Bol zegt niets te weten van hack, vermeende dataset staat te koop op darkweb

De Nederlandse webwinkel bol zegt geen aanwijzingen te hebben voor een hack, lek of ransomwareaanval. Op het darkweb claimt een hacker gegevens van 400.000 Belgische bol-klanten in handen te hebben.

Bol onderzoekt de zaak, zegt een woordvoerder tegen Tweakers. "Wij nemen deze melding serieus, maar we hebben momenteel geen enkele aanwijzing voor een hack of aanval." Alle systemen werken als normaal en er is dus ook geen sprake van ransomware.

Het gaat volgens de post op het darkweb die DarkWebInformer laat zien om onder meer namen, adressen, geboortedata en datum van laatste login. De hacker, die opereert onder de naam Jeffrey Epstein, claimt dat er ook ID-nummers in de database staan. Vermoedelijk zou het niet gaan om paspoortgegevens, omdat bol die van klanten over het algemeen niet heeft. Het gaat om Belgische klanten, zo claimt de hacker.

Vermeende dataset Bol.com

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 19-04-2026 10:41
238 • submitter: pven

19-04-2026 • 10:41

Submitter: pven

Lees meer

Allekabels: wachtwoorden van accounts ouder dan september 2018 zijn te kraken

Allekabels: wachtwoorden van accounts ouder dan september 2018 zijn te kraken Nieuws van 16 april 2021

Coolblue stopt met marketing vanwege beperkte Chinese leveringen - update

Coolblue stopt met marketing vanwege beperkte Chinese leveringen - update Nieuws van 24 februari 2020

Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop

Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop Nieuws van 9 december 2019

E-commerce Bol.com Hack Nederland

IT-banen

Meer vacatures

Reacties (236)

236

232

85

6

0

120

Wijzig sortering

ID-College 19 april 2026 11:18

Het is niet de eerste keer dat een partner van bol (die ook klantgegevens krijgt voor de verzending), de gegevens lekt of de beveiliging niet op orde heeft. het kan dus ook indirect lekken..

[Reactie gewijzigd door ID-College op 19 april 2026 11:19]

TwistedIT @ID-College • 19 april 2026 13:15

Klant gegevens naar derden?

Die informatie moet de verkoper ophalen van de site van Bol. Je krijgt alleen een e-mail als verkoper dat er een bestelling is geplaatst, met de aantallen en welke producten, maar geen klantgegevens. Daarnaast worden deze gegevens na verloop van tijd geanonimiseerd, waardoor je het e-mailadres en andere gegevens niet eens meer kunt bekijken. Al die data staat bij Bol en niet bij de verkoper.

Tenzij de verkoper besluit alle gegevens te downloaden en deze vervolgens wordt gehackt.

TechSupreme @TwistedIT • 19 april 2026 15:05

Dat is onzin.

De notificatiemails heb ik uitgezet; als je zo'n 500 a 1000 pakketjes per dag hebt heeft dat ook geen nut.

In de backend krijg je NAW gegevens te zien. Je zult uiteindelijk een verzendlabel moeten maken en daar heb je die gegevens voor nodig.

Het e-mailadres is geanonimiseerd (randomreeks@verkopen.bol.com), dat wil zeggen dat verzending gaat via de servers van bol. Dit doet bol, omdat het alle communicatie met de klant in eigen handen wil houden. Telefoonnummer krijg je sowieso niet en het echte mailadres ook niet, nooit. Het is dus niet zo dat het na verloop van tijd wordt geanonimiseerd.

In de backend van bol kun je gegevens niet in bulk opvragen en als je geen orderid hebt, dan zul je zelf handmatig moeten zoeken. Je kunt sowieso altijd de NAW-gegevens inzien; de gegevens verdwijnen na een tijdje van de orderpagina, maar als je doorklikt dan kan je ze nog steeds zien.

Als je de API krijgt en/of een 3de partijtool, dan kun je wel bulkgegevens opvragen, maar dat is beperkt tot 50 orderid's per request en de specifieke orders is ook ratelimited relatief tot het aantal bestellingen wat je hebt.

De partner heeft zeer zeker toegang tot de NAW gegevens, dit kan ook niet anders.

slowdive @TechSupreme • 19 april 2026 23:58

Je beweert dat het niet anders kan dan dat jij de naw-gegevens nodig hebt.

Dat kan m.i. wel, namelijk zo:

Bol koppelt aan een bestelling een code

Jij krijgt de code en de bestelling

Als je de bestelling verzendt, geef je het pakket aan de verzender. Op het pakket staat de code.

Bol geeft de verzender het adres bij de code.

Jij weet dus wat de bestelling is, maar niet de naw-gegevens. en de verzender weet niet wat besteld is, maar wel waar het bezorgd moet worden.

TechSupreme @slowdive • 20 april 2026 00:16

Bij bol heb je de optie VVB (verzenden via bol) of je eigen verzendmethoden. Ik gebruik mijn eigen verzendmethode; ik zal die code dan zeker doorsturen naar mijn verzender, wat ik zelf ben. Er zijn partners die de producten zelf afleveren (denk aan groot witgoed of bruingoed).

Maar goed, jij weet natuurlijk het fijne ervan en gaat alleen maar uit van kleine pakketjes verzonden door zoldercowboys. Jij wil alle pakketdiensten verplichten om een samenwerking aan te gaan met bol, goeie manier om de hele markt naar de klote te helpen.

bol zal natuurlijk nooit misbruik maken van die situatie en het zal al helemaal niet zijn eigen dienst Ampere bevorderen over andere kleinere diensten. bol mag lekker bepalen wie zijn pakketjes mag verzenden onder de voorwaarden van bol want anders krijgen ze geen toegang tot jouw codesysteem.

Maar goed, dan blijft natuurlijk de vraag: wie is er verantwoordelijk voor het pakketje als er iets misgaat? Met jouw code is dat maar giswerk.

EN dan alweer, jij verlegt alleen het probleem van de partner naar de pakketdienst. De pakketdienst kan evengoed gehackt worden, vriend.

In het kort, leuk geprobeerd, maar juridisch en praktisch werken die dingen niet zo en uiteindelijk is het niet eens een oplossing voor een probleem dat jijzelf hebt gecreëerd.

Maar buiten dit alles om. Waarom is het zo erg dat de partner toegang heeft tot NAW gegevens van de klant? Dat is inherent aan een online marktplaatsplatform. bol is niks anders dan een tussenpersoon tussen de klant en de verkoper; ergens zal er een gegevensuitwisseling plaats moeten vinden.

[Reactie gewijzigd door TechSupreme op 20 april 2026 00:42]

The_Woesh @TechSupreme • 20 april 2026 06:31

Eigenlijk zou bol.com degenen moeten zijn die de gegevens verwijderd na de order. Je koopt namelijk bij de partner en bol.com is alleen de verwerker. Bol is een online marktplaats, bij de offline variant krijgt de gemeente ook niet door wie hoeveel kazen heeft gekocht bij de kaasboer.

TechSupreme @The_Woesh • 20 april 2026 11:30

Dat is praktisch niet mogelijk.

bol heeft ook zijn eigen administratie, plus de klant heeft tot 1 maand zichttermijn en tot 6 maanden herroepingsrecht op een defect product. Na die 6 maanden heb je te maken met 2 jaar redelijke garantie.

Je hebt een account bij bol dus dat zal je dan altijd houden.

[Reactie gewijzigd door TechSupreme op 20 april 2026 11:31]

The_Woesh @TechSupreme • 20 april 2026 11:45

De zaken die jij noemt, de zicht termijn en de garantie. Dat is de verantwoordelijkheid van de verkoper. daarom heeft de ACM bol.com ook op de vingers getikt, omdat bol niet duidelijk maakte bij wie je koopt, en dus ook bij wie je moet zijn voor retour/garantie.

Voor de consument moet altijd duidelijk zijn wat zijn rechten zijn en wie hij daarop kan aanspreken. Daarbij is van belang dat consumenten weten met wie zij een overeenkomst sluiten: met het platform of met een ander verkoper op het platform? Zo weet de consument voordat hij iets koopt bij wie hij terecht kan als het product bijvoorbeeld niet of ondeugdelijk geleverd wordt.

bron: ACM

TechSupreme @The_Woesh • 20 april 2026 12:17

Ja dat zal wel, maar dat heeft niets met dit te maken. bol is nog steeds het gezamenlijke platform waar alles bij elkaar komt. De ACM zegt alleen dat bol duidelijk moet communiceren bij wie je koopt, het zegt niet dat bol niet als tussenpersoon mag fungeren.

Je vergeet trouwens het eerste puntje, dat is administratie. Puur en alleen daarom moet bol weten wie de klant is.

Ik ben het wel eens met het standpunt van de ACM, want het is zeer onduidelijk waar of bij wie je koopt, dat schept veel verwarring bij de klanten en daar heb ik dan ook regelmatig mee te maken. Voor mij als verkoper is het zo dat ik ervoor kies om bol klanten basisservice te verlenen en niet dat stapje meer. De reden hiervoor is dat als ik extra moeite doe om de klant tevreden te stellen, alleen bol er beter van wordt want de klant ziet niet dat ik het ben, de klant ziet alleen het merknaam bol die het goed voor elkaar heeft.

Als je via mijn eigen shop of in mijn winkels iets aankoopt, zul je altijd betere service krijgen tegen een betere prijs, dit alleen omdat bol er niet tussen zit.

Mijn standpunt is dat de winkelstraat en de kleine ondernemer terug gaan komen. Bij mij in de winkels kun je hetzelfde product voor goedkoper krijgen en betere service. Online zitten overal tussenpartijen die mee willen snoepen. Alleen Google Merchant kost al een vermogen, plus nog eens de kosten van dat de consument blindelings mag herroepen. De kosten van online verkopen zijn zoveel hoger dan fysieke verkoop dat ik hetzelfde in mijn winkels voor een veel lagere prijs aan kan bieden.

En laten we eerlijk zijn, vroeger was zo'n koopavond toch leuk? Ook al kocht je niets, je kon gezellig rondlopen en een beetje rondkijken.

[Reactie gewijzigd door TechSupreme op 20 april 2026 12:46]

pegagus @TechSupreme • 20 april 2026 10:57

Op de vraag wie verantwoordelijk is wanneer het is mis gaat, weet ik het antwoord van Bol.com wel: de partij bij wie je het hebt gekocht. Dat die partij vervolgens schier onbereikbaar is, interesseert Bol in het geheel niet.

slowdive @TechSupreme • 20 april 2026 23:26

Ik heb uitgelegd dat het technisch kan werken. Natuurlijk, vriend, hoef je geen gebruik te maken van iets als bol. Je mag het ook allemaal zelf opzetten. Er zijn genoeg cowboys die niet afhankelijk willen zijn van anderen. Als je duizenden verzendingen per dag hebt, lijkt het me dat je die schaalgrootte inmiddels hebt.

TechSupreme @slowdive • 21 april 2026 00:45

Die snap ik even niet.

Ten eerste, je hebt het tegen iemand die sowieso multichannel werkt, dus wat probeer je te zeggen? Volgens mij had ik al iets laten vallen over winkels en eigen site en dergelijke. Maar buiten de B2C heb ik ook een B2B-tak. Dus wat probeer je me te vertellen?

Ten tweede, ga je voor mij bepalen hoe mijn businessmodel eruitziet? Ik vind het sowieso raar dat je de les probeert te lezen aan iemand die dit al 25 jaar doet.

Ten derde, we hadden het allemaal over bol als marktplaatsplatform; waar jij het over hebt, weet niemand op dit moment.

Ten vierde, volgens mij val je over de term zoldercowboys, dat is een vakterm.

Ten vijfde, is het nu echt zo moeilijk om te accepteren dat je idee wordt afgeschoten? JIj komt met iets wat juridisch en praktisch gewoon niet kan werken en ik leg je simpelweg uit waarom dat zo is. Jouw reactie is om mij maar te vertellen dat ik multichannel moet gaan verkopen. Waarschijnlijk moet ik ook nog eens mijn eigen pakketdienst op gaan zetten van jou... Nou, fijn weer dit alles hoor.

Nu ik eraan denk, ben jij een zoldercowboy? Dat zou wel een goeie verklaring zijn voor je jaloezie op mijn volume.

[Reactie gewijzigd door TechSupreme op 21 april 2026 00:57]

The_Woesh @slowdive • 20 april 2026 06:28

Als verkoper heb je duizende pakketjes, van bol, van amazon, van je eigen website. Sommige gaan met vervoerder A, sommige met vervoerder B. Die vervoerders moeten een adres hebben om te versturen en hebben geen contact & contract met bol.com maar met de verkoper. Een bol.com code op de lable printen zal dan ook niet werken. Bol.com zou het eventueel kunnen doen door 1 vervoerder te verplichten. Bv PostNL en daar een contract mee hebben, maar dan komt de ACM, terecht, op de deur kloppen wegens misbruik van marktmacht.

Christoxz @slowdive • 20 april 2026 08:47

Je moet ook voldoen aan factuur verzoeken (B2B) klanten, dan heb je gegevens nodig, het is niet alleen voor verzenden.
https://partnerplatform.b...en-versturen-van-facturen

n4m3l355 @TechSupreme • 19 april 2026 17:38

Hier valt toch wel wat te zeggen van hoe bol.com werkt. Wij zijn actief op jd.com oa en daar krijgen wij via onze back-end dus geen persoonlijke gegevens van binnen. Dit verloopt tokenized en dezelfde token wordt doorgestuurd naar SF (de logistieke partner die wij gebruiken) die op zijn beurt ook heel beperkt informatie publiekelijk deelt. Op de label staat dan wel een adres maar geen telefoonnummer. Als de postman langskomt en wilt bellen, scant die een QR en krijg je een algemeen nummer die jou belt.

Dit heeft als voordeel dat wij dus geen data kunnen verliezen, maar ook voor JD dat wij afhankelijk van het platform blijven.

Remzi1993 @n4m3l355 • 19 april 2026 19:38

Uiteindelijk moet de verzender van een pakket wel adresgegevens hebben anders waar gaat het pakket naar toe? Kom op mensen, denk even na.

Dat e-mail adressen en telefoonnummers niet worden doorgegeven en afgeschermd is juist goed maar de pakketbezorgers hebben die niet nodig om een pakket te bezorgen wel je adresgegevens.

TechSupreme @Remzi1993 • 19 april 2026 20:51

PostNL gebruikt je mail en telefoon om je berichten te sturen over de status van je pakketje. De bezorger zelf heeft het inderdaad niet nodig, maar dat PostNL als organisatie het heeft is wel handig voor iedereen.

Nederland
Hack
E-commerce

@TechSupreme • 19 april 2026 23:34

PostNL hoeft dat helemaal niet te krijgen va Bol. Bol kan het trackingnummer van PostNL weer doorgeven naar de klant die er dan zelf voor kiest om het aan te melden in de app.

ik mag hopen dat Boo zowel mijn mal als telefoonnummer niet doorgeeft aan PostNL want dat is exact wat ik NIET wil gezien dat hele andere gegevens zijn iedere keer.

TechSupreme @supersnathan94 • 19 april 2026 23:42

Ik zeg ook niet dat het moet, ik zeg alleen dat het handig is. Dan vul je die gegevens niet in en dan krijg je geen notificaties.

[Reactie gewijzigd door TechSupreme op 19 april 2026 23:44]

Nederland
Hack
E-commerce

@TechSupreme • 20 april 2026 16:39

Als je van Bol gewoon de code krijgt, dan krijg je ook gewoon de notificaties. Daar heeft PostNL het e-mailadres (en telefoonnummer zeker) niet voor nodig.

Vanuit dataminimalisatie zou dit überhaupt optioneel moeten zijn, en zou de klant er wat over te zeggen moeten hebben.

TechSupreme @supersnathan94 • 21 april 2026 00:43

Ja, tot de PostNL API weer down is. Nogmaals, selecteer dat bol je gegevens niet mag delen en wees blij.

Nederland
Hack
E-commerce

@TechSupreme • 21 april 2026 10:56

Nogmaals, selecteer dat bol je gegevens niet mag delen en wees blij.

Dat was dus het punt, is dat een optie en waarom is die niet opt-in?

TechSupreme @supersnathan94 • 21 april 2026 11:25

Volgens mij vraagt bol ernaar als jij je account aanmaakt.

Maar hey, luister, als jij niet wil dat een pakketdienst die jouw pakketje komt leveren jouw gegevens heeft. Want dat zou het einde van de wereld betekenen. Koop gewoon lekker bij je lokale ondernemer en betaal contant.

Nederland
Hack
E-commerce

@TechSupreme • 21 april 2026 11:54

Kun je wel bijdehand gaan doen, maar het is dit soort onzorgvuldigheid die de afgelopen weken tot meerdere serieuze datalekken heeft geleid.

Nee ik wil graag dat Bol mijn pakketje fatsoenlijk levert, maar nee ik wil niet dat ze mijn gegevens op straat gooien. Kennelijk kunnen ze dat niet dus moet ik daar zelf een oplossing voor verzinnen.

Kun je wel zeggen, "je hoeft het niet te kopen", maar zij kunnen ook beter hun best doen de gegevens te beschermen. PostNL heeft NOOIT een telefoonnummer NODIG. Dus waarom dat expliciet dan wel sturen?

En ik heb net even gekeken, Bol verplicht je om een telefoonnummer op te geven waar je overdag op te bereiken bent en geeft je niet een optie om dit niet te delen. Daarnaast MOET je e-mailadres gebruikt worden om te koppelen met PostNL, maar dat zeggen ze niet.

Het e-mailadres en wachtwoord zijn nodig om toegang te krijgen tot de gegevens. Ook zullen we je via dit e-mailadres op de hoogte houden van de status van bestellingen.

Dat is niet; "we geven je data ook door aan derden."

Dus nee, het is geen Opt-in, nee het is geen opt-out en nee het wordt je niet gevraagd als je je account aanmaakt. Het kan niet anders. Bol heeft dit helemaal niet nodig, maar door deze grap ligt er mogelijk wel weer een bak data op straat. Ik vind het mooi geweest met al die toko's.

TechSupreme @supersnathan94 • 22 april 2026 03:15

Ja? Wat is je punt? Mogen ze gegevens niet delen met de pakketdienst? Succes ermee.

Je zegt het verkeerd. JIj bent van mening dat PostNL NOOIT jouw telefoonnummer nodig heeft. Dat hebben ze wel, ongeacht wat jouw mening is.

Maar als je zo'n held bent, doe er dan wat aan. Beetje vanachter je toetsenbord fabeltjes vertellen kan iedereen.

[Reactie gewijzigd door TechSupreme op 22 april 2026 03:20]

Remzi1993 @TechSupreme • 20 april 2026 02:44

Met pakketbezorgers heb ik het dus over bedrijven als PostNL en dergelijke, want er zijn er meer.

TechSupreme @Remzi1993 • 20 april 2026 02:58

DHL doet dat ook, zo ook DPD, UPS, FedEx en Budbee. De rest heb ik geen ervaring mee.

TechSupreme @n4m3l355 • 19 april 2026 18:09

Wat wil je ervan zeggen dan?

Jij hebt alles uit handen gegeven aan anderen. Wat zou er gebeuren als dat niet zo was?

Dat jij die gegevens dat niet krijgt is heel normaal, maar andere krijgen het dan wel. Jij verschuift het probleem van jezelf naar andere.

[Reactie gewijzigd door TechSupreme op 19 april 2026 18:23]

ID-College @TwistedIT • 19 april 2026 13:22

Via hun API krijg je deze gewoon binnen en slaan die partners het op. Als die hun security niet op orde hebben ligt t gros op straat..

sebastienbo @ID-College • 19 april 2026 17:43

De partners moet zich toch ook houden aan GDPR als ze gevoelige gegevens opslagen?
Bovendien moeten de klanten toch op de hoogte zijn met wie ze data delen?

Trouwens in die gelekte kolommen zie ik customerid dat is toch een bol.com interne id? Ze gaan toch niet hun eigen DB customer id's delen met partners? Anders hebben ze wel echt heel non-chalant omgegaan met PII

Ik begrijp trouwens niet waarom gevoelige data zoals een geboortedatum in dezelfde tabel zit als de customer data, dat is gevoeliger en zou dus in een andere tabel moeten zitten, en enkel voor heel specifieke usecases gebruikt worden. Als ze echt de leeftijd willen weten van iemand dan was het jaargetal voldoende. Met geboortedatum kan je veel phishing doen of passwoord resets uitvoeren.

Daoka @sebastienbo • 19 april 2026 18:15

In de meeste gevallen zal een geboorte jaar genoeg zijn maar rond de 18 niet. Stel dat je 31 december geboren ben. Dan na 1 dag zou het systeem je als ouder zien dan dat je bent. Dus 17 jaar en 1 dag = 18 jaar. En zouden ze dan een jaar extra gebruiken zodat iedereen echt 18 is zou iemand die op 1 januari geboren is een jaar lang dus gelden als onder de 18. Maar gewoon leeftijd zou wel kunnen natuurlijk. Die kan bol gewoon bereken gebaseerd op de huidige datum.

Nederland
Hack
E-commerce

@Daoka • 19 april 2026 23:36

Lekker belangrijk? Dergelijke zaken is de pakketbezorger voor verantwoordelijk. Of heb jij je daadwerkelijk gelegitimeerd bij bol?

Heb je überhaupt je echte geboortedatum opgegeven?

Juist vanwege dit soort ongein ben ik overgestapt naar Epoch. Makkelijk te onthouden.

Daoka @supersnathan94 • 19 april 2026 23:57

Ik denk dat de leeftijd zeker wel belangrijk kan zijn. Als ik zoek naar porno krijg ik bijvoorbeeld Passionate Porno. Nu weet ik het niet zeker maar het klinkt 18+. Nu zal dus niet iedere partner zulke dingen verkopen maar leeftijd kan zeker wel belangrijk zijn.

Geïdentificeerd nee. Echt leeftijd ja. Maar de account is ook al 15 jaar oud ofzo. In die tijd was het nog gebruikelijk om dat te doen.

Nederland
Hack
E-commerce

@Daoka • 20 april 2026 16:46

Was natuurlijk een hypothetische vraag, maar we weten allemaal dat het geen klap uitmaakt wat je daar invult. Zonder legitimatie aan de deur kan iemand invullen wat ie wil en zelfs opsturen wat ie wil, je kunt het toch niet controleren.

Daarom vind ik al dat geneuzel wat Discord en anderen nu ineens aan het doen zijn ook zo stom. Zonder officiële methode kun je het allemaal veel te makkelijk omzeilen.

dakathefox @sebastienbo • 19 april 2026 23:03

De partners moet zich toch ook houden aan GDPR als ze gevoelige gegevens opslagen?

Dat wil niet zeggen dat het ook veilig gebeurt.

iAR @dakathefox • 20 april 2026 07:05

Dat wil niet zeggen dat het ook veilig gebeurt.

Alles onder het mom van gemak en gerechtvaardigd belang.

sebastienbo @dakathefox • 20 april 2026 10:01

Jawel, daar gaat de GDPR wetgeving net over (technische beveiliging zit letterlijk vernoemt in de GDPR wetgeving). Dus zij moeten zich ook aan de wetgeving houden als ze europese inwoners data opslagen.
Iedereen die een dataprocessor is moet aan de wetgeving voldoen, er is zelf geen contract nodig want het is een wet.

[Reactie gewijzigd door sebastienbo op 20 april 2026 10:02]

latka @ID-College • 19 april 2026 15:40

Dan nog is dat een probleem van Bol: dan hebben ze hun keten niet goed onder controle. De schuld leggen bij iemand anders in de keten betekent niet dat Bol gewoon de schuldig bij een ander kan leggen voor een datalek. Dus het is en blijft een bol probleem.

Aiii @latka • 19 april 2026 16:13

Hoe moet Bol dan hun partners de verzendgegevens toe laten komen? In welke zin hebben ze daarmee gefaald?

[Reactie gewijzigd door Aiii op 19 april 2026 16:13]

latka @Aiii • 19 april 2026 16:22

Hogere eisen stellen. Je kunt je als verantwoordelijke partij niet de schuld bij een ander leggen. Je processen anders inrichten etc. Kern is: liggen er klantgegevens op straat van een bol klant is bol schuldig

Saven @latka • 19 april 2026 19:25

Als je dit al bedenkelijk vindt moet je maar niet naar Booking kijken, waar de helft van de hotels zo lek als een mandje is en je gegevens vrijwel gegarandeerd ergens belanden waar het niet hoort

latka @Saven • 19 april 2026 21:23

Gebruik ik daarom ook niet. Ik probeer 'platformen' om die reden niet te gebruiken maar direkt bij de partij die een product levert te bestellen met een uniek emailadres per partij. Wanneer het dan lekt (en dat zal eens gebeuren) is de schade minimaal.

bytemaster460 @latka • 19 april 2026 22:28

Een uniek e-mailadres per partij? Het lekken van je e-mailadres kan gedoe opleveren maar voor ieder partij een ander e-mailadres gebruiken vind ik persoonlijk ook gedoe.

iAR @bytemaster460 • 20 april 2026 07:07

Als je diensten als hide my e-mail hebt niet.

iAR @latka • 20 april 2026 07:06

Direct bij de partij. Diezelfde partij die mogelijk als partner de gegevens lekt.

bytemaster460 @latka • 19 april 2026 22:17

Als je via Bol bij een derde partij koopt ben je klant van die derde partij. Bol faciliteert enkel de marktplaats. De koopovereenkomst wordt gesloten met derde partij en daar krijg je ook de factuur van.

latka @bytemaster460 • 19 april 2026 23:10

Sure. Maar dan staat mijn email op minstens 2 plekken en is het bij een lek niet duidelijk wie er gelekt heeft.

ZinloosGeweldig @latka • 20 april 2026 10:49

In het geval dat je iets bij een externe verkoper koopt op een verkoopsite, is die externe verkoper de verwerkingsverantwoordelijke.

latka @ZinloosGeweldig • 20 april 2026 13:28

Is dat zo? Als ik de betaling e.d. doe loopt dat ook via Bol. Dus ik weet niet dat er een externe verkoper betrokken is tenzij ik beter kijk. Als Bol niet de verwerkingsverantwoordelijke is lijkt me dat een behoorlijke loophole in de wetgeving. Als ik kijk op de site van Bol zelf dan zijn ze gewoon zelf de verantwoordelijke en delen de gegevens die nodig zijn.

ZinloosGeweldig @latka • 20 april 2026 15:44

Dat is het privacy beleid van de website bol.com.

Als ik een aankoop doe ga ik een koopovereenkomst aan met de werkelijke verkoper, in die relatie is bol.com een onderaannemer van de verkoper die voorziet in orderverwerking en betaalverwerking. Dat de verkoper daarin de verwerkingsverantwoordelijke is is ook duidelijk op de website van bol.com zelf.

[Reactie gewijzigd door ZinloosGeweldig op 20 april 2026 15:45]

sebastienbo @Aiii • 19 april 2026 17:45

Die tabellen bevatten toch veel meer dan verzendgegevens als ik naar die screenshot kijk...

swhnld @TwistedIT • 19 april 2026 13:27

Je vergeet dat derden ook toeleveranciers kunnen zijn. Bijvoorbeeld een externe partij die programmeursdiensten levert, of een die verzending doet, garantie afhandeling, klant tevredenheid onderzoek, wanbetalers afhandeling, etc.

CodeCaster @TwistedIT • 19 april 2026 13:49

Als een Bol-partner zelf diens fulfilment doet (dus Bol enkel als verkoopkanaal gebruikt en zelf inpakt en verstuurt), kun je met één enkele API-call (bron) per order alle klantgegevens ophalen waaronder volledige naam, adres, telefoonnummer (verplicht voor diverse verzendmethodes).

Dat doen velen dan ook.

Gezien de omvang (400K records) lijkt dit zo op het eerste gezicht dan ook om een grotere partner te gaan, of een tussenpartij die (een deel van) de afhandeling doet. Zou ook zomaar een fulfilmentcenter kunnen zijn.

Vanuit Bols optiek ziet dit er dan ook niet uit als een hack bij henzelf.

[Reactie gewijzigd door CodeCaster op 19 april 2026 13:50]

Sanghelios @TwistedIT • 19 april 2026 16:20

Natuurlijk wel. Ze krijgen ook je adresgegevens. Of hoe denk je dat ze de spullen bij je thuis krijgen? Vaak nog samen met idd e-mail of telefoonnr voor de koerier.

0_Cypher @TwistedIT • 20 april 2026 08:18

Ik heb gewerkt voor een partij welke o.a via Bol handelde. E-mail is geanomiseerd. Naam adres en telefoonnummers niet.

Na bepaalde tijd worden gevoelige gegevens als naam en adres met *** teruggegeven vanuit Bol, voor oudere bestellingen dus. Geloof dat dit 3 maanden was maar kan me daar in vergissen.

Maar het is vrij normaal dat je deze al zelf hebt opgeslagen de eerste keer wanneer je de bestelling binnen haalt. Als dit niet veilig gebeurt bij 1 van de partners kan dat mis gaan.

ro8in @ID-College • 19 april 2026 17:23

Je hebt misschien ook ordersystemen met een standaard bol ingegratie die wellicht door veel webwinkels die op bol.com verkopen gebruikt worden.

ZinloosGeweldig @ID-College • 20 april 2026 11:00

Wordt wel bijzonder als een partner van informatie als laatste login datum of registratie datum ontvangt...

Nimac91 @ID-College • 20 april 2026 06:09

Het is nog niet zeker of het gelekt is.

Iedereen kan een forum post op de darkweb gooien. Even tor browser downloaden en ook ik kan een post online zetten met de dataset van KPN te koop. Ik denk dat het zeker onderzocht moet worden maar het kan net zo goed een scam zijn.

[Reactie gewijzigd door Nimac91 op 20 april 2026 06:10]

Nimac91 @PStweak • 20 april 2026 08:16

Oh, ik geloof zeker dat er een kans is dat het gelekt is. Maar een forum post kan letterlijk iedereen posten toch? Ik zie ook niet of hij een reputatie heeft om vaker gelijk te hebben ofzo. Darkweb zit toch vol met scammers die in crypto betaald willen worden. Dit kan gewoon vissen voor een beetje geld zijn toch.

[Reactie gewijzigd door Nimac91 op 20 april 2026 08:17]

darkreptile 19 april 2026 10:47

voor de zekerheid me WW gewijzigd

Bedge85 @darkreptile • 19 april 2026 10:52

Sowieso slim (als je dat al niet doet) om voor elke website een apart email en wachtwoord te gebruiken in combinatie met een password manager. Dit is heel gemakkelijk als je een eigen domein hebt. Als je geen eigen domein hebt kun je bijvoorbeeld Proton Pass of AliasVault gebruiken, deze software maakt het makkelijk om voor elke website een nieuwe login te maken met unieke email en wachtwoord.

[Reactie gewijzigd door Bedge85 op 19 april 2026 10:55]

Advanced03 @Bedge85 • 19 april 2026 11:23

Is bitwarden niet ook goed?

MeltedForest @Advanced03 • 19 april 2026 11:30

Bitwarden is perfect!

ronald136813 @Advanced03 • 19 april 2026 13:26

Bitwarden is top na de lastpass hack ben ik toen overgestapt op Bitwarden.

kikkertjes @Bedge85 • 19 april 2026 11:11

Wat doe je dan als de paswordmanager is gehacked?

asing @kikkertjes • 19 april 2026 11:17

Bol.com ondersteunt MFA. Dat is iets wat ik instel voor alle online diensten waarmee ik betalingen doe.

Mijn password manager is overigens offline. Dat maakt het wat lastiger om te hacken.

stenkate @asing • 19 april 2026 12:13

Is dit zo? Want ik kan dat al tijden niet zo 123 vinden. Alleen 2FA gevonden voor hun affiliate en andere externe platformen, maar kan niets vinden voor de 'normale' consumenten accounts.

jessesteinen @stenkate • 19 april 2026 12:17

bij mij (consument) zit dat onder Mijn bol -> Gegevens & voorkeuren -> Extra beveiliging -> Tweestapsverificatie, of korter https://login.bol.com/wsp/2fa/settings

monsieurpinot @jessesteinen • 19 april 2026 16:06

veel dank, dit wist ik niet en gelijk even aangezet! (en zoals hieronder iemand zegt: waarom geen token, maar alles beter dan niets)

update: ook bij mijn zakelijke account gelukt

[Reactie gewijzigd door monsieurpinot op 19 april 2026 16:16]

m.z @jessesteinen • 19 april 2026 12:34

Thanks, wist niet dat dit kon. Ik heb ook direct de toegestaande geolocaties aangepast. Dit staat standaard op wereldwijd.

Ik vraag me wel af, maar gebruik het niet meer, hoe het met Kobo zit, gezien ik het ingeschakeld heb. Vroeger kon Kobo, weer mee ik in contact ben geweest met bol, niet inloggen met wachtwoord met symbolen. Ik vraag me dus af of MFA ondersteund wordt op deze (oude) readers.

Aldy @jessesteinen • 19 april 2026 13:43

Ook dank namens mij, alhoewel ik de voorkeur geef aan een authenticator boven een sms. Maar altijd veiliger dan geen 2FA.

kujinshi @Aldy • 20 april 2026 10:30

MFA kan je mooi instellen als vanaf elk ander apparaat. Dus vanaf je eigen computer hoef je niet door de cyclus heen.

Dat maakt dat een hacker extern ook de moeilijkheid te veduren krijgt.

En als land login alleen Nederland en Belgie. Alhoewel met VPN kan iemand uit Nigeria of Rusland ook doen alsof ze al in Nederland zijn.

JacOwns7 @jessesteinen • 20 april 2026 09:08

Oh das nice, gelijk even mee bezig.

Lijkt wel alleen via de Browser te kunnen. In de App van Bol is er geen kopje Extra beveiliging.

asing @stenkate • 19 april 2026 12:33

Ik krijg altijd een SMS met een 6 cijferige code om in te loggen. Ze ondersteunen helaas geen Fido sleutels of Authenticators maar het is in ieder geval iets.

sebastienbo @asing • 19 april 2026 17:48

Passkeys zou handiger zijn.

mbbs1024 @sebastienbo • 19 april 2026 23:54

Passkeys zou handiger zijn.

Ik gebruik nog geen passkeys, daarom een vraagje.

Heeft iemand die dan toegang krijgt tot jouw device, dan geen vrije toegang tot alles sites die met die passkeys werken ?
Is dat hetzelfde principe zoals je een SSH key pair gebruikt, zodat je zonder paswoord gewoon via die ssh key inlogt ?

sebastienbo @mbbs1024 • 20 april 2026 10:09

Het doel van passkeys is om wildvreemden op het internet tegen te houden om gebruik te maken van je credentials EN ook om het sniffing tegen te houden (want de credentials gaan niet meer over de internetlijn)

Het beschermt niet tegen iemand die letterlijk op je laptop komt en die je blijkbaar niet beveiligd zou hebben met een gebruikersnaam en wachtwoord om aan te loggen.

Voor passkeys moet je trouwens windows Hello gebruiken om het te unlocken (biometrisch), en als je laptop gestolen word, dan kan je de passkeys intrekken zo dat ze niet meer gebruikt kunnen worden. Met passkeys ben je allesinds zeker dat iemand enkel kan aanloggen als hij op de laptop van de gebruiker is, dit een een vorm van Two factor authentication (something you have), de andere twee zijn : something you are en something you know. Op windows moet je dus ook something you are of something you know toepassen om de passkey uit je vault te halen.

MrDaViper @sebastienbo • 20 april 2026 11:09

Het doel van passkeys is om wildvreemden op het internet tegen te houden om gebruik te maken van je credentials EN ook om het sniffing tegen te houden (want de credentials gaan niet meer over de internetlijn)

Niet volledig waar. Passkeys helpen niets tegen een browser-in-browser attack en helpen niets tegen het stelen van je authentication cookie.

Passkeys zijn gewoon een vermoeilijkte domme versie van 2FA. Daarbijhorend dat passkeys voor elk toestel anders zijn maakt het een groot probleem als je toestel kapot is. Geen access meer tot je passkeys = jan modaal heeft zijn/haar account verloren (geen backup van de backup code, geen password manager in gebruik, ...)

En in het geval van een Android of Apple device worden je passkeys van je device wel gebackupped naar de Google of Apple cloud, maar als een hacker daartoe toegang krijgt dan kan hij ook een nieuw toestel aan koppelen en zo toegang tot je passkeys krijgen..

sebastienbo @MrDaViper • 20 april 2026 11:32

Nee hoor zo loopt dat niet.

Voor de browser in browser attack dat klopt, maar er is geen enkel systeem dat hiertegen beschermt, dat ligt niet aan passkeys, want die worden enkel gebruikt tijdens authenticatie, nadien schakel je over op de sessie cookie.

Wat is jouw definitie van een domme 2FA en wat zijn dan slimme 2FA's ???

Toegang tot je passkeys verliezen is geen probleem, het zorgt er voor dat je dan opnieuw je langdradige login procedure moet doorlopen om zeker te zijn dat jij het wel bent: username/password/sms code/e-mail code/etc.. en zodra dat gebeurd is word er terug een nieuwe passcode gegenereerd. En als je je username/wachtwoord kwijt bent dan kan je nog altijd een password reset uitvoeren.

Wat ebtreft de hacker die teogang zou krijgen tot de passkey: de key is gebonden aan een physical device, en heeft een decryptiesleutel nodig (dat laatste word vaak opgelost door de decryptie sleutel op te slagen in de secure storage van de os, en dit word verkregen door windows hello authenticatie te doen (fingerprint/face/etc..). De passkey is dus je credentials + hardware specific + decryptionkey .
De hacker moet bijgevolg dus kunnen aanloggen hebben op het toestel waar de passkey opgeslagen en gedecrypteerd word.

Het is geen onfeilbaar systeem (dat bestaat niet) maar het is bij de topveiligste methodes en ook de meest consument vriendelijke omdat de complexiteit allemaal achter de schermen zit.Persoonlijk ben ik ook voorstander van two-stage access: 1st stage is aanloggen (read access), 2nd stage is (change permissions) -> net voor dat een gebruiker iets wil veranderen of bestellen word er een extra verification stap gevraagd (afhankelijk van hoe gevoelig de actie is). Ik ben security architect van beroep en ik weet dat passkeys een slecht begrepen technologie is of gewoon nog niet gekend genoeg. Nochtans zijn alle grootste bedrijven al volledig overgestapt (google,amazon,github,etc..)

[Reactie gewijzigd door sebastienbo op 20 april 2026 11:34]

MrDaViper @sebastienbo • 20 april 2026 11:49

Toegang tot je passkeys verliezen is geen probleem, het zorgt er voor dat je dan opnieuw je langdradige login procedure moet doorlopen om zeker te zijn dat jij het wel bent: username/password/sms code/e-mail code/etc.. en zodra dat gebeurd is word er terug een nieuwe passcode gegenereerd. En als je je username/wachtwoord kwijt bent dan kan je nog altijd een password reset uitvoeren.

Neen, want je password reset kan je enkel via je backup code. De backup code die een standaard gebruiker niet zal bewaren (of niet meer zal weten waar die ligt).

Wat ebtreft de hacker die teogang zou krijgen tot de passkey: de key is gebonden aan een physical device, en heeft een decryptiesleutel nodig (dat laatste word vaak opgelost door de decryptie sleutel op te slagen in de secure storage van de os, en dit word verkregen door windows hello authenticatie te doen (fingerprint/face/etc..). De passkey is dus je credentials + hardware specific + decryptionkey .
De hacker moet bijgevolg dus kunnen aanloggen hebben op het toestel waar de passkey opgeslagen en gedecrypteerd word.

Ook dat klopt niet met google of apple devices. De passkeys worden gebackupped naar de cloud zodat je die kan restoren op een nieuw toestel in geval van breuk of verlies van je toestel.

Your passkeys are securely backed up and synced to your Google Account. To use them across devices, sign in to Chrome or Android with the same Google Account on each device.

Onfeilbare systemen bestaan inderdaad niet. Maar passkeys maken gewoon het ganse (recovery van) 2FA of MFA nog moeilijker voor jan modaal en zorgen dat jan modaal vroeg of laat uit zijn accounts gesloten word.

sebastienbo @MrDaViper • 20 april 2026 11:59

[...]

Neen, want je password reset kan je enkel via je backup code. De backup code die een standaard gebruiker niet zal bewaren (of niet meer zal weten waar die ligt).

Dat hangt af hoe je het geimplementeerd hebt. Bij google,amazon,etc heb je helemaal geen backup codes, en toch werkt het. Zij gebruiken oftewel security questions oftewel human verification als al de rest faalt.

[...]

Ook dat klopt niet met google of apple devices. De passkeys worden gebackupped naar de cloud zodat je die kan restoren op een nieuw toestel in geval van breuk of verlies van je toestel.

Dat klopt: apple/google lost dat op door de passkey te koppelen aan een machine in de cloud, op het moment dat je de passkey wilt gebruikt word de passkey gestuurd naar die cloudserver die dan vraagt om te decrypteren, vervolgens moet de user een biometrische actie uitvoeren die de decryption key decrypteerd en doorstuurd naar de server, die op zijn beurt de passkey private key gebruikt om de authentificatie uit te voeren on behalve of the user. Met andere woorden zij omzeilen de host binding security door een eigen secure server te implementeren, die enkel gebruikt kan worden door apple/google managed devices (die niet rooted zijn) . Die twee kunnen dat doen omdat zij het OS stack beheren (het is een uitzondering voor die reden).

[...]

Onfeilbare systemen bestaan inderdaad niet. Maar passkeys maken gewoon het ganse (recovery van) 2FA of MFA nog moeilijker voor jan modaal en zorgen dat jan modaal vroeg of laat uit zijn accounts gesloten word.

Nope, nog nooit ben ik uitgesloten geweesd: als ik vastzat heb ik gewoon account recovery procedures doorlopen. Speculeer je? Of Spreek je uit ervaring? zo ja bij welke website had je dit voor? Ik wil dat wel eens gaan uitproberen dan.

[Reactie gewijzigd door sebastienbo op 20 april 2026 12:01]

mbbs1024 @sebastienbo • 4 mei 2026 23:32

Als ik je goed begrijp, kan je passkeys dan enkel op Windows systemen gebruiken, als Linux gebruiker kan ik er dus niets mee, en ook op Android gaat dat dan niet, als je Windows Hello moet gebruiken.

sebastienbo @mbbs1024 • 4 mei 2026 23:34

Nee je kan het eender waar opslagen ,het is gewoon een certificaat. Maar je kan die certificaat enkel gebruiken om een bepaalde machine te authenticeren.
Ik kan bijvoorbeeld mijn telefoon gebruiken om aan te loggen op amazon want op mijn android is de passkey geinstalleerd.

mbbs1024 @sebastienbo • 4 mei 2026 23:46

Maar in je post zeg je dat je Windows Hello moet gebruiken ???

sebastienbo @mbbs1024 • 4 mei 2026 23:51

Ik refereerde naar mijn eigen use-case (windows), maar het enige dat je nodig hebt is een TPM chip om de passkeys op te slagen met biometrische versleuteling (android en IOS hebben dat ook)
TPM is trouwens gewoon een design keuze dat de OS'en implementeren , maar er zijn andere technieken op de passkeys te beschermen, persoonlijk heb ik liever via een TPM werken omdat ik dan nog biometrische authenticatie moet doen om aan de passkey te geraken. Populaire passwoord managers kunnen ook passkeys opslagen.

[Reactie gewijzigd door sebastienbo op 4 mei 2026 23:59]

mbbs1024 @sebastienbo • 4 mei 2026 23:59

Maar vele PCs hebben helemaal geen TPM chip, daarom kunnen ze ook niet upgraden naar W11.
Kunnen die dan ook geen gebruik maken van passkeys.

Ik vergelijk met ssh keys, die worden toch ook niet in een tpm chip opgeslagen.

sebastienbo @mbbs1024 • 5 mei 2026 00:00

Zoals ik zei het is een design keuze dat OS'en toepassen. Je kan het ook gewoon opslaan in een passwoord manager.

stenkate @asing • 20 april 2026 06:58

Dank, ik heb dit direct aangepast.

Raymond Deen @asing • 19 april 2026 14:32

Ik sla bovendien geen betaalmethode op “voor het gemak” zodat ze niet op mijn kosten spullen kunnen kopen 😎

kujinshi @Raymond Deen • 20 april 2026 10:32

Betaalmethode is puur voor jezelf. Dat je die optie als eerst hebt in de BOL menu's.

Raymond Deen @kujinshi • 20 april 2026 10:37

Volgens mij wordt er gevraagd om je nummer, geldigheidsdatum en cvs op te slaan. Samen met je naam, die meestal ook wordt mee gejat, kunnen ze dan makkelijk aankopen doen op jouw kosten.

Verzendadres selecteren dat geen camera's heeft hangen en binnenhalen maar, die dure aankopen!

ronald136813 @asing • 19 april 2026 13:27

Das een goeie , heb daar geen MFA op nog kan ik ook meteen doen op de meeste dingen heb ik MFA ook aan staan , ga ook password wijzigen voor BOL nu.

net gedaan is wel SMS MFA , mmmm , liever google auth gehad

[Reactie gewijzigd door ronald136813 op 19 april 2026 13:31]

iqcgubon @asing • 19 april 2026 16:02

Aan die MFA heb je dan meteen niets meer als je die codes ook in je password manager steekt, zoals velen als feature verkopen.

sebastienbo @iqcgubon • 20 april 2026 10:12

FIDO sleutels is inderdaad gevaarlijk. Ik vind het beter om een passkey te hebben, want zelf als je die zou stelen uit de password vault, dan werkt dat niet, als je het niet gebruikt vanop de juiste PC waarvoor die passkey gemaakt is. Je moet namelijk één passkey maken per device van de gebruiker, enkel die apparaat kan de passkey decrypteren en een authenticatie goedkeuren. Het voordeel is dat dit een gratis methode is dat iedereen kan implenteren, je hangt niet af van een derde partij (behalve de certificate authority als je een public "public key" gebruikt).

Maar uiteraard helpen al die dingen je niet om te beschermen tegen datadiefstal bij de data processors zoals bol.com je data zoals geboortedatum ligt nu op straat en kan(en zal) misbruikt worden.

[Reactie gewijzigd door sebastienbo op 20 april 2026 10:14]

Aldy @sebastienbo • 20 april 2026 11:59

Maar uiteraard helpen al die dingen je niet om te beschermen tegen datadiefstal bij de data processors zoals bol.com je data zoals geboortedatum ligt nu op straat en kan(en zal) misbruikt worden.

Op zo'n moment is de leeftijdsapp van de EU of de (huidige) Yivi-app een belangrijk instrument. Bedrijven hoeven over het algemeen niet te weten wanneer ik geboren ben, maar of ik de leeftijd heb om bepaalde goederen te mogen bestellen en ontvangen. En wat een bedrijf niet van je heeft, kan in ieder geval daar niet gestolen worden.

sebastienbo @Aldy • 20 april 2026 12:02

Third-party aythentication noemt dat. het kost geld maar jij bent niet meer degene die de gevaarlijke data opslaagd en je data of authenticatie kan ook niet gemanipuleerd worden vanop je eigen servers.

@kikkertjes • 19 april 2026 11:17

Als het goed is is die E2E encrypted. Dat zou het risico al wat lager moeten maken.

Accretion @kikkertjes • 19 april 2026 11:29

Je wachtwoord veranderen

Bedge85 @kikkertjes • 19 april 2026 11:54

Wachtwoord manager maakt het makkelijker om voor elke website een unieke inlog aan te maken. Want als je dat allemaal zelf moet gaan onthouden is dat gewoon te ingewikkeld.

Wanneer je iets als Proton Pass, Alias Vaul, etc gebruikt is er een kans op een hack. Je kunt je risico hierop wat inperken door te kiezen voor een wachtwoordmanager bij betrouwbare organisatie met publiek beschikbare security audits. Proton heeft zon publieke audit, maar andere wachtwoord managers ook. Maar die weet ik niet zo uit mijn hoofd.

Je kunt ook kiezen voor iets als KeePass. Dit werkt lokaal en offline zonder abonnement. Dit maakt de kans om gehackt te worden weer iets kleiner.

Uiteindelijk zijn niet alle risico's uit te sluiten. Het blijft techniek.

[Reactie gewijzigd door Bedge85 op 19 april 2026 11:55]

Raymond Deen @Bedge85 • 19 april 2026 14:36

Elke shop heeft van mij ook z’n eigen email adres, dus niet zo’n oplossing als “ikke+shopnaam@gmail.com” maar echt een eigen adres. Dan weet ik bij een lek ook meteen wat de bron van dat lek is.

sebastienbo @Raymond Deen • 20 april 2026 12:07

Ik doe dat ook, maar ik vraag mij af en hoeverre we daar eigenlijk iets mee zijn dat we het weten, want intussen is het toch gebeurd en zijn onze gegeven weeral op straat. Als je ziet hoeveel lekker er tegenwoordig gebeurt zijn dan word het wel heel erg gevaarlijk want je kan al die lekken cross-checken om zelf milde lekken gevaarlijker te maken.

Ik vind het niet ok dat je heel veel informatie moet invullen op een website die die gegevens eigenlijk niet nodig hebben. Bijvoorbeeld leeftijd controle om te weten of iemand meerderjarig is, dat is toch niet nodig als je een credit-card check doet? Je kan 0,01 euro reserveren op de creditkaart en nadien weer releasen. Voor dat te laten werken moet de gebruiker van de creditkaart een 2nd factor van zijn bank doorlopen waardoor je zeker bent dat de eigenaar van de kaart achter het scherm zit, en nergens in de wereld kan je een kredietkaart krijgen als minderjarige op je eigen naam.

loki504 @kikkertjes • 19 april 2026 12:24

Dan heb je een hele lijst met websites waar je de ww moet veranderen. Flinke plus dat wel.

Scriptkid @kikkertjes • 19 april 2026 14:24

Niks want je gebruijt een offli e password manager geen cloud password manager.

Bijvoorbeeld keypass

Rogers @Bedge85 • 19 april 2026 13:08

Hoe gebruik je makkelijk voor elke website een ander mail adres?

De + truuk bij bijv. gmail is makkelijk weg te filteren en bij bijv. Proton vind ik een adres maken omslachtig en moet je een duur abbonement nemen voor meer.

Thijsmans @Rogers • 19 april 2026 13:17

Proton Pass integreert SimpleLogin (www.simplelogin.io), welke je ook los kunt gebruiken. Gratis optie (1 adres met 10 aliassen) en betaald ($36/jr) voor alles onbeperkt. Maar los van welk e-mailadres je gebruikt, werkt een ander wachtwoord natuurlijk het beste

Al is dat maar een "standaardwachtwoord#tweakers", bijvoorbeeld.

Het.Draakje @Thijsmans • 19 april 2026 20:51

Maar los van welk e-mailadres je gebruikt, werkt een ander wachtwoord natuurlijk het beste Al is dat maar een "standaardwachtwoord#tweakers", bijvoorbeeld.

Dat is zo ongeveer de meest gevaarlijke methode om "verschillende" wachtwoorden te genereren.

De hacker weet jouw paswoord op odido (vanwege de recente hack) (voorbeeld: 123Geheim#Odido) en zal dan voor jouw email 123Geheim#Proton proberen. Om nog maar te zwijgen over 123Geheim#Abnamro.

@Rogers • 19 april 2026 13:25

Je kan een domeinnaam kopen zoals mailrogers.nl, voor elke website een ander email adres maken. Ik doe er nog een achtervoegsel bij om in mappen te kunnen sorteren. Bijvoorbeeld bol_shop@mailrogers.nl.

Alle mail komt op 1 plek binnen

Aiii @Bart.net • 19 april 2026 16:18

Ook leuk als je je e-mail adres doorgeeft aan een toko. De dame van de Apotheek keek me als een botsauto aan: “echt?”

Ja, mijn mailadres voor hun was toch echt apotheek@****mail.nl.

Voor mensen op Apple is er uiteraard ook iCloud+ voor een euro per maand met de hide-my-email optie. Zelf maak ik gebruik van Proton Pass. Voordeel van een eigen domein is dat je mailadressen gewoon ter plekke kunt verzinnen en ze niet hoeft aan te maken. Eerste keer dat iemand er naar mailed worden ze vanzelf opgeslagen en kun je ze (later) ook disablen.

Raymond Deen @Rogers • 19 april 2026 14:41

Eigen domein en mail server. Of mail laten hosten en aan je domein koppelen. Dan kun je je catchall daarvoor makkelijk gebruiken.

latka @Rogers • 19 april 2026 15:41

Een eigen domein (paar euro per jaar) en een catchall.

sebastienbo @Rogers • 20 april 2026 12:11

"Hoe gebruik je makkelijk voor elke website een ander mail adres?
De + truuk bij bijv. gmail is makkelijk weg te filteren"

Ik persoonlijk ik heb gewoon een domein geregistreerd en een mailforwardingservice genomen van transip. Op dat domein heb ik een catch-all geconfigureerd in de transip forwarder config, wat betekend dat eender welke e-mail dat eindigd op @mijndomein.be toekomt op mijn gmail.

nu kan ik bol.com@mijndomein.be registeren en dan komt dat zo toe op mijn gmail.

het voordeel is niet enkel dat je weet waar een lek afkomstig van is, maar ik heb ook onbeperkt veel usernames. Als er 20 lekken gebeuren met mijn e-mail adressen dan zijn dat allemaal andere usernames dat ze niet kunnen linken aan elkaar. Voorbeeld er zijn veel lekken waarbij het bedrijf claimt dat de wachtwoorden veilig waren of niet gestolen, ze hebben enkel je e-mailadres(je login), maar als er dan een andere lek is met wel een wachtwoord en hetzelfde e-mail adres, dan kan de hacker nu wel proberen aanloggen op je andere account.

Soms moet het niet eens hetzelfde wachtwoord zijn want mensen gebruiken vaak een patroon in hun wachtwoorden Bolleke1!, Bolleke12!, Bolleke123!
Raad wat de 4de is?

[Reactie gewijzigd door sebastienbo op 20 april 2026 12:15]

TumTum @Bedge85 • 19 april 2026 13:14

Je bedoelt SimpleLogin (wat ProtonPass op de achtergrond gebruikt) of Addy.io. Ik gebruik self-hosted SimpleLogin, omdat je officieel niet meerdere accounts bij 1 third party partij mag hebben bij Proton.

Die kun je koppelen aan Bitwarden bijvoorbeeld. AliasVault is een goede ontwikkeling, maar niet volledig betrouwbaar. Daarnaast kun je alleen emails lezen in de tool zelf en niet forwarden naar je eigen mailbox.

DiscoNootje @darkreptile • 19 april 2026 13:18

Ja zo blijven we aan de gang. Basic Fit, Odido, Booking.com en dan vergeet ik er nog vast 10. Mijn wachtwoorden (en meer) liggen elke week wel ergens op straat.

Wanneer gaat de overheid nou eens ECHT optreden tegen al dit gepruts? Al die mooie certificaten en standaarden zijn geen drol waard zolang de executive board er telkens maar weer zonder gevolgen mee weg weet te komen.

Powerblast @DiscoNootje • 19 april 2026 13:45

Ik snap je punt maar maak je geen illusies, zelfs met extreme boetes of 7j gevangenisstraf of iets dergelijks zal het risico nooit nul zijn. Mensen maken ook onbewust fouten en dus ook op security gebied. Dat krijg je dus nooit op nul. Je gegevens lekken vervolgens dan weer een keer en eigenlijk in dat geval 1 keer lekken al even erg dan 10 keer. Ze liggen op straat.

Ben van mening dat we een manier moeten vinden waarbij we minder verplicht worden om digitaal gegevens rond te strooien. En die paar bronnen dan zo extreem beveiligen of iets dergelijks.

PStweak @Powerblast • 20 april 2026 08:06

Klopt, politie adviseerde om NIET te betalen. Geen idee wie die order gegeven had. Enquete commissie?

pbk @darkreptile • 19 april 2026 10:52

Kan nooit kwaad, maar als er gegevens zijn gelekt heeft het daar natuurlijk geen effect op.

GurbieV @darkreptile • 19 april 2026 10:53

Je bedoelt 'mijn' denk ik

WhoDoYaThinkIAm @GurbieV • 19 april 2026 12:02

Precies wat ik ook dacht.

Han_Solo @darkreptile • 19 april 2026 12:07

In ieder geval ook tweefactorauthenticatie (2FA) aanzetten, voor degene die dat nog niet hebben gedaan

xxs @Han_Solo • 19 april 2026 12:27

Alleen jammer, maar nog altijd beter dan niks, is dat deze via SMS gaat. Ik had liever een TOTP via een authenticator gezien.

@darkreptile • 19 april 2026 13:43

mijn wachtwoord bedoel je. Of eigenlijk jouw. Hoe dan ook.

[Reactie gewijzigd door Jack Flushell op 19 april 2026 13:44]

stresstak @Jack Flushell • 19 april 2026 17:08

Hij heb ze wachtwoord verandert; laat em. /s

duvekot @darkreptile • 19 april 2026 10:49

Of de hackers hebben de site al stilletjes aangepast en hebben ze nu je oude EN je nieuwe password

OruBLMsFrl @duvekot • 19 april 2026 11:27

Dat is het mooie van password managers, die wachtwoorden kun je gerust nog weer een paar keer wijzigen als meer informatie naar buiten komt. Je hoeft die wacthwoorden niet te onthouden en omdat ze willekeurig zijn heeft een aanvaller er ook niets aan richting andere websites of systemen.

Dus een hacker die al de hele database kan buitmaken plus controle heeft over het wachtwoord verwerkende deel van een website, die is er niets wijzer van, en tegelijk ben je zelf waarschijnlijk wel voor een hele bende mensen op het darkweb jouw inlog aan het afschermen.

Tot slot: in dit artikel staat niets over wachtwoorden, hoofdzakelijk NAW plus contactgegevens en in uitzonderlijke gevallen identiteisgegevens, wat de auteur nog met een korrel zout neemt. Dus veiligheid voorzorg maar verder niets.

[Reactie gewijzigd door OruBLMsFrl op 19 april 2026 11:30]

freedzed6 @darkreptile • 19 april 2026 12:19

Beste WW?

Eentje met puntjes:

Ik.Wil.Bij.Bol.Com.Bestellen!

en dus niet

B@lleJ3N

liberque @freedzed6 • 19 april 2026 14:06

Naah .. pak je favoriete boek, film of serie... pak daaruit je fav. quote bv:

Space: the final frontier. These are the voyages of the starship Enterprise

Pak nu van ieder woord de eerste letter en neem ook leestekens mee:

S:tff.TatvotsE

Draai hoofletters en kleine letters om:

s:TFF.tATVOTSe

Zet er een dash achter en de naam van het domein waar je het wil gebruiken:

s:TFF.tATVOTSe-bol

Gooi er een nummer achter: (je geboortejaar?)

s:TFF.tATVOTSe-bol1904

Et voila, een sterk wachtwoord dat je kunt onthouden - of gebruik een password manager :P

en nee: is niet mijn ww

mrmrmr @liberque • 19 april 2026 14:36

Je moet geen enkele omzettings/encoding methode gebruiken bij het kiezen van een wachtwoord. Dat is inherent onveilig.

DaKluit @freedzed6 • 19 april 2026 12:30

Bedankt voor het delen van jou ww🤡

drdelta @freedzed6 • 19 april 2026 12:36

Waarom iets met puntjes, en woorden?

Ik gebruik zelf altijd zoiets randoms als: ••••••••••••••••••••••••••••••••

mrmrmr @freedzed6 • 19 april 2026 13:11

Je hoeft maar één ding te doen: maak elk wachtwoord onraadbaar en onkraakbaar lang (>>12 tekens). Een wachtwoord moet uniek zijn: niet te bedenken voor derden, komt niet voor op (wacht)woordenlijsten en gebruikt geen vaak gebruikte karaktervervangingen.

Een zin gebruiken is prima, zo lang het maar niet raadbaar is. Jouw wachtwoord is wel raadbaar en als het ergens een keer gelekt zou zijn, is het ook voor je andere shopaccounts te misbruiken.

[Reactie gewijzigd door mrmrmr op 19 april 2026 13:24]

Noresponse @darkreptile • 19 april 2026 11:55

De vrouw ook ondanks dat we ver weg wonen van Belgie

sebastienbo @darkreptile • 19 april 2026 17:46

En uw geboortedatum dan ook veranderen want die hebben ze ook en daar kan je passwoord reset mee doen in sommige apps.

nutty 19 april 2026 10:45

"Alle systemen werken als normaal en er is dus ook geen sprake van ransomware.""

Ligt dat in elkaars verlengde?

RSH @nutty • 19 april 2026 11:17

Sec bezien wel - bij ransomware mag je verwachten dat de operatie aangetast is en (deels) onvolledig of niet meer functioneert.

In deze context (mogelijk datalek, exfiltratie van gegevens) is het wel goed mogelijkmdat er geen ransomware is ingezet. Dus de melding dat er geen lek is, want men merkt niets en er is (of lijkt) geen ransomware klopt dan weer niet.

Hack
Nederland

@RSH • 19 april 2026 11:40

In deze context (mogelijk datalek, exfiltratie van gegevens) is het wel goed mogelijkmdat er geen ransomware is ingezet. Dus de melding dat er geen lek is, want men merkt niets en er is (of lijkt) geen ransomware klopt dan weer niet.

Of men probeerde ransomware in te zetten, maar dat lukte niet. Dus in plaats van double extortion heb je een enkele vorm van afpersing, gebaseerd op succesvolle exfiltratie.

Dan kan je als onbekende aanvaller beter een sample leveren, anders neemt niemand je serieus.

[Reactie gewijzigd door The Zep Man op 19 april 2026 12:43]

RSH @The Zep Man • 19 april 2026 13:21

We beginnen wel heel theoretisch te worden 😉

Bij recent gemelde hacks zien we vaker dat er geen ransomware ingezet wordt, maar voor exfiltratie en (dreigen met) lekken gekozen wordt. Of dit komt omdat deployen niet mogelijk was, of dat er een andere reden was, weten we niet.

Sowieso is op dit moment niet duidelijk of daadwerkelijk data buitgemaakt is.

Of, of, of…

Orangelights23 @nutty • 19 april 2026 10:47

Nee. Een datalek als gevolg van een hack of fout staat niet gelijk aan ransomware. Maar gezien er enorm veel ransomware-aanvallen hebben plaatsgevonden afgelopen maanden, is het logisch dat zij het verband met ransomware snel trekken om te voorkomen dat men gaat speculeren.

@nutty • 19 april 2026 12:10

Niet altijd. Bij randsomware kan er in eerste instantie een encryptie/decryptie laagje tussen de software en de opslag worden gezet. Veel CPU's (en datacentrum hardeschijven ook) hebben speciale rekenkernen/rekeninstructies die heel snel encryptie en decryptie kunnen uitvoeren zonder andere processen te verstoren.

Theoretisch kan dat tussenlaagje nog actief zijn en kiest de hacker zelf het moment dat die laag de sleutel 'vergeet' of zichzelf verwijderd.

Maar bol.com is een grote organisatie dus zal wel voldoende expertise in huis hebben om te weten of zo'n laag aanwezig is en/of actief is.

Dit laagje is vaak extreem klein, denk aan enkele tot hooguit een paar tiental instructies.

[Reactie gewijzigd door djwice op 19 april 2026 12:25]

lynxie 19 april 2026 10:54

Het eerste waar ik aan denk, als er geen hack was en de dataset echt is, is een (ex) bol.com medewerker met een grudge...

dasiro @lynxie • 19 april 2026 11:11

maakt niet uit hoe de data naar buiten is geraakt, het resultaat voor de mensen wiens gegevens op straat liggen is hetzelfde.

jhnddy @dasiro • 19 april 2026 11:26

Dat maakt wel degelijk uit. Eenmalig data op straat is erg, maar veel minder ernstig dan volledige toegang tot de systemen.

batjes @jhnddy • 19 april 2026 11:53

Dat maakt voor mij als klant echt helemaal niets uit.

jhnddy @batjes • 19 april 2026 12:17

Natuurlijk wel. Want zolang jij hun site gebruikt zolang zij toegang hebben, loop je meer risico dan alleen je gegevens kwijtraken.

PCG2020 @jhnddy • 19 april 2026 15:01

Dat eenmalig lekken technisch gesproken minder ernstig is dan langdurige toegang is evident. Maar het gaat óók om een gevoelskwestie: jouw gegevens liggen op straat en jouw vertrouwen in een bedrijf waaraan jij jouw gegevens hebt toevertrouwt, krijgt een knauw. En dat geldt in beide gevallen.

@lynxie • 19 april 2026 11:19

Ik mag hopen dat er wel wat monitoring zit op de gegevens die medewerkers opvragen. (Alhoewel, Odido.)

Hobbit13 @Commendatore • 19 april 2026 11:27

Zelfs als dat er is, zijn er vast wel system admins die genoeg rechten hebben om directe kopieën van de database te maken op een lager niveau dan waar de waarschuwingssystemen actief zijn.

Aanvallen van binnen uit zijn erg moeilijk volledig te beveiligen. Je kan er grotendeels wel voor zorgen dat het alle acties gelogd worden en het dus achteraf te traceren is.

Khoning123 19 april 2026 13:16

Dit is geen data van bol, in het sample staat info, zoals vervoerders, waar bol helemaal geen gebruik van maakt en velden die niet aan bol of verkooppartners worden gegeven. Dit is fake

DeBers @Khoning123 • 19 april 2026 13:27

Je bedoelt het screenshot? Dit is zeker wel data die bol beschikbaar heeft.

Khoning123 @DeBers • 19 april 2026 13:31

Nee, ik bedoel de werkelijke sample die online staat

DeBers @Khoning123 • 19 april 2026 13:37

ah, het is inderdaad wel een gekke set. Er zit info tussen die voor vervoerders niet relevant is, maar ook wat voor bol niet relevant is. Of het een gift is bijvoorbeeld en payment type. Maar dan heb je weer retour request. Dat is voor bol weer totaal niet relevant. Ik ruik bullshit.

Khoning123 @DeBers • 19 april 2026 13:43

100% ik zie je elders schrijven over Bpost, maar checken de andere vervoerders. Die ondersteunt bol zelf niet eens.

DeBers @Khoning123 • 19 april 2026 13:46

Wat bedoel je? In principe zijn derde verkopers vrij om zelf een vervoerder te zitten. Dus er zitten in het systeem veel meer vervoerders dan bol zelf gebruikt.

Khoning123 @DeBers • 19 april 2026 14:04

Als de vervoerder wordt ondersteunt door het systeem wel….

DeBers @Khoning123 • 19 april 2026 15:04

Nee. Partners hebben een veld waarin ze de vervoerder kunnen meegeven. hier zijn een hoop meerkeuze opties, maar er is ook vrije invoer mogelijk.

Powerblast @Khoning123 • 19 april 2026 16:22

Bedoel je dat bol niet met bpost laat leveren? Ik spreek uit ervaring dat dit in Belgie wel gebeurd. Merendeel van mijn pakketjes van bol, worden door bpost geleverd. De pakketjes die door derden verkocht worden varrieert het wat meer

Khoning123 @Powerblast • 19 april 2026 16:37

Nee, ik bedoel dat er in het sample juist vervoerders staan waar bol niet mee samenwerkt. PostNL, Bpost en DHL werken ze wel actief mee samen

DeBers @Khoning123 • 19 april 2026 16:52

Zoals ik al zei, er is vrije keuze voor partnerverkopers. Hierbij is er een wildgroei aan partners.Deze kan je gewoon vrij invoeren en zijn voorgeconfigureerd.

[Reactie gewijzigd door DeBers op 19 april 2026 16:52]

bzzzt @DeBers • 19 april 2026 15:22

Is het wel echte data of heeft iemand met AI een 'echt lijkende' dataset gemaakt?

Klinkt als een heel makkelijke manier om mensen in paniek stand te krijgen...

Nyarlathotep 19 april 2026 10:44

Totdat die gast een sample laat zien blijft het dus tasten in het duister.

Hij heeft ook '0 reputatie' aan die post te zien (is hij nieuw?), dus misschien is het allemaal bluf.

Bedge85 @Nyarlathotep • 19 april 2026 10:48

Scherp, reputatie is inderdaad 0. Is ook eerste keer dat ik van Jefrey Eptstein (in deze context) hoor. Als zon soort bericht van Shiny Hunters komt is het wel andere koek

.

Merk aan andere kant wel dat het een hardnekkig gerucht is vanuit meerdere kanalen.

NexusLimited @Nyarlathotep • 19 april 2026 11:04

Als je een bestaand account met verhoogde reputatie gebruikt, wordt je nou juist gevonden toch?

GurbieV 19 april 2026 10:55

Die headers zouden in elk erp-systeem kunnen staan.

Met een beetje fantasie zou je die zelf ook kunnen verzinnen. Bol zal wel weten of die correct zijn maar een oud medewerker van Bol zou die ook zo kunnen neerpennen. Geen enkel bewijs dus dat er ook data is.

Headshot_NL 19 april 2026 11:23

Ik wilde voor de zekerheid 2FA instellen en wachtwoord wijzigen. Maar voordat ik 2FA kon instellen kreeg ik wel de vraag om voor de zekerheid toch maar mijn wachtwoord te wijzigen, eerder kon ik niet verder.

Toevallig gisteren ook 2 spam mailtjes afkomstig "van Bol" gericht aan het emailadres wat ik ook voor Bol gebruik.

jostefa 19 april 2026 11:43

Ik kreeg vorige week een email van een verdachte inlogpoging op mijn bol.com account, weet niet of het gerelateerd is maar wel toevallig.

418O2 @jostefa • 19 april 2026 13:13

Als je emailadres in een Nederlandse breach zit is dat wel een verklaring

MontyMole 19 april 2026 12:23

"Alle systemen werken als normaal en er is dus ook geen sprake van ransomware."

Sinds wanneer moet er ransomware in het spel zijn als er data is kunnen gestolen worden?

stylezzz @MontyMole • 19 april 2026 13:11

Mijn idee. De daders kunnen ook gewoon data verzamelen en die te gelde proberen te maken. Met ransomware de boel gaan afpersen lijkt tot weinig resultaat te leiden als we de nieuwsberichten moeten geloven.

bytemaster460 @MontyMole • 19 april 2026 22:38

Dat staat er ook niet. Men geeft aan dat er geen aanwijzingen voor een hack zijn EN de systemen werken normaal waaruit men concludeert dat er geen ransomware actief is. Men zegt nergens: “er is geen ransomware DUS er is niets gelekt.”

Om te kunnen reageren moet je ingelogd zijn