Odido waarschuwt voor datalek (cyberaanval/hack)

djmuggs schreef op donderdag 26 februari 2026 @ 19:04:
[...]


En dat ze nu Odido hebben als leverancier is niet raar.
Aantal jaar geleden heeft de Nederlandse overheid voor Tele2 gekozen als provider.

Daarom denk ik ook dat het onderzoek door het OM niet zonder reden is, zij zijn er ook klant en dus mogelijk slachtoffer.

Semi-overheidsorganisatie waar ik werk is ook Odido klant, de ‘enige’ persoonsgegevens die gelekt zijn, zijn de zakelijke contactgegevens van de contactpersoon. De impact voor bedrijven is nihil t.o.v. de consument

Best vreemd:
Ik heb nooit een mail gehad van Odido en mijn gegevens krijgen wel een bevestiging op de ikbenlek site.
M’n vriendin en haar familie hebben wel een mail gehad en staan er niet in.

Ondertussen 🤪

Jurgen_E schreef op donderdag 26 februari 2026 @ 10:06:
[...]


En dit vind ik echt teleurstellend, zoveel klanten in ontwetenheid laten wat ze nu doen en wat er nu werkelijk gelekt is. Ik wacht het nog even af hoe alles nu verder loopt, maar sowieso na mijn contract periode ben ik weg bij Odido. Ze hebben mijn vertrouwen in het bedrijf heel erg beschadigd.

Terecht. Van de week ook mijn contract opgezegd, ik kon er gelukkig al vanaf. Ze hadden nog de vraag waarom, maar waren terecht erg gelaten toen ze de reden vernamen.

Eens met -d- excuus.

[ Voor 94% gewijzigd door Miyamoto op 26-02-2026 20:10 ]

Lijkt me beetje ongepast om klantenservice medewerkers te gaan trollen op X/ op te zoeken op social media? Ik heb ook geen hoge pet op van Odido maar die arme klantenservice medewerkers kunnen hier dus echt niks aan doen en hebben waarschijnlijk al geen leuke week met boze klanten.

Hemingr schreef op donderdag 26 februari 2026 @ 17:40:
[...]


Je maakt daar een grap over, maar er zijn al mensen die data analyse aan het doen zijn op deze data set, waar nu al, onder andere uit komt dat bepaalde bevolkingsgroepen tot 20 keer hoger risico hebben op wanbetaling. Dat lijkt me toch wel schadelijk, en als zodadelijk de dataset 10 keer groter is….nou, dat kun je zelf invullen.

Had de belastingdienst toch een grondslag 😉

Alle gekkigheid op een stokje; dergelijke datasets geven meer openheid van zaken dan ieder anoniem onderzoek ooit zal doen. Hypothetisch zou je met de data van een ECD lek vrij nauwkeurig kunnen analyseren wat factoren voor bepaalde ziektes zijn omdat alle medische data erin staat. Daar waar iedere onderzoeker nú beperkt wordt door de AVG.

NOS zegt nu dat de gegevens van vandaag alleen nog zaken als naam, adres en aantekeningen gaat en dus nog niet email, telefoon, Iban etc.

Dat lijkt tegenstrijdig met wat anderen die het bestand hebben bekeken zeggen.
Maar hoe dan ook, als je er nu al tussen staat weet je dus nog niet wat er allemaal over je gelekt is.

https://nos.nl/l/2604142

laurens0619 schreef op donderdag 26 februari 2026 @ 18:34:
Ik hoorde op bnr dat politie druk bezig is de data te uploaden bij de check je hack website. Nog even geduld dus

Ook wel humor dat zo’n random op het internet dat dan sneller werkend heeft dan de politie. Het is immers niet dat het aangekondigd is.

kilon schreef op donderdag 26 februari 2026 @ 20:08:
NOS zegt nu dat de gegevens van vandaag alleen nog zaken als naam, adres en aantekeningen gaat en dus nog niet email, telefoon, Iban etc.

Dat lijkt tegenstrijdig met wat anderen die het bestand hebben bekeken zeggen.
Maar hoe dan ook, als je er nu al tussen staat weet je dus nog niet wat er allemaal over je gelekt is.

https://nos.nl/l/2604142

Ik heb 100% zeker langs zien komen dat sommige mensen claimde dat IBAN en email er in stonden. Kan zijn dat bij volgende data sets er misschien meer van in staat, maar een claim dat er nu nog geen IBAN/mail in staat is kolder

gerritjan schreef op donderdag 26 februari 2026 @ 18:16:
[...]

Precies, logischer zou postcode+huisnummer zijn.

Er lijkt wel meegelezen te worden, site is inmdidels aangepast:

Voer je e-mailadres of postcode+huisnr in. Voorbeeld: naam@gmail.com of 1234AB 1.

Mijn cynische kant zegt dat Odido (en Ben) hier prima mee weg komt. In mijn directe omgeving, stuk of zes mensen die Odido hebben, allemaal niet heel erg digibeet (ze weten het verschil tussen Google Drive en hun harde schijf en kunnen Photoshop openen). Hoor toch snel de usual argumenten; "overstappen is heel veel moeite", "oh dat datalek ja wel wat over gehoord maar verder niet zo veel van meegekregen", "ik krijg toch al spam", "mijn data is nu toch al gelekt, dus overstappen heeft geen zin".

Weet niet of mede-Tweakers hetzelfde in hun kennissenkring ervaren, maar denk dat het gros van de Odido klanten dit zonder te veel actie gewoon laten gebeuren

De website http://ikbenlek.nl is inmiddels overgenomen door de Politie en niet meer te gebruiken. Je wordt nu omgeleid naar de website van de politie waar er gecontroleerd kan worden of het opgegeven emailadres in een datalek voorkomt.

Er kan dus niet meer specifiek gezocht worden of je slachtoffer bent van het datalek bij Odido.

MagniArtistique schreef op donderdag 26 februari 2026 @ 20:09:
[...]

Ook wel humor dat zo’n random op het internet dat dan sneller werkend heeft dan de politie. Het is immers niet dat het aangekondigd is.

De Politie is ook maar een organisatie en ik vind het niet meer dan logisch dat er eerst goede keuzes gemaakt worden voordat je spul online brengt.

Immers kan die random het vanuit een stukje good will verantwoorden, maar als de Politie straks foutieve informatie verspreid dan heb je de poppen aan het dansen.

Wel geinig overigens: Ik lees hier veel afschuw over Odido die te makkelijk met persoonsgegevens omgaat, maar de instanties moeten even opschieten met het vrijgeven van informatie (op basis van diezelfde persoonsgegevens).

Laat maar, niet relevant.

[ Voor 94% gewijzigd door Soldaatje op 26-02-2026 21:21 . Reden: offtopic ]

kilon schreef op donderdag 26 februari 2026 @ 20:08:
NOS zegt nu dat de gegevens van vandaag alleen nog zaken als naam, adres en aantekeningen gaat en dus nog niet email, telefoon, Iban etc.

Dat lijkt tegenstrijdig met wat anderen die het bestand hebben bekeken zeggen.
Maar hoe dan ook, als je er nu al tussen staat weet je dus nog niet wat er allemaal over je gelekt is.

https://nos.nl/l/2604142

Ik kan met 100% zekerheid stellen dat mijn Iban en mijn email zijn gelekt. Telefoon nummer niet wat dan wel raar is.

dubstepjoris schreef op donderdag 26 februari 2026 @ 20:25:
Mijn cynische kant zegt dat Odido (en Ben) hier prima mee weg komt. In mijn directe omgeving, stuk of zes mensen die Odido hebben, allemaal niet heel erg digibeet (ze weten het verschil tussen Google Drive en hun harde schijf en kunnen Photoshop openen). Hoor toch snel de usual argumenten; "overstappen is heel veel moeite", "oh dat datalek ja wel wat over gehoord maar verder niet zo veel van meegekregen", "ik krijg toch al spam", "mijn data is nu toch al gelekt, dus overstappen heeft geen zin".

Weet niet of mede-Tweakers hetzelfde in hun kennissenkring ervaren, maar denk dat het gros van de Odido klanten dit zonder te veel actie gewoon laten gebeuren

Wat wil je precies? Dat ze failliet gaan? Ik ben al jaren bij die club. Ben niet blij met wat er is gebeurd, maar het kan bij elk bedrijf misgaan. Dat is gewoon een questie van tijd.
Laten we hopen dat dit veranderingen ten goede brengt.

Heb een beetje moeite met mensen die gaan lopen stampvoeten als een klein kind en krijsend weglopen. Of met mensen die om hun eigen gemoedsrust te sussen de hackers willen betalen, of vinden dat Odido dat had moeten doen. Nooit, maar dan ook nooit toegeven aan dat tuig.

Ja, vervelend allemaal. Dat kost me minimaal €90,- voor een nieuwe id-kaart. Balen. Maar shit happens everywhere!

Hazalnootpuur schreef op donderdag 26 februari 2026 @ 20:42:
[...]


Wat wil je precies? Dat ze failliet gaan? Ik ben al jaren bij die club. Ben niet blij met wat er is gebeurd, maar het kan bij elk bedrijf misgaan.

Dat kan het zeker, geen enkel bedrijf kan dit 100% voorkomen, hackers vinden uit eindelijk toch wel een manier. Maar het gaat mij, en ik denk vele met mij, meer over hoe Odido hiermee omgaat en de hoe Odido de mensen die getroffen zijn niet op de hoogte houdt van alle ontwikkelingen en dat wij veel vanuit de media moeten horen wat er allemaal gelekt is. Daarbij zijn er ook gegevens gelekt van oud klanten die allang verwijderd had moeten worden.

Hazalnootpuur schreef op donderdag 26 februari 2026 @ 20:42:
[...]


Wat wil je precies? Dat ze failliet gaan? Ik ben al jaren bij die club. Ben niet blij met wat er is gebeurd, maar het kan bij elk bedrijf misgaan. Dat is gewoon een questie van tijd.
Laten we hopen dat dit veranderingen ten goede brengt.

Heb een beetje moeite met mensen die gaan lopen stampvoeten als een klein kind en krijsend weglopen. Of met mensen die om hun eigen gemoedsrust te sussen de hackers willen betalen, of vinden dat Odido dat had moeten doen. Nooit, maar dan ook nooit toegeven aan dat tuig.

Ja, vervelend allemaal. Dat kost me minimaal €90,- voor een nieuwe id-kaart. Balen. Maar shit happens everywhere!

Zelf ook getroffen, en toch besloten weg te gaan. De manier hoe ze er mee omgaan steekt mij vooral.

Persoonlijk vind ik dat er wat voor te zeggen valt als ze betaald hadden, als je in het nieuws leest dat ze ook met een half miljoen akkoord waren gegaan. Dan zou het ze .09 cent per klant (op basis van de 6 miljoen getroffen) kosten. Ze hadden ook een club kunnen treffen die de gegevens meteen online had gegooid, of meer (en ShinyHunters staat er volgens het nieuws om bekend om zich aan de deals te houden). Dit kun je dan onder een dure security les plaatsen. Nu bereken je het door aan je klanten, in de vorm van data, terwijl wij (de klant) ons wel aan de security regels hebben gehouden (wachtwoord, 2fa etc.).

Hazalnootpuur schreef op donderdag 26 februari 2026 @ 20:42:
[...]


Wat wil je precies? Dat ze failliet gaan? Ik ben al jaren bij die club. Ben niet blij met wat er is gebeurd, maar het kan bij elk bedrijf misgaan. Dat is gewoon een questie van tijd.
Laten we hopen dat dit veranderingen ten goede brengt.

Heb een beetje moeite met mensen die gaan lopen stampvoeten als een klein kind en krijsend weglopen. Of met mensen die om hun eigen gemoedsrust te sussen de hackers willen betalen, of vinden dat Odido dat had moeten doen. Nooit, maar dan ook nooit toegeven aan dat tuig.

Ja, vervelend allemaal. Dat kost me minimaal €90,- voor een nieuwe id-kaart. Balen. Maar shit happens everywhere!

Bedrijven zijn dolblij met klanten die gewoon braaf bukken en dolgraag de consequenties aanvaarden van hun wanbeleid. Die C-suite lacht zich kapot dat er blijkbaar mensen genoegen nemen met een standaard statement met halve waarheden en pedante tips op een website die nu niet eens bereikbaar is.

Is het toeval dat je in de odido app niet kan inloggen nu? Ik was ingelogd, maar moest opnieuw inloggen omdat de inlog verlopen was. Die melding heb ik nog nooit eerder gehad. Waarom nu wel. Ook bij mijn vrouw hetzelfde. Ik vind het raar.

Sowiesoraar dat ze in de mail zeggen dat er geen id gegevens gehackt zijn. Nu blijkt dat wel zo te zijn. Dit schept geen vertrouwen…..

Knip. Laten we niet meegaan in deze stemmingmakerij.

[ Voor 83% gewijzigd door rens-br op 26-02-2026 23:49 ]

Oprecht goed bedoeld, maar het is aan de buitenkant niet te zien of er iets met de gegevens gebeurd, hoe veilig de verbinding is.

[ Voor 78% gewijzigd door rens-br op 27-02-2026 10:52 ]

Marrtijn schreef op donderdag 26 februari 2026 @ 21:04:
[...]


Bedrijven zijn dolblij met klanten die gewoon braaf bukken en dolgraag de consequenties aanvaarden van hun wanbeleid. Die C-suite lacht zich kapot dat er blijkbaar mensen genoegen nemen met een standaard statement met halve waarheden en pedante tips op een website die nu niet eens bereikbaar is.

Nou die siebercriminelen waren anders heel slinks hoor! Zegt DID zelf, dus dan moet het wel waar zijn.

GREENSKiN schreef op donderdag 26 februari 2026 @ 21:12:
knip

Lees anders even terug

https://ikbenlek.nl werd binnen een paar uur overgenomen door Politie.nl. Just saying.

[ Voor 43% gewijzigd door rens-br op 27-02-2026 10:52 ]

Ryan_ schreef op donderdag 26 februari 2026 @ 21:15:
[...]

Lees anders even terug

https://ikbenlek.nl werd binnen een paar uur overgenomen door Politie.nl. Just saying.

Overgenomen of dev zelf die gewoon redirect naar die check je hack pagina?

In ieder geval deed die site nog client side hashing van de data voordat het werd opgestuurd. Deze site lijkt het direct te submitten. Lekker met je IBAN :-)

Odido website is compleet offline? Gaat lekker daar, nu wil zelfs het opzeggen niet lukken.

Homeland schreef op donderdag 26 februari 2026 @ 21:27:
Odido website is compleet offline? Gaat lekker daar, nu wil zelfs het opzeggen niet lukken.

Klopt. Offline haha. Komt alweer rustig online. Teveel bezoekers om op te zeggen denk.
https://allestoringen.nl/storing/odido/

[ Voor 11% gewijzigd door Draconian op 26-02-2026 21:33 ]

Homeland schreef op donderdag 26 februari 2026 @ 21:27:
Odido website is compleet offline? Gaat lekker daar, nu wil zelfs het opzeggen niet lukken.

Waarom zou je willen opzeggen? Ze bieden zelfs een gratis geavanceerd beveiligingspakket aan om je te beschermen tegen slinkse siebercriminelen. Beetje ondankbaar dit.

[ Voor 4% gewijzigd door rr7r op 26-02-2026 21:37 ]

rr7r schreef op donderdag 26 februari 2026 @ 21:37:
[...]


Waarom zou je willen opzeggen? Ze bieden zelfs een gratis geavanceerd beveiligingspakket aan om je te beschermen tegen slinkse siebercriminelen. Beetje ondankbaar dit.

Grapje mag ik hopen toch

Nog een week en ben er ook met internet weg, mobiel is afgelopen maandag al overgezet

_{(scheelde dat ik geen contractduur meer had)}

Is de website ikbenlek ook malafide of hoe zit het nou? Aangezien deze nu ineens wordt doorgelinkt naar politie.nl?

Scorpio861 schreef op donderdag 26 februari 2026 @ 21:52:
Is de website ikbenlek ook malafide of hoe zit het nou? Aangezien deze nu ineens wordt doorgelinkt naar politie.nl?

Het is waarschijnlijk niet echt legaal om die dataset te bezitten dan wel online aan te bieden. Doorlinken zonder gevolgen is waarschijnlijk de beste optie.

ArcticWolf schreef op donderdag 26 februari 2026 @ 21:43:
[...]

Grapje mag ik hopen toch

Nee hoor, zie kort stukje van Lubach: YouTube: Heeft Odido geleerd van het datalek? | LUBACH

Scorpio861 schreef op donderdag 26 februari 2026 @ 21:52:
Is de website ikbenlek ook malafide of hoe zit het nou? Aangezien deze nu ineens wordt doorgelinkt naar politie.nl?

Toen ik eerder vandaag keek deed het igg een client side hash (dacht plain sha256). Kan natuurlijk aangepast zijn, en valt beter te hashen, maar waarschijnlijk gevalletje goede intenties maar niet helemaal goed nagedacht.

Stel al mijn gegevens zijn gelekt, hoe kan je het beste beschermen nu op dit moment voor phishing en in de toekomst.

-nieuw e-mailadres. (Met alias mogelijkheid)
-nieuwe telefoonnummer.
-nieuw rekening openen.
-overal een alias opgeven waar dit mogelijk is.

Nog meertips?

Ik voorzie een nieuw woord in het woordenboek binnenkort...

Sorry, geen serieuze post, maar kon het niet laten om ook even wat humor en leedvermaak in de mix te gooien vanavond.

Hoppa…. Hij is binnen

You've been pwned in the Odido data breach
You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:
Email Found:

Breach:
Odido
Date of Breach:
February 2026
Breached Accounts:
316.91 thousand
Compromised Data:
Bank account numbers, Customer service comments, Dates of birth, Driver's licenses, Email addresses, Names, Passport numbers, Phone numbers, Physical addresses
Description:
In February 2026, the Dutch telco Odido was the victim of a data breach and subsequent extortion attempt. Following the incident, 1M records containing 317k unique email addresses was published publicly, with a threat by the attackers to continue leaking more data in the following days. The data also included names, physical addresses, phone numbers, bank account numbers and notes about customers left by service operators. Odido has published a disclosure notice detailing the extent of the incident, providing an FAQ and advising the incident also impacted dates of birth, passport and drivers licence numbers.

Hier ook de melding binnen, hoeven we ook niet meer te hopen nog gemist te zijn

rr7r schreef op donderdag 26 februari 2026 @ 21:37:
[...]


Waarom zou je willen opzeggen? Ze bieden zelfs een gratis geavanceerd beveiligingspakket aan om je te beschermen tegen slinkse siebercriminelen. Beetje ondankbaar dit.

Hahaha, inderdaad! Dit pakket, dat overigens al jaren gratis bij KPN verkrijgbaar is als abonnee, is goed tegen sieber….

Mijn advies: stap over, vernieuw je ID-bewijs waar je ooit abonnee mee bent geworden (als die al niet verlopen is) en ga met Odido in gesprek over de kosten hiervan.

Hemingr schreef op donderdag 26 februari 2026 @ 17:40:
[...]


Je maakt daar een grap over, maar er zijn al mensen die data analyse aan het doen zijn op deze data set, waar nu al, onder andere uit komt dat bepaalde bevolkingsgroepen tot 20 keer hoger risico hebben op wanbetaling. Dat lijkt me toch wel schadelijk, en als zodadelijk de dataset 10 keer groter is….nou, dat kun je zelf invullen.

En zo ontstaat nou misinformatie. Want dit blijkt nergens uit. We kunnen het ook niet (legaal) verifiëren.

Net zoals deze geinponem: Jerie in "De landelijke Nederlandse politiek 2026" Bron: 'lees mijn boek'. Tja, dat noemen we nu reclame.

Je kunt ook helemaal niet zien welke bevolkingsgroep iemand onder valt. Je weet niet eens of een klant een Nederlander is. Je zou dan al moeten kijken naar iemands achternaam, maar dat zegt niet zoveel o.a. omdat achternamen kunnen veranderen. Je weet ook niet welke klant het betreft (er kunnen er meerdere op 1 adres zitten). Tenslotte weet je niet waarom Payment_responsible__c false is. Je weet ook de leeftijd niet van de klant.

Bij de een staat Rating: medium en de ander Rating: high. Wat dat in zou houden is me ook niet duidelijk.

Die wachtwoorden van Password__c zullen in een paste moeten komen. Die mogen niet meer worden hergebruikt... en die wachtwoorden zijn wel plaintekst gelekt. Die klanten moeten z.s.m. worden geïnformeerd want sommige wachtwoorden zijn intelligent, anderen zeer persoonlijk en wellicht hergebruikt.

En dan nog even specifiek je laatste opmerking:

en als zodadelijk de dataset 10 keer groter is….nou, dat kun je zelf invullen.

Dit betreft 1 miljoen records. Volgens Odido zou tegen de 7 miljoen records zijn gelekt (elders las ik 21M, doet er niet toe). De data lijkt incremental te zijn op basis van klantnummer (welke je ziet wanneer je selecteert op id). Ergo, dat lijkt in relatie tot afkomst random te zijn. Dus heb je een significante sample size van de (1M/7M) of (1M/21M). Die is representatief. Dus als het ratio nu 1 op 20 zou zijn, dan blijft het dat ongeveer. Het gaat niet ineens.... ehh... bijvoorbeeld 1 op (20 * 10) ofzo zijn... dus die 10x of 7x of 21x of whatever, doet er niet toe. Het is al significante sample size.

Maar nogmaals, dat kunnen wij helemaal niet verifiëren, en er zijn teveel mensen die een politiek belang hebben om hier oneerlijk over te zijn zonder dat we het met publieke data kunnen verifiëren.

[ Voor 24% gewijzigd door Jerie op 27-02-2026 02:21 ]

Ik vraag me af, is mij data uitgelekt? Ik heb in 2018 bij Transcom gewerkt als first line van Tele2. Zijn alle comments die ik heb achtergelaten, de account info van mij om in te loggen in het systeem e.d. ook gelekt? Ik heb geen mail ontvangen.

Huub17 schreef op vrijdag 27 februari 2026 @ 01:14:
Hier ook de melding binnen, hoeven we ook niet meer te hopen nog gemist te zijn

Hier geen melding ondanks dat ik wel in de dataset zit. Maar ik sta er alleen in met naam + adres vanwege een hele oude T-Mobile aansluiting, de rest van mijn informatie mist, en dus ook het email adres. Dus haveibeenpwned is niet helemaal waterdicht.

En in de dataset was ook niet echt vast dedicated email kolom te vinden, behalve waar je in kan zien welke mails er verstuurd zijn. Die kan je wel weer extracten naar een aparte kolom.

En dit is nog maar 1 miljoen regels, zolang Odido niet betaald krijgen we 16 dagen lang een dump hadden ze al aangegeven.

Jerie schreef op vrijdag 27 februari 2026 @ 02:07:
[...]

Die wachtwoorden van Password__c zullen in een paste moeten komen. Die mogen niet meer worden hergebruikt... en die wachtwoorden zijn wel plaintekst gelekt. Die klanten moeten z.s.m. worden geïnformeerd want sommige wachtwoorden zijn intelligent, anderen zeer persoonlijk en wellicht hergebruikt.

Voor zover ik kan zien worden deze wachtwoorden alleen mondelijk/telefonisch gebruikt zodat er door de helpdesk medewerker wijzigingen in het account doorgevoerd mogen worden en ze zeker weten met de goede persoon te praten. Veel gevallen van misbruik door ex'en is te lezen in het opmerkingen veld.

Daarnaast zag ik een screenshot voorbij komen met aanduidingen van Rijbewijs, Europees Bewijs, maar deze woorden komen niet voor in de huidige dataset. Dus of die heeft er zelf een label aan gehangen op basis van ID format, maar ook die ID nummers kom ik niet echt tegen.

Telefoonnummers zitten er ook niet voor iedereen in, er is een bepaald veld die gebruikt word als soort van activiteitenlog (mailtjes, smsjes) en daar staat soms een 06 nummer in of het email adres (altijd 1 van beide)

*edit
190 duizend unieke telefoonnummers
273 duizend unieke e-mailadressen

[ Voor 47% gewijzigd door Senaxx op 27-02-2026 02:53 ]

Senaxx schreef op vrijdag 27 februari 2026 @ 02:21:

Voor zover ik kan zien worden deze wachtwoorden alleen mondelijk/telefonisch gebruikt zodat er door de helpdesk medewerker wijzigingen in het account doorgevoerd mogen worden en ze zeker weten met de goede persoon te praten. Veel gevallen van misbruik door ex'en is te lezen in het opmerkingen veld.

Jawel, maar er zitten ook daadwerkelijk wachtwoorden bij waarvan ik de indruk heb dat deze worden hergebruikt. Wat je kunt doen is cross referencen met een andere dataset van gelekte Nederlanders waar de wachtwoorden in staan. Die wachtwoorden die komen in pastes te staan die gebruikt worden voor password spraying, en dat doen zowel whitehats als blackhats. Helaas in deze context meestal blackhats, maar die moeten we dan ook voor zijn... want op Odido hoef je niet te rekenen qua accurate informatie. Die zwijgen als het graf, en in hun communicatie zien ze zichzelf vooral als slachtoffer. Nee, je (ex-)klanten, die zijn het slachtoffer. Odido is het lijdende voorwerp, het middel.

Nu heb je mensen die zeggen dit is toch allemaal al eens gelekt. Deels vast het geval (ik kan me nog Facebook en LinkedIn herinneren van afgelopen jaren). Al was dat middels scraping gedaan. Maar dit soort pastes worden gebruikt om data te verifiëren (cross referencing). Volgens mij noemen ze het in hun jargon combo list, maar dat weet ik niet zeker. Daardoor wordt een huidige dataset meer waardevol, en is deze bovendien meer / weer updated. Hierdoor kun je zelfs uitvogelen wie er zoal is gescheiden / samen is gaan wonen, waar mensen naartoe zijn verhuisd, en men kan ook huishoudens targeten waar bijvoorbeeld veel te halen valt (denk even aan bepaalde plaatsnamen, bijvoorbeeld). En denk ook even aan dat lek bij de politie. Al die namen van medewerkers die gelekt zijn, kan men cross referencen met een set zoals deze. De kracht van een grote dataset zoals deze ligt in combinatie met andere data.

Daarnaast zag ik een screenshot voorbij komen met aanduidingen van Rijbewijs, Europees Bewijs, maar deze woorden komen niet voor in de huidige dataset. Dus of die heeft er zelf een label aan gehangen op basis van ID format, maar ook die ID nummers kom ik niet echt tegen.

Het wordt voor mij een stukje eenvoudiger als ik eindelijk een hit heb. Want dan kan ik afstemmen wat de informatie zoal in zou houden. Maar vooralsnog heb ik nog geen zuivere hit kunnen vinden. Op zich niet gek. Er zitten dubbele entries in, dus het is veel minder dan 1M klanten. Bovendien, niet iedereen die je kent, is klant (geweest) bij Odido. Wellicht dat plaatsnamen die ODF hebben, wat hogere representatie hebben in de dataset. Omdat je het eerste jaar ODF aan Odido vast zit, en het qua prijs het eerste jaar v.z.i.w. altijd goedkoper is dan Ziggo of KPN. Het is leek gewoon een goede deal.

En ja, ook mijn vertrouwen in deze toko is verdwenen dat was al laag n.a.v. enkele gesprekken met hun helpdesk (onboarding ODF), plus het gebrek aan IPv6 is in 2026 niet uit te leggen (in 2016 al niet, btw). Wat me specifiek zo steekt, is de manier waarop ze communiceren. Ze zijn het slachtoffer geworden van. Je zou ze bijna zielig gaan vinden. Maar de waarheid lijkt toch anders te zijn. Geen goede rate limiting op hun CMS, inadequate (tooling) voor MFA.

peize9 schreef op vrijdag 27 februari 2026 @ 02:12:
Ik vraag me af, is mij data uitgelekt? Ik heb in 2018 bij Transcom gewerkt als first line van Tele2. Zijn alle comments die ik heb achtergelaten, de account info van mij om in te loggen in het systeem e.d. ook gelekt? Ik heb geen mail ontvangen.

Volgens mij staan er wel IDs van medewerkers in (soort van hashes). Die leveren dan commentaar, en dat is dan intern herleidbaar naar de medewerker. Maar of dat ook mogelijk is middels deze paste, dat lijkt me vooralsnog niet (eenvoudig) het geval. Ik ben in ieder geval niet bij commentaar voor- en achternamen van medewerkers tegengekomen.

Inmiddels heb ik een scriptje gemaakt om de data grep'able te maken (met gron (want ik haat smurfen json)), en om een aantal identifiers te kunnen grep'en. Ik ben nog bezig die identifiers te definiëren. Tot nu toe denk ik aan: postcode + huisnummer, telefoonnummer, email adres, IBAN. Dat zou genoeg moeten zijn. In ieder geval enkel met wie mijn vrouw of ik een goede relatie heb, zodat indien we diegene informeren men inziet dat daar een goede bedoeling achter zit. Mensen met wie ik geen goede relatie heb, ga ik niet opzoeken of contacteren. Uiteindelijk is het mijn bedoeling om de data na die gebruikte identifiers (die grondig moeten zijn) te vernietigen. Zo voorkom je dat je deze data nog in bezit hebt, maar heb je toch de dataset door kunnen spitten voor je naaste.

Ik ga dit in ieder geval doen voor mijn moeder en schoonmoeder. Vooral mijn moeder (die zit bij Odido) maakt zich grote zorgen. Mijn schoonmoeder heeft vaak prepaid gehad (en laten verlopen), ik weet niet meer bij welke provider(s).

Deel 2 is nu online. Ik sta er nu ook in met alle gegevens.

[ Voor 49% gewijzigd door Draconian op 27-02-2026 06:24 ]

Ook in de set van haveibeenpwnd.com terwijl ik geen sms en geen e-mail heb ontvangen van Odido. Weer een enorme misser dus. Dit is voor mij de spreekwoordelijke druppel.

Inmiddels ook bericht gehad van mozilla dat al mijn data rek, pp nummer e-mail, naw gelekt zijn. Van Odido niks gehoord.
Inmiddels nieuwe paspoorten aangevraagd (deze waren slechts 1,5 jaar oud) . Daarnaast de incasso van Odido stopgezet.

Naafkap schreef op vrijdag 27 februari 2026 @ 06:45:
Ook in de set van haveibeenpwnd.com terwijl ik geen sms en geen e-mail heb ontvangen van Odido. Weer een enorme misser dus. Dit is voor mij de spreekwoordelijke druppel.

Yup, hier ook. Mailtje gehad van haveibeenpwnd en van de kant van odido niets behalve het gechirp van krekels.

Hier nog iemand wiens gegevens al gelekt zijn zonder berichtgeving van Odido (niet over het lek zelf, niet over het aanbod van F-secure). Het lijkt me om die reden praktisch uitgesloten dat er een mail somehow niet is aangekomen. Echt heel kwalijk dit.

[ Voor 6% gewijzigd door Krisp op 27-02-2026 07:06 ]

no_way_today schreef op vrijdag 27 februari 2026 @ 06:56:
Daarnaast de incasso van Odido stopgezet.

Op welke wettelijke basis heb je je incasso stopgezet, welk abo loopt daar nog waar je binnenkort geblokkeerd wordt?

XelaRetak schreef op vrijdag 27 februari 2026 @ 07:08:
[...]


Op welke wettelijke basis heb je je incasso stopgezet, welk abo loopt daar nog waar je binnenkort geblokkeerd wordt?

Het onjuist communiceren over een fors probleem waar zeer gevoelige data mee gemoeid is waar Odido geen goed beheer over blijkt te hebben.

Naafkap schreef op vrijdag 27 februari 2026 @ 07:18:
[...]

Het onjuist communiceren over een fors probleem waar zeer gevoelige data mee gemoeid is waar Odido geen goed beheer over blijkt te hebben.

En je denkt dat dat wettelijke grond is om je rekeningen niet meer te betalen? Good luck. Sta je binnenkort zonder internet/telefoon te mekkeren.

Two wrongs dont make a right.

[ Voor 4% gewijzigd door XelaRetak op 27-02-2026 07:20 ]

Draconian schreef op vrijdag 27 februari 2026 @ 06:16:
Deel 2 is nu online. Ik sta er nu ook in met alle gegevens.

Ik heb vanavond wat te doen. Bedankt voor de tip!

Ik als Odido-klant even mijn odido-emailadres (eigen domein en probeer zoveel mogelijk verschillende emailadressen te gebruiken dus bv odido@mijndomein) ingevoerd op haveibeenpowned.com en deze komt (nog) niet voor.

no_way_today schreef op vrijdag 27 februari 2026 @ 06:56:
...Daarnaast de incasso van Odido stopgezet.

Hou ons even op de hoogte hoe dit afloopt. Of heb je ook jouw contract kunnen beëindigen?

XelaRetak schreef op vrijdag 27 februari 2026 @ 07:20:
[...]


En je denkt dat dat wettelijke grond is om je rekeningen niet meer te betalen? Good luck. Sta je binnenkort zonder internet/telefoon te mekkeren.

Two wrongs dont make a right.

Dat zou zomaar eens kunnen. Ze hebben de plicht je als klant te informeren en hebben dat nagelaten. Tot op heden nul communicatie vanuit Odido. Odido is hier ernstig nalatig en in gebreke geweest en daarmee houdt Odido zich niet aan het contract.

[ Voor 13% gewijzigd door Naafkap op 27-02-2026 07:32 ]

Standeman schreef op vrijdag 27 februari 2026 @ 07:00:
[...]

Yup, hier ook. Mailtje gehad van haveibeenpwnd en van de kant van odido niets behalve het gechirp van krekels.

Hier ook. Niets van odido maar vannacht van haveibeenpwned en Firefox bericht dat de boel gelekt is.

Mag van mij wel een bericht op de frontpage over komen. Alleen kan ik dit zonder link niet submitten. Iemand anders wel?

Ironisch genoeg wel de maandelijkse afschrijving vannacht gehad. Dan weten ze je wel te vinden. Schandalig hoe ze dit oppakken.

[ Voor 12% gewijzigd door Orian op 27-02-2026 07:37 ]

Naafkap schreef op vrijdag 27 februari 2026 @ 07:27:
[...]

Dat zou zomaar eens kunnen. Ze hebben de plicht je als klant te informeren en hebben dat nagelaten. Tot op heden nul communicatie vanuit Odido. Odido is hier ernstig nalatig en in gebreke geweest en daarmee houdt Odido zich niet aan het contract.

Success. Kom je nog even bij ons terug zodra de incassobrieven op de deurmat liggen?

Ik heb van Odido wel de mail gehad, en net dus ook van haveibeenpwned.
Feest

Naafkap schreef op vrijdag 27 februari 2026 @ 07:27:
[...]

Dat zou zomaar eens kunnen. Ze hebben de plicht je als klant te informeren en hebben dat nagelaten. Tot op heden nul communicatie vanuit Odido. Odido is hier ernstig nalatig en in gebreke geweest en daarmee houdt Odido zich niet aan het contract.

Nu er bsn's zijn gelekt en Odido net doet of de AVG niet bestaat, is een rechtsgang een stuk aannemelijker geworden. Wel met een nieuw management bij Odido, want ik geloof er niets van dat het huidige er nog lang zit.

De informatie site van Odido klopt lijkt stuk: https://www.odido.nl/veiligheid

Als ik door klik naar de Engelse versie of vragen uit de FAQ uit wil klappen dan kom ik op totaal andere pagina's terecht zoals https://www.odido.nl/familie. Het uitklappen van vragen lukt überhaupt niet.

Uhuruburu schreef op vrijdag 27 februari 2026 @ 07:41:
[...]


Nu er bsn's zijn gelekt en Odido net doet of de AVG niet bestaat, is een rechtsgang een stuk aannemelijker geworden. Wel met een nieuw management bij Odido, want ik geloof er niets van dat het huidige er nog lang zit.

Er zijn 22 BSN-nummers in de vorm van BTW-nummers gelekt. Die mensen hebben zeker recht van spreken, maar dan nog betwijfel ik of je hierom de incasso stop kan zetten.

Joster schreef op vrijdag 27 februari 2026 @ 07:44:
De informatie site van Odido klopt lijkt stuk: https://www.odido.nl/veiligheid

Als ik door klik naar de Engelse versie of vragen uit de FAQ uit wil klappen dan kom ik op totaal andere pagina's terecht zoals https://www.odido.nl/familie. Het uitklappen van vragen lukt überhaupt niet.

Ik kan er met gebruik van VPN helemaal niet meer op komen

no_way_today schreef op vrijdag 27 februari 2026 @ 06:56:
Inmiddels ook bericht gehad van mozilla dat al mijn data rek, pp nummer e-mail, naw gelekt zijn. Van Odido niks gehoord.
Inmiddels nieuwe paspoorten aangevraagd (deze waren slechts 1,5 jaar oud) . Daarnaast de incasso van Odido stopgezet.

Goede keus! Hoe ga je dat doen met je telefoonnummer? Of heb je een internet abonnement?

Qu3st schreef op vrijdag 27 februari 2026 @ 07:41:
Ik heb van Odido wel de mail gehad, en net dus ook van haveibeenpwned.
Feest

Idem op mijn zakelijk mailaccount.

Huub17 schreef op vrijdag 27 februari 2026 @ 01:14:
Hier ook de melding binnen, hoeven we ook niet meer te hopen nog gemist te zijn

Hoe nauwkeurig is dat? Het lijkt erop of hij aangeeft wat er allemaal gelekt kan zijn, want rijbewijs én identificatiekaart zullen maar weinig klanten allebei hebben doorgegeven.

Is het niet meer dat je emailadres erin staat en verder (nog) niet zeker weet welke data er precies van je gelekt is?

Krisp schreef op vrijdag 27 februari 2026 @ 07:47:
[...]

Er zijn 22 BSN-nummers in de vorm van BTW-nummers gelekt. Die mensen hebben zeker recht van spreken, maar dan nog betwijfel ik of je hierom de incasso stop kan zetten.

Ik doel meer op een rechtsgang in het algemeen. En dat iedereen die kosten maakt, de (originele) rekening moet bewaren en zich aan kan sluiten bij een collectieve actie (bijvoorbeeld volgens wet WAMCA) die nu kunnen gaan komen.

Draconian schreef op vrijdag 27 februari 2026 @ 06:16:
Deel 2 is nu online. Ik sta er nu ook in met alle gegevens.

En HIBP heeft deze er ook al in zitten:

Updated breach: Attackers have released another 1M records from Dutch telco Odido, adding 371k more unique email addresses to the breach. The data is consistent with the first dump, with further releases threatened. More: https://t.co/tIRoRWT6pC

— Have I Been Pwned (@haveibeenpwned) 27 februari 2026

Kreeg een tip binnen

Nog even verder testen,
Blijft bij mij zoeken met records die ik wel eerder heb gevonden in de exposed data.

Even een tool gebouwd waarmee je veilig kan controleren of je data in de eerste miljoen gelekte Odido records zitten. Zelf zat ik er al in. Samen met 731943 adressen, 300413 IBAN's, 264367 telefoonnumers, 346919 emailadressen en 1 miljoen persoons/bedrijfsnamen:…

— Joost Schuttelaar (@jstsch) 26 februari 2026

De tool bevat zelf *geen* persoonsgegevens. Alleen versleutelde velden. De data is met een stream ingelezen zodat deze niet opgeslagen hoefde te worden

— Joost Schuttelaar (@jstsch) 26 februari 2026

knip


Ander idee:

Ik denk dat er komende tijd wel meer online controle toolings komen.

Zullen we de geverifieerden versies in de topic start plaatsen.
Of sites die dit kunnen aangeven.

Van mij mag een algemene site er ook op zoals
https://haveibeenpwned.com/

New breach: 1M records from Dutch telco Odido have been published following a data breach, exposing 317k unique email addresses along with names, physical addresses, phone numbers and bank account numbers. 58% were already in @haveibeenpwned. More: https://t.co/tIRoRWT6pC

— Have I Been Pwned (@haveibeenpwned) 26 februari 2026

Ik denk dat veel mensen gaan zoeken en ook op dit stukje forum terecht komen en zo ter hulp kunnen zijn

[ Voor 11% gewijzigd door rens-br op 27-02-2026 10:54 ]

Met internet voor thuis, afgesloten met een anoniem mailadres, niet in de lijsten. Met mn persoonlijke mailadres waar jaren terug een odido mobiel abonnement is afgesloten en waarbij ze wel ID-gegevens hebben, uiteraard wel.

Gvd.

XelaRetak schreef op vrijdag 27 februari 2026 @ 07:20:
[...]


En je denkt dat dat wettelijke grond is om je rekeningen niet meer te betalen? Good luck. Sta je binnenkort zonder internet/telefoon te mekkeren.

Two wrongs dont make a right.

En Odido is wettelijk verplicht om zich aan wet- en regelgeving te houden! Goede beveiliging, geen gevoelige data opslaan, data niet langer bewaren dan nodig en zo kan ik nog wel even doorgaan.

Dus, als ik klant was van Odido, had ik minimaal hetzelfde gedaan. Voor de een maakt het wellicht niets uit, terwijl de ander er echt slapeloze nachten van kan hebben.

turkeyhakan schreef op vrijdag 27 februari 2026 @ 08:14:
[...]


En Odido is wettelijk verplicht om zich aan wet- en regelgeving te houden! Goede beveiliging, geen gevoelige data opslaan, data niet langer bewaren dan nodig en zo kan ik nog wel even doorgaan.

Dus, als ik klant was van Odido, had ik minimaal hetzelfde gedaan. Voor de een maakt het wellicht niets uit, terwijl de ander er echt slapeloze nachten van kan hebben.

Dat ontken ik ook niet, maar dat betekend niet dat je zomaar kan stoppen met rekeningen betalen. Maar goed, daar kom je dan straks met het incassobureau enzo wel achter.

XelaRetak schreef op vrijdag 27 februari 2026 @ 08:16:
[...]


Dat ontken ik ook niet, maar dat betekend niet dat je zomaar kan stoppen met rekeningen betalen. Maar goed, daar kom je dan straks met het incassobureau enzo wel achter.

Lekker makkelijk; en waarom kunnen wij Odido niet een rekening sturen voor nieuwe ID-bewijzen bijvoorbeeld? Die gaan ze ook niet betalen.

turkeyhakan schreef op vrijdag 27 februari 2026 @ 08:14:
[...]


En Odido is wettelijk verplicht om zich aan wet- en regelgeving te houden! Goede beveiliging, geen gevoelige data opslaan, data niet langer bewaren dan nodig en zo kan ik nog wel even doorgaan.

Dus, als ik klant was van Odido, had ik minimaal hetzelfde gedaan. Voor de een maakt het wellicht niets uit, terwijl de ander er echt slapeloze nachten van kan hebben.

Ik snap de frustratie maar stoppen met betalen kan niet zomaar. Waarom stap je niet over en zeg je je contract op via het daarvoor bestemde proces? Of heb je nog een langlopend contract?

Pazo schreef op donderdag 26 februari 2026 @ 14:13:
Ik heb zojuist toch maar een afspraak gemaakt voor het aanvragen van een nieuwe rijbewijs. Ja dat kost me €54,- en 2x naar het gemeentehuis moeten, maar liever dat dan identiteitsfraude. 3 jaar geleden via o.a. mijn rijbewijs een contract afgesloten bij Odido.
Overigens had ik een half jaar geleden het e-mailadres aangepast naar odido@mijndomein, dus als daar ineens spam op gaat komen is het meteen duidelijk, en kan ik het afsluiten + aanpassen naar ander e-mailadres.

Vorig jaar dus al mijn e-mailadressen uniek gemaakt via SimpleLogin en mijn eigen domein. Dus voor Odido heb ik odido@mijndomein. Deze komt nu naar boven bij HaveIBeenPwned. MAAR: ook mijn oude e-mailadres komt naar boven. Dus als je het e-mailadres wijzigt, laten ze de oude ook gewoon in hun records staan

d-vine schreef op vrijdag 27 februari 2026 @ 08:04:

https://haveibeenpwned.com/

[X]

Ik denk dat veel mensen gaan zoeken en ook op dit stukje forum terecht komen en zo ter hulp kunnen zijn

Ik volg HIBP al een tijdje op Twitter. Valt mij altijd op dat er altijd een groot deel van de gelekte mailadressen (40 tot 70%) al eerder gelekt zijn.

turkeyhakan schreef op vrijdag 27 februari 2026 @ 08:18:
[...]


Lekker makkelijk; en waarom kunnen wij Odido niet een rekening sturen voor nieuwe ID-bewijzen bijvoorbeeld? Die gaan ze ook niet betalen.

Omdat dit niet het wilde westen is en alles gewoon volgens de wetten gedaan moet worden. Als iedereen voor eigen rechter gaat spelen wordt het een nog veel grotere klerezooi.

Op welke wettelijke basis heb je je incasso stopgezet, welk abo loopt daar nog waar je binnenkort geblokkeerd wordt?

Ik weet niet zeker over zij de rechtmatige incessant zijn. Je krijgt dan een betaal herinnering (iDEAL) die kun je dan evengoed betalen . Maar dan ga ik eerst bellen of zij mij volledig kunnen informeren over wat er gehackt is, ze handelen nu zelf nalatig. Daarnaast mogen ze de kosten van mijn paspoort nog vergoeden.

[ Voor 30% gewijzigd door no_way_today op 27-02-2026 08:38 ]

turkeyhakan schreef op vrijdag 27 februari 2026 @ 08:14:
[...]


En Odido is wettelijk verplicht om zich aan wet- en regelgeving te houden! Goede beveiliging, geen gevoelige data opslaan, data niet langer bewaren dan nodig en zo kan ik nog wel even doorgaan.

Dus, als ik klant was van Odido, had ik minimaal hetzelfde gedaan. Voor de een maakt het wellicht niets uit, terwijl de ander er echt slapeloze nachten van kan hebben.

Het enige probleem is dat die zaken los van elkaar staan. Je kunt best een zaak beginnen over je data maar dat is nog geen goede reden om eenzijdig het contract te beëindigen. Je haalt je vooral dus extra problemen op je hals door het zo te doen.

no_way_today schreef op vrijdag 27 februari 2026 @ 08:34:
[...]

Das een gekke quote, het grootste deel van wat je daar onder mijn gebruikersnaam hebt gezet is NIET van mij!

turkeyhakan schreef op vrijdag 27 februari 2026 @ 08:18:
[...]


Lekker makkelijk; en waarom kunnen wij Odido niet een rekening sturen voor nieuwe ID-bewijzen bijvoorbeeld? Die gaan ze ook niet betalen.

Dat is niet ‘lekker makkelijk’, dat is gewoon hoe het werkt.
Het is wél lekker makkelijk om te vinden dat een organisatie iets verkeerd heeft gedaan en je daardoor opeens vrijgesteld bent van betaling voor hun dienstverlening.
Juridisch heb je dan geen poot om op te staan; als je niet meer wil betalen dien je je contract gewoon op te zeggen.

XelaRetak schreef op vrijdag 27 februari 2026 @ 08:35:
[...]


Das een gekke quote, het grootste deel van wat je daar onder mijn gebruikersnaam hebt gezet is NIET van mij!

Dat is vreemd zeg, ik had gereageerd op jouw reactie en de tekst is verdwenen.

Gerepareerd!

Is er trouwens een (legale) manier om te checken welke gegevens / velden er exact gelekt zijn van jouw account? Geeft haveibeenpwnd dit aan, of alleen maar dat je in de database voorkomt?

turkeyhakan schreef op vrijdag 27 februari 2026 @ 08:14:
[...]


En Odido is wettelijk verplicht om zich aan wet- en regelgeving te houden! Goede beveiliging, geen gevoelige data opslaan, data niet langer bewaren dan nodig en zo kan ik nog wel even doorgaan.

Dus, als ik klant was van Odido, had ik minimaal hetzelfde gedaan. Voor de een maakt het wellicht niets uit, terwijl de ander er echt slapeloze nachten van kan hebben.

Eeh slapeloze nachten? Van dit?

Edit: misschien ben ik iemand die dingen teveel relativeert, het kan.

Maar ik lig hier echt niet wakker van. Ook niet figuurlijk. Het is natuurlijk heel klote mar helaas hoort dit bij het leven, 100% veiligheid bestaat niet en elke keer als jij persoonlijke gegevens toevertrouwd aan een bedrijf loop je dit risico. Het blijft mensenwerk.

En ik zie naar aanleiding van deze breach (nummer 19 volgens HaveIbeenpawned) geen reden om mijn gedrag te veranderen. Controleren van bankrekening, alert op phishing etc.

[ Voor 32% gewijzigd door Kalentum op 27-02-2026 08:46 ]

Nitrorcr schreef op vrijdag 27 februari 2026 @ 08:37:
Is er trouwens een (legale) manier om te checken welke gegevens / velden er exact gelekt zijn van jouw account? Geeft haveibeenpwnd dit aan, of alleen maar dat je in de database voorkomt?

Haveibeenpwnd geeft alleen aan of je in het lek zit en welke soort gegevens er mogelijk gelekt zijn (maar benoemd bijvoorbeeld niet de BSN nummers die voor ZZP-ers zijn gelekt)
Ze melden niet specifiek welke gegevens er voor jou zijn gelekt. maar je kan er redelijkerwijs van uitgaan dat als Odido de genoemde gegevens van je had, dat ze zijn gelekt.

Nitrorcr schreef op vrijdag 27 februari 2026 @ 08:37:
Is er trouwens een (legale) manier om te checken welke gegevens / velden er exact gelekt zijn van jouw account? Geeft haveibeenpwnd dit aan, of alleen maar dat je in de database voorkomt?

Dan moet je toch echt de database downloaden en dat is illegaal dus halen de mods hier de berichten weg met de link. Dan is het uitgepakt een .txt bestand wat te groot is voor Word of Notepad in Windows. Dan heb je de gratis app nodig zoals EmEditor. Dan doe je een zoekopdracht met postcode spatie de 2 letters. Dan zie je alle slachtoffers in jouw gebied.

Vanaf morgen gaan ze trouwens versneld online gooien. 2 miljoen records.
https://www.nu.nl/tech/63...n-klantendata-online.html
ShinyHunters zegt dit weekend de vrijgave van data te versnellen. "Na morgen zullen we twee miljoen records per dag publiceren. Dat komt door het recente standpunt van Odido om geen losgeld te betalen", schrijft de hackersgroep vrijdag.

[ Voor 23% gewijzigd door Draconian op 27-02-2026 08:52 ]

Stel dat je je abonnement bij bijvoorbeeld bel simpel hebt afgesloten, zijn dan ook je pp nummers e.d. doorgegeven?

no_way_today schreef op vrijdag 27 februari 2026 @ 08:44:
Stel dat je je abonnement bij bijvoorbeeld bel simpel hebt afgesloten, zijn dan ook je pp nummers e.d. doorgegeven?

Helaas wel ja, ik heb mijn contracten (mobiel+glasvezel) ook via een 3rd party.

[ Voor 11% gewijzigd door XelaRetak op 27-02-2026 08:46 ]

japie06 schreef op vrijdag 27 februari 2026 @ 08:31:
[...]


Ik volg HIBP al een tijdje op Twitter. Valt mij altijd op dat er altijd een groot deel van de gelekte mailadressen (40 tot 70%) al eerder gelekt zijn.

In het verleden waren er leuke klappers bij grote jongens zoals Adobe wat de database goed vult.

Bijna alle recent HIBP mails voor mij zijn opgeleukte combolists die HIBP er te graag opzet. 24 Data Breaches waarvan 9 combolists zijn met heeeeel oude wachtwoorden die niet meer worden gebruikt, wachtwoorden die ik nooit heb gebruikt en eentje waar een username als wachtwoord staat . Met googles wachtwoord lek dienst kon je gedeeltelijke wachtwoorden zien, die dienst gaat naar het kerkhof (of ligt daar ondertussen al) .

Ik zou het leuke vinden als er een optie is dat HIBP alleen een mail zend als de combinatie van gegevens echt nieuw is.

Kalentum schreef op vrijdag 27 februari 2026 @ 08:38:
[...]


Eeh slapeloze nachten? Van dit?

Edit: misschien ben ik iemand die dingen teveel relativeert, het kan.

Maar ik lig hier echt niet wakker van. Ook niet figuurlijk. Het is natuurlijk heel klote mar helaas hoort dit bij het leven, 100% veiligheid bestaat niet en elke keer als jij persoonlijke gegevens toevertrouwd aan een bedrijf loop je dit risico. Het blijft mensenwerk.

En ik zie naar aanleiding van deze breach (nummer 19 volgens HaveIbeenpawned) geen reden om mijn gedrag te veranderen. Controleren van bankrekening, alert op phishing etc.

Same here. Tja klote maar mijn gegevens zijn al zo vaak gelekt. IBAN niet maar je kunt je ook afvragen waarom niet. Misschien omdat het niet mega interessant is? Ik denk dat mijn combinatie Email/IBAN namelijk wel in een systeem of 1000 ofzo terug te vinden is (al mijn online aankopen).

Vond het volgende stukje uit het FD ook wel interessant
https://fd.nl/bedrijfslev...ld-te-betalen-aan-hackers

"De advocaat wijst erop dat er zo’n 25.000 datalekken per jaar worden aangemeld. Zo was in 2025 bij Bevolkingsonderzoek Nederland sprake van een grote hack, waarbij de gegevens van bijna een half miljoen vrouwen waren buitgemaakt. ‘Als je dat jaar in jaar uit bekijkt: het darkweb klotst van de gestolen data. Het loont helemaal niet meer om te hacken, omdat al die data er toch al zijn. Op een gegeven moment is het niet meer zinvol.’"

Is misschien oo kwel de verklaring voor het schijntje wat ze vroegen aan odido, 500.000. Als het darkweb echt zo klotst van gestolen data, dan gaat dit natuurlijk niet veel extra geld opleveren.

laurens0619 schreef op vrijdag 27 februari 2026 @ 09:00:
[...]

Same here. Tja klote maar mijn gegevens zijn al zo vaak gelekt. IBAN niet maar je kunt je ook afvragen waarom niet. Misschien omdat het niet mega interessant is? Ik denk dat mijn combinatie Email/IBAN namelijk wel in een systeem of 1000 ofzo terug te vinden is (al mijn online aankopen).

Vond het volgende stukje uit het FD ook wel interessant
https://fd.nl/bedrijfslev...ld-te-betalen-aan-hackers

"De advocaat wijst erop dat er zo’n 25.000 datalekken per jaar worden aangemeld. Zo was in 2025 bij Bevolkingsonderzoek Nederland sprake van een grote hack, waarbij de gegevens van bijna een half miljoen vrouwen waren buitgemaakt. ‘Als je dat jaar in jaar uit bekijkt: het darkweb klotst van de gestolen data. Het loont helemaal niet meer om te hacken, omdat al die data er toch al zijn. Op een gegeven moment is het niet meer zinvol.’"

Is misschien oo kwel de verklaring voor het schijntje wat ze vroegen aan odido, 500.000. Als het darkweb echt zo klotst van gestolen data, dan gaat dit natuurlijk niet veel extra geld opleveren.

Ik probeer ook eens een beetje in te schatten hoeveel moeite er gedaan moet worden om deze gegevens echt te misbruiken.

Abonnementen afsluiten gaat in alle portalen die ik heb bezocht niet, die vragen allemaal op iDeal bevestiging (1e betaling of 1 cent) waarbij naam contractant en naam rekening overeen moeten komen.

Automatische incasso kan je terugdraaien, ken evt wel vervelend zijn maar ook daarvoor moet je eigenlijk overal eerst met iDeal bevestigen.

Aangezien ze behalve ID/Paspoortnummer niet ook een kopie hebben zijn de meeste dingen echt uitgesloten. Wellicht de wat geavanceerdere identiteitsdiefstal waar voor ik gewoon niet genoeg criminele intenties en/of kennis heb

Even wat stellingen er in gooien. Wanneer een crimineel fraude pleegt en een contract afsluit bij een bedrijf op jouw naam, en je geeft aan dat jij het niet ben geweest. Uiteraard kan bedrijf met bewijslast komen.

1. Maar er ligt inmiddels zoveel persoonlijke data op straat door al die hacks/datalekken. In hoeverre kan een bedrijf een contract met jouw gegevens nog als bewijslast inbrengen bij de rechter
2. Door punt 1 wordt persoonlijke data in het criminele circuit toch steeds minder waard?
3. Je wordt als consument geadviseerd dat als je wordt gebeld door de bank bijv, dat je dan ophangt en de bank zelf belt. Dat zou omgekeerd toch óók zo moeten zijn? Wanneer je een contract aangaat moet een bedrijf jou authenticeren of jij het echt was. Dmv ideal bijv.
4. Volgens mij moet je een contract echt fysiek per post moeten krijgen op je daadwerkelijke woonadres die je dan fysiek tekent.
5. Vaak wordt je telefonisch geholpen als je je adresgegevens en geboortedatum al deelt. Dat is toch niet meer houdbaar? Eigenlijk zou er een soort authenticatie key in het leven geroepen moeten die om de zoveel tijd wisselt. Die kan je dan prima in een digitale vault plaatsen.

Naafkap schreef op vrijdag 27 februari 2026 @ 06:45:
Ook in de set van haveibeenpwnd.com terwijl ik geen sms en geen e-mail heb ontvangen van Odido. Weer een enorme misser dus. Dit is voor mij de spreekwoordelijke druppel.

Same. Vind ik wel schandalig eigenlijk.

laurens0619 schreef op vrijdag 27 februari 2026 @ 09:00:
[...]

Same here. Tja klote maar mijn gegevens zijn al zo vaak gelekt. IBAN niet maar je kunt je ook afvragen waarom niet. Misschien omdat het niet mega interessant is? Ik denk dat mijn combinatie Email/IBAN namelijk wel in een systeem of 1000 ofzo terug te vinden is (al mijn online aankopen).

Vond het volgende stukje uit het FD ook wel interessant
https://fd.nl/bedrijfslev...ld-te-betalen-aan-hackers

"De advocaat wijst erop dat er zo’n 25.000 datalekken per jaar worden aangemeld. Zo was in 2025 bij Bevolkingsonderzoek Nederland sprake van een grote hack, waarbij de gegevens van bijna een half miljoen vrouwen waren buitgemaakt. ‘Als je dat jaar in jaar uit bekijkt: het darkweb klotst van de gestolen data. Het loont helemaal niet meer om te hacken, omdat al die data er toch al zijn. Op een gegeven moment is het niet meer zinvol.’"

Is misschien oo kwel de verklaring voor het schijntje wat ze vroegen aan odido, 500.000. Als het darkweb echt zo klotst van gestolen data, dan gaat dit natuurlijk niet veel extra geld opleveren.

Je moet niet zoals een Tweaker denken. Veel mensen zijn heel naïef en trappen in phishing dus ook klanten van wie de gegevens zijn gelekt. Niet voor niets komen de meeste datalekken door "domme" medewerkers in een bedrijf zoals een HR afdeling. Het is een leerles dat bedrijven hun personeel moeten gaan trainen zoals een Security Awareness Training. Het zou verplicht moeten worden op kantoor.

En voor je telefoon. E-SIM is veiliger dan een fysieke SIM kaart tegen spoofing. E-SIM is gekoppeld aan jouw toestel. Uiteindelijk kan het nog fout gaan als de hacker je verificatiecodes heeft.

[ Voor 5% gewijzigd door Draconian op 27-02-2026 09:14 ]

Als je naam, adresgegevens en IBAN weet kan je bijvoorbeeld zomaar een energiecontract afsluiten.
Niet dat dat veel nut heeft voor een hacker maar het kan.

De jaarlijkse verlenging/overstap voor m'n ouders doe ik altijd en heb dan aan die gegevens genoeg. Je hoeft niets te doen met geld overmaken of iets anders.

SuperCrisz schreef op vrijdag 27 februari 2026 @ 09:07:
Volgens mij moet je een contract echt fysiek per post moeten krijgen op je daadwerkelijke woonadres die je dan fysiek tekent.

Alsjeblieft niet zeg. Dan moet ik weer op zoek naar een brievenbus en die zijn er niet veel meer in het straatbeeld. Er zijn prima alternatieven om online de ondertekenaar van een contract te verifieren, zoals iDin, en tekenen kan gewoon via een PandaDoc of whatever.

no_way_today schreef op vrijdag 27 februari 2026 @ 06:56:
Inmiddels ook bericht gehad van mozilla dat al mijn data rek, pp nummer e-mail, naw gelekt zijn. Van Odido niks gehoord.
Inmiddels nieuwe paspoorten aangevraagd (deze waren slechts 1,5 jaar oud) . Daarnaast de incasso van Odido stopgezet.

Zonde van je geld, met een paspoortnummer kun je namelijk erg weinig.
Sterker nog: https://www.kadaster.nl/-...nsgegevens-zijn-openbaar-
Als je dus recent een huis hebt gekocht of een hypotheek hebt afgesloten kan ik gewoon je documentnummer opvragen. Heb ik meteen je naam en adres erbij.

Maar kan Odidio/BEN niet in ieder geval elke actieve klant een nieuw random klantennummer geven?,
Dit zou dan als extra verificatie kunnen dienen.

Nu kunnen scammers mailen, sms-en of zelfs brieven per post sturen (En over dat laatste staat helemaal niets op de webstes van Odido of BEN) met alle gegevens inclusief jouw klantennummer en als dat dan niet klopt met is dit gemakkelijker te controleren ook voor oudere mensen.

En ja als dat betekent dat hun hele database en koppelingen op de schop moeten dan is dat maar zo, ik vind dat dit op zijn minst gedaan kan worden door Odido/BEN.

Draconian schreef op vrijdag 27 februari 2026 @ 09:10:
...
Niet voor niets komen de meeste datalekken door "domme" medewerkers in een bedrijf zoals een HR afdeling. Het is een leerles dat bedrijven hun personeel moeten gaan trainen zoals een Security Awareness Training. Het zou verplicht moeten worden op kantoor.
...

Natuurlijk moeten de medewerkers getraind worden. Dat zal zeker helpen. Maar het is naief om dan te denken dat het dan niet meer gebeurt. We zijn mensen, die maken fouten. De oplichters hebben altijd een voorsprong en kunnen een groter deel van hun resources inzetten (en die van anderen), terwijl de beoogde slachtoffers ook nog met hun zaken bezig zijn.