Odido waarschuwt voor datalek (cyberaanval/hack)

Draconian schreef op vrijdag 27 februari 2026 @ 09:10:
[...]


Je moet niet zoals een Tweaker denken. Veel mensen zijn heel naïef en trappen in phishing dus ook klanten van wie de gegevens zijn gelekt. Niet voor niets komen de meeste datalekken door "domme" medewerkers in een bedrijf zoals een HR afdeling. Het is een leerles dat bedrijven hun personeel moeten gaan trainen zoals een Security Awareness Training. Het zou verplicht moeten worden op kantoor.

En voor je telefoon. E-SIM is veiliger dan een fysieke SIM kaart tegen spoofing. E-SIM is gekoppeld aan jouw toestel. Uiteindelijk kan het nog fout gaan als de hacker je verificatiecodes heeft.

Ik betrok mijn post op mijzelf he of ik voor mijzelf actie moet ondernemen/data moet wijzigen.

Maar om het breder te trekken. Ja phishing is een risico maar tegelijk was dat risico er al en zit het darkweb al vol met persoonsgegevens.
En security awareness, tja dat doet bijna iedere club wel maar is ook niet de holy grail gebleken...

De gedachte "human is the weakest link" is ook wat achterhaald daarin. Processen en systemen moeten veilig opgebouwd worden en het mag niet van de gebruiker afhangen. De gebruiker moet meer worden gezien als een last resort als alle andere maatregelen falen.

Je punt rondom E-sim,sim snap ik niet helemaal. IS daar extra risico op door dit lek?

jongetje schreef op vrijdag 27 februari 2026 @ 09:24:
[...]

Zonde van je geld, met een paspoortnummer kun je namelijk erg weinig.
Sterker nog: https://www.kadaster.nl/-...nsgegevens-zijn-openbaar-
Als je dus recent een huis hebt gekocht of een hypotheek hebt afgesloten kan ik gewoon je documentnummer opvragen. Heb ik meteen je naam en adres erbij.

Goeie koeien...

Ik begrijp echt niet je dan gewoon contracten kan afsluiten met gewoon publieke gegevens.

laurens0619 schreef op vrijdag 27 februari 2026 @ 09:33:
[...]

Ik betrok mijn post op mijzelf he of ik voor mijzelf actie moet ondernemen/data moet wijzigen.

Maar om het breder te trekken. Ja phishing is een risico maar tegelijk was dat risico er al en zit het darkweb al vol met persoonsgegevens.
En security awareness, tja dat doet bijna iedere club wel maar is ook niet de holy grail gebleken...

De gedachte "human is the weakest link" is ook wat achterhaald daarin. Processen en systemen moeten veilig opgebouwd worden en het mag niet van de gebruiker afhangen. De gebruiker moet meer worden gezien als een last resort als alle andere maatregelen falen.

Je punt rondom E-sim,sim snap ik niet helemaal. IS daar extra risico op door dit lek?

Standaard staat toch 2FA aan bij Odido en ook KPN om in te loggen? SMS code naar je nummer.
Sim-swapping als voorbeeld. Met E-SIM is dat moeilijker.

jongetje schreef op vrijdag 27 februari 2026 @ 09:24:
[...]

Zonde van je geld, met een paspoortnummer kun je namelijk erg weinig.
Sterker nog: https://www.kadaster.nl/-...nsgegevens-zijn-openbaar-
Als je dus recent een huis hebt gekocht of een hypotheek hebt afgesloten kan ik gewoon je documentnummer opvragen. Heb ik meteen je naam en adres erbij.

Maar nu samen met je rekeningnummer e.d.

Draconian schreef op vrijdag 27 februari 2026 @ 09:37:
[...]


Standaard staat toch 2FA aan bij Odido en ook KPN om in te loggen? SMS code naar je nummer.
Sim-swapping als voorbeeld. Met E-SIM is dat moeilijker.

Maar waarom zou een SIM swapping aanval dan nu extra mogelijk zijn door deze gelekte data? die snap ik niet

Kalentum schreef op vrijdag 27 februari 2026 @ 08:38:
[...]


Eeh slapeloze nachten? Van dit?

Er zullen genoeg mensen zijn die hier slapeloze nachten van hebben ja.
Er zijn heel wat Telegram-groepen waar volledige namen rondgaan van medewerkers van de Landelijke Eenheid en FIOD ter intimidatie en bedreiging.
Als onderdeel van dit soort eenheden zit je er echt niet op te wachten dat je volledige adres opeens bij iedereen bekend is.

laurens0619 schreef op vrijdag 27 februari 2026 @ 09:40:
[...]

Maar waarom zou een SIM swapping aanval dan nu extra mogelijk zijn door deze gelekte data? die snap ik niet

Telecomproviders stellen vaak verificatievragen zoals:

Volledige naam
Adres / postcode
Geboortedatum
E-mailadres
Klantnummer
Laatste 3 cijfers IBAN
Antwoord op beveiligingsvraag

Als een datalek dit soort gegevens bevat, kan een aanvaller:
De klantenservice bellen
Zich overtuigend voordoen als jou
Met de juiste persoonsgegevens door de controle komen
Een “nieuwe simkaart” aanvragen wegens “gestolen telefoon”
Jouw nummer overnemen
Hoe completer het lek, hoe makkelijker dit wordt.

Draconian schreef op vrijdag 27 februari 2026 @ 10:03:
[...]


Telecomproviders stellen vaak verificatievragen zoals:

Volledige naam
Adres / postcode
Geboortedatum
E-mailadres
Klantnummer
Laatste 3 cijfers IBAN
Antwoord op beveiligingsvraag

Als een datalek dit soort gegevens bevat, kan een aanvaller:
De klantenservice bellen
Zich overtuigend voordoen als jou
Met de juiste persoonsgegevens door de controle komen
Een “nieuwe simkaart” aanvragen wegens “gestolen telefoon”
Jouw nummer overnemen
Hoe completer het lek, hoe makkelijker dit wordt.

Wat kunnen we doen om dit te voorkomen?

NicoHF schreef op vrijdag 27 februari 2026 @ 10:11:
[...]

Wat kunnen we doen om dit te voorkomen?

Code woord instellen bij odido....

oh wacht.

Overigens zat dit hele debakel wel worden aangegrepen door het "wE mOeTeN diGiTAle Id hEbbEN oP InterNEt" kamp.

[ Voor 23% gewijzigd door rens-br op 27-02-2026 10:25 . Reden: Naamsverbastering hebben we voort wel gehad toch? ]

laurens0619 schreef op vrijdag 27 februari 2026 @ 09:33:
[...]

De gedachte "human is the weakest link" is ook wat achterhaald daarin. Processen en systemen moeten veilig opgebouwd worden en het mag niet van de gebruiker afhangen. De gebruiker moet meer worden gezien als een last resort als alle andere maatregelen falen.

In het geval van dit lek is (afaik) ingelogd als gebruiker in Salesforce. Die gebruiker is hier dus toch echt de weakest link geweest.

Verder ben ik het met je eens hoor. Maar zelfs de meest doorgewinterde IT-ers hebben wel eens een moment van zwakte. Vermoeidheid, alcohol/drugs, gehaastheid, legio voorbeelden te noemen.

Draconian schreef op vrijdag 27 februari 2026 @ 08:44:
[...]
Vanaf morgen gaan ze trouwens versneld online gooien. 2 miljoen records.
https://www.nu.nl/tech/63...n-klantendata-online.html
ShinyHunters zegt dit weekend de vrijgave van data te versnellen. "Na morgen zullen we twee miljoen records per dag publiceren. Dat komt door het recente standpunt van Odido om geen losgeld te betalen", schrijft de hackersgroep vrijdag.

Wellicht ben ik de enige, maar ik vind deze boefjes zichzelf aardig voor schut zetten ondertussen. Ze hebben gegokt en verloren en elke dreigement van ze is zinloos geworden. Wat zou iemand het nog boeien of ze de gegevens snel of langzaam publiceren, het is allang duidelijk dat Odido niet gaat betalen. Sowieso was dat buiten discussie na de publicatie van de eerste gegevens, al zou Odido toch hebben willen betalen dan doe je dat toch nooit meer na de eerste batch gegevens die online kwam als bedrijf.

Verder is het natuurlijk schandalig hoe gemakkelijk álle gegevens buitgemaakt konden worden na een simpele phising aanval op een medewerker. Maar goed, we weten ondertussen ook dat SalesForce nog net niet zelf standaard de gegevens op het darkweb publiceert.

Persoonlijk lig ik er allemaal niet wakker van. Als er gegevens van mij in de set zitten dan zijn deze toch allang bekend via legale en illegale wegen. Er worden aan de lopende band gegevens gestolen, helaas. En ik zie ook niet wat men meer zou kunnen met deze gegevens dan eerder. Vind het wel opvallend dat mensen in paniek nieuwe ID documenten gaan aanvragen, net of dat ook maar iets voorkomt. Zolang de verloopdatum van een gelekt document niet voorbij is kan men nog steeds heel veel met het document, maar weinig bedrijven controleren de daadwerkelijk geldigheid.

De gegevens worden hoogstwaarschijnlijk gebruikt om mails en SMS berichten te sturen, iets wat eigenlijk ook allang 24/7 gebeurd en iedereen ontvangt er wel eens 1. Dat is voor mensen die kwaad willen de snelste en veiligste methode om iets met gegevens te doen, ze gaan echt niet met een kopietje van je paspoort bij een telefoonwinkel proberen iets te doen. Dan staan ze op camera en een oplettende medewerker ziet echt wel dat het ID niet bij die persoon hoort met alle risico's van dien.

Mijn advies aan iedereen is altijd eenvoudig: krijg je een SMS/mail van een bedrijf met de vraag om geld of gegevens klik dan nooit op de links en vul vooral nooit iets in. Ga zelfstandig naar de website van het bedrijf, log in en controleer daar of er daadwerkelijk iets aan de hand is.

Sta niet in deze batch, ben ook pas eind oktober lid geworden. Weet iemand wanneer het lek precies is geweest? Had ergens gelezen dat het mogelijk al veel eerder is geweest dan de melding zelf.

Draconian schreef op vrijdag 27 februari 2026 @ 10:03:
[...]


Telecomproviders stellen vaak verificatievragen zoals:

Volledige naam
Adres / postcode
Geboortedatum
E-mailadres
Klantnummer
Laatste 3 cijfers IBAN
Antwoord op beveiligingsvraag

Als een datalek dit soort gegevens bevat, kan een aanvaller:
De klantenservice bellen
Zich overtuigend voordoen als jou
Met de juiste persoonsgegevens door de controle komen
Een “nieuwe simkaart” aanvragen wegens “gestolen telefoon”
Jouw nummer overnemen
Hoe completer het lek, hoe makkelijker dit wordt.

Zolang de telecomprovider de SIM kaart enkel naar het bekende postadres stuurt is er nog helemaal niks aan de hand. Of denk je serieus dat dit soort boefjes voor je voordeur gaan liggen wachten op de postbode?

Nou ik heb het eerste spam mailtje binnen gekregen dus weet nu zeker dat mijn gegevens bij de lek zitten

Drardollan schreef op vrijdag 27 februari 2026 @ 10:17:
[...]


Zolang de telecomprovider de SIM kaart enkel naar het bekende postadres stuurt is er nog helemaal niks aan de hand. Of denk je serieus dat dit soort boefjes voor je voordeur gaan liggen wachten op de postbode?

Ja, ik heb er net eentje moeten wegjagen die voor mijn deur liep te campen!

Hemingr schreef op vrijdag 27 februari 2026 @ 10:12:
[...]


Code woord instellen bij odildo....

oh wacht.

Overigens zat dit hele debakel wel worden aangegrepen door het "wE mOeTeN diGiTAle Id hEbbEN oP InterNEt" kamp.

Iets als DigiD of iDIN bijvoorbeeld?

Nihx schreef op vrijdag 27 februari 2026 @ 10:17:
Nou ik heb het eerste spam mailtje binnen gekregen dus weet nu zeker dat mijn gegevens bij de lek zitten

Hiervoor ontving je nooit spam? Hoe weet je zo zeker deze mail gerelateerd is aan dit lek?

Draconian schreef op vrijdag 27 februari 2026 @ 10:03:
[...]


Telecomproviders stellen vaak verificatievragen zoals:

Volledige naam
Adres / postcode
Geboortedatum
E-mailadres
Klantnummer
Laatste 3 cijfers IBAN
Antwoord op beveiligingsvraag

Als een datalek dit soort gegevens bevat, kan een aanvaller:
De klantenservice bellen
Zich overtuigend voordoen als jou
Met de juiste persoonsgegevens door de controle komen
Een “nieuwe simkaart” aanvragen wegens “gestolen telefoon”
Jouw nummer overnemen
Hoe completer het lek, hoe makkelijker dit wordt.

Dat telefonische “autnenticatie” brak is betwist ik niet maar telcos weten dat ook. Voor gevoelige zaken als nieuwe sim doen ze vaak wat extras, bv deze naar het opgegeven post adres sturen ipv telefonisch door te geven (doen ze dat wel zijn het oelewappers, al voor het odido hack)

japie06 schreef op vrijdag 27 februari 2026 @ 08:31:
[...]


Ik volg HIBP al een tijdje op Twitter. Valt mij altijd op dat er altijd een groot deel van de gelekte mailadressen (40 tot 70%) al eerder gelekt zijn.

LinkedIn had een paar jaar geleden ook een groot lek en Ticketcounter ook (dus mijn gegevens lagen al op straat) alleen m'n paspoort nummer nog niet... maar die is gelukkig bijna verlopen dus ik wens ze veel succes.

laurens0619 schreef op vrijdag 27 februari 2026 @ 10:18:
[...]

Dat telefonische “autnenticatie” brak is betwist ik niet maar telcos weten dat ook. Voor gevoelige zaken als nieuwe sim doen ze vaak wat extras, bv deze naar het opgegeven post adres sturen ipv telefonisch door te geven (doen ze dat wel zijn het oelewappers, al voor het odido hack)

Plus dan lijkt het me dat men ook nog eens moet zien te achterhalen bij welke partij je een mobiel nummer hebt, al heb ik geen idee hoe makkelijk dat is tegenwoordig. (misschien dat het netwerk wel te achterhalen is, maar welke MVNO daar dan weer achter zit...)

Sende115 schreef op vrijdag 27 februari 2026 @ 10:21:
[...]

Plus dan lijkt het me dat men ook nog eens moet zien te achterhalen bij welke partij je een mobiel nummer hebt, al heb ik geen idee hoe makkelijk dat is tegenwoordig. (misschien dat het netwerk wel te achterhalen is, maar welke MVNO daar dan weer achter zit...)

Via de website van de ACM is te achterhalen of en wanneer je nummer voor het laatst is geporteerd. Daarbij is inderdaad alleen het netwerk zichtbaar, maar dan blijven er grofweg drie MVNO opties over waar ze het kunnen proberen.

laurens0619 schreef op vrijdag 27 februari 2026 @ 10:18:
[...]

Dat telefonische “autnenticatie” brak is betwist ik niet maar telcos weten dat ook. Voor gevoelige zaken als nieuwe sim doen ze vaak wat extras, bv deze naar het opgegeven post adres sturen ipv telefonisch door te geven (doen ze dat wel zijn het oelewappers, al voor het odido hack)

Een SIM kaart is niet telefonisch door te geven. Die zal altijd fysiek opgestuurd worden. Een E-SIM ligt dan weer net iets anders, maar als ook die enkel naar een bekend mail adres gaat of opgevraagd kan worden via een beveiligde portal waarvan de gebruikersnaam/wachtwoorden niet gelekt zijn (wat het geval is bij deze hack zover bekend) dan is er ook niks aan de hand.

SIM swapping vind ik echt zo'n verjaardagspraatje. Natuurlijk, het kan en gebeurd ook. Maar echt niet bij een simpele klant uit een lek als dit. Dat soort hacks zijn zeer geraffineerd en specifiek gericht op een bepaald doelwit. Kost ook ontzettend veel tijd en resources om zoiets te doen.

Maar als je idkaart, paspoort of rbw gelekt is moet odido dan niet gewoon betalen voor vervanging.

Mijn iban bestaat al niet meer en mailadres dat ik gebruik krijgt al zoveel spam dat 5 meer per dag niet uit maakt.

Drardollan schreef op vrijdag 27 februari 2026 @ 10:18:
[...]

Hiervoor ontving je nooit spam? Hoe weet je zo zeker deze mail gerelateerd is aan dit lek?

Heb voor alle sites/logins een apart email adres, dus in dit soort gevallen kan ik zien waar mijn email gelekt is.

SuperCrisz schreef op vrijdag 27 februari 2026 @ 09:07:
Volgens mij moet je een contract echt fysiek per post moeten krijgen op je daadwerkelijke woonadres die je dan fysiek tekent.

Ik snap dat we dankzij digitalisering alweer een beetje vergeten zijn hoe post werkte maar neem maar van mij aan dat toen er nog veel post werd verzonden er letterlijk post uit brievenbussen werd gehengeld om mee te frauderen. Dus ga er alsjeblieft niet vanuit dat post een veilig medium is. Die brief aan jou gaat door vele handen die allemaal kunnen zien van wie de post afkomstig is en aan die het geadresseerd is. En ja, dat is minder anoniem dan digitaal frauderen maar het sluit het absoluut niet uit.

Ezechiel schreef op vrijdag 27 februari 2026 @ 10:12:
[...]

In het geval van dit lek is (afaik) ingelogd als gebruiker in Salesforce. Die gebruiker is hier dus toch echt de weakest link geweest.

Verder ben ik het met je eens hoor. Maar zelfs de meest doorgewinterde IT-ers hebben wel eens een moment van zwakte. Vermoeidheid, alcohol/drugs, gehaastheid, legio voorbeelden te noemen.

Dat is maar hoe je het bekijkt je kan ook denken dat er andete controls gefaald hebben (fido2,dlp, retentie etc) waardoor de gebruiker het verschil kan maken tussen een hack of niet. Dat kan je dus ook als last resort ipv weakest link zien

Nihx schreef op vrijdag 27 februari 2026 @ 10:24:
[...]

Heb voor alle sites/logins een apart email adres, dus in dit soort gevallen kan ik zien waar mijn email gelekt is.

Wat is de inhoud van dit spambericht? Is het gepersonaliseerd?

Drardollan schreef op vrijdag 27 februari 2026 @ 10:23:
[...]

Een SIM kaart is niet telefonisch door te geven. Die zal altijd fysiek opgestuurd worden. Een E-SIM ligt dan weer net iets anders, maar als ook die enkel naar een bekend mail adres gaat of opgevraagd kan worden via een beveiligde portal waarvan de gebruikersnaam/wachtwoorden niet gelekt zijn (wat het geval is bij deze hack zover bekend) dan is er ook niks aan de hand.

SIM swapping vind ik echt zo'n verjaardagspraatje. Natuurlijk, het kan en gebeurd ook. Maar echt niet bij een simpele klant uit een lek als dit. Dat soort hacks zijn zeer geraffineerd en specifiek gericht op een bepaald doelwit. Kost ook ontzettend veel tijd en resources om zoiets te doen.

Ik ben het helemaal met je eens maar nu ben ik wel door de war Jij haalde toch aan dat er nu een extra risico om sim swap was wat je nu zelf betwist?

knip Zitten nu op 1.590.127 adressen, 675.542 IBAN's, 539.258 telefoonnumers en 685.591 emailadressen.

Ongeveer 500 lookups per minuut. 7.5% hits... en dat was alleen nog met de eerste miljoen records. Het lek is echt gigantisch

Wel leuk dat de sysload op 0.02 blijft. Mini VM. Lang leve nginx, een sqlite database en een 1-file PHP script

[ Voor 10% gewijzigd door rens-br op 27-02-2026 10:48 ]

Ik heb ook een beetje het gevoel dat veiligheid in grote getallen hier van toepassing is. Mijn buikgevoel zegt dat als je geen interessant persoon bent (zoals de meeste, allen hier) er weinig gebeurt op extra geautomatiseerde spam na.

Maar zodra je bijvoorbeeld politiek, overheid, media actief bent er meer aan de hand is.

Draconian schreef op vrijdag 27 februari 2026 @ 09:37:
[...]


Standaard staat toch 2FA aan bij Odido en ook KPN om in te loggen? SMS code naar je nummer.
Sim-swapping als voorbeeld. Met E-SIM is dat moeilijker.

Ik heb mijn 2FA bij Odido (en dat kon al in de T-Mobile tijd) met mijn authenticator app.

Drardollan schreef op vrijdag 27 februari 2026 @ 10:26:
[...]

Hoewel niet 100% zeker neem ik dat dan direct van je aan. Wat probeerden ze te bereiken met de mail, dat kan wel interessant zijn voor anderen om te weten.

Stelde gelukkig niet zoveel voor, een gegeneraliseerd mailtje van een "Premium IPTV Service". Nu nog afwachten of ik op mijn Ben email ook spam ga ontvangen.

Nihx schreef op vrijdag 27 februari 2026 @ 10:17:
Nou ik heb het eerste spam mailtje binnen gekregen dus weet nu zeker dat mijn gegevens bij de lek zitten

Nou wat meer informatie bijvoorbeeld zou top zijn! Wat voor mail, gepersonaliseerd?

GREENSKiN schreef op vrijdag 27 februari 2026 @ 10:31:
knip. Zitten nu op 1.590.127 adressen, 675.542 IBAN's, 539.258 telefoonnumers en 685.591 emailadressen.

Ongeveer 500 lookups per minuut. 7.5% hits... en dat was alleen nog met de eerste miljoen records. Het lek is echt gigantisch

Wel leuk dat de sysload op 0.02 blijft. Mini VM. Lang leve nginx, een sqlite database en een 1-file PHP script

Ah ik zit er ook bij. Al kan ook mijn broertje zijn nog.
knip

[ Voor 28% gewijzigd door rens-br op 27-02-2026 10:48 ]

Hemingr schreef op vrijdag 27 februari 2026 @ 10:33:
Ik heb ook een beetje het gevoel dat veiligheid in grote getallen hier van toepassing is. Mijn buikgevoel zegt dat als je geen interessant persoon bent (zoals de meeste, allen hier) er weinig gebeurt op extra geautomatiseerde spam na.

Maar zodra je bijvoorbeeld politiek, overheid, media actief bent er meer aan de hand is.

Dit idee heb ik ook, ik probeer manieren te bedenken hoe ze ons kunnen 'pakken' met evt. IBAN en paspoort docnummer... ze kunnen geen creditcard of bankrekening openen in mijn naam want daar heb je een copy van je paspoort voor nodig met BSN.
Automatische incasso misschien? Geen idee hoe dat zomaar kan (misschien hier iemand die dat kan uitleggen)?
Phising en fishing blijft idd een risico maar dat is nu al en vind dat de spamfilter van Outlook al jaren goed z'n werk doet. Je kan zelfs op de mails klikken en de geniale phising/fishing mails lezen zonder dat je malware ontvangt.
Op m'n tel heb ik ook een spamfilter die meer weg filtert dan noodzakelijk maar helemaal prima...

3raser schreef op vrijdag 27 februari 2026 @ 10:24:
[...]

Ik snap dat we dankzij digitalisering alweer een beetje vergeten zijn hoe post werkte maar neem maar van mij aan dat toen er nog veel post werd verzonden er letterlijk post uit brievenbussen werd gehengeld om mee te frauderen. Dus ga er alsjeblieft niet vanuit dat post een veilig medium is. Die brief aan jou gaat door vele handen die allemaal kunnen zien van wie de post afkomstig is en aan die het geadresseerd is. En ja, dat is minder anoniem dan digitaal frauderen maar het sluit het absoluut niet uit.

De term phishing komt hier dan ook vandaan.

Drardollan schreef op vrijdag 27 februari 2026 @ 10:34:
[...]


Ik snap dat het een keer gebeurd, wat je zegt: even een keer niet opletten als gebruiker en klaar is Kees.

Wat veel belangrijker is is de vraag hoe het kan dat een gebruiker zoveel gegevens kan downloaden uit een pakket als SalesForce. Natuurlijk moet een gebruiker zijn werk kunnen doen, maar ik zie geen enkele reden waarom elke gebruiker alle gegevens tot weet ik hoeveel jaar terug zou moeten kunnen benaderen. Door dat op de juiste manier te segmenteren en op andere manieren te beperken kan je al heel veel ellende voorkomen als bedrijf. Zo zou je je bijvoorbeeld kunnen voorstellen dat het niet normaal is dat een gemiddelde gebruiker meer dan (ik noem maar wat) 10 klanten per 5 minuten opent.

Die extra monitoring had hier inderdaad kunnen (moeten?) helpen. Uit het oogpunt van een winkelmedewerker kan ik mij indenken dat het nuttig is om historie/informatie te kunen zien, hoe oud ook, om een klant juist van dienst te kunnen zijn (of op je hoede in het gevan een historie met agressie). Maar dan nog, meestal ben je wel minimaal een minuut of 2 minimaal bezig met het helpen van die klant dus veel random lookups zijn dan per definitie verdacht.

Hemingr schreef op vrijdag 27 februari 2026 @ 10:33:
Ik heb ook een beetje het gevoel dat veiligheid in grote getallen hier van toepassing is. Mijn buikgevoel zegt dat als je geen interessant persoon bent (zoals de meeste, allen hier) er weinig gebeurt op extra geautomatiseerde spam na.

Maar zodra je bijvoorbeeld politiek, overheid, media actief bent er meer aan de hand is.

Dat denk ik ook. Hoewel het tegenwoordig met ai allemaal een stuk makkelijker geautomatiseerd kan worden is identiteitsfraude volgens mij nog een betrekkelijk intensieve klus en dan gaan ze niet 6 miljoen mensen stuk voor stuk pakken. Zelfs niet 50.000.
De kans dat de je loterij wint is nog wel een stuk kleiner, maar hoe langer het duurt, hoe meer vervuild en gedateerd de data ook wordt. En tegen die tijd is er weer een nieuwe en aantrekkelijke hack ergens anders.

Ik neem ook wel aan dat als een bedrijf de komende tijd een duidelijke stijging ziet voor bijvoorbeeld het vervangen van een simkaart, dat ze zich even achter de oren gaan krabben.

Althans, dat hoop ik om het positief te houden

ArcticWolf schreef op vrijdag 27 februari 2026 @ 10:38:
[...]

Dit idee heb ik ook, ik probeer manieren te bedenken hoe ze ons kunnen 'pakken' met evt. IBAN en paspoort docnummer... ze kunnen geen creditcard of bankrekening openen in mijn naam want daar heb je een copy van je paspoort voor nodig met BSN.
Automatische incasso misschien? Geen idee hoe dat zomaar kan (misschien hier iemand die dat kan uitleggen)?
Phising en fishing blijft idd een risico maar dat is nu al en vind dat de spamfilter van Outlook al jaren goed z'n werk doet. Je kan zelfs op de mails klikken en de geniale phising/fishing mails lezen zonder dat je malware ontvangt.
Op m'n tel heb ik ook een spamfilter die meer weg filtert dan noodzakelijk maar helemaal prima...

Ik ben ook wel benieuwd. Ik kan ook werkelijk geen enkel extra risico bedenken dan voor dit lek. Hooguit dat de intensiteit van spam mail / SMS / WA berichten toeneemt. Maar ik kan niks bedenken wat er nu meer zou kunnen.

Leuk als ze bijvoorbeeld een nieuw energiecontract afsluiten, dat heb je snel genoeg door en kan zo teruggedraaid worden, maar er zit ook simpelweg geen gewin voor de boef bij?

Drardollan schreef op vrijdag 27 februari 2026 @ 10:43:
[...]

Ik ben ook wel benieuwd. Ik kan ook werkelijk geen enkel extra risico bedenken dan voor dit lek. Hooguit dat de intensiteit van spam mail / SMS / WA berichten toeneemt. Maar ik kan niks bedenken wat er nu meer zou kunnen.

Leuk als ze bijvoorbeeld een nieuw energiecontract afsluiten, dat heb je snel genoeg door en kan zo teruggedraaid worden, maar er zit ook simpelweg geen gewin voor de boef bij?

Energiecontract (en veel meer contracten) kan je meestal alleen afsluiten door 1 cent via Ideal over te maken dus dat kan alleen met je eigen rekening (wat in dit geval niet mogelijk is).

Ezechiel schreef op vrijdag 27 februari 2026 @ 10:42:
[...]

Die extra monitoring had hier inderdaad kunnen (moeten?) helpen. Uit het oogpunt van een winkelmedewerker kan ik mij indenken dat het nuttig is om historie/informatie te kunen zien, hoe oud ook, om een klant juist van dienst te kunnen zijn (of op je hoede in het gevan een historie met agressie). Maar dan nog, meestal ben je wel minimaal een minuut of 2 minimaal bezig met het helpen van die klant dus veel random lookups zijn dan per definitie verdacht.

Een rate limit op te openen contracten, een beveiligde verbinding naar SalesForce en niveaus van accreditaties zou al zo ontzettend veel geholpen hebben. Op zijn minst had dat de dataset een heel stuk kleiner gemaakt.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 10:38:
[...]

Dit idee heb ik ook, ik probeer manieren te bedenken hoe ze ons kunnen 'pakken' met evt. IBAN en paspoort docnummer... ze kunnen geen creditcard of bankrekening openen in mijn naam want daar heb je een copy van je paspoort voor nodig met BSN.
Automatische incasso misschien? Geen idee hoe dat zomaar kan (misschien hier iemand die dat kan uitleggen)?
Phising en fishing blijft idd een risico maar dat is nu al en vind dat de spamfilter van Outlook al jaren goed z'n werk doet. Je kan zelfs op de mails klikken en de geniale phising/fishing mails lezen zonder dat je malware ontvangt.
Op m'n tel heb ik ook een spamfilter die meer weg filtert dan noodzakelijk maar helemaal prima...

Ik zou naar TUI kunnen gaan en een vakantie kunnen boeken voor 'jou' en 9 anderen. Lekker 3 weken Bahama's.
Uiteindelijk schiet ik als boefje er niets mee op maar jij hebt wat uit te leggen (en annuleren). En wellicht dat er een vergelijkbaar iets met Klarna/Afterpay te doen valt? Ik ben niet bekend met die services maar ik kan mij indenken dat je voldoende gegevens hebt om er gebruik van te maken.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 10:45:
[...]

Energiecontract (en veel meer contracten) kan je meestal alleen afsluiten door 1 cent via Ideal over te maken dus dat kan alleen met je eigen rekening (wat in dit geval niet mogelijk is).

Het was maar een willekeurig voorbeeld. Ik kan er niet zoveel bedenken, je kan met de gegevens ook geen auto of huis kopen bijvoorbeeld. Je kan er niet mee bij bankrekeningen of crypto. Eigenlijk is er niks wat ik kan bedenken wat je er echt mee kan, anders dan wat de boefjes hiervoor ook al konden en deden: je mailen of SMS/WA berichten sturen met de hoop dat je erin trapt en geld naar ze stuurt.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 10:38:
[...]

Dit idee heb ik ook, ik probeer manieren te bedenken hoe ze ons kunnen 'pakken' met evt. IBAN en paspoort docnummer... ze kunnen geen creditcard of bankrekening openen in mijn naam want daar heb je een copy van je paspoort voor nodig met BSN.
Automatische incasso misschien? Geen idee hoe dat zomaar kan (misschien hier iemand die dat kan uitleggen)?
Phising en fishing blijft idd een risico maar dat is nu al en vind dat de spamfilter van Outlook al jaren goed z'n werk doet. Je kan zelfs op de mails klikken en de geniale phising/fishing mails lezen zonder dat je malware ontvangt.
Op m'n tel heb ik ook een spamfilter die meer weg filtert dan noodzakelijk maar helemaal prima...

Leuk zo'n automatische incasso, maar kan jij ook weer storneren. Belangrijkste is dat je niet op verdachte linkjes klikt, ingaat op verdachte telefoontjes die toegang tot je 2fa wil krijgen oid.

Ezechiel schreef op vrijdag 27 februari 2026 @ 10:46:
[...]

Ik zou naar TUI kunnen gaan en een vakantie kunnen boeken voor 'jou' en 9 anderen. Lekker 3 weken Bahama's.
Uiteindelijk schiet ik als boefje er niets mee op maar jij hebt wat uit te leggen (en annuleren). En wellicht dat er een vergelijkbaar iets met Klarna/Afterpay te doen valt? Ik ben niet bekend met die services maar ik kan mij indenken dat je voldoende gegevens hebt om er gebruik van te maken.

Los van dat er geen gewin aan zit zoals je zegt is het vaak zo dat je direct (een deel) moet betalen.

Ook weet ik niet of TUI naar de extra gegevens vraagt die nu gelekt zijn, kon je dit niet al veel langer met simpelweg een willekeurige naam en adres die je kon opzoeken in het telefoonboek? Ik denk eigenlijk niet dat TUI je paspoort gaat controleren (hooguit zeggen ze dat je een geldig paspoort moet hebben verwacht ik).

Klarna/Afterpay controleert onder andere op adres en actief telefoonnummer. Enkel de gegevens kan je niks mee als ik het goed zeg.

Ezechiel schreef op vrijdag 27 februari 2026 @ 10:46:
[...]

Ik zou naar TUI kunnen gaan en een vakantie kunnen boeken voor 'jou' en 9 anderen. Lekker 3 weken Bahama's.
Uiteindelijk schiet ik als boefje er niets mee op maar jij hebt wat uit te leggen (en annuleren). En wellicht dat er een vergelijkbaar iets met Klarna/Afterpay te doen valt? Ik ben niet bekend met die services maar ik kan mij indenken dat je voldoende gegevens hebt om er gebruik van te maken.

Mijn paspoort is niet voldoende lang geldig om naar de Bahama's te gaan maar TUI gaat nooit akkoord om zo'n dure reis zonder tegen betaling te reserveren toch?

En Klarna heeft ook verificaties ingebouwd.

Het gaat er toch ook niet om wat ze wel of niet kunnen, het gaat mij om het idee dat persoonlijke gegevens in het openbaar komen, waar iemand anders niet zo zuinig op is.

In sommige functies die beoefend worden is het op zich wel fijn als dit lekker beschermd blijft.
Met dit soort acties weten ze beetje bij beetje steeds meer privacy gerelateerde kwesties.

Ik had wel verwacht dat sommige data ook encrypted opgeslagen word.

Die Shineboys willen graag naar een dramatisch hoogtepunt toe met hun gefaseerde gelek. Alsof Odido vandaag of morgen wel ineens gaat betalen.

ethan..1 schreef op vrijdag 27 februari 2026 @ 10:54:
Het gaat er toch ook niet om wat ze wel of niet kunnen, het gaat mij om het idee dat persoonlijke gegevens in het openbaar komen, waar iemand anders niet zo zuinig op is.

In sommige functies die beoefend worden is het op zich wel fijn als dit lekker beschermd blijft.
Met dit soort acties weten ze beetje bij beetje steeds meer privacy gerelateerde kwesties.

Ik had wel verwacht dat sommige data ook encrypted opgeslagen word.

Ik snap dat, maar dat punt zijn we al gepasseerd en mijn gegevens waren al via LinkedIn uitgelekt jaren geleden.
Dus kan er wel boos om blijven maar dat is verloren energie... Ik ben voornamelijk benieuwd of ik/wij nu direct in de problemen kunnen komen door de gelekte data, zo nee dan slaap ik wat beter.

En ja voor politici en directeuren etc. heeft dit veel meer impact dan de rest van het volk.

ethan..1 schreef op vrijdag 27 februari 2026 @ 10:54:
Het gaat er toch ook niet om wat ze wel of niet kunnen, het gaat mij om het idee dat persoonlijke gegevens in het openbaar komen, waar iemand anders niet zo zuinig op is.

Een groot deel van die persoonlijke gegevens was allang via legale of illegale weg openbaar.

Wat overigens niets goedpraat of dat ik vind dat het moet kunnen. Het is puur een constatering.

Ik had wel verwacht dat sommige data ook encrypted opgeslagen word.

En dan? Wat had dat uitgemaakt? En buiten dat, je kan dat ook niet beoordelen. Goede kans dat binnen de SalesForce omgeving de data encrypted was. Maar aangezien de data gelezen moet kunnen worden, wordt er ook een decryptie toegepast op het moment van openen. Anders heb je niks aan de data als bedrijf.

SgtElPotato schreef op vrijdag 27 februari 2026 @ 10:35:
[...]


Nou wat meer informatie bijvoorbeeld zou top zijn! Wat voor mail, gepersonaliseerd?

Waarschijnlijk gaat het om deze. Ik heb hem ook gekregen. Is verzonden naar een catchall mail die ik alleen voor odido gebruik.

Draconian schreef op vrijdag 27 februari 2026 @ 08:44:
[...]


Dan moet je toch echt de database downloaden en dat is illegaal dus halen de mods hier de berichten weg met de link. Dan is het uitgepakt een .txt bestand wat te groot is voor Word of Notepad in Windows. Dan heb je de gratis app nodig zoals EmEditor. Dan doe je een zoekopdracht met postcode spatie de 2 letters. Dan zie je alle slachtoffers in jouw gebied.

Vanaf morgen gaan ze trouwens versneld online gooien. 2 miljoen records.
https://www.nu.nl/tech/63...n-klantendata-online.html
ShinyHunters zegt dit weekend de vrijgave van data te versnellen. "Na morgen zullen we twee miljoen records per dag publiceren. Dat komt door het recente standpunt van Odido om geen losgeld te betalen", schrijft de hackersgroep vrijdag.

Prima dat ze versnellen, zo wordt de druk die ze uit kunnen oefenen ook kleiner, want steeds minder gegevens om vrij te geven.

zacht schreef op vrijdag 27 februari 2026 @ 10:54:
Die Shineboys willen graag naar een dramatisch hoogtepunt toe met hun gefaseerde gelek. Alsof Odido vandaag of morgen wel ineens gaat betalen.

Laat ze het lekker lekken. Het verandert letterlijk niks. Er zijn zo veel datalekken, alles ligt al lang op straat. En tuurlijk snap ik de ophef, maar jezus waarom zoveel nieuws hierover, ieder uur weer. We geven alleen die criminelen een podium, verder niks. Het OM is al gestart met een onderzoek, dat gebeurt al niet bij een normaal datalek, dus dat krijgt nog een staartje straks.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 10:51:
[...]

Mijn paspoort is niet voldoende lang geldig om naar de Bahama's te gaan maar TUI gaat nooit akkoord om zo'n dure reis zonder tegen betaling te reserveren toch?

En Klarna heeft ook verificaties ingebouwd.

Met IBAN + naam kun je je bijvoorbeeld prima op diverse tijdschriften abonneren door middel van automatische incasso, en ik vermoed dat je op die manier nog wel meer dingen kan aanschaffen...

ArcticWolf schreef op vrijdag 27 februari 2026 @ 10:57:
[...]

Ik snap dat, maar dat punt zijn we al gepasseerd en mijn gegevens waren al via LinkedIn uitgelekt jaren geleden.
Dus kan er wel boos om blijven maar dat is verloren energie... Ik ben voornamelijk benieuwd of ik/wij nu direct in de problemen kunnen komen door de gelekte data, zo nee dan slaap ik wat beter.

En ja voor politici en directeuren etc. heeft dit veel meer impact dan de rest van het volk.

Ik zou er wel waakzaam voor zijn maar niet slechter van slapen.

Ik ben dan altijd weer bang voor de oudere mensen die digibeet zijn en overal weer intrappen
" Ja ik ben echt van ING ik zie uw BSN nummer etc.

Drardollan schreef op vrijdag 27 februari 2026 @ 11:11:
[...]


Dat klopt. Maar vertel eens wat de boef hieraan heeft? In het ergste geval krijg jij een tijdschrift thuis en annuleer jij het abonnement en stuurt het tijdschrift terug. De betaling kan je eenvoudig storneren.

De boef heeft hier niets aan, hij kan het tijdschrift niet naar zijn eigen adres laten sturen. Want dat zou wel getuige van ultieme domheid natuurlijk.

Ik wacht oprecht nog op het eerste zinnige voorbeeld van wat een boefje zou kunnen met de gegevens uit dit datalek en wat hij/zij voor dit lek niet kon. Ik kan er oprecht geen bedenken.

Je kan uit die lijst dan een iban + naam opzoeken, abbo afsluiten en het tijdschrift laten bezorgen. Ga je hier achter aan dan krijg je de melding dat ze gegevens niet willen verstrekken vanwege "privacy". Google er maar eens op....

ethan..1 schreef op vrijdag 27 februari 2026 @ 11:09:
[...]


Ik zou er wel waakzaam voor zijn maar niet slechter van slapen.

Ik ben dan altijd weer bang voor de oudere mensen die digibeet zijn en overal weer intrappen
" Ja ik ben echt van ING ik zie uw BSN nummer etc.

Dat was ook voor dit lek een groot risico, het is niet echt heel erg toegenomen in mijn ogen. Ik denk dat het heel belangrijk is dat je de mensen in je omgeving dit soort algemene kennis bij brengt. Ik doe dat al jaren en ondertussen checken diverse familieleden het bij mij als ze iets niet vertrouwen. Al is de belangrijkste les die ik ze probeer mee te geven: krijg je iets onverwachts, reageer daar dan niet op en neem zelf contact op met het bedrijf wat dit gestuurd zou hebben. Als mensen dat doen dan voorkomt het eigenlijk alle mogelijkheden van dit soort fraude.

fiftyfive schreef op vrijdag 27 februari 2026 @ 11:01:
[...]


Waarschijnlijk gaat het om deze. Ik heb hem ook gekregen. Is verzonden naar een catchall mail die ik alleen voor odido gebruik.

[Afbeelding]

Precies deze ook ontvangen vannacht..

NightCruiser schreef op vrijdag 27 februari 2026 @ 11:15:
[...]


Je kan uit die lijst dan een iban + naam opzoeken, abbo afsluiten en het tijdschrift laten bezorgen. Ga je hier achter aan dan krijg je de melding dat ze gegevens niet willen verstrekken vanwege "privacy". Google er maar eens op....

Ik snap niet wat je zegt, sorry.

Gewoon de betaling storneren. Dan komt het tijdschrift bedrijf vanzelf bij je aankloppen.

Maar nogmaals, wat heeft de boef hieraan gehad? Die heeft geen geld en geen tijdschrift bemachtigd. Hooguit jou met een vervelende situatie opgezadeld die je een beetje tijd kost.

En waarom had dit voor dit lek niet gekund, van nagenoeg iedereen in NL zijn dit soort gegevens wel gelekt de afgelopen jaren.

[ Voor 8% gewijzigd door Drardollan op 27-02-2026 11:20 ]

Drardollan schreef op vrijdag 27 februari 2026 @ 11:11:

Ik wacht oprecht nog op het eerste zinnige voorbeeld van wat een boefje zou kunnen met de gegevens uit dit datalek en wat hij/zij voor dit lek niet kon. Ik kan er oprecht geen bedenken.

De genoemde voorbeelden zijn inderdaad niet zo interessant, deze data is vooral enorm waardevol voor stalkers of georganiseerde criminaliteit. Telefoonnummer linken aan adres is nu zo gedaan. De gemiddelde tweaker is lichtelijk IT paranoïde, maar valt naar mijn mening vaak niet in de risicogroep van deze dataset. Al weet ik natuurlijk wie van jullie af en toe een container leeghaalt

Ben wel benieuwd wanneer het eerste moment aanbreekt dat Odido met droge ogen weer een 'inflatiecorrectie' aankondigt. Zie ze ervoor aan om dat temidden van dit hele festijn ook nog te presteren, aangezien ze deze hele hack ten overstaan van klanten geen bal interesseert.

LigeTRy schreef op vrijdag 27 februari 2026 @ 11:17:
[...]


De genoemde voorbeelden zijn inderdaad niet zo interessant, deze data is vooral enorm waardevol voor stalkers of georganiseerde criminaliteit. Telefoonnummer linken aan adres is nu zo gedaan. De gemiddelde tweaker is lichtelijk IT paranoïde, maar valt naar mijn mening vaak niet in de risicogroep van deze dataset. Al weet ik natuurlijk wie van jullie af en toe een container leeghaalt

Maar heel eerlijk, voor dit lek.. Hadden ze die data toen niet? Er wordt aan de lopende band gehacked, gelekt en gescraped.

Voor de georganiseerde misdaad kan dit heus een belangrijke bron zijn, maar die zitten niet achter moeder de huisvrouw aan en hopen niet dat die op een simpel linkje klikt. Dan heb je het over serieuze misdaad die serieus bezig zijn om een bedrijf of persoon op de korrel te nemen, ik geloof niet dat die deze data nog nodig hebben hoor

NightCruiser schreef op vrijdag 27 februari 2026 @ 11:07:
[...]


Met IBAN + naam kun je je bijvoorbeeld prima op diverse tijdschriften abonneren door middel van automatische incasso, en ik vermoed dat je op die manier nog wel meer dingen kan aanschaffen...

Een hint die al eerder gegeven is: bij je bank kan je een witte lijst incassanten aanmaken. Vervolgens blokkeer je ieder incasso waarvoor geen goedkeuring is gegeven.

NightCruiser schreef op vrijdag 27 februari 2026 @ 11:15:
[...]


Je kan uit die lijst dan een iban + naam opzoeken, abbo afsluiten en het tijdschrift laten bezorgen. Ga je hier achter aan dan krijg je de melding dat ze gegevens niet willen verstrekken vanwege "privacy". Google er maar eens op....

Ik ben ook wel eens het "bokje" geweest met dit. Iemand was op wat voor een manier achter mijn iban gekomen (die was voor de tikkietijd, dus zal wel iemand op marktplaats oid zijn geweest). Incasso gestorneerd, uitgever gebeld, duidelijk gemaakt dat dit niet voor mij is, wat mijn adres gegevens zijn (komen die overeen met het aflever adres?). Het was binnen 10 minuten opgelost.

Drardollan schreef op vrijdag 27 februari 2026 @ 10:50:
[...]


Los van dat er geen gewin aan zit zoals je zegt is het vaak zo dat je direct (een deel) moet betalen.

Ook weet ik niet of TUI naar de extra gegevens vraagt die nu gelekt zijn, kon je dit niet al veel langer met simpelweg een willekeurige naam en adres die je kon opzoeken in het telefoonboek? Ik denk eigenlijk niet dat TUI je paspoort gaat controleren (hooguit zeggen ze dat je een geldig paspoort moet hebben verwacht ik).

Klarna/Afterpay controleert onder andere op adres en actief telefoonnummer. Enkel de gegevens kan je niks mee als ik het goed zeg.

Laat nu net adres en telefoonnummer uitgelekt zijn. Bovendien ik weet het niet zeker, maar volgens mij hoef ik niet altijd een verificatie van mijn telefoonnummer te doen?

asing schreef op vrijdag 27 februari 2026 @ 11:21:
[...]

Een hint die al eerder gegeven is: bij je bank kan je een witte lijst incassanten aanmaken. Vervolgens blokkeer je ieder incasso waarvoor geen goedkeuring is gegeven.

Dat soort dingen weten wij misschien, maar een oud vrouwtje van 80 dan weer niet(en Gerdien van de administratie wss ook niet). Die zal het in eerste instantie misschien niet eens merken. Maar fijn dat dit soort dingen voor jullie geen probleem is, en dat het in 10 minuten is opgelost. Ik hou me liever helemaal niet bezig met dit soort onzin.

Pasteis schreef op vrijdag 27 februari 2026 @ 11:21:
[...]


Laat nu net adres en telefoonnummer uitgelekt zijn. Bovendien ik weet het niet zeker, maar volgens mij hoef ik niet altijd een verificatie van mijn telefoonnummer te doen?

Misschien nu wel. En zeker als het afleveradres afwijkt, grote kans dat er dan ineens beveiliging wakker wordt. Ik durf het niet te zeggen omdat ik het niet vaak gebruik en de details niet ken, maar ik weet wel dat je niet zomaar via Klarna/Afterpay kunt betalen zonder validaties.

Chorro schreef op vrijdag 27 februari 2026 @ 11:19:
Ben wel benieuwd wanneer het eerste moment aanbreekt dat Odido met droge ogen weer een 'inflatiecorrectie' aankondigt. Zie ze ervoor aan om dat temidden van dit hele festijn ook nog te presteren, aangezien ze deze hele hack ten overstaan van klanten geen bal interesseert.

Die is al geweest, doen ze altijd keurig per 1 januari.
Stemmingmakerij.

Zou een KPN of Vodafone ook deze info downloaden ......ideaal klantenbestand geen vertrouwen in oude provider meer en makkelijk over te halen.

NightCruiser schreef op vrijdag 27 februari 2026 @ 11:25:
[...]


Dat soort dingen weten wij misschien, maar een oud vrouwtje van 80 dan weer niet(en Gerdien van de administratie wss ook niet). Die zal het in eerste instantie misschien niet eens merken. Maar fijn dat dit soort dingen voor jullie geen probleem is, en dat het in 10 minuten is opgelost. Ik hou me liever helemaal niet bezig met dit soort onzin.

Ik durf wel te stellen dat bij de overgrote meerderheid in Nederland bekend is dat je incasso's kan storneren. En als iemand dat al niet weet dan zal hij/zij daar ongetwijfeld door familie of vrienden over worden verteld in zo'n geval. En dan laat ik nog maar even de kans weg dat dat oude vrouwtje nog van de oude stempel is en de bank bezoekt of belt en dan wordt het daar ook ongetwijfeld keurig uitgelegd.

Drardollan schreef op vrijdag 27 februari 2026 @ 11:19:
[...]
Voor de georganiseerde misdaad kan dit heus een belangrijke bron zijn, maar die zitten niet achter moeder de huisvrouw aan en hopen niet dat die op een simpel linkje klikt. Dan heb je het over serieuze misdaad die serieus bezig zijn om een bedrijf of persoon op de korrel te nemen, ik geloof niet dat die deze data nog nodig hebben hoor

Precies die hebben veel meer aan politie of DJI data en dat zal vast wel veilig zijn opgeslagen.

Toch?

https://nos.nl/artikel/26...-gegevens-dji-medewerkers

Oops edit: (beschrijving lijkt op misbruik van de Ivanti EPMM vulnerability)

[ Voor 5% gewijzigd door sh4d0wman op 27-02-2026 11:31 ]

Drardollan schreef op vrijdag 27 februari 2026 @ 11:23:
[...]

Ik denk dat je nu veel te kort door de bocht gaat, hoewel ik het helemaal met je eens ben dat Odido best wat meer het boetekleed moet aantrekken.

Maar ik denk eigenlijk dat het een hele bewuste keuze is, voornamelijk geadviseerd door de diverse experts en instanties die hierbij betrokken zijn. Ze lijken heel bewust een laconieke houding aangenomen te hebben en stralen uit dat ze zich niet in een hoek laten drijven. Ik denk dat het een hele bewuste strategie is om enerzijds de huidige boefjes voor een deel in hun hemd te zetten en anderzijds om voor toekomstige boefjes een minder boeiend target te zijn.

Dat je dit soort boefjes nooit moet betalen is duidelijk, dat is de enige manier om dit te stoppen uiteindelijk. Als er geen geld te verdienen is aan hacks en lekken dan gaat men er ook geen tijd meer instoppen.

De wanstaltige enkele mail die die avond is gestuurd zonder verdere updates actief te communiceren kan een bewuste strategie zijn, maar dan wel eentje om er voor te zorgen dat je je opzeggingen maximaliseert. Snap dat ten overstaan van de hackers zo'n houding passend kan zijn, maar klantdata van tientallen jaren oud laten jatten en je dan zo gedragen richting je klanten is echt beneden alle peil.
Een enkel mailtje waarbij je jezelf vol in de slachtofferrol flikkert doet daarin veel meer kwaad dan dat het feit zelf al is.

ethan..1 schreef op vrijdag 27 februari 2026 @ 11:27:
Zou een KPN of Vodafone ook deze info downloaden ......ideaal klantenbestand geen vertrouwen in oude provider meer en makkelijk over te halen.

Over het algemeen blijven dit soort bedrijven gewoon netjes binnen de grenzen van de wet.

Hij hebben wel eens iemand in mijn team gehad die in dienst kwam en zijn harde schijf met gejatte informatie van zijn vorige werkgever aan ons wilde delen.

Die meneer was binnen een uur buiten de deur door beveiliging en zijn vorige werkgever is op de hoogte gesteld. Die "can of worms" wil je als bedrijf niet openen.

Hemingr schreef op vrijdag 27 februari 2026 @ 10:12:
[...]

Code woord instellen bij [mbr]odido[/mbr]....

oh wacht.

Overigens zat dit hele debakel wel worden aangegrepen door het "wE mOeTeN diGiTAle Id hEbbEN oP InterNEt" kamp.

Als fraude daarmee voorkomen kan worden? Prima! Vroeg of laat zullen we er toch aan moeten geloven. Helaas teveel kwaadwillende op het internet die anders misbruik maken van het anoniem op internet rondzwerven. En nu met deze lek ook namens iemands anders kan proberen voor te doen.

We zien toch tegenwoordig dat er veel haat, afgunst, jaloezie, dreigementen etc.. uit het internet voortkomt. Misschien niet bij jou en mij, maar het is verschrikkelijk hoe sommige zo erg slachtoffer zijn.

asing schreef op vrijdag 27 februari 2026 @ 11:21:
[...]

Een hint die al eerder gegeven is: bij je bank kan je een witte lijst incassanten aanmaken. Vervolgens blokkeer je ieder incasso waarvoor geen goedkeuring is gegeven.

Hele nuttige opmerking inderdaad, Ik kende deze nog niet dus hartelijk dank.

ethan..1 schreef op vrijdag 27 februari 2026 @ 11:27:
Zou een KPN of Vodafone ook deze info downloaden ......ideaal klantenbestand geen vertrouwen in oude provider meer en makkelijk over te halen.

Die zijn dan net zo strafbaar bezig als jij en ik als wij dat zouden doen. Ik denk dat dat niet de publiciteit is die ze willen hebben..

asing schreef op vrijdag 27 februari 2026 @ 11:21:
[...]

Een hint die al eerder gegeven is: bij je bank kan je een witte lijst incassanten aanmaken. Vervolgens blokkeer je ieder incasso waarvoor geen goedkeuring is gegeven.

Dat kan bij mijn bank alleen bij zakelijke rekeningen, niet bij prive rekeningen

sh4d0wman schreef op vrijdag 27 februari 2026 @ 11:28:
[...]

Precies die hebben veel meer aan politie of DJI data en dat zal vast wel veilig zijn opgeslagen.

Toch?

https://nos.nl/artikel/26...-gegevens-dji-medewerkers

Oops

Ik loop nu al zolang mee in de internetwereld, want ik ben van voor die wereld, en als er iets een utopie is is het wel dat gegevens veilig zijn opgeslagen.

Ik vind DigiNotar ook altijd een mooi voorbeeld: https://www.computable.nl...-hack-raakt-ons-allemaal/

Ezechiel schreef op vrijdag 27 februari 2026 @ 11:32:
[...]

Die zijn dan net zo strafbaar bezig als jij en ik als wij dat zouden doen. Ik denk dat dat niet de publiciteit is die ze willen hebben..

Maar zou wel heel slim van ze zijn om nu met goede overstap kortingen te komen.

LigeTRy schreef op vrijdag 27 februari 2026 @ 11:17:
[...]


De genoemde voorbeelden zijn inderdaad niet zo interessant, deze data is vooral enorm waardevol voor stalkers of georganiseerde criminaliteit. Telefoonnummer linken aan adres is nu zo gedaan. De gemiddelde tweaker is lichtelijk IT paranoïde, maar valt naar mijn mening vaak niet in de risicogroep van deze dataset. Al weet ik natuurlijk wie van jullie af en toe een container leeghaalt

Omdat er schijnbaar ook de leeftijd er bij staat verwacht ik dat dit lek enorm populair wordt bij babbeltruc figuren.

Drardollan schreef op vrijdag 27 februari 2026 @ 10:34:
[...]

Eh ik denk dat je in de war bent, want dat heb ik nooit aangehaald als risico

Ik dacht even huh? Dit klinkt wel heel tegenstrijdig of zijn account is gehackt.
Toen keek ik beter en besefte ik dat de SHA1 van Drardollan en Draconian niet overeen kwam
Note: verder kijken dan de eerste 3 karakters in iemand zijn naam

Mbt de potentieel misbruik discussie ben ik het ook helemaal met je eens.
Sommige mensen vergeten hier dat er risk based naar zaken gekeken wordt.

Hoe hoger de kans op misbruik, hoe meer extra controls er zijn.
Een goed doel kun je soms machtigen met slechts het afgeven van een IBAN. Klopt, de kans dat iemand dit gaat misbruiken is namelijk erg klein (geen financieel gewin) en als het al misbruikt wordt dan is de kans dat het teruggedraaid wordt groot (Storneren).

Een vakantie naar de bahamas kun je echt niet zomaar boeken door iemand zijn andere IBAN in te kloppen. Daar zit altijd wat bovenop.

Laten we alsjeblieft het lek niet groter maken dan het is. Als een IBAN met NAW zo makkelijk te misbruiken zou zijn, dan zit dat in de diensten die misbruikt kunnen worden.
Een IBAN met NAW laat je op verschrikkelijk veel plekken achter. Dat zou echt heel gek zijn.

[ Voor 49% gewijzigd door laurens0619 op 27-02-2026 12:06 ]

Tralapo schreef op vrijdag 27 februari 2026 @ 11:27:
[...]


Die is al geweest, doen ze altijd keurig per 1 januari.
Stemmingmakerij.

Oud tele2 klanten kunnen misschien in juli verwachten.

Ping83 schreef op donderdag 26 februari 2026 @ 10:18:
Ik zou er persoonlijk wel €50 voor over hebben om mijn gegevens uit de database te laten halen.

Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
[...]


Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Politie, justitie en cybersecurityadviseurs hebben Odido geadviseerd om niet te betalen.

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

OMG gewoon even een ‘open tikkie’ maken. Wat doet deze beste man in de tussentijd met al het geld? En wat als hij niet op tijd die tonnen binnenhengelt die de hackers willen?

POTMA schreef op vrijdag 27 februari 2026 @ 12:25:
[...]

Politie, justitie en cybersecurityadviseurs hebben Odido geadviseerd om niet te betalen.

Nou mij hebben ze als gedupeerde daarin niet gekend. Jou wel?

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
[...]


Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Hoewel ik de argumenten van beide kampen (wel vs. niet betalen) snap is hetgeen in dit artikel terug komt wel wat mij het meeste steekt: wij als klanten van Odido zijn de échte gedupeerden aangezien onze data op straat ligt en daar beslist Odido dus over dat ze er niet voor gaan betalen.

Indien het geen datalek zou betreffen maar een vorm van ransomware waarbij - even puur hypothetisch - Odido haar systemen om nieuwe abonnementen af te sluiten gelocked zou zijn, dan denk ik dat ze binnen de kortste keren zouden betalen. Want dan is Odido zelf het echte slachtoffer.