Odido waarschuwt voor datalek (cyberaanval/hack)

Plisson schreef op donderdag 26 februari 2026 @ 12:48:
[...]


Moeilijk doen voor wat? Misschien dat ze het erg lastig maken om op te zeggen, online kan namelijk niet...

En nee, niks gewijzigd, dus geen idee waar dit ineens vandaan komt

[Afbeelding]

Ja dan maken ze het je wel nodeloos complex. Onbegrijpelijk anno 2026.

Misschien zijn ze bezig met je het verhandelen van je data, waardoor ze dat als een lopende bestelling zien?

[ Voor 8% gewijzigd door xminator op 26-02-2026 13:48 ]

DjoeC schreef op donderdag 26 februari 2026 @ 13:45:
[...]
Is in dit geval het kunnen inzien van mijn eigen gelekte, zeer persoonlijke, gegevens niet een zwaarwegend gerechtvaardigd belang? Of is er een instantie die mij inhoudelijk op de hoogte gaat brengen? Het is wel bijzonder dat journalisten (en andere derden) dit wel zouden mogen maar ik als "getroffene" niet....

De gegevens van die 6-7 miljoen anderen in die dataset zitten boeien mij iig niet.

Boeien je misschien niet... Maar zitten er wel in natuurlijk...

DjoeC schreef op donderdag 26 februari 2026 @ 13:45:
[...]
Is in dit geval het kunnen inzien van mijn eigen gelekte, zeer persoonlijke, gegevens niet een zwaarwegend gerechtvaardigd belang? Of is er een instantie die mij inhoudelijk op de hoogte gaat brengen? Het is wel bijzonder dat journalisten (en andere derden) dit wel zouden mogen maar ik als "getroffene" niet....

De gegevens van die 6-7 miljoen anderen in die dataset zitten boeien mij iig niet.

Maar je kunt niet kiezen om enkel je eigen gegevens te downloaden. Vanuit de berichtgeving vanuit Odido zou je al genoeg moeten weten.
Als je die database gaat downloaden kom je niet met dat verweer weg.

Justin schreef op donderdag 26 februari 2026 @ 13:42:
[...]


Ik wil vooral weten of mijn paspoort, rijbewijs of id kaart gelekt is zodat ik deze kan vervangen.

Belangrijkste: zijn de documenten nog geldig? Zo ja, even jouw papieren nakijken welke je gebruikt hebt en overwegen of je de kosten van eerder vernieuwen het waard vind. Van fraude kan best wel wat gedoe komen, zeker met de combinatie gegevens die men kan hebben. Ik wil hiermee niemand bang maken, maar als het enkel je mobiele nummer betreft, ja dat heb je zelf nog wel een beetje in de hand wat daarmee gebeurd. Als jouw complete document op straat ligt, dat maakt een drempel niet hoog om te frauderen.

Eigenlijk zou dit gratis moeten zijn of op kosten van de partij die de data kwijt raakt, maargoed dit soort regels/wetten zijn er eenmaal niet. Al zou het wel helpen om het te voorkomen, de dreiging dat je als bedrijf verantwoordelijk bent voor in elk geval de vervanging van dit soort hacks, zou je verwachten dat het cyberbeveiligingsbudget wel wat meer body gaat krijgen op een begroting.

Als het klopt dat men binnen is gekomen via zichzelf voordoen als IT afdeling, dan heb je in de beveiligingslaag toch wel wat scholing overgeslagen op personeel.

Ik denk dat heel weinig mensen zullen denken - nadat HUN gegevens waarschijnlijk op straat zijn zijn beland door nalatigheid van Odido én het niet nakomen van hun eigen bewaartermijn - "laat ik nu maar de brave burger zijn en niet kijken of mijn gegevens in de dataset voorkomen".

dutchgio schreef op donderdag 26 februari 2026 @ 13:50:
[...]

Maar je kunt niet kiezen om enkel je eigen gegevens te downloaden. Vanuit de berichtgeving vanuit Odido zou je al genoeg moeten weten.
Als je die database gaat downloaden kom je niet met dat verweer weg.

Odido heeft het elke keer over "mogelijke gegevens" en elke keer blijkt het "toch een beetje meer" te zijn. Dus: Zelf onderzoek (kunnen) doen lijkt me relevant.

mooiboy schreef op donderdag 26 februari 2026 @ 13:51:
Ik denk dat heel weinig mensen zullen denken - nadat HUN gegevens waarschijnlijk op straat zijn zijn beland door nalatigheid van Odido én het niet nakomen van hun eigen bewaartermijn - "laat ik nu maar de brave burger zijn en niet kijken of mijn gegevens in de dataset voorkomen".

Meld je aan bij haveibeenpowned met je email adres dat je gebruikt hebt bij aanmelden bij odido. Dan kom je het ook te weten.

W1ck1e schreef op donderdag 26 februari 2026 @ 14:04:
[...]

Meld je aan bij haveibeenpowned met je email adres dat je gebruikt hebt bij aanmelden bij odido. Dan kom je het ook te weten.

Daar krijg je alleen maar je email adres te zien, niet alle andere - veel relevantere - gegevens.

Orion84 schreef op donderdag 26 februari 2026 @ 11:55:
[modbreak]Delen van (een link naar) de gelekte gegevens is hier niet de bedoeling. Er naar vragen dus ook niet.

Om even iets de rem er op te zetten heb ik de quickreply ook even uitgezet.[/modbreak]

Downloaden is ook nog eens illegaal.

Precies. Odido moet gewoon exact overzicht geven van de gelekte data.
Ik neem aan dat zij die dataset wel downloaden aangezien het hun data is.
En dan netjes iedereen persoonlijk even laten weten wat ze precies verkloot hebben.

xminator schreef op donderdag 26 februari 2026 @ 13:48:
[...]


Ja dan maken ze het je wel nodeloos complex. Onbegrijpelijk anno 2026.

Misschien zijn ze bezig met je het verhandelen van je data, waardoor ze dat als een lopende bestelling zien?

Haha, nou na 3 kwartier iemand aan de lijn.

Nog netjes geweest, niks over de cyberattack gezegd, alleen dat het opzeggen niet lukt, zeggen ze: ja moet toch wel via de website…

Ook bijzonder dat ze niet eens de moeite namen om met een aanbieding te komen. Ze doen er echt alles aan om klanten weg te krijgen

Maar goed, inmiddels gelukt

dutchgio schreef op donderdag 26 februari 2026 @ 13:50:
[...]

Maar je kunt niet kiezen om enkel je eigen gegevens te downloaden. Vanuit de berichtgeving vanuit Odido zou je al genoeg moeten weten.
Als je die database gaat downloaden kom je niet met dat verweer weg.

Vanuit Odido en Ben weet ik helemaal niets. Welk bankrekeningnummer hebben ze bij mijn recente Benabonnement? Staat wel in de mail dat die mogelijk gelekt zijn, maar ik bedoel handmatig maandelijks en doe dat vanaf verschillende bankrekeningen.

Ook heb ik bij Odido nog zeer oude accounts staan waarop ik nog kon inloggen. Die accounts zijn echter helemaal leeg. Welk bankrekeningnummer is daar aangekoppeld en/of welk paspoort of rijbewijs? Enkel op naam, mailadres en geboortedatum willen ze mij die informatie niet geven.

Ik heb zojuist toch maar een afspraak gemaakt voor het aanvragen van een nieuwe rijbewijs. Ja dat kost me €54,- en 2x naar het gemeentehuis moeten, maar liever dat dan identiteitsfraude. 3 jaar geleden via o.a. mijn rijbewijs een contract afgesloten bij Odido.
Overigens had ik een half jaar geleden het e-mailadres aangepast naar odido@mijndomein, dus als daar ineens spam op gaat komen is het meteen duidelijk, en kan ik het afsluiten + aanpassen naar ander e-mailadres.

DjoeC schreef op donderdag 26 februari 2026 @ 14:05:
[...]

Daar krijg je alleen maar je email adres te zien, niet alle andere - veel relevantere - gegevens.

De vraag was of je er in zit, niet met welke.

Draconian schreef op donderdag 26 februari 2026 @ 13:18:
Overstappen naar KPN is heel simpel met afkopen bij Odido. Bij nummerbehoud en dan nummer bevestigen via SMS moet je onderstaande aanvinken. Opgelost. Ik ga vertrekken bij Odido na echt megaveel jaren
180 euro betalen maar dat heb ik ervoor over met hun ballentent.

[Afbeelding]

Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Plisson schreef op donderdag 26 februari 2026 @ 14:09:
[...]


Haha, nou na 3 kwartier iemand aan de lijn.

Nog netjes geweest, niks over de cyberattack gezegd, alleen dat het opzeggen niet lukt, zeggen ze: ja moet toch wel via de website…

Ook bijzonder dat ze niet eens de moeite namen om met een aanbieding te komen. Ze doen er echt alles aan om klanten weg te krijgen

Maar goed, inmiddels gelukt

Met welke aanbieding zou je zijn gebleven ?

W1ck1e schreef op donderdag 26 februari 2026 @ 14:16:
[...]

De vraag was of je er in zit, niet met welke.

Huh? maar dat weet ik al want ik heb een vage mail van Odido op mijn mailadres (2 stuks) gehad, net als (vrijwel?) iedereen.

Theo74 schreef op donderdag 26 februari 2026 @ 14:18:
[...]


Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Het is meer om een boodschap te sturen. Ik wilde al een tijdje bij deze club weg (na 15 jaar) omdat er wel erg veel storingen zijn, nog niet de knoop doorgehakt omdat de alternatieven significant duurder zijn (in onze situatie 80E bij odildo voor 1gbps glas + onbeperkt alles mobiel incl USA + 20gb +150 bellen, tegenover bijna 120 voor hetzelfde bij kpn). Maar principes kosten geld dus ik ga van het weekend eens bij de kpn winkel langs om alles te regelen, wellicht kunnen ze er iets moois van maken.

Tussen de middag heb ik een abonnement afgesloten bij Vodafone, ik was alweer tijdje contractvrij, dus dat was geen probleem. Ik was al meer dan 20 jaar klant, in eerste instantie bij T-Mobile en later automatisch Odido.

Ik begrijp dat een datalek kan gebeuren, maar de manier waarop Odido met de situatie omgaat vind ik beneden alle peil. De informatievoorziening is incompleet en gebrekkig, er is geen officiële communicatie over hoe dit heeft kunnen gebeuren, ik heb nog ergens excuses gezien en ze verbergen zich vooral achter platitudes als "jouw veiligheid heeft onze prioriteit". Dit alles terwijl de lijken maar uit de kast blijven komen, er zijn aanvullende gegevens zijn gelekt, klantgegevens zijn langer bewaard dan noodzakelijk/toegestaan, en ze doen ook geen moeite om publicatie van klantgegevens te voorkomen.

Ik was altijd erg tevreden over de dienstverlening van Odido, maar ik denk niet dat ze mij na dit trainwreck van een incident ooit nog terugzien.

Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

DjoeC schreef op donderdag 26 februari 2026 @ 14:19:
[...]

Huh? maar dat weet ik al want ik heb een vage mail van Odido op mijn mailadres (2 stuks) gehad, net als (vrijwel?) iedereen.

Zo interpreteerde ik het bericht van @mooiboy. Maar ik heb die mail van odido ook gehad. Bevestiging dat mijn gegevens gelekt zijn verwacht ik dan van haveibeenpowned.

Theo74 schreef op donderdag 26 februari 2026 @ 14:18:
[...]


Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Ik stap niet direct over, maar wel als contracten later dit jaar aflopen. Niet vanwege het lekken van mijn gegevens, want dat kan overal gebeuren. Ze stellen mij zeer teleur in hun communicatie met betrekking tot het lek.

Ik lees meer via de media dan via hen. Het aanbod van F-Secure heb ik bijvoorbeeld nog helemaal geen mail over gekregen (ook geen belang mij, maar soit, ze hadden me wel kunnen informeren), net als het uitblijven van informatie dat gegevens daadwerkelijk openbaar worden gemaakt, in plaats van mogelijk zoals ze in de eerste mail hebben gecommuniceerd.

Ook de hele toon die ze gebruiken bevalt me niet. Ik weet niet of het bij anderen beter gaat zijn, maar dat zien we dan wel weer.

Theo74 schreef op donderdag 26 februari 2026 @ 14:18:
[...]


Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Was ook een principe kwestie. Hoe ze omgaan met deze hack irriteert me. Plus het bereik op het water met de pleziervaart en overnachten was superslecht met Odido (Maasvlakte). Mensen met KPN hadden vol bereik. Ook thuis had ik maar vaak 1 streepje met 5G. KPN voluit. Ik stream veel op de boot met series kijken.

Rijbewijs heeft Odido niet van mij. ID kaart moet ik in 2027 vernieuwen. Pak ik deze zomer wel beet.

[ Voor 6% gewijzigd door Draconian op 26-02-2026 14:32 ]

DjoeC schreef op donderdag 26 februari 2026 @ 13:45:
[...]
De gegevens van die 6-7 miljoen anderen in die dataset zitten boeien mij iig niet.

Maar dat boeit een groot deel van die andere 6-7 miljoen mensen natuurlijk wel.
Jouw belang om te zien of jouw gegevens erin zitten, rechtvaardigt op geen enkele manier het downloaden van een grote, illegaal verkregen dataset met gevoelige persoonsgegevens die jij niet mag zien.

Ik ga denk ik maar eens dit formulier:
https://assets.odido.nl/x...rsoonsgegevens-mobiel.pdf
...invullen en opsturen, met kruisjes bij alle categorieen en heel breed tijdbereik. Want als het goed is krijg je daarmee - lijkt mij - toch een complete dump van ALLES wat Odido van mij heeft?

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag?

Mocht iemand zich daarna (met behulp van die gegevens op een of andere manier) proberen voor te doen als jou, waardoor jij uiteindelijk ergens een factuur voor krijgt of ergens gezeik mee krijgt, dan kan je aantonen dat het verouderde informatie was en sta je sterker in het onderbouwen dat jij het niet was, maar er identiteitsfraude is gepleegd.

Hoe groot het risico daar op is en of het het dus waard is om versneld je ID te vervangen is een beetje de vraag natuurlijk.

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

Maar als ze documentnummer gebruiken dat al is vervangen, sta je wel sterker wanneer anderen op jouw naam iets willen afsluiten. Jij kan dan aangeven dat dat nummer niet klopt, want je hebt voordat iemand de dienst of het product afnam, een nieuw documentnummer gekregen. Dat het niet gecontroleerd wordt is een ding bij de leverancier, maar ik heb hier het zekere voor het onzekere genomen als iemand op mijn naam iets wil gaan doen. Rekeningnummer heb ik hierom ook veranderd. Bewijs maar eens dat jij het niet was…

vanaalten schreef op donderdag 26 februari 2026 @ 14:33:
Ik ga denk ik maar eens dit formulier:
https://assets.odido.nl/x...rsoonsgegevens-mobiel.pdf
...invullen en opsturen, met kruisjes bij alle categorieen en heel breed tijdbereik. Want als het goed is krijg je daarmee - lijkt mij - toch een complete dump van ALLES wat Odido van mij heeft?

Ik zou het waarderen als Odido mij zou informeren met welke info buitgemaakt is van mij. Zou het nu vervelend vinden om dit per brief te moeten vragen welke gegevens zij van mij hebben.

Zou graag mijn gebruikte legitimatie willen vernieuwen bij de gemeente, echter weet ik niet welk document van mij bekend is bij odido. En om nou alles te vervangen...

[ Voor 11% gewijzigd door AlexSoze op 26-02-2026 14:41 ]

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel.

Exact. Wat kun je precies met die gegevens? Behalve natuurlijk spammen, wat kan je nu ineens gaan aanvragen wat eerst niet kon?

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks.

Hier sla je de spijker op zijn kop. Als je zomaar iets (een abonnement) kan afsluiten met alleen een IBAN en paspoortdocumentnummer, dan gaat er iets mis aan de kant van het bedrijf. Want dit is natuurlijk never nooit voldoende om aan te tonen dat het daadwerkelijk om die persoon gaat.

Zover ik het weet heb je altijd een kopie ID nodig als je iets wilt voor elkaar krijgen met een documentnummer. Als ik zie wat er gelekt is, is het een database dump van salesforce, en die kopieen worden daar niet bewaard.

AlexSoze schreef op donderdag 26 februari 2026 @ 14:36:
[...]


Ik zou het waarderen als Odido mij zou informeren met welke info buitgemaakt is van mij. Zou het nu vervelend vinden om dit per brief te moeten vragen welke gegevens zij van mij hebben.

Zou graag mijn gebruikte legitimatie willen vernieuwen bij de gemeente, echter weet ik niet welk document van mij bekend is bij odido. En om nou alles te vervangen...

Ik heb gebelt met Odido, en ze hebben mij weten te vertellen dat het bij mij om mijn rijbewijs gaat.
Toch maar voor de zekerheid een nieuwe aanvragen.

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

Het helpt natuurlijk als crimineel X jouw rijbewijs/paspoort vervolgens namaakt met zijn/haar/hun foto en een kloppend rijbewijs- of paspoortnummer.

japie06 schreef op donderdag 26 februari 2026 @ 14:40:
[...]


Exact. Wat kun je precies met die gegevens? Behalve natuurlijk spammen, wat kan je nu ineens gaan aanvragen wat eerst niet kon?


[...]


Hier sla je de spijker op zijn kop. Als je zomaar iets (een abonnement) kan afsluiten met alleen een IBAN en paspoortdocumentnummer, dan gaat er iets mis aan de kant van het bedrijf. Want dit is natuurlijk never nooit voldoende om aan te tonen dat het daadwerkelijk om die persoon gaat.

Ik kan namens jou een reis bij TUI of Sunweb boeken inclusief huurauto met deze gegevens. Zo zijn er wel meer dingen op te noemen. Als je oplet kun je tijdig annuleren aangezien de aanvraag in je mailbox komt. Ik kan een energiecontract afsluiten en zo zijn er dingen op te noemen die jouw leven een stuk moeilijker gaan maken met identiteitsfraude.

Draconian schreef op donderdag 26 februari 2026 @ 14:45:
[...]


Ik kan namens jou een reis bij TUI of Sunweb boeken inclusief huurauto met deze gegevens. Zo zijn er wel meer dingen op te noemen. Als je oplet kun je tijdig annuleren aangezien de aanvraag in je mailbox komt. Ik kan een energiecontract afsluiten en zo zijn er dingen op te noemen die jouw leven een stuk moeilijker gaan maken met identiteitsfraude.

Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

Je ziet vaak dat mensen heel makkelijk een kopie van hun rijbewijs/paspoort laten maken. Denk aan een proefrit met een auto waarbij vaak je rijbewijs wordt gevraagd en gekopieerd. En wat dacht je van hotels, daar wordt ook vaak een kopie van je paspoort gemaakt. En ik geef toe, ik heb dat zelf ook meerdere keren gedaan.

Eigenlijk nooit echt bij stilgestaan maar wordt nu met mijn neus op de feiten gedrukt, geen fijn gevoel moet ik zeggen.

BertVK schreef op donderdag 26 februari 2026 @ 14:30:
[...]

Maar dat boeit een groot deel van die andere 6-7 miljoen mensen natuurlijk wel.
Jouw belang om te zien of jouw gegevens erin zitten, rechtvaardigt op geen enkele manier het downloaden van een grote, illegaal verkregen dataset met gevoelige persoonsgegevens die jij niet mag zien.

Gelukkig hebben we in NL rechters die de belangenafweging hierin kunnen maken.

Maar, ik geef eerst Odido de kans om alle gelekte gegevens op een oersoonlijke pagina inzichtelijk te maken. Daar hebben ze vast een weekje voor nodig - scriptje maken met AI dat achter de inlogpagina hangen en klaar.

japie06 schreef op donderdag 26 februari 2026 @ 14:48:
[...]


Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

Je gelijk hebben en je gelijk halen zijn twee totaal verschillende zaken.

Draconian schreef op donderdag 26 februari 2026 @ 14:45:
[...]


Ik kan namens jou een reis bij TUI of Sunweb boeken inclusief huurauto met deze gegevens. Zo zijn er wel meer dingen op te noemen. Als je oplet kun je tijdig annuleren aangezien de aanvraag in je mailbox komt. Ik kan een energiecontract afsluiten en zo zijn er dingen op te noemen die jouw leven een stuk moeilijker gaan maken met identiteitsfraude.

Hoe dan?

Als je bij Sunweb een reist boekt moet je gaan betalen en dat kan niet enkel met een IBAN.
Dus ja een crimineel kan een vakantie boeken op mijn naam, en deze zelf betalen.

De situatie is erg en zeer kwalijk maar als er met deze basis informatie allerlei zaken gekocht/afgesloten kunnen worden dan is die dienst ook wel iets te goed van vertrouwen. Ze bestaan zeker, bijvoorbeeld goed doel, maar de toepassing van fraude wordt nu wel iets simplistischer neergezet dan (gelukkig) de waarheid is

Betalingsmogelijkheden

iDEAL
De snelste en makkelijkste manier om jouw vakantie te betalen is via iDEAL. De betaling is direct bij ons binnen en loopt automatisch door in jouw boeking. Via Mijn Sunweb kun je jouw vakantie met iDEAL betalen.

Creditcard
De vakantie kun je ook betalen met jouw creditcard, direct na het boeken of via Mijn Sunweb. Dit kan met een VISA of MasterCard.

Bankoverschrijving
Via jouw bank kun je de betaling overmaken met een bankoverschrijving. Het is belangrijk dat je bij de overschrijving jouw boekingsnummer vermeld. Houd er rekening mee dat door verschil in banken het een aantal dagen kan duren voordat de betaling verwerkt is in jouw boeking.

De betaling maak je over naar: Rabobank rekening: NL 29 RABO 03563 11 961
Bic/Swift code: RABONL2U
T.N.V. Sunweb te Rotterdam

Klarna
Je kunt jouw aanbetaling/reissom achteraf betalen met Klarna. Meer informatie vind je op onze Vragen & Contact pagina.

Acceptgiro
Wij versturen geen acceptgiro kaarten.

https://www.sunweb.nl/vakantie/reisinfo/boeken-en-betalen

[ Voor 8% gewijzigd door laurens0619 op 26-02-2026 14:53 ]

StampVoet schreef op donderdag 26 februari 2026 @ 14:43:
[...]

Ik heb gebelt met Odido, en ze hebben mij weten te vertellen dat het bij mij om mijn rijbewijs gaat.
Toch maar voor de zekerheid een nieuwe aanvragen.

Hoe heb je aangetoond dat jij het echt was, door naw, geboortedatum op te geven?

vanaalten schreef op donderdag 26 februari 2026 @ 14:33:
Ik ga denk ik maar eens dit formulier:
https://assets.odido.nl/x...rsoonsgegevens-mobiel.pdf
...invullen en opsturen, met kruisjes bij alle categorieen en heel breed tijdbereik. Want als het goed is krijg je daarmee - lijkt mij - toch een complete dump van ALLES wat Odido van mij heeft?

Dat zou moeten... Maar uit ervaring: Er zwerven bij de meeste bedrijven/organisaties veel gegevens rond waarvan de "need-to-knows" niet weten dat ze er (nog) zijn.....

japie06 schreef op donderdag 26 februari 2026 @ 14:48:
[...]


Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

Laat ik het anders zeggen. Ik kan namens jou bestaande contracten opzeggen met alle gevolgen van dien. Ik had toevallig Odido aan de lijn om over te stappen naar KPN. Ik kreeg de standaard vragen om mij te legitimeren.
1. Voorletters en achternaam.
2. Laatste 3 cijfers van mijn banknummer.
3. Bedrag laatste factuur (grappig genoeg vorige maanden hetzelfde).
Klaar. Ik was gelegitimeerd.
Dan kan ik jou contract gaan opzeggen of aanpassen met de gelekte gegevens.

Theo74 schreef op donderdag 26 februari 2026 @ 13:15:
[...]


Als 8 miljoen klanten een claim uitgekreerd moeten krijgen, kan dit dan het failissement van Odido betekenen..?

Laat het maar gebeuren en dan is het meteen voor andere bedrijven een duidelijk signaal dat ze hun beveiliging op orde moeten hebben.

japie06 schreef op donderdag 26 februari 2026 @ 14:48:
[...]


Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

In geval van een reis - wellicht - als ze alleen een verblijf boeken en aangeven te betalen bij uitchecken, dan heb je wellicht wel een probleem. Of een sim only bestelllen en daarmee kosten maken.

Als je een document vervangt, vervalt deze en technisch gezien zou je dit zelfs als gestolen kunnen aanmelden, dat levert wel een boete op dacht ik. Voordeel dat je dan wel natuurlijk jezelf 100% indekt tegen fraudieus gebruik van je persoonlijk gebonden documenten. Eigenlijk is jouw document ook 'gestolen'.

Wellicht dat de overheid tot inzien komt dat er toch misschien een betere manier van online bewijzen dat je bent wie je zegt te zijn bestaat: welke technische invulling we hieraan gaan hangen geen idee: ikzelf zat aan een digid/idin achtig iets te denken, dan hebben ze in elk geval de gegevens niet waar je naar mijn idee te makkelijk dingen kan aanvragen.

En je kan ook inderdaad diensten stopzetten: ik denk dat je bij een belastingtelefoon ook ver komt met een BSN nummer NAW + geboortedatum.

SebasFM schreef op donderdag 26 februari 2026 @ 14:56:
[...]

Laat het maar gebeuren en dan is het meteen voor andere bedrijven een duidelijk signaal dat ze hun beveiliging op orde moeten hebben.

Een bedrijf hoeft er niet kapot aan te gaan, maar zou wel verantwoordelijk geacht mogen worden voor het vervangen van deze documenten bijvoorbeeld en gewoon een bedrag vaststellen. Ingieten bij wet/regelgeving en dan pas zal er bij elk bedrijf waar dit van toepassing is budget vrij gemaakt worden om veilig om te gaan met klantdata. Nu wordt daar te vrij mee omgegaan want er zit eigenlijk nauwelijks gevolgen aan voor als er iets gebeurd, behalve de symbolische tik op de vingers.

[ Voor 20% gewijzigd door logix147 op 26-02-2026 14:59 ]

beyazz06 schreef op donderdag 26 februari 2026 @ 14:52:
[...]


Hoe heb je aangetoond dat jij het echt was, door naw, geboortedatum op te geven?

Ja, dat allemaal en het bedrag van de laatste factuur.

Naafkap schreef op donderdag 26 februari 2026 @ 14:51:
[...]

Je gelijk hebben en je gelijk halen zijn twee totaal verschillende zaken.

Zeker een validepunt. Maar als het er op aan komt in een rechtzaak, kan het toch nooit standhouden dat een documentnummer en IBAN voldoende is?

Toevallig zit ik in de eerste lading maar omdat ik alleen glasvezel heb, geen heel gevoelige informatie gelekt. "Alleen" IBAN/Mail/NAW.
Tuurlijk is dat weer te combineren maar in z'n totaliteit valt het voor mij mee.

DjoeC schreef op donderdag 26 februari 2026 @ 14:51:
Maar, ik geef eerst Odido de kans om alle gelekte gegevens op een oersoonlijke pagina inzichtelijk te maken. Daar hebben ze vast een weekje voor nodig - scriptje maken met AI dat achter de inlogpagina hangen en klaar.

Haha wat zeg jij nou dan? Een nieuwe database maken met diezelfde persoonsgegevens en dan even een webpagina'tje met AI in elkaar fratsen. Laten we vooral alle persoonsgegevens nog een keer blootstellen via een knutselwerkje. Werk jij bij Odido of zo?

Pendora schreef op donderdag 26 februari 2026 @ 14:59:
Toevallig zit ik in de eerste lading maar omdat ik alleen glasvezel heb, geen heel gevoelige informatie gelekt. "Alleen" IBAN/Mail/NAW.
Tuurlijk is dat weer te combineren maar in z'n totaliteit valt het voor mij mee.

Hoe ben je hier achter gekomen ?

bd-casemod schreef op donderdag 26 februari 2026 @ 15:02:
[...]

Hoe ben je hier achter gekomen ?

Waarschijnlijk op een manier die we hier niet mogen bespreken

Hemingr schreef op donderdag 26 februari 2026 @ 15:04:
[...]


Waarschijnlijk op een manier die we hier niet mogen bespreken

Geen idee waar je het over hebt

Ik kom er net via de klantenservice achter dat mijn gegevens niet betrokken zijn bij het datalek, ook al heb ik wel een mail van Odido gekregen. Ga er voor alsnog maar van uit dat mijn gegevens wel gewoon op straat liggen 😔

Hemingr schreef op donderdag 26 februari 2026 @ 15:04:
[...]


Waarschijnlijk op een manier die we hier niet mogen bespreken

Boef. Weer de Onion browser gebruikt TheGoat

Eijsbeer schreef op donderdag 26 februari 2026 @ 15:05:
Ik kom er net via de klantenservice achter dat mijn gegevens niet betrokken zijn bij het datalek, ook al heb ik wel een mail van Odido gekregen. Ga er voor alsnog maar van uit dat mijn gegevens wel gewoon op straat liggen 😔

Vandaar dat ik via haveibeenpowned bevestiging zoek.

Eijsbeer schreef op donderdag 26 februari 2026 @ 15:05:
Ik kom er net via de klantenservice achter dat mijn gegevens niet betrokken zijn bij het datalek, ook al heb ik wel een mail van Odido gekregen. Ga er voor alsnog maar van uit dat mijn gegevens wel gewoon op straat liggen 😔

Mooi dat ze toch wat delen als je ze belt. Ze zouden bijna persoonsgebonden en pagina moeten aanmaken (te benaderen vanuit je odido account) dit zal de klantenservice ook wel iets ontzien.

Ik zal ze morgen ook eens bellen.

W1ck1e schreef op donderdag 26 februari 2026 @ 15:06:
[...]

Vandaar dat ik via haveibeenpowned bevestiging zoek.

<knip> hier stond onbedoeld een verwijzing naar de gegevens, excuus.

Troyhunt is hierin de operator van hibp.

[ Voor 17% gewijzigd door Hemingr op 26-02-2026 15:18 ]

Hemingr schreef op donderdag 26 februari 2026 @ 15:11:
[...]


knip

Troyhunt is hierin de operator van hibp.

Knip

[ Voor 59% gewijzigd door rens-br op 26-02-2026 15:21 ]

Hier ook aantal mails ontvangen dat ik slachtoffer ben van het datalek.
Dat wil hier zeggen:
-Ik (odido thuis op mijn naam)
-Mijn vrouw (Odido mobiel op haar naam)
-Ik zakelijk (mobiel en vast op naam van mij/zaak)

Ben dus ook wel zeer benieuwd wát ze precies allemaal van mij hebben...

Tijd om de systemen van de klantenservice aan te passen dat medewerkers er ook niet in kunnen zonder interactie met de klant.
Klant belt -> klantenservice zoekt op naam en klikt op send -> ik ontvang smsje met code -> medewerker typt deze in en en de gegevens ontgrendelen voor inzage.

Grote point of failure is dan nog de geautomatiseerde administratie die mijn verbruik moeten kunnen controleren en de factuur verzenden. maar dat kun je grotendeels ook met rechten afvangen lijkt mij.
Dan is er maar 1 instantie gemachtigd om bij de gegevens te kunnen i.v.m. álle medewerkers.

MaD_co schreef op donderdag 26 februari 2026 @ 15:15:
Hier ook aantal mails ontvangen dat ik slachtoffer ben van het datalek.
Dat wil hier zeggen:
-Ik (odido thuis op mijn naam)
-Mijn vrouw (Odido mobiel op haar naam)
-Ik zakelijk (mobiel en vast op naam van mij/zaak)

Ben dus ook wel zeer benieuwd wát ze precies allemaal van mij hebben...

Tijd om de systemen van de klantenservice aan te passen dat medewerkers er ook niet in kunnen zonder interactie met de klant.
Klant belt -> klantenservice zoekt op naam en klikt op send -> ik ontvang smsje met code -> medewerker typt deze in en en de gegevens ontgrendelen voor inzage.

Grote point of failure is dan nog de geautomatiseerde administratie die mijn verbruik moeten kunnen controleren en de factuur verzenden. maar dat kun je grotendeels ook met rechten afvangen lijkt mij.
Dan is er maar 1 instantie gemachtigd om bij de gegevens te kunnen i.v.m. álle medewerkers.

Creatief, maar als je de klantenservice belt omdat je internet en of telefoon eruit ligt werkt en sms of mail weer niet.

W1ck1e schreef op donderdag 26 februari 2026 @ 14:18:
[...]

Met welke aanbieding zou je zijn gebleven ?

Was niet van plan om te blijven. Het viel me alleen op omdat ze dat normaliter wel doen. Vorig jaar 50% korting voor een half jaar gehad bij een jaarcontract.

Het is de gebrekkige communicatie waardoor ik er wel klaar mee ben. Lekken kan helaas bij iedereen, maar pak het professioneel op.

Leuk dat ze zo’n F-Secure pakket aanbieden (waar niemand iets aan heeft volgens mij?), maar mail klanten erover ipv dat je het via via moet horen dat het bestaat.

Ik vraag mij wel af in het kader van "als je gaat betalen dan hou je de criminaliteit in stand"

Nu heeft de hackergroep geen 500.000 ontvangen. Zouden ze nu de hele data set gratis publiceren?
Of gaan ze gedeelte publiceren en een gedeelte verkopen of donaties vragen aan criminelen voor het gebruik van de dataset.

Dan zou de dataset ze nu, onbetaald, goed meer dan 500.000 kunnen opleveren....

franssie schreef op donderdag 26 februari 2026 @ 15:17:
[...]

Creatief, maar als je de klantenservice belt omdat je internet en of telefoon eruit ligt werkt en sms of mail weer niet.

* Belt omdat je telefoon eruit ligt?

Maar de optie tot sms / whatsapp / mail geven hoe je hem wilt ontvangen?
Dat 5g én vast er tegelijk uitligt is vrij uitzonderlijk.
En anders misschien bij afsluiten iedereen een code uitreiken op papier? beetje zoals de pukcode van je simkaart?

Plisson schreef op donderdag 26 februari 2026 @ 15:20:
[...]


Was niet van plan om te blijven. Het viel me alleen op omdat ze dat normaliter wel doen. Vorig jaar 50% korting voor een half jaar gehad bij een jaarcontract.

Het is de gebrekkige communicatie waardoor ik er wel klaar mee ben. Lekken kan helaas bij iedereen, maar pak het professioneel op.

Leuk dat ze zo’n F-Secure pakket aanbieden (waar niemand iets aan heeft volgens mij?), maar mail klanten erover ipv dat je het via via moet horen dat het bestaat.

Ik heb ter leeringh ende vermaeck eens gekeken naar dat fsecure ding dat ze aanboden.

Nutteloos. Ook hun functie om te kijken is totaal nutteloos, een snelle check met een email waarvan ik weet dat deze in meerdere leaks zit vinden hun niets op.