootste deel van de gegevens in het lek mocht Odido niet eens in bezit hebben. Daarnaast had Odido gewoon hun beveiliging niet op orde.

eborn @asset185 • 27 februari 2026 10:06

Ik ben dan wel benieuwd naar welke gegevens je doelt? De AVG is bewust enorm vaag over hoe lang je gegevens mag behouden.

asset185 @eborn • 27 februari 2026 10:26

Ten eerste de bewaartermijnen zijn ver overschreden.Daarbij hoidt Odido gegevens bij over gedrag van klanten en hoe klanten op dat moment over komen. Zaken als "Onder invloed", "Klant gaat door een moeilijke periode" Odido is geen GGZ instelling. Dit zijn zaken waar een winkel of callcenter medewerker totaal niets mee te maken heeft en gaat ook ver buiten hun bevoegdheden.

Daarbij gaf Odido op hun eigen website aan wat hun bewaartermijnen waren. En die hebben ze alles behalve nagelefd.

[Reactie gewijzigd door asset185 op 27 februari 2026 10:29]

Martinspire @asset185 • 27 februari 2026 10:35

Volgens de AVG mag je ze misschien niet lang bewaren, maar voor bepaalde processen moet je ze wel degelijk wettelijk opvragen en verwerken voordat je ze weg doet, versleutelt of gedeeltelijk nog bewaard voor verificatie.

Odido

@Oon • 27 februari 2026 09:29

Dus als iemand je portemonnee steelt dan doe je ook geen aangifte omdat je deze maar beter had moeten opbergen? Of als er een inbreker je huis binnenkomt dan zegt de politie toch ook niet dat je je huis maar beter had moeten beveiligen want er is alsnog iemand binnen gekomen.

Natuurlijk heeft Odido ook steken laten vallen en als ik op Ivebeenpwnd kijk dan zie ik dat nog veel meer bedrijven dat hebben gedaan waarvan ik het niet eens wist... Maar die hackers brengen het naar buiten, niet Odido.

FrostHex @jongetje • 27 februari 2026 09:42

Kromme vergelijking. Met 6,2 miljoen gevoelige data mag je hogere security verwachten, dan bij een gewoon huis. Eigenlijk hebben ze dus zo veel dat niet goed achter slot en grendel gezet maar gewoon in huis laten slingeren. Dat is wat anders dan spullen van 1 persoon..

TheVivaldi @FrostHex • 27 februari 2026 10:15

Precies. Als we dan tóch voor de gebouwbeveiliging gaan, zou ik eerder een bank als voorbeeld nemen. Als die alle goudstaven pal achter de voordeur legt die beveiligd is met een brakke MasterLock en alleen nepcamera's ophangt, zodat het alleen lijkt alsof er gefilmd wordt, zou de verzekering na inbraak dan uitkeren of zeggen: u had het bankgebouw beter moeten beveiligen?

HansvDr @FrostHex • 27 februari 2026 15:10

Misschien moeten we eens zorgen dat je met alleen data niets kunt.

Het zou zo moeten zijn dat ze niets kunnen met mijn persoonsgegevens.

2FA op alles

timeraider @Oon • 27 februari 2026 09:28

Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt omdat hij geduwd word door onbekend iemand en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?

Hier.. verbetering van je opmerking vergeleken met de realiteit gezien jouw situatieschets van geen kanten klopte.
En ja.. mensen mogen ZOWEL boos zijn op degene die hem geduwd heeft (aka, Shinyhunter) en de kinderopvang die duidelijk beter had moeten opletten en je kind niet alleen had moeten laten met een onbekend iemand (Odido)

Alfa1970 @Oon • 27 februari 2026 09:30

Odido is inderdaad 100% verantwoordelijk dat ze het zo ver hebben kunnen laten komen dat er zoveel persoonlijke gegevens zijn buitgemaakt.
Maar je vergelijk gaat ook mank, het bankje kan er niet actief voor zorgen dat je kind er vanaf valt en een hersenschudding krijgt.

De dieven hebben willens en wetens schade willen berokkenen.
Zij zijn de echte criminelen.

Desondanks niet te min, zou de directie van Odido van mij een jaartje of wat in de petoet mogen belanden.
Gewoon als signaal aan bedrijven dat het een serieuze zaak is en dat je als directeur van een multinational niet je handen af kan trekken van de verantwoordelijkheid om de gegevens van je klanten te beschermen op een dusdanige manier dat een breach van deze omvang niet mogelijk is.

Ozzy @Oon • 27 februari 2026 09:37

Daarom onderzoekt het OM de hack ook of Odido nalatig is geweest. Er kan ook zijn - en ik zegt niet dat dat hier ook het geval is - dat ze al het mogelijke hebben gedaan om dit te voorkomen.

Er zit een grens aan wat redelijk en billijk is. Als er in je huis wordt ingebroken en je had veiligheidssloten, een waakhond, een alarminstallatie en camera's, dan zou je ook niet accepteren dat de verzekering zegt dat je 100% verantwoordelijk bent omdat je geen rolluiken en tralies hebt geïnstalleerd.

De hackers zijn 100% verantwoordelijk voor de hack en het lekken en dat is toch écht de partij die de grootste schuld heeft, de rol van Odido wordt nog onderzocht en de klanten zijn de sjaak, zonder dat ze er iets aan hebben kunnen doen.

Want?
Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?

Ik ben wel benieuwd op wie je dan boos bent?

a) Op je kind omdat hij van het bankje is gevallen?
b) Op jezelf, omdat je te weinig onderzoek hebt gedaan naar het bankje bij de kinderopvang?
c) Of heb je nog een andere optie?

84hannes @Oon • 27 februari 2026 09:41

Als ik mijn kind naar een kinderopvang doe en mijn kind daar van een bankje af valt en een hersenschudding heeft ga ik toch ook niet boos zijn op het bankje?

Het gaat er hierbij dat je kind van het bankje is geduwd. Maar goed nieuws: de dader belooft aan andere ouders hun kinderen iets van het bankje te duwen als ze geld geven. Ben jij dan blij als die andere ouders betalen?

Ik weet dat het controversieel is, maar persoonlijk heb ik moeite met het financieren van criminele organisaties. Ze gaan niet minder hacken als ze meer geld krijgen; ze worden er professioneler van.

[Reactie gewijzigd door 84hannes op 27 februari 2026 09:42]

TheVivaldi @84hannes • 27 februari 2026 10:18

Hadden ze bij de betaling niet een volgtrucje kunnen inbouwen, zoals Kees van der Spek dat doet om de locatie van oplichters te achterhalen?

84hannes @TheVivaldi • 27 februari 2026 11:19

Ik denk dat dit soort criminele organisaties daar te professioneel voor zijn. Waarschijnlijk weten ze heel goed hoe ze ontraceerbaar (of, in het geval van Russische bendes, onaantastbaar) moeten blijven.

MischaBoender @Oon • 27 februari 2026 09:44

Als iemand de afgesloten deur van die kinderopvang zou forceren en jouw kind iets zou aan doen, dan zou je niet boos zijn op degene, maar alleen op de kinderopvang?

basb96 @Oon • 27 februari 2026 10:51

Het klinkt mij eerder als,
Als ik mijn kind naar een kinderopvang doe en iemand bij die kinderopvang binnenloopt en daar mijn kind van een bankje af duwt en het kind daardoor een hersenschudding heeft, ga ik boos zijn op de kinderopvang want ze hebben die persoon niet tegegengehouden, maar ik ga zeker ook boos zijn op de persoon wie mijn kind heeft geduwd.

escalate @Oon • 27 februari 2026 09:24

Maar de hackers braken in bij Odido, moeten zij dan maar vrijuit gaan? Ik bedoel Odido heeft fouten gemaakt, maar zij zetten de boel niet op het darkweb... laten we wel de echte dieven blijven volgen.

Dat onnodige data bij Odido aanwezig is/was is natuurlijk ook slecht, maar er is ook een gedeelte dat de overheid hier heeft laten liggen in de vorm van de controlerende instanties die te weinig budget heeft voor het tijdig uitvoeren van hun taken. Deze instanties zijn in principe opgesteld om het Nederlandse volk te beschermen, en daar is ook gefaald mijnsinziens.

joassens @escalate • 27 februari 2026 09:43

Zoals ik het zie:
Hackers zijn zeker fout, zeker gezien zij in eerste instantie van de gegevens af hadden moeten blijven.
Maar Odido is hier minstens zo fout omdat ze hun zaken niet op order hadden / hebben.
En het beveiliging van het systeem begint met een goede personeelsinstructie.

Het grootste probleem wat ik heb, is dat geen van beide partijen hier direct de slachtoffer van is.
Odido en de Hackersgroep wachten tot dit overwaait en dan is het voor hun een afgesloten hoofdstuk.

Terwijl de klanten die O'di(L)do vertrouwden, hun gegevens zien belanden op straat wat op ieder moment in de (nabije) toekomst tegen hun gebruikt kunnen worden.

Wat dacht je van de combo naam / adres / BSN en IBAN? (zeker zzp'ers of kleine eenmanszaken wat voor 2020 een abonnement hebben afgesloten)

Verder horen we niets direct vanuit Odido. En een F-Secure licentie voor 2 jaar (op aanvraag) vind ik erg dunnetjes.

En ik mis een officiële verontschuldigingen naar hun klanten.

TheVivaldi @joassens • 27 februari 2026 10:07

Precies, waarom is de communicatie zo slecht? Als het nu ging om een eenmansbedrijfje met 1000 klanten, kan ik me voorstellen dat het moeite kost om die allemaal op de hoogte te brengen, maar een groot bedrijf als Odido heeft genoeg personeel en geautomatiseerde verzendsystemen om deftige berichten te versturen aan hun klanten.

Martinspire @joassens • 27 februari 2026 10:34

Tja, het is misschien net als een bankoverval waarbij de bank meer had kunnen doen, maar het is toch echt de schuld van de overvallers dat ze er misbruik van maken. Je hebt helemaal niks te zoeken in die gegevens en de enige motivatie voor ze is om er geld aan te verdienen waarbij ze de levens van miljoenen mensen negatief beïnvloeden. Dan ben je gewoon een klootzak hoor.

Verder kan Odido er ook weinig aan doen dat er zo weinig gegevens zijn om iemand te identificeren waarbij ze deze echt wel nodig hebben om te zorgen dat ze hun geld krijgen, dat ze weten met wie ze te maken hebben en dat ze zaken kunnen en mogen blijven doen (want een deel is ook wettelijk verplicht).

Je hebt gelijk dat de klanten meer slachtoffer zijn dan Odido en dat het hun vooral PR kost en een deel van de klanten zal weggaan. Maar alsnog is het toch echt de schuld van de hackersgroep. Die willen ten koste van de slachtoffers die hier nog jaren sores van hebben geld eruit slaan. Dat ze nu druppelend de gegevens naar buiten brengen is nog een laatste strohalm om te kijken of ze er nog wat geld uit kunnen halen. Maar dat gaat niet lukken en dat is ook gewoon terecht (anders maak je jezelf alleen maar een groter doelwit voor de toekomst)

escalate @joassens • 27 februari 2026 11:18

Hier ben ik het mee eens en zie hier in de huidige houding van het nederlandse volk, overheid en bedrijven geen oplossing. Hoe vaak moet je jou gegevens overhandigen aan bedrijven, dit is echt extreem veel, en hoe vaak delen zij die weer met hun partners. Elk van die organisaties moeten hun beveiliging op orde hebben en elke keer doen ze dat op hun eigen manier, en dat is dweilen met de kraan open

Als onze overheid hier inspringt met persoons validatie services zouden al die bedrijven nooit onze privé gegevens hoeven op te slaan en alleen een validatie entry van ren arbitraire ID op te slaan. Dit systeem zou dan leiden tot een grote reductie van ongeautoriseerde handel van persoons gegevens en reductie van risico voor bedrijven.

Maar dit lijkt mij in de huidige politiek en overheids reputatie onmogelijk aangezien ze geen goeie track record hebben op gebied van ict, noch langdurige projecten die voorbij een ambts termijn gaan.

The-Source @joassens • 27 februari 2026 13:26

Maar alles leuk en aardig met het aanbod van F-Secure, daarmee kan je een device "beveiligen" maar extern kunnen je persoonsgegevens zonder enige F-Secure tussenkomst gebruikt worden.
Dat is gewoon het kromme.
En plaintext password.... Zelfs ano 2010 zou je dat al uit dan boze moeten zijn.

En dan hebben we het niet eens over dat Odido niet eens goed weet wat er allemaal gestolen is. En het falen daar is hoe dan ook compartimenteren van data wat niet is gebeurd.

Patroo @masterfragger • 27 februari 2026 09:31

Als jij je geld en bezittingen in een fysieke kluis bij de bank hebt gedeponeerd, en deze blijkt gestolen te zijn omdat de medewerkers per ongeluk de deur van de kluis op een kiertje heeft laten staan.

Wie is dan de meest schuldige?

Mathijs Kok @Patroo • 27 februari 2026 09:50

Wettelijk gezien is er maar één schuldige en dat is de inbreker. Tweakers zien dat anders, maar feiten zijn feiten.

HoppyF @Mathijs Kok • 27 februari 2026 13:02

Tweakers zien dat niet anders. Het is gewoon onzin.
Feit is dat inbrekers schuldig zijn aan diefstal maar dat de eigenaar ook schuldig is als hij zijn eigendommen bewust niet goed heeft beveiligd. Bij een kluis met sieraden of geld is dat nog heel anders dan met privacy gevoelige gegevens van tienduizenden klanten.

GameNympho @Patroo • 27 februari 2026 09:38

De verantwoordelijke van de kluis.

84hannes @GameNympho • 27 februari 2026 11:06

En de inbreker moet beloond worden?

GameNympho @84hannes • 27 februari 2026 17:55

Nee, maar wat er gesteld wordt, is niet de fout van de "gelegenheids"dief, maar van de verantwoordelijke van de kluis, die niet de regels ervoor heeft gevolgd en daardoor een ieder naar binnen konden alles meenemen. Het zou de kluis van Willem Alex. zijn (lol).

Banken en juweliers moeten aan allerlei regels voldoen, bank wordt benadeeld als deze fout blijken te zijn zoals in de stelling.

84hannes @GameNympho • 28 februari 2026 21:11

bank wordt benadeeld als deze fout blijken te zijn zoals in de stelling

Het wordt dan ook niet gevraagd of Odido vrijuit moet gaan. De vraag was wie het meest schuldig is aan een inbraak. De inbreker of de persoon die onvoldoende beveiliging heeft getroffen.

PainkillA @masterfragger • 27 februari 2026 09:27

minder nijdig op odido?

Als Odido fatsoenlijk werk had geleverd en met de juiste zorg omgaat met alle gegevens die ze hebben dan was deze lek nooit gebeurt. Odido is zeer nalatig en laks. Criminelen arresteren is belangrijk maar als we criminelen geen kans geven dan wordt er ook niets gestolen

Sleurhutje @masterfragger • 27 februari 2026 09:29

Daarbij komt dat dit lek ontstaan is door menselijk falen, niet door de techniek. Alsof ze gewoon aan de bewaking gevraagd hebben de kluis te openen.

Had het anders gemoeten? Zeker! De software (webinterface) zou geen kritieke/privacygevoelige informatie moeten ontvangen en zou éénrichtingsverkeer voor dat soort zaken moeten zijn. Medewerker klopt iets in wat privacygevoelig is, backend controleert en geeft groen licht om door te gaan of zorgt voor aanvullende verzoeken om meer informatie aan te leveren. Eenmaal ingevoerd is het van geen enkele waarde om dat nog in een winkel te tonen. Maar dat is het euvel met zoveel van dit soort toepassingen, niet alleen bij Odido.

fifanoob @Sleurhutje • 27 februari 2026 10:01

Echter de techniek liet het toe om bij alles te komen door slechts enkel een mens te kunnen misbruiken.

In jouw voorbeeld zou je dan toegang krijgen tot een kluis die enkel slechts met 1 code te openen is en daarna toegang geeft tot praktisch alles. Als je in een kluis gaat van een bank, heb je daarin weer losse kluisjes. Dus daar moet je door meerdere sloten heen. Dit lek is ontstaan doordat ze langs 1 onderdeel zijn gekomen daarna was de weg volledig open en dat is wel degelijk nalatigheid.

Sleurhutje @fifanoob • 27 februari 2026 14:53

Nee, er is niet één code voor alles. Om iemand op te zoeken kun je zoeken naar achternaam en geboortedatum. Daarin kun je aangeven dat er matches gevonden zijn (wat nu ook al gebeurt). Vanuit de beperkte resultaten kies je één persoon. De details van die persoon heb je dan nog steeds niet, maar de backend weet wel wie je wilt gebruiken. Nu krijg je van alle matches echt alle details ook terug, dat is niet wenselijk.

Dus voor elk item dat je nodig hebt, heb je eerst een validatie, en krijgt alleen als antwoord terug dat het klopt of niet klopt, geen details. Dus op de front-end heb je niets dat vanuit de back-end wordt opgehaald of getoond. Wil je dan bulk achterhalen/downloaden, dan zul je brute force moeten gaan gebruiken om alleen maar een bestaat/bestaat niet of is juist/moet aangevuld worden te krijgen.

HoppyF @masterfragger • 27 februari 2026 09:23

Serieus?
Ik ben tegen criminaliteit maar in mijn ogen is Odido de grootste oorzaak van deze hack.
Zij hebben verzaakt hún beveiliging op orde te brengen en zijn dus zelf de boosdoener.
Daarbij hebben ze hun klanten nog geen Euro compensatie toegezegd terwijl dit toch wel het minste is wat ze hadden moeten doen.
Vanaf dag 1 hebben ze deze hack gebagatelliseerd totdat duidelijk werd wat er allemaal gestolen is.
Van mij mogen bedrijven de maximale boetes en straffen gaan krijgen voor nalatigheid.

Sleurhutje @HoppyF • 27 februari 2026 09:32

Nee, een winkelmedewerker was de grootste oorzaak. Via social engineering zijn ze binnen gekomen. Hoe wil je dat gaan beveiligen? Dat is een kwestie van opvoeden van medewerkers. Nu is mijn ervaring dat die toch weinig gemotiveerd zijn en er vooral staan omdat de verdiensten de rekeningen thuis betalen.

lucatoni @Sleurhutje • 27 februari 2026 09:49

Dat is lekker, afschuiven op je eigen medewerkers. Als bedrijf ben je daar verantwoordelijk voor. Je neemt ze aan, je screent ze, je toetst of ze voldoende geschoold zijn, geeft een passend salaris, zorgt dat ze verplichte security awareness training volgen. Doet security awareness test (kijken of medewerkers info uitgeven). Allemaal verantwoordelijk als je een toke runt die zoveel data heeft. Dit kan je echt niet afschuiven op de individuele medewerker die gehapt heeft.

Sleurhutje @lucatoni • 27 februari 2026 14:58

Tsja, dat denken we ook bij corrupte ambtenaren en veiligheidsdiensten. In de praktijk is het toch anders. Ik heb diverse phishing simulaties meegemaakt waarbij zelfs tot 70% van het IT-personeel en een deel van de security afdeling gewoon in de phishing trapte. Dergelijke acties zijn echt wel goed uitgedacht. Als er dan een ongemotiveerde of niet-nadenkende medewerker is, dan is het best aannemelijk dat de kans op een veiligheidslek op die manier relatief eenvoudig is.

@Sleurhutje • 27 februari 2026 09:51

Dat ben ik niet met je eens. De winkelmedewerker was inderdaad de sleutel tot toegang. Echter waren er geen veiligheidssystemen die in de weg stonden als er een databasedump van 210GB gemaakt word. Ten eerste zou een winkelmedewerker niet eens toegang moeten hebben tot zo’n actie en daarnaast zouden alle alarmbellen af moeten gaan op het moment dat zoiets gebeurd.

licon @GeleFles • 27 februari 2026 13:03

Tsja, wat denken ze daar bij odido wel? Bij deze generatie houdt het nog maar op bij het lekken van data. De volgende generatie zegt tegen de zakelijke odido klant: betaal losgeld of ik blokkeer je mobiele pinautomaat met odido simkaart op het drukste moment van het jaar zodat jij als ondernemer je grootste omzet van het jaar misloopt, want contant betalen is dan al nog veel meer illegaal volgens de wet!

[Reactie gewijzigd door licon op 27 februari 2026 13:07]

HoppyF @fifanoob • 27 februari 2026 12:59

Een vergoeding is geen volledige compensatie voor het lekken van jouw gegevens. Voor bv €100 kun je wel een nieuwe ID kaart, paspoort of rijbewijs aanvrager, dat is toch wel het minste om te compenseren.
Het zal Odido ook aan het denken zetten als ze per klant €100 moeten gaan betalen. Dit loopt immers in de miljoenen en kost een veelvoud van de nagelaten beveiligingsmaatregelen die ze hadden kunnen nemen.
Wat je hier veel leest is dat een medewerker inderdaad gehackt kan worden en dat ze daar als Odido niks aan konden doen.
Dat is grote onzin want medewerkers hadden helemaal niet zoveel toegang nodig tot alle data en al helemaal niet tot klanten gegevens die al jaren weg waren.
Contracten opzeggen gaat zeker gebeuren. Dat kost Odido dus ook veel geld de uitstroom van klanten.

bzuidgeest @fifanoob • 27 februari 2026 18:35

Moet ik nu onder de indruk zijn dat je mijn doopnamen kent? Of mijn adres? Veel plezier ermee. Het zegt heel wat over je karakter dat je de moeite neemt om het op te zoeken.

Ik verschuil mij niet achter een anonieme alias. Ik sta voor wat ik schrijf.

[Reactie gewijzigd door bzuidgeest op 27 februari 2026 18:45]

eboellie @masterfragger • 27 februari 2026 13:26

helemaal eens!

mphilipp @Faloude • 27 februari 2026 09:17

En hoe helpt die vergoeding jou, Odido of de rechtsgang?

TheVivaldi @mphilipp • 27 februari 2026 10:30

Om blijk van goede wil te geven. Maar beter nog zouden ze met een fatsoenlijk excuus komen. Ik heb nu welgeteld één mail gehad, en alleen toen het aankomende lek de media haalde. Maar het was een totaal onduidelijke mail en het kwam door de afstandelijke bewoording ook niet over alsof het ze veel kon schelen. Maar daarna is alles helemaal stil gebleven. En mijn moeder hebben ze als ex-klant al helemaal niet benaderd, terwijl zij nog niet zo lang geleden is overgestapt, en dus haar gegevens nog hadden. Ik zou willen dat ze nu in elk geval een nieuw mailtje sturen en daarin ook wat compassie verwerken. Dat ze vinden dat ze goed gehandeld hebben door de criminelen niet te betalen, is discutabel (ik sta er zelf 50/50 in), maar ze kunnen op zijn minst excuses aanbieden voor de te lang bewaarde gegevens en gebrekkige communicatie.

[Reactie gewijzigd door TheVivaldi op 27 februari 2026 10:32]

eboellie @TheVivaldi • 27 februari 2026 13:30

en gratis F-Secure abonnement voor 2 jaar

antoine_ @eboellie • 27 februari 2026 14:49

Klap in het gezicht. Eerst zelf gehacked worden en dan beveiliging verkopen aan je klanten die niets misdaan hebben. Het is gewoon een stomme marketingtruc. Ik hoop dat ze heel veel klanten verliezen, dan gaan andere bedrijven misschien ook opletten.

!mark @eboellie • 27 februari 2026 17:18

Dat (minimale) aanbod geld alleen als je nog actief klant bent ja, maar ook als voormalig klant zijn er compleet onnodig net zoveel persoonsgegevens van mij gelekt als van actieve klanten, maar wij vallen dus hiermee dus helemaal tussen wal en schip zo.

En nee het is echt niet de bedoeling om hier iets aan over te houden, maar iets meer communcatie dan wel een kleine vergoeding vanuit Odido is hier echt wel op zijn plaats. Ik vind het ronuit schandalig dat ik via Tweakers om de hoogte gehouden wordt en niet vanuit Odido zelf.

eboellie @TheVivaldi • 27 februari 2026 13:31

https://www.odido.nl/ondersteuning

Mosterd @mphilipp • 27 februari 2026 09:38

Uhm, nieuwe documenten aanvragen gezien er data van is gelekt? Nieuw 06, etc.

Is niet gratis, daarnaast is immateriële schade ook Europees erkend als schade waar een vergoeding voor mag worden geeist.

mphilipp @Mosterd • 27 februari 2026 10:06

Klopt allemaal. Alleen valt het mij op dat men wel heel gretig is op die vergoeding...
Concludeer wat je wilt, maar mijn gegevens zijn al jaren geleden gejat uit diverse hacks en dat is echt niet zo life-changing en dramatisch. Spam filters draaien overuren en op mijn telefoon krijg ik hoogst zelden spam calls. Dus ja...je kunt er heel dramatisch over doen, maar zo vreselijk is het niet.

Of er documentnummers zijn gelekt is volgens mij onduidelijk. De ene bron zegt wel, de andere niet. Maar met een documentnr alleen kun je niets. Waar ze je documenten willen zien, willen ze dat document zien, niet het nummer horen. Met een bankrekeningnr kunnen ze ook niet heel veel, dankzij onze goed beveiligde bankapps en overboekingsprocedures.

Mosterd @mphilipp • 27 februari 2026 10:22

Gretig? Ik vind het niet meer dan normaal. Het is knap brutaal hoe snel Odido naar buiten kwam met een statement dat niemand recht heeft op een schadevergoeding, dat is gewoon eigen rechtertje spelen. Daarnaast moet het ook een keer klaar zijn met dit soort taferelen, in de VS krijg je enorme lawsuits waarmee je als bedrijf al gauw wat meer investeert in de IT afdeling, gunstig voor de medewerkers en creeert banen die ook toe doen. Hier wordt bij elk datalek gewoon gezegd “ach wat jammer, maar het bedrijf is evenveel slachtoffer als jij hè”, terwijl er aantoonbaar fouten worden gemaakt (geen segmentatie, encryptie of rate limiting met alerts in het kader van Odido).

Odido heeft zelf gezegd in de mail van wel en de eerste lekken tonen dat ook aan. En wat je zegt over het willen zien van documenten, je kon al met Photoshop kwade kunstjes (dus die nou niet alsof dit onmogelijk is) en dat kan tegenwoordig met AI nog makkelijker (Qwen Image Edit bijv). BSN gaat een bedrijf toch nooit zien en ben je ook niet plichtig af te geven, dus die is ook niet nodig, en voor verificatie heb je met alle andere gegevens dus nu voldoende.

wpm @mphilipp • 27 februari 2026 12:32

@mphilipp volgens de e-mail welke ik van Odido heb ontvangen, zijn documentnummers "waarschijnlijk" onderdeel van de hack.

@Mosterd • 27 februari 2026 12:30

Daar gaat de ACM niet de laatste 6 miljoen beschikbare nummers voor uitgeven.

Van veel mensen is de ID data ook niet gelekt en de data die wel gelekt is met een reëel gevaar: Iban, geboortedatum, adres zijn niet dingen die je makkelijk aanpast. Ik weet vrij zeker dat vrijwel niemand een nieuw rekeningnummer wil, gezien de hoeveelheid werk die dat oplevert. Uitzonderingen daargelaten natuurlijk.

En vergoedingen verwachten die tot een faillissement leiden, dat maakt het probleem alleen maar vele malen groter en de schade ook.

Cebasvdh @mphilipp • 27 februari 2026 09:27

Ik denk niet dat het je persoonlijk helpt. Maar meer dat het een signaal wordt naar bedrijven die onze persoonsgegevens verwerken.

De rechtsgang is vrij duidelijk,
U heeft alleen recht op schadevergoeding bij een datalek als aan drie voorwaarden is voldaan:

De organisatie heeft de AVG geschonden (bijvoorbeeld slechte beveiliging van uw gegevens).
U heeft schade geleden (financieel of immaterieel, zoals aantasting van eer, goede naam of stress door reële vrees voor misbruik).
Er is een duidelijk verband tussen die AVG-schending en uw schade.

Een datalek op zichzelf is niet genoeg; u moet kunnen aantonen dat de organisatie fout zat én dat u daardoor schade heeft.
(https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/slachtoffer-van-een-datalek-dit-kunt-u-doen)

Als je aan die voorwaarde voldoet en je kunt de geleden schade bewijzen dan kun je dat claimen.

Sleurhutje @mphilipp • 27 februari 2026 09:38

Precies dit. Geld is niet de oplossing. Beter dat er een strenge toezichthouder owrdt aangesteld om ervoor te zorgen dat dit niet meer kan gebeuren. Zelfs als een medewerker toegang zou verlenen aan een onbekende. Waarom niet éénrichtingsverkeer van gevoelige informatie? Medewerker voert de nodige gegevens in, die worden op de backend opgeslagen. Bij een latere verificatie vult de medewerker de benodigde gegevens in, en de backend controleert en geeft alleen aan dat het klopt, of dat er aanvullende informatie nodig is vanwege bijvoorbeeld een afwijkend adres, bankrekeningnummer of identificatiebewijs. Die gegevens kunnen dan op dat moment aangepast worden, maar bij een eerstvolgende bezoek niet direct beschikbaar. Zo ingewikkeld kan dat niet zijn.

barbarbar @Faloude • 27 februari 2026 09:09

Sterker nog, ze kunnen klanten amper nog helpen. Was ingelogd, stel ze een vraag over facturen vanuit hun omgeving, krijg ik een bericht "bel even met de klantenservice". Na drie keer opgehangen te worden iemand aan de lijn: ja meneer, we moeten een hele strenge verificatie doen. Uh jah, omdat u uw spullen al heeft teruggestuurd kan ik de verificatie niet verder doorlopen en mag ik u niet meer helpen. Ok nou success met uw aanmaningen van uw al zes maanden geleden opgezegde contract die we niet goed hebben verwerkt hè!

Een grote chaos daar nu, ze vertrouwen nu niks meer, omdat ze de gegevens die ze hadden om iemand te helpen, op straat hebben gegooid. Hopelijk worden zowel Odido als de hackers keihard aangepakt voor deze zooi. Je kunt je niet meer identificeren bij hun, omdat iedereen dat kan doen. Joh!

[Reactie gewijzigd door barbarbar op 27 februari 2026 09:11]

Basxt @barbarbar • 27 februari 2026 09:13

Je zal maar als klantenservice daar nu de boel moeten oplossen. Ik had mn spullen gepakt

eborn @barbarbar • 27 februari 2026 10:17

Lijkt me geen probleem? Aangezien ze er neem ik aan vanuit gaan dat de hackers enkel data hebben gedownload en niet gewijzigd (anders heb je hele andere problemen), kan er prima een verificatie naar telefoonnummer, e-mailadres of zelfs post worden gestuurd. Met dat nummer, in combinatie met een ander gegeven, weet je redelijk zeker dat de persoon is wie hij zegt dat hij is

barbarbar @eborn • 27 februari 2026 10:21

Vertel dat maar aan de klantenservice dan

Post mogen ze sturen, maar daar wonen we niet meer, en laat je het adres nou niet kunnen wijzigen, omdat ze dat uit voorzorg niet toestaan. Ze werken zichzelf verder in de nesten. Telefoonnummer vertrouwen ze ook niet, heb volgens mij iets van zes dingen doorgegeven, en nog is dat niet genoeg. Ze willen het nummer van je modem nu weten. Ja heel handig, die is al terug gestuurd handige harries.

Hoover @Faloude • 27 februari 2026 09:06

Beter, als klanten daadwerkelijk de dupe worden van fraude hierdoor, odido aanklagen al dan niet via een collectieve rechtzaak.

Alex3 @Faloude • 27 februari 2026 09:45

Dat is toch een sigaar uit eigen doos. Die wordt weer terugverdiend door de tarieven te verhogen.

Havelock @Faloude • 27 februari 2026 11:32

Uit eindelijk moeten de klanten dit zelf betalen bij schade vergoeding!

Zonder klanten komt er geen geld binnen wat gewoon logisch is.

Waar ik me eerder zorgen om maak is waarom oude klanten er ook bij zitten die allang geen t-mobile/Odido klanten meer zijn(waar onder ander ik ook in zit helaas) in hack tussen zitten. terwijl in de brief 2 jaar stond en ik allang andere provider heb.

Als er zo met onze data om gegaan word ben ik bang dat het bij meer bedrijven slordig met onze data om gegaan word triest gewoon!

Scribe @masterfragger • 27 februari 2026 09:20

Als Odido niet gaat betalen verdienen ze wel een gigantische boete hoor. De beveiliging was vrijwel niet aanwezig en het blijkt dat ze van miljoenen mensen illegaal gegevens bewaren.

Nu is 30% van Nederland de pineut in plaats van dat het bedrijf er ook maar iets aan doet.

En ja, criminelen betalen is slecht daar ben ik het mee eens. Maar nu worden een hele hoop mensen straks opgelicht door extreem gepersonaliseerde oplichtingstrucs, dus ook het crimineel circuit lacht zich kapot...

drdelta @Scribe • 27 februari 2026 09:30

en het blijkt dat ze van miljoenen mensen illegaal gegevens bewaren.

Waar blijkt dat uit?

Scribe @drdelta • 27 februari 2026 09:38

Er worden onder andere paspoortnummers bewaard en data van oude klanten die al lang niet meer bij Odido zitten. Ik ben geen expert op het gebied van AVG maar volgensmij is het niet de bedoeling dat ze deze gegevens onbeperkt bewaren. Zoals te zien uit verschillende rapportages over de data worden ook gegevens bewaard over financiele situatie (wanbetalers etc. terecht dat ze deze gegevens bezitten maar geen idee of daar een bepaald termijn aan zit) en zelfs de reden van overlijden.

Genoeg gegevens iniedergeval die niet helemaal onder het gerechtvaardigd belang vallen!

drdelta @Scribe • 27 februari 2026 10:52

Ik ben ook geen expert op het gebied van AVG, maar het lijkt me juist onhandig dat de (officiële) informatie vaag is:

Om een goede administratie te kunnen bijhouden, moeten organisaties bepaalde persoonsgegevens een tijd bewaren. Maar bewaren van persoonsgegevens mag niet langer dan noodzakelijk is. In de Algemene verordening gegevensbescherming (AVG) staat geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Wel zijn er concrete bewaartermijnen in andere wetten waaraan organisaties zich moeten houden. Bijvoorbeeld in belastingwetgeving.

Het uitgangspunt is dat u persoonsgegevens niet langer dan noodzakelijk mag bewaren. Wat noodzakelijk is, hangt af van de situatie. Vandaar dat u zelf moet vaststellen wat in uw situatie passend is.

In plaats dat hier gewoon (en ik zeg maar wat) staat "klant informatie mag gedurende contract periode + 2 jaar" oid opgeslagen worden, is het dus aan ieder bedrijf om daar een eigen interpretatie over te hebben.

asset185 @drdelta • 27 februari 2026 10:03

Als je je een heel klein beetje in de AVG verdiept dan weet je dat het grootste gedeelte van de gegevens die zich in het lek bevonden al lang verwijdert hadden moesten zijn of simpelweg zelfs nooit opgeslagen hadden mogen worden.

drdelta @asset185 • 27 februari 2026 10:44

Als je je een heel klein beetje in de AVG verdiept dan weet je dat het grootste gedeelte van de gegevens die zich in het lek bevonden al lang verwijdert hadden moesten zijn of simpelweg zelfs nooit opgeslagen hadden mogen worden.

Ik kan me vergissen, maar is het grootste gedeelte niet gewoon informatie om klanten te kunnen identificeren, addresseren, dienstverlening aan te bieden, betalingen te regelen, etc? Naam, adres, telefoonnummer, email, rekening nummer, etc.

asset185 @drdelta • 27 februari 2026 10:49

Plus een hele berg persoonlijke notities. Daar had de NOS een dag voordat de criminelen op hun darkwebsite gingen publiceren al over bericht.

Daarnaast zijn veel gegevens gewoon van 10 jaar terug. Toen de naam Odido nog niet eens bestond maar het nog T-Mobile heette. Daarbij zitten mensen die al jaren geen klant meer zijn.

En gisteren bleken er weldegelijk BSN nummers tussen te zitten. Van zakelijke eenmanszaken. Omdat bij deze onderners tot 2020 het BSN nummer in het BTW nummer was verwerkt. Het gaat hier dus om oude gegevens van voor 2020.

[Reactie gewijzigd door asset185 op 27 februari 2026 10:50]

Odido

@Scribe • 27 februari 2026 09:31

Ik denk dat als ze via social engineering ditzelfde bij andere bedrijven proberen dat je bijna overal wel binnenkomt. Mensen doen veel privé dingen op hun werkcomputer en daarnaast zijn er genoeg die op een linkje klikken om deel te nemen aan een: zakenreis, ipad, etc.

Scribe @jongetje • 27 februari 2026 09:34

Het feit dat een klantenservicemedewerker toegang heeft tot al deze gegevens zonder enige verificatie is niet helemaal de bedoeling. Dat ze deze informatie kunnen opzoeken voor 1 persoon begrijp ik nog wel, maar dat je met zo weinig rechten gewoon de volledige hap kan downloaden is toch wel echt belachelijk.

Odido

@Scribe • 27 februari 2026 09:37

Zeker is dat zo. Dit zou je dan in je CMS moeten laten bouwen want ik begreep van een Salesforce admin dat dit geen standaard functionaliteit is van dit pakket. (dus elk bedrijf met salesforce kan zonder extra maatregelen enorme datasets laten opvragen door hun medewerkers).

Cyb @jongetje • 27 februari 2026 10:23

Odido heeft wel schijt aan security richtlijnen gehad: RDI legt Odido boete op van ruim 1,5 miljoen vanwege onvoldoende beveiligd aftapsysteem. Dit was als klant eigenlijk al een aanwijzing dat je bij dit bedrijf geen klant zou moeten willen zijn.

Martinspire @Scribe • 27 februari 2026 10:38

Wie gaat die boete opleggen dan? En met welk bewijs? Want wat Shinyhunters op de darkweb zet, kan een combinatie zijn van gegevens die ze bij Odido buit hebben gemaakt of een verwerking ervan. Stel ze hebben de wachtwoorden wel gehashed en gesalt, maar de versleuteling is ook buit gemaakt, dan is deze te decrypten bv. En het is allemaal illegaal verkregen dus je mag daar als politie echt niks mee doen voor een rechtszaak.

[Reactie gewijzigd door Martinspire op 27 februari 2026 10:38]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@masterfragger • 27 februari 2026 09:20

Waarom loven ze geen miljoen uit voor info die leidt tot arrestatie en veroordeling? Mag zoiets in Nederland?

Helaas is de pakkans nog altijd erg klein. Veelal opereren dit soort groeperingen vanuit landen waar we geen verdragen mee hebben rond het uitleveren van mensen, is de groepering wereld wijd en wisselt de samenstelling. Hoe ga je bv iemand veroordelen die zich in Rusland oid bevindt als je er al achter komt wie je moet hebben?

De hele reden waarom dit soort afpersing bestaat is dat er een grote kans op betaling is, de afpersers een ander moreel kompas hebbeb (kuch kuch) en dat de pakkans erg klein is.

Mathijs Kok @Bor • 27 februari 2026 09:56

De hele reden waarom dit soort afpersing bestaat is dat er een grote kans op betaling is, de afpersers een ander moreel kompas hebbeb (kuch kuch) en dat de pakkans erg klein is.

En omdat er tegenwoordig methodes zijn om te betalen die niet naar een persoon te traceren zijn. Zonder coins bestond deze tak van misdaad niet (of was op zijn minst veel kleiner).

SyM 27 februari 2026 09:06

Ik zou het wel fijn vinden dat Odido klanten gaan informeren welke specifieke gegevens van hen zijn gelekt. Ik heb namelijk geen idee welke gegevens ze over mij hebben verzameld.

ocn @SyM • 27 februari 2026 09:10

Je kan natuurlijk gewoon kijken in de dataset van ShinyHunters.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ocn • 27 februari 2026 09:21

Dat kan maar zoals Arnoud hier al aangaf:

Ik wil alleen even kwijt dat het downloaden van deze dataset strafbaar is als gegevensheling (art. 138c Strafrecht), ook als je het slechts uit interesse doet. Bij journalisten is dit vaak te verexcuseren vanwege de enorme maatschappelijke impact.

Verwijderd @Bor • 27 februari 2026 09:48

Zoals gister al aangegeven. Dit is niet waar en alleen het feit dat Arnoud het zegt maakt het ook niet waar.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Verwijderd • 27 februari 2026 10:07

Dat je het er niet mee eens bent is duidelijk. Dat jij het anders ziet maakt het niet opeens "niet waar" of je eigen interpretatie de absolute waarheid want daar valt ook nog wel het e.e.a. op af te dingen. Deze discussie hebben we al op meerdere plekken gezien. Uiteindelijk is het voor voor een jurist en laat Arnoud dat nou net zijn. Over het algemeen geldt; wees voorzichtig met wat je doet want aan je acties kunnen zo maar onbedoelde consequenties hangen; nog los van het punt dat hoe meer mensen deze data downloaden en verspreiden hoe groter het probleem voor de slachtoffers kan worden.

@Bor • 27 februari 2026 10:52

Arnoud is niet de enige jurist met kennis van zaken. Je vaart naar mijn idee iets teveel op een autoriteitsargument hier.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@eindgebruiker • 27 februari 2026 11:03

Arnoud is zeker niet de enige jurist met kennis van zaken en de interpretaties verschillen. Dat maakt het ene argument niet onwaar en het andere absoluut waar zoals fvdberg wil doen geloven. Er gelden zaken als nuance, proportionaliteit etc.

Verwijderd @Bor • 27 februari 2026 12:48

Alles wat je noemt is een afweging die als je hem maakt keihard op art. 40 Sr uit komt. En daarmee is de databases downloaden om te controleren of je er in staat en zo ja dit bewaren als bewijsmateriaal niet strafbaar en het enige bewijsmiddel wat bruikbaar is als er schade uit voort komt. Daarmee KAN de bewering van Arnoud niet waar zijn.

@Verwijderd • 27 februari 2026 19:12

Database downloaden
Checken of jouw gegevens erin staan
De rest weggooien
Klaar

moonlander @Bor • 27 februari 2026 09:39

Zelfs voor journalisten zou dit verboden moeten zijn als ze weten om welke content het gaat. Want als elke journalist dit gaat downloaden staat die informatie straks op elke pc ongeencrypt en is je data ineens nog veel onveiliger geworden. Ondanks dat het al gelekt is.

ApexAlpha @Bor • 27 februari 2026 09:55

Maar volgens GDPR is data over mij mijn eigendom, niet?

Dus alleen op jezelf zoeken om te checken wat erin staat zou dan wel mogen.

Niet dat dat makkelijk kan want de dataset is één bestand van 10GB, maar toch. Moet toch even checken of mijn familie erin staat.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ApexAlpha • 27 februari 2026 10:08

Dat kan o.a. op haveibeenpwnd. Daarvoor hoef je de dataset niet zelf te downloaden.

ApexAlpha @Bor • 27 februari 2026 10:15

Maar dan is volgens jou HaviIBeenPwned dus crimineel bezig?

Bovendien laat HaveIBeenPwned niet al je gegevens zien.

[Reactie gewijzigd door ApexAlpha op 27 februari 2026 10:15]

@ApexAlpha • 27 februari 2026 19:16

HaviIBeenPwned laat alleen zien of jouw emailadres in de gelekte gegevens voorkomt. En verder een algemene melding over welke gegevens er gelekt zijn. Meer niet.

ApexAlpha @eindgebruiker • 28 februari 2026 08:10

Om dat te kunnen doen hebben ze dus de dataset moeten downloaden he

Verwijderd @Bor • 27 februari 2026 12:54

Weten dat je gegevens in een lek staan is niet voldoende bewijslast. Alleen exact weten wat er gelekt is is bewijslast. Je praat namelijk over een wereld waar de combinatie van lekken het totale gevaar beslaat en odido is alleen verantwoordelijk voor het deel wat bij odido is gelekt. Zonder dat te weten kan je nooit een zaak die stand houd bouwen. En daarmee komen we weer op art. 40 sr

Wouterie @SyM • 27 februari 2026 09:09

Je bedoelt dat ze met de billen bloot moeten en laten zien wat ze allemaal van iedereen hebben? Dat zou inderdaad leuk zijn! Als ik Odido was zou ik braaf betalen en hopen dat daarmee de kous af is.

jemson @Wouterie • 27 februari 2026 09:12

Niet alleen leuk, dat zou mijn inziens je recht moeten zijn. Je moet nu formulieren ondertekenen en scannen om je eigen gegevens op te vragen. Het zou verplicht gesteld moeten worden die op een makkelijke manier in te kunnen zien.

Uiteraard alleen van jezelf 😉

[Reactie gewijzigd door jemson op 27 februari 2026 09:12]

Wouterie @jemson • 27 februari 2026 15:55

Je kunt makkelijker bij hackers vragen welke info er over je is, dan bij het bedrijf waar je klant bent.

@Wouterie • 27 februari 2026 09:15

Dus jij zou liever betalen en afwachten tot een jaar later alsnog de data via kleine routes weggesluisd word?
Door te betalen heb je geen garantie en je beloond criminelen met geld waardoor ze nog verder kunnen uitbreiden en nog meer crimineel publiek in de markt brengen...

Ja.. slim

Wouterie @RSilience • 27 februari 2026 15:51

Je hebt bij die criminelen meer garanties dan bij een bedrijf als Odido.

@Wouterie • 27 februari 2026 15:57

En zo zijn er tal van andere bedrijven die gehackt kunnen worden. Gelukkig zijn de hackers zo vriendelijk om niet de data te delen als we ze betalen. (Tuurlijk)

Denk even na en laat je niet door emotie leiden. Het zijn criminelen, die beloon je niet voor misdaad.

@Wouterie • 28 februari 2026 11:56

Jij kletst onzin.

jannesbeterams @Wouterie • 27 februari 2026 09:25

Het zou mooi zijn als de verantwoordelijke mensen bij Odido vervolgt worden. Kennelijk zijn de consequenties niet genoeg om te voorkomen dat dit soort lekken gebeuren... En dan heb ik het niet over de mensen die gebruikt zijn voor het lek, maar de mensen die verantwoordelijk zijn voor de beslissingen dat er zoveel vastgelegd wordt en dat dit op grote schaal beschikbaar is.

Datalek
Hack
Beveiliging en antivirus

@Wouterie • 27 februari 2026 09:38

Ik vraag me af waarom je het liever hebt over 'leuk'. Verwachting dat het bedrijf klamten behoorlijk informeert komt voort uit wettelijke eisen. Het bedrijf heeft de keuze gemaakt dat alleen het lekken al genoeg reden is klanten te informeren. Daarbij stellen ze zelf dat ze niet weten van wie er precies gegevena gelekt zijn en ze geen redenen hadden om verder misbruik aan te nemen. Het publiceren is wettelijk verder misbruik. En aangezien het om de gegevens gaat waar het bedrijf verantwoordelijk voor is hebben ze dus ook plicht om de klant te informeren als hun gegevens verder misbruikt zijn.

Daarbij staat je stelling dat jij zou betalen en hopen dat de criminelen zich aan hun woord houden haaks op je eerdere stelling dat betalen niet zorgt voor ander gedrag bij dit soort criminelen.

Wouterie @kodak • 27 februari 2026 15:59

"Daarbij staat je stelling dat jij zou betalen en hopen dat de criminelen zich aan hun woord houden haaks op je eerdere stelling dat betalen niet zorgt voor ander gedrag bij dit soort criminelen." Hoezo haaks? Volgens mij is dat geen tegenstelling. Ander gedrag kan betekenen dat ze een andere koper moeten zoeken, niet per se dat ze stoppen met hun werkzaamheden en een fatsoenlijke baan zoeken.

Ja, leuk, omdat ik wel hou van vuile was.

phoenix2149 @Wouterie • 27 februari 2026 09:44

Eh, ja! ik betaal verdorie voor een abonnement bij hun en dan is het van meh, jammer je gegevens zijn gelekt. Succes.

Criminelen betalen in welk opzicht dan ook moet illegaal zijn, volgens mij is het eigenlijk al niet legaal om te doen maar staat het niet zo in de wet. Afpersen is een misdrijf, afbetalen faciliteert het misdrijf, kan het verergeren (ze komen terug) of je kan als medeplichtig aangemerkt worden. Vandaar ook dat het aankopen en/of inzien van de data van ODIDO als een misdrijf wordt gezien zoals Arnoud eerder heeft aangegeven.

Als Odido of wie dan ook betaald dan moet er wat mij betreft direct een dubbel zo hoge boete volgen. Die boete mag dan onder de klanten verdeeld worden zodat ze eventuele acties kunnen verrichten zoals het vervangen van ID bewijzen indien gewenst of nodig.

dehardstyler 27 februari 2026 09:10

Is het BSN nou wel of niet gelekt van gewone klanten, daar heb ik discussie over met de familie. Ik dacht van niet, omdat ze uberhaupt geen reden hebben om het te verwerken. Maar goed, er zijn natuurlijk ook gegevens gelekt van mensen die 10 jaar geleden klant waren, dus dat zegt niet zoveel. :P

[Reactie gewijzigd door dehardstyler op 27 februari 2026 09:11]

BoerBart @dehardstyler • 27 februari 2026 09:17

Voor zover ik weet zijn er verschillende e-mails verstuurd, geen idee wat de precieze reden achter de verschillende e-mails zijn. Ik heb een e-mail ontvangen waarin niet benoemd is dat mijn bsn/documentnummer(s) zijn uitgelekt. Echter gaan er ook e-mails rond waarin wél staat aangegeven dat deze zijn gelekt.

TomONeill @dehardstyler • 27 februari 2026 09:20

Nee, klanten hoeven ook nooit een BSN op te geven. Het is eigenlijk de schuld van de KvK Belastingdienst die jaren lang het BSN in het btw-nummer heeft verwerkt (nu al een aantal jaar niet meer).

Dat btw-nummer is wel gelekt en daarbij dus ook het BSN van die klanten die nog een btw-nummer met BSN hadden.

edit:
Overigens, de oude btw-nummers zijn vernieuwd zodat ze geen BSN meer hebben, maar Odido had dat gegeven nog van oud-klanten.

[Reactie gewijzigd door TomONeill op 27 februari 2026 09:46]

Jaapio_B @TomONeill • 27 februari 2026 09:38

Dat is niet de schuld van de KvK maar van de belastingdienst.

TomONeill @Jaapio_B • 27 februari 2026 09:43

Sorry, je hebt gelijk. Ik pas m'n bericht aan.

dehardstyler @TomONeill • 27 februari 2026 17:15

Dit dacht ik ook indd, dank voor de bevestiging. Ook aan de rest, dank! :)

pakka680 @dehardstyler • 27 februari 2026 09:16

Niet.

La1974 @pakka680 • 27 februari 2026 09:23

In dit artikel op Tweakers staat BSN van zakelijke klanten. Ik hoop een fout want ik zou hier weten waarom Odido deze op zou moeten slaan.

chengbondkwok @La1974 • 27 februari 2026 09:26

BTW-nummer bevatte ook je BSN.

Odido

@La1974 • 27 februari 2026 09:34

Dan moet je het artikel lezen.

De overheid heeft namelijk ooit bedacht dat een kvk nummer voor een ZZP'er gelijk is aan je BSN nummer.(dat is inmiddels niet meer zo maar die info kan nog wel bekend zijn).

La1974 @jongetje • 27 februari 2026 09:38

Welk artikel?

Dat van dit BTW-nummers was ik even vergeten. Ook eigenlijk een groot datalek van de overheid.

monsieurpinot @jongetje • 27 februari 2026 09:44

Niet het kvk nummer maar het btw nummer eenmanszaken tot 2020.

[Reactie gewijzigd door monsieurpinot op 27 februari 2026 12:37]

ApexAlpha @dehardstyler • 27 februari 2026 09:19

Volgens mij alleen bij zakelijke klanten.

@dehardstyler • 27 februari 2026 09:25

BTW-nummers zijn gelekt. En voor ZZP-ers was tot voor kort het BTW-nummer gelijk aan het BSN (met een volgnummer).

[Reactie gewijzigd door eindgebruiker op 27 februari 2026 09:42]

Arjay @dehardstyler • 27 februari 2026 09:29

Mijn gegevens staan in het tweede datalek, maar m’n BSN staat er niet in.

licon @Arjay • 27 februari 2026 12:55

Nee, 1 op de 1 miljoen had een BTW-nummer in lek 2, dus de kans dat jij dat bent is vrijwel 0...

@dehardstyler • 27 februari 2026 09:31

Odido gaf aan dat dit "tientallen BSNs van ZZPers" betrof. Hoe dat kan, zie onder.

Vroeger zat in het BTW nummer van ZZPers het BSN (Burger Service Nummer) van deze persoon. Wat sowieso dom was, want dat "moest" je met allerlij klanten en leveranciers communiceren. Het was dus alles behalve een geheim en lag al op straat (stond op briefpapier en websites van ZZPers) en in allerlij administraties. Dus ook Odido.

Foutje van de Belastingdienst, AP wees ze er op en ze gebruiken nu een ander nummer.
https://www.autoriteitper...n-btw-identificatienummer

[Reactie gewijzigd door Barryke op 27 februari 2026 09:34]

licon @Barryke • 27 februari 2026 12:31

46 BTW-nummers in lek 1 en 1 BTW-nummer in lek 2 om precies te zijn.

[Reactie gewijzigd door licon op 27 februari 2026 12:31]

licon @dehardstyler • 27 februari 2026 12:54

46 BTW-nummers gelekt in lek 1 en 1 BTW-nummer gelekt in lek 2 om precies te zijn.

dehardstyler @licon • 27 februari 2026 17:11

Precies wat ik nodig had, thanks!

licon @dehardstyler • 28 februari 2026 10:07

Dag 3: 0 BTW-nummers dit keer. Wel ontzettend veel geboortedatums, paspoort/rijbewijs/Europees ID nummers met verloopdatums.

iAR 27 februari 2026 09:08

Hoewel ik er achter sta dat ze niet betalen vind ik het wel kut dat ik wakker werd met een Have I Been Pwned mailtje.

Odido zwijgt in alle kleuren van de regenboog. Er staat niets op de homepage, ik heb welgeteld één mailtje gehad en je moet zelf je informatie maar zoeken op een willekeurig woord achter odido.nl/

Ik ben ook nog steeds wel benieuwd naar de reactie van Odido hoe het mogelijk is dat na een succesvolle phishing actie het mogelijk is dat er via een klantenservice medewerker 1. bsn en/of paspoort nummers beschikbaar zijn en 2. dat er geen alarmbel gaat rinkelen als iemand 6 miljoen records download.

[Reactie gewijzigd door iAR op 27 februari 2026 09:09]

Odido

@iAR • 27 februari 2026 09:32

Als ik naar de Odido website ga zie ik een groene balk meteen bovenaan de pagina met informatie over het lek. https://www.odido.nl/veiligheid

iAR @jongetje • 27 februari 2026 09:34

Die zal dan wel door mijn adblocker weggehaald worden...

Pasteis 27 februari 2026 09:15

Gezien het bedrag wat ik op internet lees tussen de 500.000 tot 1 miljoen euro en de enorme berg aan persoonsgegevens betreurt het me dat ze niet betaald hebben.

Misschien een impopulaire mening, maar ik vind dat Odido heel hard op de blaren moet zitten. Nee, ik weet het... het is niet 100% garantie dat ze ook de boel verwijderen, maar ik vind het een dusdanig grote zaak dat als er wel enigszins garantie is boven de 50% dat ze het gewoon hadden moeten doen.

Ik lees op internet veel berichten dat deze "hackers" een soort van betrouwbaar kunnen zijn. De gevolgen kunnen individueel veel groter zijn. Misschien niet voor de gemiddelde tweaker, omdat hij of zij scherper hierin is. Maar de gewone werkende inwoner van Nederland.

Maar goed misschien komt het ook een beetje doordat tot deze hack mijn gegevens volgens Have I Been Pwned nog maar zeer weinig uitgelekt was.... en nu in een klap een enorme hoeveelheid.

pim @Pasteis • 27 februari 2026 09:45

Je moet principeel nooit ingaan op chantage.
Als ingaan op chantage strafbaar zou zijn, zou chanteren veel minder gebeuren.

Pasteis @pim • 27 februari 2026 10:15

Je moet principeel nooit ingaan op chantage.
Als ingaan op chantage strafbaar zou zijn, zou chanteren veel minder gebeuren.

En wat als je principieel ook gewoon alles aan moet doen om persoonsgegevens veilig te houden? Dan zijn deze twee principes in conflict.

pim @Pasteis • 27 februari 2026 11:54

Ik vind dat het principe zwaarder weegt.
Zelfde als bij een gijzeling voor losgeld.. Door te betalen ben je indirect verantwoordelijk voor andere gijzelingen, waarbij je hebt bijgedragen aan de verwachting dat er betaald word.

Maar idd makkelijker gezegd dan gedaan als het om je eigen kinderen gaat ofzo.

Pasteis @pim • 27 februari 2026 12:03

Ik vind dat het principe zwaarder weegt.
Zelfde als bij een gijzeling voor losgeld.. Door te betalen ben je indirect verantwoordelijk voor andere gijzelingen, waarbij je hebt bijgedragen aan de verwachting dat er betaald word.

Maar idd makkelijker gezegd dan gedaan als het om je eigen kinderen gaat ofzo.

Het is kiezen tussen twee kwaden. Ik weet niet of ik moet geloven of dit echt effectief is en voorkomt, maar misschien kunnen studies daarin mij overtuigen.

Luchtbakker @Pasteis • 27 februari 2026 09:43

Gezien het bedrag wat ik op internet lees tussen de 500.000 tot 1 miljoen euro en de enorme berg aan persoonsgegevens betreurt het me dat ze niet betaald hebben.

Zodat de hackers met dat geld weer verder kunnen met andere bedrijven te hacken? Zolang er geld verdient wordt aan deze ongein blijven ze doorgaan. Heel sterk daarom van Odido om dit juist NIET te doen. En mijn steun hebben ze, ook al zit mijn data hier ook tussen.

Pasteis @Luchtbakker • 27 februari 2026 10:14

[...]

Zodat de hackers met dat geld weer verder kunnen met andere bedrijven te hacken? Zolang er geld verdient wordt aan deze ongein blijven ze doorgaan. Heel sterk daarom van Odido om dit juist NIET te doen. En mijn steun hebben ze, ook al zit mijn data hier ook tussen.

Ja, die gaan gewoon door. Odido is slechts een van de velen die gehackt zijn. Het is een illusie dat ze stoppen. Deze hackgroep is internationaal actief en heeft genoeg andere slachtoffers die hun levensvatbaarheid prima in stand houden. Je kan dit alleen bestrijden als je internationaal strafbaar maakt en samen hier tegen beleid op voert. Maar dat gaat natuurlijk nooit gebeuren.

kingnelis @Luchtbakker • 27 februari 2026 11:35

Van de ene kant ben ik het met je eens dat je hier niet in mee moet gaan, van de andere kant ligt MIJN data op straat en vind ik dat Odido er alles aan had moeten doen om dit te voorkomen. Dat ligt in de basis bij hun eigen beveiliging op orde hebben (wat overduidelijk niet op orde was) en het tijdig wissen van data.

Nu ligt mijn data op straat (mijn info is al gelekt). Hoe groot de consequenties voor mij zijn weet ik nog niet, op dit moment denk ik alleen mijn telefoonnummer wijzigen en de rest zie ik wel. Maar de hoeveelheid ellende die ik er nu van heb denk ik had die miljoen maar bepaald. Nee er is geen garantie dat ze het niet alsnog lekken, maar dat had mij mogelijk een hoop ellende bespaard.

Conclusie is wel dat ik voor mijzelf een notitie heb dat ik 29 oktober (mijn eerst mogelijk datum om op te zeggen) over ga stappen naar een andere provider. Buiten het feit dat het niet netjes is wat ze hebben gedaan is Odido zwaar nalatig geweest op meerdere vlakken, en wat mij betreft mogen ze kapot gaan als bedrijf.

ProvideInRoot @Pasteis • 27 februari 2026 09:46

Dan houd je dit systeem toch in stand, dit had bij zoveel bedrijven kunnen gebeuren. Odido heeft net de pech dat zij gepakt zijn maar heel veel bedrijven hebben dit niet op orde. Als iedereen blijft betalen dan schiet je niets op, echt op de blaren zitten is gewoon alles naar buiten brengen en zorgen dat mensen zelf goed leren om te gaan met digitale en telefonische communicatie. Het is ook een utopie om te denken dat alle bedrijven dit op orde gaan hebben, dat gaat gewoon niet gebeuren zoals je hier ziet is een menselijke fout snel gemaakt.

Pasteis @ProvideInRoot • 27 februari 2026 10:18

Dan houd je dit systeem toch in stand, dit had bij zoveel bedrijven kunnen gebeuren. Odido heeft net de pech dat zij gepakt zijn maar heel veel bedrijven hebben dit niet op orde. Als iedereen blijft betalen dan schiet je niets op, echt op de blaren zitten is gewoon alles naar buiten brengen en zorgen dat mensen zelf goed leren om te gaan met digitale en telefonische communicatie. Het is ook een utopie om te denken dat alle bedrijven dit op orde gaan hebben, dat gaat gewoon niet gebeuren zoals je hier ziet is een menselijke fout snel gemaakt.

Het is een utopie inderdaad dat het ergens anders beter is. Daarom moeten bedrijven stoppen om zo laks te zijn en persoonsgegevens beter beschermen! Tot die tijd vind ik dat het koste wat kost persoonsgegevens beschermd moeten worden. Ook als deze al uitgelekt zijn.

Betaal, leer van de fouten en voorkom de volgende keer! Maar zorg er niet voor dat potentieel veel individuele slachtoffers komen. Want dat zal nu wel gebeuren.

MightyPig @Pasteis • 27 februari 2026 09:46

betreurt het me dat ze niet betaald hebben.

Ik ben juist blij dat ze niet betalen. De enige reden dat hackers dit doen, is omdat er dus kennelijk genoeg bedrijfen wel betalen. Als niemand meer zou betalen hebben de hackers geen reden meer om dit te doen.

Pasteis @MightyPig • 27 februari 2026 10:20

[...]

Ik ben juist blij dat ze niet betalen. De enige reden dat hackers dit doen, is omdat er dus kennelijk genoeg bedrijfen wel betalen. Als niemand meer zou betalen hebben de hackers geen reden meer om dit te doen.

Precies "Als". Daar zit de hele crux in. Dat gaat nooit gebeuren en dus zullen deze hackers altijd blijven bestaan. En dat gaat deze miljoen geen verschil uitmaken.

Kijk... als alleen e-mailadressen waren uitgelekt i.c.m. naam of dergelijks snap ik heel goed dat je niet gaat betalen. Maar nu is er zo ontzettend veel uitgelekt over personen. En daar zitten ook kwetsbare personen bij.

SniperEye @Pasteis • 27 februari 2026 09:48

Op de blaren zitten? Betalen aan per definitie onbetrouwbare criminelen?

Odido zit al op flinke blaren nu het imago totaal ingestort is. Hun hele campagne rond de Olympische Spelen is weggegooid geld. Daarnaast lijkt het erop dat ze mogelijk in strijd met de AVG hebben gehandeld wat ook nog een boete gaat opleveren. En dan nog het aantal klanten wat weggelopen is en zal weglopen komende tijd.

Onderhandelen met criminelen is het in stand houden en financieren van dit soort praktijken. Hiertoe oproepen vind ik kortzichtig. Ook ik zit erbij en hoop dat Odido geen cent gaat betalen. Vanwege mijn werk loop ik extra risico maar dan nog steeds vind ik dat je nooit moet betalen.

Je kan zelf heel wat mitigerende maatregelen nemen tegen cybercrime.

Zelfs de omvang van de hack zou geen criterium moeten zijn om wel te betalen.

Pasteis @SniperEye • 27 februari 2026 10:25

De omvang niet, maar de inhoud waar in ruim 6 miljoen individuen zijn blootgesteld wel degelijk.

Begrijp me niet verkeerd, het is verre van dat ik het wil aanmoedigen, maar als er een kans is om potentieel enorme schade voor (kwetsbare) personen te voorkomen dan moet dat gewoon gedaan worden.

De reputatie van Odido kan mijn niks boeien, sterker nog... daar wordt je eerder als consument voor benadeeld. Aandeelhouders pakken hun financieel verlies, maar gaan weer door. Iemand die identiteitsfraude te maken krijgt daarentegen niet. Die krijgt onwijs veel ellende.

Het gaat hier niet om mij, of jou, maar om je oudere buurman/buurvrouw, ouders of andere mensen die minder waakzaam zijn.

Nyarlathotep @Pasteis • 27 februari 2026 09:49

Nee, nee en nog eens nee.

Criminelen ga je geen geld betalen. Zeker niet voor dit soort zaken.
Het is namelijk een verdienmodel, en als elk bedrijf miljoenen gaat betalen dan zullen dit soort criminele activiteiten een enorme vlucht gaan nemen, en dan zijn je gegevens écht nergens meer veilig.

Dat Odido hiervoor keihard aangepakt moet worden lijkt mij evident. Maar losgeld gaan betalen aan criminelen is echt niet de oplossing).

Pasteis @Nyarlathotep • 27 februari 2026 10:30

Nee, nee en nog eens nee.

Criminelen ga je geen geld betalen. Zeker niet voor dit soort zaken.
Het is namelijk een verdienmodel, en als elk bedrijf miljoenen gaat betalen dan zullen dit soort criminele activiteiten een enorme vlucht gaan nemen, en dan zijn je gegevens écht nergens meer veilig.

Dat Odido hiervoor keihard aangepakt moet worden lijkt mij evident. Maar losgeld gaan betalen aan criminelen is echt niet de oplossing).

Misschien moeten bedrijven dan maar eens kappen om zo onzorgvuldig om te gaan met de gegevens van mensen. Het is allang een verdienmodel wat allang in stand gehouden wordt door bedrijven waar jij en ik geen grip op hebben.

Er mag wel eens gestopt worden om maar blijvend persoonlijk informatie te harken, te bewaren en te gebruiken. Je kan haast niet weigeren, want dan wordt je zwaar beperkt in het afnemen van diensten.

Wil ik dat criminelen in stand blijven? Nee zeker niet, daarom moet er ook veel meer geld naar cybercrime toe gaan. Maar voor nu moet je de schade beperken.

Net zoals bij onze spanningen met VS moet je pappen en nathouden tot je herhaling kan voorkomen en zorgen dat je leert.

xxs @Nyarlathotep • 27 februari 2026 11:21

Totdat ze je kind ontvoerd hebben.

kitkat007 @Pasteis • 27 februari 2026 10:55

*knip

[Reactie gewijzigd door kitkat007 op 27 februari 2026 11:06]

Om te kunnen reageren moet je ingelogd zijn