Odido waarschuwt voor datalek (cyberaanval/hack)

Ik heb zojuist toch maar een afspraak gemaakt voor het aanvragen van een nieuwe rijbewijs. Ja dat kost me €54,- en 2x naar het gemeentehuis moeten, maar liever dat dan identiteitsfraude. 3 jaar geleden via o.a. mijn rijbewijs een contract afgesloten bij Odido.
Overigens had ik een half jaar geleden het e-mailadres aangepast naar odido@mijndomein, dus als daar ineens spam op gaat komen is het meteen duidelijk, en kan ik het afsluiten + aanpassen naar ander e-mailadres.

DjoeC schreef op donderdag 26 februari 2026 @ 14:05:
[...]

Daar krijg je alleen maar je email adres te zien, niet alle andere - veel relevantere - gegevens.

De vraag was of je er in zit, niet met welke.

Draconian schreef op donderdag 26 februari 2026 @ 13:18:
Overstappen naar KPN is heel simpel met afkopen bij Odido. Bij nummerbehoud en dan nummer bevestigen via SMS moet je onderstaande aanvinken. Opgelost. Ik ga vertrekken bij Odido na echt megaveel jaren
180 euro betalen maar dat heb ik ervoor over met hun ballentent.

[Afbeelding]

Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Plisson schreef op donderdag 26 februari 2026 @ 14:09:
[...]


Haha, nou na 3 kwartier iemand aan de lijn.

Nog netjes geweest, niks over de cyberattack gezegd, alleen dat het opzeggen niet lukt, zeggen ze: ja moet toch wel via de website…

Ook bijzonder dat ze niet eens de moeite namen om met een aanbieding te komen. Ze doen er echt alles aan om klanten weg te krijgen

Maar goed, inmiddels gelukt

Met welke aanbieding zou je zijn gebleven ?

W1ck1e schreef op donderdag 26 februari 2026 @ 14:16:
[...]

De vraag was of je er in zit, niet met welke.

Huh? maar dat weet ik al want ik heb een vage mail van Odido op mijn mailadres (2 stuks) gehad, net als (vrijwel?) iedereen.

Theo74 schreef op donderdag 26 februari 2026 @ 14:18:
[...]


Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Het is meer om een boodschap te sturen. Ik wilde al een tijdje bij deze club weg (na 15 jaar) omdat er wel erg veel storingen zijn, nog niet de knoop doorgehakt omdat de alternatieven significant duurder zijn (in onze situatie 80E bij odildo voor 1gbps glas + onbeperkt alles mobiel incl USA + 20gb +150 bellen, tegenover bijna 120 voor hetzelfde bij kpn). Maar principes kosten geld dus ik ga van het weekend eens bij de kpn winkel langs om alles te regelen, wellicht kunnen ze er iets moois van maken.

Tussen de middag heb ik een abonnement afgesloten bij Vodafone, ik was alweer tijdje contractvrij, dus dat was geen probleem. Ik was al meer dan 20 jaar klant, in eerste instantie bij T-Mobile en later automatisch Odido.

Ik begrijp dat een datalek kan gebeuren, maar de manier waarop Odido met de situatie omgaat vind ik beneden alle peil. De informatievoorziening is incompleet en gebrekkig, er is geen officiële communicatie over hoe dit heeft kunnen gebeuren, ik heb nog ergens excuses gezien en ze verbergen zich vooral achter platitudes als "jouw veiligheid heeft onze prioriteit". Dit alles terwijl de lijken maar uit de kast blijven komen, er zijn aanvullende gegevens zijn gelekt, klantgegevens zijn langer bewaard dan noodzakelijk/toegestaan, en ze doen ook geen moeite om publicatie van klantgegevens te voorkomen.

Ik was altijd erg tevreden over de dienstverlening van Odido, maar ik denk niet dat ze mij na dit trainwreck van een incident ooit nog terugzien.

Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

DjoeC schreef op donderdag 26 februari 2026 @ 14:19:
[...]

Huh? maar dat weet ik al want ik heb een vage mail van Odido op mijn mailadres (2 stuks) gehad, net als (vrijwel?) iedereen.

Zo interpreteerde ik het bericht van @mooiboy. Maar ik heb die mail van odido ook gehad. Bevestiging dat mijn gegevens gelekt zijn verwacht ik dan van haveibeenpowned.

Theo74 schreef op donderdag 26 februari 2026 @ 14:18:
[...]


Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Ik stap niet direct over, maar wel als contracten later dit jaar aflopen. Niet vanwege het lekken van mijn gegevens, want dat kan overal gebeuren. Ze stellen mij zeer teleur in hun communicatie met betrekking tot het lek.

Ik lees meer via de media dan via hen. Het aanbod van F-Secure heb ik bijvoorbeeld nog helemaal geen mail over gekregen (ook geen belang mij, maar soit, ze hadden me wel kunnen informeren), net als het uitblijven van informatie dat gegevens daadwerkelijk openbaar worden gemaakt, in plaats van mogelijk zoals ze in de eerste mail hebben gecommuniceerd.

Ook de hele toon die ze gebruiken bevalt me niet. Ik weet niet of het bij anderen beter gaat zijn, maar dat zien we dan wel weer.

Theo74 schreef op donderdag 26 februari 2026 @ 14:18:
[...]


Maar als je overstapt van provider, dan blijven je gestolen persoonsgegevens toch nog gewoon recent?
Dan zou je een ander woonadres, e-mail, GSM nummer, pasport, ID, en/of rijbewijs moeten regelen.
Misschien dat je overstapt om bij Odido weg te zijn dat kan, maar het risico op een hack heeft elk bedrijf.

Was ook een principe kwestie. Hoe ze omgaan met deze hack irriteert me. Plus het bereik op het water met de pleziervaart en overnachten was superslecht met Odido (Maasvlakte). Mensen met KPN hadden vol bereik. Ook thuis had ik maar vaak 1 streepje met 5G. KPN voluit. Ik stream veel op de boot met series kijken.

Rijbewijs heeft Odido niet van mij. ID kaart moet ik in 2027 vernieuwen. Pak ik deze zomer wel beet.

[ Voor 6% gewijzigd door Draconian op 26-02-2026 14:32 ]

DjoeC schreef op donderdag 26 februari 2026 @ 13:45:
[...]
De gegevens van die 6-7 miljoen anderen in die dataset zitten boeien mij iig niet.

Maar dat boeit een groot deel van die andere 6-7 miljoen mensen natuurlijk wel.
Jouw belang om te zien of jouw gegevens erin zitten, rechtvaardigt op geen enkele manier het downloaden van een grote, illegaal verkregen dataset met gevoelige persoonsgegevens die jij niet mag zien.

Ik ga denk ik maar eens dit formulier:
https://assets.odido.nl/x...rsoonsgegevens-mobiel.pdf
...invullen en opsturen, met kruisjes bij alle categorieen en heel breed tijdbereik. Want als het goed is krijg je daarmee - lijkt mij - toch een complete dump van ALLES wat Odido van mij heeft?

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag?

Mocht iemand zich daarna (met behulp van die gegevens op een of andere manier) proberen voor te doen als jou, waardoor jij uiteindelijk ergens een factuur voor krijgt of ergens gezeik mee krijgt, dan kan je aantonen dat het verouderde informatie was en sta je sterker in het onderbouwen dat jij het niet was, maar er identiteitsfraude is gepleegd.

Hoe groot het risico daar op is en of het het dus waard is om versneld je ID te vervangen is een beetje de vraag natuurlijk.

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

Maar als ze documentnummer gebruiken dat al is vervangen, sta je wel sterker wanneer anderen op jouw naam iets willen afsluiten. Jij kan dan aangeven dat dat nummer niet klopt, want je hebt voordat iemand de dienst of het product afnam, een nieuw documentnummer gekregen. Dat het niet gecontroleerd wordt is een ding bij de leverancier, maar ik heb hier het zekere voor het onzekere genomen als iemand op mijn naam iets wil gaan doen. Rekeningnummer heb ik hierom ook veranderd. Bewijs maar eens dat jij het niet was…

vanaalten schreef op donderdag 26 februari 2026 @ 14:33:
Ik ga denk ik maar eens dit formulier:
https://assets.odido.nl/x...rsoonsgegevens-mobiel.pdf
...invullen en opsturen, met kruisjes bij alle categorieen en heel breed tijdbereik. Want als het goed is krijg je daarmee - lijkt mij - toch een complete dump van ALLES wat Odido van mij heeft?

Ik zou het waarderen als Odido mij zou informeren met welke info buitgemaakt is van mij. Zou het nu vervelend vinden om dit per brief te moeten vragen welke gegevens zij van mij hebben.

Zou graag mijn gebruikte legitimatie willen vernieuwen bij de gemeente, echter weet ik niet welk document van mij bekend is bij odido. En om nou alles te vervangen...

[ Voor 11% gewijzigd door AlexSoze op 26-02-2026 14:41 ]

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel.

Exact. Wat kun je precies met die gegevens? Behalve natuurlijk spammen, wat kan je nu ineens gaan aanvragen wat eerst niet kon?

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks.

Hier sla je de spijker op zijn kop. Als je zomaar iets (een abonnement) kan afsluiten met alleen een IBAN en paspoortdocumentnummer, dan gaat er iets mis aan de kant van het bedrijf. Want dit is natuurlijk never nooit voldoende om aan te tonen dat het daadwerkelijk om die persoon gaat.

Zover ik het weet heb je altijd een kopie ID nodig als je iets wilt voor elkaar krijgen met een documentnummer. Als ik zie wat er gelekt is, is het een database dump van salesforce, en die kopieen worden daar niet bewaard.

AlexSoze schreef op donderdag 26 februari 2026 @ 14:36:
[...]


Ik zou het waarderen als Odido mij zou informeren met welke info buitgemaakt is van mij. Zou het nu vervelend vinden om dit per brief te moeten vragen welke gegevens zij van mij hebben.

Zou graag mijn gebruikte legitimatie willen vernieuwen bij de gemeente, echter weet ik niet welk document van mij bekend is bij odido. En om nou alles te vervangen...

Ik heb gebelt met Odido, en ze hebben mij weten te vertellen dat het bij mij om mijn rijbewijs gaat.
Toch maar voor de zekerheid een nieuwe aanvragen.

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

Het helpt natuurlijk als crimineel X jouw rijbewijs/paspoort vervolgens namaakt met zijn/haar/hun foto en een kloppend rijbewijs- of paspoortnummer.

japie06 schreef op donderdag 26 februari 2026 @ 14:40:
[...]


Exact. Wat kun je precies met die gegevens? Behalve natuurlijk spammen, wat kan je nu ineens gaan aanvragen wat eerst niet kon?


[...]


Hier sla je de spijker op zijn kop. Als je zomaar iets (een abonnement) kan afsluiten met alleen een IBAN en paspoortdocumentnummer, dan gaat er iets mis aan de kant van het bedrijf. Want dit is natuurlijk never nooit voldoende om aan te tonen dat het daadwerkelijk om die persoon gaat.

Ik kan namens jou een reis bij TUI of Sunweb boeken inclusief huurauto met deze gegevens. Zo zijn er wel meer dingen op te noemen. Als je oplet kun je tijdig annuleren aangezien de aanvraag in je mailbox komt. Ik kan een energiecontract afsluiten en zo zijn er dingen op te noemen die jouw leven een stuk moeilijker gaan maken met identiteitsfraude.

Draconian schreef op donderdag 26 februari 2026 @ 14:45:
[...]


Ik kan namens jou een reis bij TUI of Sunweb boeken inclusief huurauto met deze gegevens. Zo zijn er wel meer dingen op te noemen. Als je oplet kun je tijdig annuleren aangezien de aanvraag in je mailbox komt. Ik kan een energiecontract afsluiten en zo zijn er dingen op te noemen die jouw leven een stuk moeilijker gaan maken met identiteitsfraude.

Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

areyouben schreef op donderdag 26 februari 2026 @ 14:25:
Wat gaat het oplossen als ik een nieuw rijbewijs en paspoort aanvraag? Ja, dan heb ik een ander documentnummer dan gelekt is en herken ik dat iets uit het datalek komt. Maar met dat nummer kan men toch niet zoveel? Ik moet dat nummer zo vaak delen, bij het afhalen van een pakket, het inchecken bij een hotel. Er wordt dus waarde aangehecht, maar denk vooral ook als bewijs dat men het ID heeft gecheckt. Het is niet zo dat dat soort bedrijven toegang hebben tot een database met documentnummers en dan telkens controleren of een document nog geldig is. Dus daarom denk ik dat nieuwe documenten geen zin hebben. Zolang de gelekte nummers nog een geldig tot datum in de toekomst hebben, zal men daarmee ook kunnen doen alsof het identificatiedocument nog door mij gebruikt wordt. Daarom denk ik dat bedrijven andere checks nodig hebben om erachter te komen of ik het ben die achter een aanvraag zit, of iemand anders. Een documentnummer alleen zegt nog niks. Dat is alleen relevant als je later naar de politie gaat of een andere instantie die wel de persoon achter het documentnummer kan opzoeken. Het was dus ook niet zo relevant voor Odido om altijd dat documentnummer te vragen. Ik moest het ook bij een abonnement voor thuis delen, en Sim Only’s. Andere telco’s doen dat niet.

Je ziet vaak dat mensen heel makkelijk een kopie van hun rijbewijs/paspoort laten maken. Denk aan een proefrit met een auto waarbij vaak je rijbewijs wordt gevraagd en gekopieerd. En wat dacht je van hotels, daar wordt ook vaak een kopie van je paspoort gemaakt. En ik geef toe, ik heb dat zelf ook meerdere keren gedaan.

Eigenlijk nooit echt bij stilgestaan maar wordt nu met mijn neus op de feiten gedrukt, geen fijn gevoel moet ik zeggen.

BertVK schreef op donderdag 26 februari 2026 @ 14:30:
[...]

Maar dat boeit een groot deel van die andere 6-7 miljoen mensen natuurlijk wel.
Jouw belang om te zien of jouw gegevens erin zitten, rechtvaardigt op geen enkele manier het downloaden van een grote, illegaal verkregen dataset met gevoelige persoonsgegevens die jij niet mag zien.

Gelukkig hebben we in NL rechters die de belangenafweging hierin kunnen maken.

Maar, ik geef eerst Odido de kans om alle gelekte gegevens op een oersoonlijke pagina inzichtelijk te maken. Daar hebben ze vast een weekje voor nodig - scriptje maken met AI dat achter de inlogpagina hangen en klaar.

japie06 schreef op donderdag 26 februari 2026 @ 14:48:
[...]


Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

Je gelijk hebben en je gelijk halen zijn twee totaal verschillende zaken.

Draconian schreef op donderdag 26 februari 2026 @ 14:45:
[...]


Ik kan namens jou een reis bij TUI of Sunweb boeken inclusief huurauto met deze gegevens. Zo zijn er wel meer dingen op te noemen. Als je oplet kun je tijdig annuleren aangezien de aanvraag in je mailbox komt. Ik kan een energiecontract afsluiten en zo zijn er dingen op te noemen die jouw leven een stuk moeilijker gaan maken met identiteitsfraude.

Hoe dan?

Als je bij Sunweb een reist boekt moet je gaan betalen en dat kan niet enkel met een IBAN.
Dus ja een crimineel kan een vakantie boeken op mijn naam, en deze zelf betalen.

De situatie is erg en zeer kwalijk maar als er met deze basis informatie allerlei zaken gekocht/afgesloten kunnen worden dan is die dienst ook wel iets te goed van vertrouwen. Ze bestaan zeker, bijvoorbeeld goed doel, maar de toepassing van fraude wordt nu wel iets simplistischer neergezet dan (gelukkig) de waarheid is

Betalingsmogelijkheden

iDEAL
De snelste en makkelijkste manier om jouw vakantie te betalen is via iDEAL. De betaling is direct bij ons binnen en loopt automatisch door in jouw boeking. Via Mijn Sunweb kun je jouw vakantie met iDEAL betalen.

Creditcard
De vakantie kun je ook betalen met jouw creditcard, direct na het boeken of via Mijn Sunweb. Dit kan met een VISA of MasterCard.

Bankoverschrijving
Via jouw bank kun je de betaling overmaken met een bankoverschrijving. Het is belangrijk dat je bij de overschrijving jouw boekingsnummer vermeld. Houd er rekening mee dat door verschil in banken het een aantal dagen kan duren voordat de betaling verwerkt is in jouw boeking.

De betaling maak je over naar: Rabobank rekening: NL 29 RABO 03563 11 961
Bic/Swift code: RABONL2U
T.N.V. Sunweb te Rotterdam

Klarna
Je kunt jouw aanbetaling/reissom achteraf betalen met Klarna. Meer informatie vind je op onze Vragen & Contact pagina.

Acceptgiro
Wij versturen geen acceptgiro kaarten.

https://www.sunweb.nl/vakantie/reisinfo/boeken-en-betalen

[ Voor 8% gewijzigd door laurens0619 op 26-02-2026 14:53 ]

StampVoet schreef op donderdag 26 februari 2026 @ 14:43:
[...]

Ik heb gebelt met Odido, en ze hebben mij weten te vertellen dat het bij mij om mijn rijbewijs gaat.
Toch maar voor de zekerheid een nieuwe aanvragen.

Hoe heb je aangetoond dat jij het echt was, door naw, geboortedatum op te geven?

vanaalten schreef op donderdag 26 februari 2026 @ 14:33:
Ik ga denk ik maar eens dit formulier:
https://assets.odido.nl/x...rsoonsgegevens-mobiel.pdf
...invullen en opsturen, met kruisjes bij alle categorieen en heel breed tijdbereik. Want als het goed is krijg je daarmee - lijkt mij - toch een complete dump van ALLES wat Odido van mij heeft?

Dat zou moeten... Maar uit ervaring: Er zwerven bij de meeste bedrijven/organisaties veel gegevens rond waarvan de "need-to-knows" niet weten dat ze er (nog) zijn.....

japie06 schreef op donderdag 26 februari 2026 @ 14:48:
[...]


Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

Laat ik het anders zeggen. Ik kan namens jou bestaande contracten opzeggen met alle gevolgen van dien. Ik had toevallig Odido aan de lijn om over te stappen naar KPN. Ik kreeg de standaard vragen om mij te legitimeren.
1. Voorletters en achternaam.
2. Laatste 3 cijfers van mijn banknummer.
3. Bedrag laatste factuur (grappig genoeg vorige maanden hetzelfde).
Klaar. Ik was gelegitimeerd.
Dan kan ik jou contract gaan opzeggen of aanpassen met de gelekte gegevens.

Theo74 schreef op donderdag 26 februari 2026 @ 13:15:
[...]


Als 8 miljoen klanten een claim uitgekreerd moeten krijgen, kan dit dan het failissement van Odido betekenen..?

Laat het maar gebeuren en dan is het meteen voor andere bedrijven een duidelijk signaal dat ze hun beveiliging op orde moeten hebben.

japie06 schreef op donderdag 26 februari 2026 @ 14:48:
[...]


Maar dan zou Tui moeten kunnen aantonen dat ik die gegevens heb ingevuld toch. Ik snap de praktijk weer barstiger is, maar alleen een documentnummer + IBAN is niet voldoende authenticatie.

Daarnaast, denk ik dat de oplichter zo slim zal zijn om niet mijn emailadres te gebruiken, maar een burneraccount.

In geval van een reis - wellicht - als ze alleen een verblijf boeken en aangeven te betalen bij uitchecken, dan heb je wellicht wel een probleem. Of een sim only bestelllen en daarmee kosten maken.

Als je een document vervangt, vervalt deze en technisch gezien zou je dit zelfs als gestolen kunnen aanmelden, dat levert wel een boete op dacht ik. Voordeel dat je dan wel natuurlijk jezelf 100% indekt tegen fraudieus gebruik van je persoonlijk gebonden documenten. Eigenlijk is jouw document ook 'gestolen'.

Wellicht dat de overheid tot inzien komt dat er toch misschien een betere manier van online bewijzen dat je bent wie je zegt te zijn bestaat: welke technische invulling we hieraan gaan hangen geen idee: ikzelf zat aan een digid/idin achtig iets te denken, dan hebben ze in elk geval de gegevens niet waar je naar mijn idee te makkelijk dingen kan aanvragen.

En je kan ook inderdaad diensten stopzetten: ik denk dat je bij een belastingtelefoon ook ver komt met een BSN nummer NAW + geboortedatum.

SebasFM schreef op donderdag 26 februari 2026 @ 14:56:
[...]

Laat het maar gebeuren en dan is het meteen voor andere bedrijven een duidelijk signaal dat ze hun beveiliging op orde moeten hebben.

Een bedrijf hoeft er niet kapot aan te gaan, maar zou wel verantwoordelijk geacht mogen worden voor het vervangen van deze documenten bijvoorbeeld en gewoon een bedrag vaststellen. Ingieten bij wet/regelgeving en dan pas zal er bij elk bedrijf waar dit van toepassing is budget vrij gemaakt worden om veilig om te gaan met klantdata. Nu wordt daar te vrij mee omgegaan want er zit eigenlijk nauwelijks gevolgen aan voor als er iets gebeurd, behalve de symbolische tik op de vingers.

[ Voor 20% gewijzigd door logix147 op 26-02-2026 14:59 ]

beyazz06 schreef op donderdag 26 februari 2026 @ 14:52:
[...]


Hoe heb je aangetoond dat jij het echt was, door naw, geboortedatum op te geven?

Ja, dat allemaal en het bedrag van de laatste factuur.

Naafkap schreef op donderdag 26 februari 2026 @ 14:51:
[...]

Je gelijk hebben en je gelijk halen zijn twee totaal verschillende zaken.

Zeker een validepunt. Maar als het er op aan komt in een rechtzaak, kan het toch nooit standhouden dat een documentnummer en IBAN voldoende is?

Toevallig zit ik in de eerste lading maar omdat ik alleen glasvezel heb, geen heel gevoelige informatie gelekt. "Alleen" IBAN/Mail/NAW.
Tuurlijk is dat weer te combineren maar in z'n totaliteit valt het voor mij mee.

DjoeC schreef op donderdag 26 februari 2026 @ 14:51:
Maar, ik geef eerst Odido de kans om alle gelekte gegevens op een oersoonlijke pagina inzichtelijk te maken. Daar hebben ze vast een weekje voor nodig - scriptje maken met AI dat achter de inlogpagina hangen en klaar.

Haha wat zeg jij nou dan? Een nieuwe database maken met diezelfde persoonsgegevens en dan even een webpagina'tje met AI in elkaar fratsen. Laten we vooral alle persoonsgegevens nog een keer blootstellen via een knutselwerkje. Werk jij bij Odido of zo?

Pendora schreef op donderdag 26 februari 2026 @ 14:59:
Toevallig zit ik in de eerste lading maar omdat ik alleen glasvezel heb, geen heel gevoelige informatie gelekt. "Alleen" IBAN/Mail/NAW.
Tuurlijk is dat weer te combineren maar in z'n totaliteit valt het voor mij mee.

Hoe ben je hier achter gekomen ?

bd-casemod schreef op donderdag 26 februari 2026 @ 15:02:
[...]

Hoe ben je hier achter gekomen ?

Waarschijnlijk op een manier die we hier niet mogen bespreken

Hemingr schreef op donderdag 26 februari 2026 @ 15:04:
[...]


Waarschijnlijk op een manier die we hier niet mogen bespreken

Geen idee waar je het over hebt

Ik kom er net via de klantenservice achter dat mijn gegevens niet betrokken zijn bij het datalek, ook al heb ik wel een mail van Odido gekregen. Ga er voor alsnog maar van uit dat mijn gegevens wel gewoon op straat liggen 😔

Hemingr schreef op donderdag 26 februari 2026 @ 15:04:
[...]


Waarschijnlijk op een manier die we hier niet mogen bespreken

Boef. Weer de Onion browser gebruikt TheGoat

Eijsbeer schreef op donderdag 26 februari 2026 @ 15:05:
Ik kom er net via de klantenservice achter dat mijn gegevens niet betrokken zijn bij het datalek, ook al heb ik wel een mail van Odido gekregen. Ga er voor alsnog maar van uit dat mijn gegevens wel gewoon op straat liggen 😔

Vandaar dat ik via haveibeenpowned bevestiging zoek.

Eijsbeer schreef op donderdag 26 februari 2026 @ 15:05:
Ik kom er net via de klantenservice achter dat mijn gegevens niet betrokken zijn bij het datalek, ook al heb ik wel een mail van Odido gekregen. Ga er voor alsnog maar van uit dat mijn gegevens wel gewoon op straat liggen 😔

Mooi dat ze toch wat delen als je ze belt. Ze zouden bijna persoonsgebonden en pagina moeten aanmaken (te benaderen vanuit je odido account) dit zal de klantenservice ook wel iets ontzien.

Ik zal ze morgen ook eens bellen.

W1ck1e schreef op donderdag 26 februari 2026 @ 15:06:
[...]

Vandaar dat ik via haveibeenpowned bevestiging zoek.

<knip> hier stond onbedoeld een verwijzing naar de gegevens, excuus.

Troyhunt is hierin de operator van hibp.

[ Voor 17% gewijzigd door Hemingr op 26-02-2026 15:18 ]

Hemingr schreef op donderdag 26 februari 2026 @ 15:11:
[...]


knip

Troyhunt is hierin de operator van hibp.

Knip

[ Voor 59% gewijzigd door rens-br op 26-02-2026 15:21 ]

Hier ook aantal mails ontvangen dat ik slachtoffer ben van het datalek.
Dat wil hier zeggen:
-Ik (odido thuis op mijn naam)
-Mijn vrouw (Odido mobiel op haar naam)
-Ik zakelijk (mobiel en vast op naam van mij/zaak)

Ben dus ook wel zeer benieuwd wát ze precies allemaal van mij hebben...

Tijd om de systemen van de klantenservice aan te passen dat medewerkers er ook niet in kunnen zonder interactie met de klant.
Klant belt -> klantenservice zoekt op naam en klikt op send -> ik ontvang smsje met code -> medewerker typt deze in en en de gegevens ontgrendelen voor inzage.

Grote point of failure is dan nog de geautomatiseerde administratie die mijn verbruik moeten kunnen controleren en de factuur verzenden. maar dat kun je grotendeels ook met rechten afvangen lijkt mij.
Dan is er maar 1 instantie gemachtigd om bij de gegevens te kunnen i.v.m. álle medewerkers.

MaD_co schreef op donderdag 26 februari 2026 @ 15:15:
Hier ook aantal mails ontvangen dat ik slachtoffer ben van het datalek.
Dat wil hier zeggen:
-Ik (odido thuis op mijn naam)
-Mijn vrouw (Odido mobiel op haar naam)
-Ik zakelijk (mobiel en vast op naam van mij/zaak)

Ben dus ook wel zeer benieuwd wát ze precies allemaal van mij hebben...

Tijd om de systemen van de klantenservice aan te passen dat medewerkers er ook niet in kunnen zonder interactie met de klant.
Klant belt -> klantenservice zoekt op naam en klikt op send -> ik ontvang smsje met code -> medewerker typt deze in en en de gegevens ontgrendelen voor inzage.

Grote point of failure is dan nog de geautomatiseerde administratie die mijn verbruik moeten kunnen controleren en de factuur verzenden. maar dat kun je grotendeels ook met rechten afvangen lijkt mij.
Dan is er maar 1 instantie gemachtigd om bij de gegevens te kunnen i.v.m. álle medewerkers.

Creatief, maar als je de klantenservice belt omdat je internet en of telefoon eruit ligt werkt en sms of mail weer niet.

W1ck1e schreef op donderdag 26 februari 2026 @ 14:18:
[...]

Met welke aanbieding zou je zijn gebleven ?

Was niet van plan om te blijven. Het viel me alleen op omdat ze dat normaliter wel doen. Vorig jaar 50% korting voor een half jaar gehad bij een jaarcontract.

Het is de gebrekkige communicatie waardoor ik er wel klaar mee ben. Lekken kan helaas bij iedereen, maar pak het professioneel op.

Leuk dat ze zo’n F-Secure pakket aanbieden (waar niemand iets aan heeft volgens mij?), maar mail klanten erover ipv dat je het via via moet horen dat het bestaat.

Ik vraag mij wel af in het kader van "als je gaat betalen dan hou je de criminaliteit in stand"

Nu heeft de hackergroep geen 500.000 ontvangen. Zouden ze nu de hele data set gratis publiceren?
Of gaan ze gedeelte publiceren en een gedeelte verkopen of donaties vragen aan criminelen voor het gebruik van de dataset.

Dan zou de dataset ze nu, onbetaald, goed meer dan 500.000 kunnen opleveren....

franssie schreef op donderdag 26 februari 2026 @ 15:17:
[...]

Creatief, maar als je de klantenservice belt omdat je internet en of telefoon eruit ligt werkt en sms of mail weer niet.

* Belt omdat je telefoon eruit ligt?

Maar de optie tot sms / whatsapp / mail geven hoe je hem wilt ontvangen?
Dat 5g én vast er tegelijk uitligt is vrij uitzonderlijk.
En anders misschien bij afsluiten iedereen een code uitreiken op papier? beetje zoals de pukcode van je simkaart?

Plisson schreef op donderdag 26 februari 2026 @ 15:20:
[...]


Was niet van plan om te blijven. Het viel me alleen op omdat ze dat normaliter wel doen. Vorig jaar 50% korting voor een half jaar gehad bij een jaarcontract.

Het is de gebrekkige communicatie waardoor ik er wel klaar mee ben. Lekken kan helaas bij iedereen, maar pak het professioneel op.

Leuk dat ze zo’n F-Secure pakket aanbieden (waar niemand iets aan heeft volgens mij?), maar mail klanten erover ipv dat je het via via moet horen dat het bestaat.

Ik heb ter leeringh ende vermaeck eens gekeken naar dat F-Secure-ding dat ze aanboden.

Nutteloos. Ook hun functie om te controleren of je e-mailadres in een datalek voorkomt, is totaal waardeloos. Een snelle check met een e-mailadres waarvan ik weet dat het in meerdere datalekken zit, leverde niets op.

[ Voor 6% gewijzigd door Hemingr op 26-02-2026 16:49 ]

japie06 schreef op donderdag 26 februari 2026 @ 14:59:
[...]


Zeker een validepunt. Maar als het er op aan komt in een rechtzaak, kan het toch nooit standhouden dat een documentnummer en IBAN voldoende is?

@japie06 Volgens mij heb jij niet helemaal door hoe ver identiteitsfraude kan gaan. Stom voorbeeld, iemand vervalst met jouw gegevens een identiteit. Huurt er een huis mee, doet hier lugubere dingen. De politie krijgt hier lucht van, haalt je van je bed, sluit je op en dan mag je even gaan bewijzen dat jij het niet was die het huis huurde of de katvanger was van de wietplantage. Of misschien tappen ze je eerst wel af en komen er zo achter dat je het niet was, maar ondertussen word je wel getapt zonder reden.

Dan kan je wel roepen tijdens dat je van je bed wordt gehaald Odido, maar ik kan je verzekeren dat het arrestatieteam daar weinig gehoor aan gaat geven als het zover zou komen.

Dit is natuurlijk een doemscenario, om maar te vertellen hoe ver het kan gaan. En dan kan je wel zeggen, ja maar gewoon je onschuld bewijzen, je moet maar zin hebben in het hele circus.

Gr4mpyC3t schreef op donderdag 26 februari 2026 @ 15:01:
[...]


Haha wat zeg jij nou dan? Een nieuwe database maken met diezelfde persoonsgegevens en dan even een webpagina'tje met AI in elkaar fratsen. Laten we vooral alle persoonsgegevens nog een keer blootstellen via een knutselwerkje. Werk jij bij Odido of zo?

Schriftelijk meedelen mag natuurlijk ook Zolang het maar niet via mail is....

Identiteitsfraude is 1 ding, bedenk ook hoeveel politici en bn'ers ineens hun prive nummers, email en adres gelekt zullen zien worden war voor compleet andere dreigingen kan zorgen.

laurens0619 schreef op donderdag 26 februari 2026 @ 15:20:
Ik vraag mij wel af in het kader van "als je gaat betalen dan hou je de criminaliteit in stand"

Nu heeft de hackergroep geen 500.000 ontvangen. Zouden ze nu de hele data set gratis publiceren?
Of gaan ze gedeelte publiceren en een gedeelte verkopen of donaties vragen aan criminelen voor het gebruik van de dataset.

Dan zou de dataset ze nu, onbetaald, goed meer dan 500.000 kunnen opleveren....

Tja, maar dat kunnen ze ook doen als ze wel die 500k zouden incasseren. Niemand houdt ze tegen om de boel dan te verkopen met evt. de melding om er de eerste maand niets mee te doen. Daarna is toch niet meer te achterhalen dat het met deze hack te maken heeft.

MaD_co schreef op donderdag 26 februari 2026 @ 15:26:
[...]

* Belt omdat je telefoon eruit ligt?

Jij hebt geen vaste lijn of bedrijfstelefoon op ander mobiel netwerk?

redwing schreef op donderdag 26 februari 2026 @ 15:57:
[...]

Tja, maar dat kunnen ze ook doen als ze wel die 500k zouden incasseren. Niemand houdt ze tegen om de boel dan te verkopen met evt. de melding om er de eerste maand niets mee te doen. Daarna is toch niet meer te achterhalen dat het met deze hack te maken heeft.

Ze hebben natuurlijk zelf ook hun eigen reputatie hoog te houden. Niemand houdt ze tegen alsnog te gaan lekken, maar dan hebben ze de schijn wel tegen als ze opnieuw een ander bedrijf om losgeld gaan vragen.

Fido schreef op donderdag 26 februari 2026 @ 16:10:
[...]

Ze hebben natuurlijk zelf ook hun eigen reputatie hoog te houden. Niemand houdt ze tegen alsnog te gaan lekken, maar dan hebben ze de schijn wel tegen als ze opnieuw een ander bedrijf om losgeld gaan vragen.

En wie gaat er ooit uitvinden dat het doorverkochte data is? Zeker als ze een subset verkopen is het nooit meer te linken aan deze hack.

miccamw2 schreef op donderdag 26 februari 2026 @ 15:40:
[...]


@japie06 Volgens mij heb jij niet helemaal door hoe ver identiteitsfraude kan gaan. Stom voorbeeld, iemand vervalst met jouw gegevens een identiteit. Huurt er een huis mee, doet hier lugubere dingen.

Ik snap dat het op die manier kan gebeuren. Maar het is eigenlijk toch gek dat je alleen met die gegevens, die in principe geen geheim zijn, zomaar contracten kan afsluiten.

Bij een BSN wordt er constant op gehamerd dat dit een bijzonder persoonsgegeven is en dat je die niet zomaar moet weggeven. Nooit iemand over gehoord dat je niet zomaar je paspoortdocumentnummer mag weggeven.

redwing schreef op donderdag 26 februari 2026 @ 15:57:
[...]

Tja, maar dat kunnen ze ook doen als ze wel die 500k zouden incasseren. Niemand houdt ze tegen om de boel dan te verkopen met evt. de melding om er de eerste maand niets mee te doen. Daarna is toch niet meer te achterhalen dat het met deze hack te maken heeft.

Het ging mij meer om de uitspraak "je houdt de criminaliteit in stand als je gaat betalen"
Ik ben bang dat betalen of niet daar dus geen invloed op gaat hebben (los van het feit dat er zoveel andere bedrijven zijn die wel betalen dus het pas echt zin heeft als je dat met zn allen afspreekt)

Hemingr schreef op donderdag 26 februari 2026 @ 14:22:
[...]
Het is meer om een boodschap te sturen. Ik wilde al een tijdje bij deze club weg (na 15 jaar) omdat er wel erg veel storingen zijn, nog niet de knoop doorgehakt omdat de alternatieven significant duurder zijn (in onze situatie 80E bij odildo voor 1gbps glas + onbeperkt alles mobiel incl USA + 20gb +150 bellen, tegenover bijna 120 voor hetzelfde bij kpn). Maar principes kosten geld dus ik ga van het weekend eens bij de kpn winkel langs om alles te regelen, wellicht kunnen ze er iets moois van maken.

Ik snap het, een actie vanuit onvrede.
Het 'hilarische' is, dat ik afgelopen jaar om dezelfde reden van KPN glas zo naar Odido glas ben overgestapt.
Van de 12 maanden hebben wij 2 maanden helemaal geen glasvezelinternet gehad, want een lastige storing en kastje muur - muur kastje. En van de resterende 9 maanden nog eens 3 keer een dag geen KPN internet.
Sinds wij over zijn naar Odido moet de eerste storing nog komen (nock on wood) en betalen we €35,00 p/mnd voor 1GB up/dwn waar KPN slechts €55,00 p/mnd wilde rekenen als 'vaste klanten' tegemoetkoming. Dus ja...

Als je je afvraagt of je e-mail adres is gelekt in deze eerste set, check: https://ikbenlek.nl
Daar kan je checken of je e-mail adres er tussen zit.

supershoe schreef op donderdag 26 februari 2026 @ 16:41:
Als je je afvraagt of je e-mail adres is gelekt in deze eerste set, check: https://ikbenlek.nl
Daar kan je checken of je e-mail adres er tussen zit.

Ik wacht wel op Troy Hunt.... Er zullen best goede tussen zitten, maar dit is ook een mooie manier om emailadressen te verzamelen als malafide website.. (zeg niet dat deze dat is!)

IJsbeer schreef op donderdag 26 februari 2026 @ 16:43:
[...]

Ik wacht wel op Troy Hunt.... Er zullen best goede tussen zitten, maar dit is ook een mooie manier om emailadressen te verzamelen als malafide website.. (zeg niet dat deze dat is!)

Ik had hetzelfde idee... wacht nog wel even

IJsbeer schreef op donderdag 26 februari 2026 @ 16:43:
[...]

Ik wacht wel op Troy Hunt.... Er zullen best goede tussen zitten, maar dit is ook een mooie manier om emailadressen te verzamelen als malafide website.. (zeg niet dat deze dat is!)

Ff snel net AI in elkaar geflanst. Redelijk fishy allemaal.

Ik heb dus geen e-mail gekregen van Odido dat mijn gegevens zouden zijn gelekt (nee, ook niet in spam), maar mijn gegevens zitten wel in het lek. Dus blijkbaar heeft Odido niet helemaal door wat er precies is gelekt?

japie06 schreef op donderdag 26 februari 2026 @ 16:19:
[...]


Ik snap dat het op die manier kan gebeuren. Maar het is eigenlijk toch gek dat je alleen met die gegevens, die in principe geen geheim zijn, zomaar contracten kan afsluiten.

Bij een BSN wordt er constant op gehamerd dat dit een bijzonder persoonsgegeven is en dat je die niet zomaar moet weggeven. Nooit iemand over gehoord dat je niet zomaar je paspoortdocumentnummer mag weggeven.

Ja, goed punt, blijkbaar is de wet/regelgeving toch nog wijd interpreteerbaar aan wat gevraagd mag/moet worden. Maar dan zitten we ook op vertrouwen natuurlijk. Want een bedrijf zal een goede afweging moeten maken wat ze allemaal willen verifiëren om risico in te dekken zonder teveel te vragen en/of op te slaan.

Zijn er hier ook mensen die net een abonnement hebben afgesloten en buiten de 14 dagen opzeggingstermijn zitten maar graag willen opzeggen en dat is gelukt?

Ik heb net gebeld en kreeg echt er 0 beweging in; maar ik wil eigenlijk mijn geld niet meer uitgeven aan dit soort partijen, vooral na de aankondiging vandaag dat ze geen geld willen betalen.

Los van of mijn gegevens al dan niet betrokken zijn; ik heb een soort 3 strikes out policy, het niet willen betalen maar wel zeggen dat ze geven om de klant was strike 3.

Pendora schreef op donderdag 26 februari 2026 @ 11:38:
Knip

Zoals ook in de topicwarning staat is vragen naar de link niet de bedoeling, ook niet via de DM.

[ Voor 41% gewijzigd door rens-br op 26-02-2026 17:00 ]

Hier de argumentatie van de politie waarom er geen losgeld is betaald.

https://www.politie.nl/ni...talen-na-cyberaanval.html

Hemingr schreef op donderdag 26 februari 2026 @ 16:55:
Hooooly sh*t.
Lekker bezig odido.....registreren medische data....

[Afbeelding]
[Afbeelding]
[Afbeelding]

(ik heb deze informatie niet zelf vergaard, maar dit komt uit een analyse van de data door iemand anders online.

Ik zie niks raars?

De door de cybercriminelen gepubliceerde klantgegevens van Odido bevatten ook burgerservicenummers (bsn), blijkt uit onderzoek van RTL Nieuws. Dat is wat anders dan Odido eerder beweerde. Volgens de telecomprovider zouden er geen bsn's in de gelekte data zitten.

Het gaat om tientallen BSN's van zakelijke klanten die als zzp'er in het systeem staan. Omdat een aantal jaar geleden de btw-nummers van zelfstandigen bsn's bevatten, zijn ook hun bsn's gelekt.

Bron: RTL

[ Voor 21% gewijzigd door leonm77 op 26-02-2026 17:00 ]

Hemingr schreef op donderdag 26 februari 2026 @ 16:55:
Hooooly sh*t.
Lekker bezig odido.....registreren medische data....

[Afbeelding]
[Afbeelding]
[Afbeelding]

(ik heb deze informatie niet zelf vergaard, maar dit komt uit een analyse van de data door iemand anders online.

Wie maakt even een tokkie-database?

leonm77 schreef op donderdag 26 februari 2026 @ 16:59:
[...]

Ah, zakelijke klanten. Ja, tot enkele jaren geleden was het KVK-nummer hetzelfde als je BSN wanneer je een ZZP'er was. Wie dat ooit bedacht heeft bij de KVK of overheid was niet al te slim bezig...

leonm77 schreef op donderdag 26 februari 2026 @ 16:59:
[...]

De bsn's zijn te vinden in het klantensysteem onder de btw-nummers, die tot 2020 het bsn van van zelfstandigen bevatten. Een deel van deze zelfstandigen is al jaren uitgeschreven uit de Kamer van Koophandel en ook geen klant meer van Odido. Ondanks dat staan hun gegevens nog in het systeem.

Daar ben je dan mooi klaar mee.

edie schreef op donderdag 26 februari 2026 @ 17:02:
[...]

Ah, zakelijke klanten. Ja, tot enkele jaren geleden was het KVK-nummer hetzelfde als je BSN wanneer je een ZZP'er was. Wie dat ooit bedacht heeft bij de KVK of overheid was niet al te slim bezig...

Het KVK-nummer is een uniek nummer. Het BTW-nummer van ZZP’ers is geruime tijd het BSN-nummer met toevoeging geweest.

..En vanuit Odido vandaag; krekels. Echt helemaal niets, geen mail of poging tot damage control.. alles moeten we als klanten uit het nieuws vernemen en mensen weten nog steeds niet waar ze aan toe zijn..

Dat is dus hoe Odido damage control ziet; zichzelf redden en niet de klant is koning..

Ik had zelf minimaal een mailtje verwacht met een update na de 12e, maar ook dat lijkt te veel.

Hemingr schreef op donderdag 26 februari 2026 @ 16:55:
Hooooly sh*t.
Lekker bezig odido.....registreren medische data....

[Afbeelding]
[Afbeelding]
[Afbeelding]

(ik heb deze informatie niet zelf vergaard, maar dit komt uit een analyse van de data door iemand anders online.

Nu ben ik vooral benieuwd naar mijn klantenservicereview, ik wist wel dat overdreven vriendelijk zijn tegen de helpdesk uiteindelijk uit zou betalen.

https://www.rtl.nl/nieuws...-burgerservicenummers-bsn

De door de cybercriminelen gepubliceerde klantgegevens van Odido bevatten ook burgerservicenummers (bsn), blijkt uit onderzoek van RTL Nieuws. Dat is wat anders dan Odido eerder beweerde. Volgens de telecomprovider zouden er geen bsn's in de gelekte data zitten.
Het gaat om tientallen BSN's van zakelijke klanten die als zzp'er in het systeem staan. Omdat een aantal jaar geleden de btw-nummers van zelfstandigen bsn's bevatten, zijn ook hun bsn's gelekt.

Een gedupeerde oud-klant van Odido, die zijn bsn-nummer bevestigde, is boos: "Ik heb niet eens een mailtje van Odido gehad hierover, laat staan excuses of een schadevergoeding."

Wist odido dit echt niet, of hebben ze echt informatie achtergehouden?

[ Voor 80% gewijzigd door dutchnltweaker op 26-02-2026 17:24 ]

To be fair, het is altijd al totaal bezopen geweest dat de BSN voor dat werd gebruikt voor ondernemers.

Nu er zoveel data gelekt is: laat dit eens een mooi moment om eens te stoppen met te doen alsof je BSN een geheim nummer is en je postcode en geboortedatum wachtwoorden zijn. Als we eens ophouden met deze gegevens als verificatie te gebruiken en ze juist te behandelen als openbare informatie, is de impact van dergelijke lekken een stuk kleiner. Een wachtwoord is eenvoudig te wijzigen, je geboortedatum niet echt.

dutchnltweaker schreef op donderdag 26 februari 2026 @ 17:22:
https://www.rtl.nl/nieuws...-burgerservicenummers-bsn
Wist odido dit echt niet, of hebben ze echt informatie achtergehouden?

Beide is mogelijk, maar kan me best voorstellen dat ze al heel snel roepen dat BSN er niet in staat als daar geen specifiek veld voor was en er geen beleid was om BSN’s op te vragen, maar dan dus niet goed nadenken dat in het veld van het BTW-nummer toch een deel van een BSN voorkomt.

Homeland schreef op donderdag 26 februari 2026 @ 17:00:
[...]

Wie maakt even een tokkie-database?

Je maakt daar een grap over, maar er zijn al mensen die data analyse aan het doen zijn op deze data set, waar nu al, onder andere uit komt dat bepaalde bevolkingsgroepen tot 20 keer hoger risico hebben op wanbetaling. Dat lijkt me toch wel schadelijk, en als zodadelijk de dataset 10 keer groter is….nou, dat kun je zelf invullen.

beyazz06 schreef op donderdag 26 februari 2026 @ 07:24:
Het is data wat te gebruiken is ter verificatie in bepaalde situaties waarbij kwaadwillenden zich als jouw kunnen voordoen.

Ik ben, behalve eerdergenoemde PostNL, nog nooit een situatie tegengekomen waarbij ik een documentnummer moet gebruiken als verificatie. En PostNL checkt dat verder ook met niemand, is gewoon een referentie voor op papier (laatste 3 tekens).

Er is immers ook geen register waar bedrijven kunnen checken of een ID-documentnummer bij jou hoort? Ze kunnen het hooguit vergelijken met wat jij hebt opgegeven bij inschrijven. Maar als dat lang geleden is, is het nummer sowieso al niet meer correct. En als je wel een nieuw documentnummer noemt, is je verificatie dan mislukt?

Ik moet hem wel geregeld opgeven voor reisdocumenten, maar dan wordt hij bij aanvang van die reis vergeleken met mijn fysieke ID, dat is heel anders.

Zelf zie ik dus nog steeds geen reden om heel veel geld uit te gaan geven aan nieuwe documenten.
De gelekte contactgegevens zijn veel bruikbaarder voor phising en andere zooi.

Hemingr schreef op donderdag 26 februari 2026 @ 17:40:
[...]


Je maakt daar een grap over, maar er zijn al mensen die data analyse aan het doen zijn op deze data set, waar nu al, onder andere uit komt dat bepaalde bevolkingsgroepen tot 20 keer hoger risico hebben op wanbetaling. Dat lijkt me toch wel schadelijk, en als zodadelijk de dataset 10 keer groter is….nou, dat kun je zelf invullen.

Het is op zo veel manieren enorm schadelijk, ik vrees alleen in hoeverre Odido of individuen binnen de organisatie hiervoor zullen boeten, want dat zal ben ik bang echt vies tegen gaan vallen.

Zoeksite voor de dataset is zojuist geupdate, je kan nu ook zoeken op straat + huisnummer om te checken of je adres in de dataset zit.
Er wordt gezocht in 273.511 e-mailadressen en 644.396 huisadressen.
Probeer het uit: https://ikbenlek.nl

Je zoekquery wordt client side gehashed, dus er wordt geen e-mail of huisadres naar de server verstuurd.

supershoe schreef op donderdag 26 februari 2026 @ 17:50:
Zoeksite voor de dataset is zojuist geupdate, je kan nu ook zoeken op straat + huisnummer om te checken of je adres in de dataset zit.
Er wordt gezocht in 273.511 e-mailadressen en 644.396 huisadressen.
Probeer het uit: https://ikbenlek.nl

Je zoekquery wordt client side gehashed, dus er wordt geen e-mail of huisadres naar de server verstuurd.

Maar is deze site dan niet strafbaar? tenslotte hebben ze de dataset moeten downloaden en hashen om deze service te leveren? Waar loopt dit strafartikel precies kwa lijn..

CT schreef op donderdag 26 februari 2026 @ 18:04:
[...]


Maar is deze site dan niet strafbaar? tenslotte hebben ze de dataset moeten downloaden en hashen om deze service te leveren? Waar loopt dit strafartikel precies kwa lijn..

Technisch gezien heb je alleen de hashes van de data nodig, en niet de data zelf. Die kun je natuurlijk van een vriend hebben gekregen

Vraag me idd wel af hoe dat juridisch dan zit.

Held op sokken van die site, waarom met een Gmail geregistreerd.

Ik zou er niets opzoeken en die site hier weghalen.

Zoals eerder gezegd, moeder is bij Odido weg nu, dit bedrijf mag eerst intern orde op zaken stellen alvorens ze weer klanten zouden mogen serveren.

Curatele lijkt mij een goeie, net zoals Nexperia.

[ Voor 46% gewijzigd door Vorkie op 26-02-2026 18:11 ]

gixslayer schreef op donderdag 26 februari 2026 @ 18:08:
[...]


Technisch gezien heb je alleen de hashes van de data nodig, en niet de data zelf. Die kun je natuurlijk van een vriend hebben gekregen

Vraag me idd wel af hoe dat juridisch dan zit.

Ja maar als je die lijn doortrekt kan je ook een pipeline maken die de data al hashed tijdens het downloaden en dus de data in zijn originele staat nooit je diskdrive heeft aangeraakt, dan kan je dat ook doen met muziek en films, dan strot het hele systeem inelkaar

"Voer je e-mailadres of huisadres (zonder stad) in. Voorbeeld: naam@gmail.com of Dorpstraat 1."

Leuk, maar wat als je nou in de Kerkstraat woont? Die komt ongeveer 1400 keer voor in Nederland.

Ryan_ schreef op donderdag 26 februari 2026 @ 18:12:
"Voer je e-mailadres of huisadres (zonder stad) in. Voorbeeld: naam@gmail.com of Dorpstraat 1."

Leuk, maar wat als je nou in de Kerkstraat woont? Die komt ongeveer 1400 keer voor in Nederland.

Precies, logischer zou postcode+huisnummer zijn.

Vorkie schreef op donderdag 26 februari 2026 @ 18:10:
Held op sokken van die site, waarom met een Gmail geregistreerd.

Ik zou er niets opzoeken en die site hier weghalen.

Zoals eerder gezegd, moeder is bij Odido weg nu, dit bedrijf mag eerst intern orde op zaken stellen alvorens ze weer klanten zouden mogen serveren.

Curatele lijkt mij een goeie, net zoals Nexperia.

Lijkt mij inderdaad geen goed idee om een website zoals dat te hosten als random persoon op het internet. Lekker met prive email geregistreerd

Ben benieuwd of hij een bezoekje van de politie kan verwachten, of dat alleen de site offline gaat.. Aangezien hij de data op Azure host is dat niet alleen lokaal..

BlazeMuis schreef op donderdag 26 februari 2026 @ 18:19:
[...]


Lijkt mij inderdaad geen goed idee om een website zoals dat te hosten als random persoon op het internet. Lekker met prive email geregistreerd

Ben benieuwd of hij een bezoekje van de politie kan verwachten, of dat alleen de site offline gaat.. Aangezien hij de data op Azure host is dat niet alleen lokaal..

En persoonlijk Twitter account

Ryan_ schreef op donderdag 26 februari 2026 @ 18:21:
[...]

En persoonlijk Twitter account

Dat had ik nog niet gezien, goh wat dom

BlazeMuis schreef op donderdag 26 februari 2026 @ 18:22:
[...]


Dat had ik nog niet gezien, goh wat dom

Hier idem, dus wel een soort van held dat ie dit doet, maar misschien niet geheel vrijwillig zo bedacht.

Ik hoorde op bnr dat politie druk bezig is de data te uploaden bij de check je hack website. Nog even geduld dus

laurens0619 schreef op donderdag 26 februari 2026 @ 18:34:
Ik hoorde op bnr dat politie druk bezig is de data te uploaden bij de check je hack website. Nog even geduld dus

Hopelijk hebben ze een snelle verbinding van Odido dan duurt het niet zo lang

ernie4444 schreef op donderdag 26 februari 2026 @ 18:44:
[...]

Hopelijk hebben ze een snelle verbinding van Odido dan duurt het niet zo lang

En dat ze nu Odido hebben als leverancier is niet raar.
Aantal jaar geleden heeft de Nederlandse overheid voor Tele2 gekozen als provider.

Daarom denk ik ook dat het onderzoek door het OM niet zonder reden is, zij zijn er ook klant en dus mogelijk slachtoffer.

SebasFM schreef op donderdag 26 februari 2026 @ 16:00:
[...]


Jij hebt geen vaste lijn of bedrijfstelefoon op ander mobiel netwerk?

Nope, alleen mobiel.

Mijn data is gelukkig nog niet gelekt in de dump van vandaag. Mijn dorp staat er wel in met slachtoffers.
Ik heb mijn buren gewaarschuwd. Ze staan erin. 3 buren staan erin he. WTF

[ Voor 26% gewijzigd door Draconian op 26-02-2026 19:36 ]