Odido waarschuwt voor datalek (cyberaanval/hack)

vrijdag 27 februari 2026 12:46

Plisson schreef op vrijdag 27 februari 2026 @ 12:33:
[...]
Man denkt volgens mij snel te cashen zo…

Nee, dat geloof ik niet want dat zou niet ethisch zijn. Ik denk dat hij/die groep werkelijk gelooft dat ze dat moeten doen.

Gezien de commentaren in de Odido data kan ik me dat voorstellen. Enge ziekten worden niet alleen door klanten gebruikt, maar ook door Odido klantenservices. Dat wil je niet openbaar krijgen. Aan de andere kant: Hoe meer er openbaar wordt, hoe lager de waarde van individuele gegevens wordt.

Acties:

zacht

Ping83 schreef op donderdag 26 februari 2026 @ 10:18:
[...]

Ergens heb je gelijk maar het probleem is dat de data die gestolen is niet van Odido is maar van de klanten van Odido en wel 6.5 miljoen is ik het goed begrijp. Als ze nu interne eigen documenten gestolen hadden kan Odido nog zeggen van nee doen we niet.

Om de sociale onrust weg te nemen kun je voor een klein bedrag dit afkopen. De totale maatschappelijke schade is veel groter, denk alleen maar aan bekende mensen waarvan hun adresgegevens gelekt worden met bijvoorbeeld stalking tot gevolg.

Ik zou er persoonlijk wel €50 voor over hebben om mijn gegevens uit de database te laten halen.

De totale maatschappelijke schade kun je aanzienlijk verkleinen door niet te betalen. Dit verdienmodel moet meteen stoppen, het liefst zie ik op Europees niveau wettelijk vastgelegd: niet betalen aan hackers.

Ik heb er geen cent voor over om mijn gegevens uit die database te halen. Morgen hacken ze een verzekeringsmaatschappij, overmorgen een webshop, en volgende week een streamingdienst. En zolang 'men' betaalt blijft dit doorgaan.

vrijdag 27 februari 2026 12:48

Acties:

Senaxx

De kwaliteit van de data van de 2 release lijkt wel slechter dan de eerste. 13% van de 1 miljoen rijen heeft geen naam maar alleen een klantnummer, al is er voor deze klanten dan vaak wel een email en een mobiel nummer beschikbaar

vrijdag 27 februari 2026 12:51

Acties:

franssie

Save the albatross

om 14:00 uur bij https://www.nporadio2.nl/ - naar aanleiding van de hack, alle 13 telefoon

[ Voor 6% gewijzigd door franssie op 27-02-2026 12:56 ]

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

vrijdag 27 februari 2026 12:51

Acties:

henkjobse

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
[...]

Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Heel bijzonder dit, als je artikelen zoals https://blog.unit221b.com/dont-read-this-blog/harassment-scare-tactics-why-victims-should-never-pay-shinyhunters leest dan kan ik me eigenlijk niet voorstellen waarom hij dit op touw heeft gezet. Er is geen enkele zekerheid dat de data niet alsnog uitlekt en er zijn sterke aanwijzingen dat het zeker alsnog wordt gelekt.

vrijdag 27 februari 2026 12:53

Acties:

dutchgio

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
[...]

Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Tja en dan gaat hij zelf onderhandelen uit naam van Odido?
Verder persoonlijke Bunq rekening etc.
Leuk en snel opgezet maar dat gaat natuurlijk niet werken.

vrijdag 27 februari 2026 12:53

Acties:

vrijdag 27 februari 2026 12:55

A Er is een datalek
B Er is online criminaliteit

Er wordt wel het argument opgevoerd, betalen houdt de criminaliteit in stand dus je moet niet betalen.
Klintk heel logisch maar is dat ook echt zo? Ik denk dat het zonder betalen ook geld gaat opleveren dus dat de crimimaliteit blijft. Als je wilt dat de criminaliteit stopt, dan moet je dat denk ik op een andere manier doen door de pakkans te vergroten en de daders op te sporen en te straffen. JA ik weet, dat is niet heel gemakkelijk.

De criminialiteit moet bestreid worden en deze mensen moet gepakt worden. Politie zal nooit adviseren om geld te betalen aan online criminelen, dat zou ergens gek zijn als ze dat wel zouden adviseren toch?

Dan blijft het argument over: je hebt geen garantie dat na betalen de data alsnog niet verhandeld wordt. Ook allemaal waar.
Maar toch, een betaling van een half miljoen om potentieel 6 miljoen mensen uit het vuur te houden vind ik echt geen rare gedachte.

[ Voor 11% gewijzigd door laurens0619 op 27-02-2026 12:56 ]

CISSP! Drop your encryption keys!

Acties:

BertP

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
[...]

Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Dit is natuurlijk echt kansloos, ik snap ook niet dat een journalist van het BNR dit groter maakt dan nodig is om heel eerlijk te zijn.

vrijdag 27 februari 2026 12:56

Acties:

Sende115

dutchgio schreef op vrijdag 27 februari 2026 @ 12:53:
[...]

Tja en dan gaat hij zelf onderhandelen uit naam van Odido?
Verder persoonlijke Bunq rekening etc.
Leuk en snel opgezet maar dat gaat natuurlijk niet werken.

Plus, wat geeft de garantie dat deze "security expert" er zelf niet met de centen vandoor gaat?
iDeal betalingen zijn (voor zover ik weet) niet terug te boeken, dus dan kun je fluiten naar je geld, naast dat je gegevens alsnog op straat komen te liggen.

vrijdag 27 februari 2026 12:56

Acties:

Pendora

ethan..1 schreef op vrijdag 27 februari 2026 @ 11:27:
Zou een KPN of Vodafone ook deze info downloaden ......ideaal klantenbestand geen vertrouwen in oude provider meer en makkelijk over te halen.

Ik zat in de eerste lading die gelekt was en vandaag kreeg ik al een KPN aanbieding thuisgestuurd voor glasvezel. Nou wil ik niet zeggen dat het wat met elkaar te maken heeft maar ik vond het wel opmerkelijk

vrijdag 27 februari 2026 12:57

Acties:

vrijdag 27 februari 2026 12:58

laurens0619 schreef op vrijdag 27 februari 2026 @ 12:53:
Maar toch, een betaling van een half miljoen om potentieel 6 miljoen mensen uit het vuur te houden vind ik echt geen rare gedachte.

En dat "kleine bedrag" verzamelen in heel veel kleine bedragen die mensen "toch niet missen" verbloemt dan het vergrijp... Als er nou een vuurwapen op me gericht zou zijn zou ik misschien wel meedoen..... Uit principe doe ik dus niet mee maar als het lijfsbehoud zou zijn zou ik wel een keertje extra nadenken.

Acties:

dutchgio

Pendora schreef op vrijdag 27 februari 2026 @ 12:56:
[...]

Ik zat in de eerste lading die gelekt was en vandaag kreeg ik al een KPN aanbieding thuisgestuurd voor glasvezel. Nou wil ik niet zeggen dat het wat met elkaar te maken heeft maar ik vond het wel opmerkelijk

Net als die spammails is dat vooral toeval.

vrijdag 27 februari 2026 13:01

Acties:

vrijdag 27 februari 2026 13:03

DjoeC schreef op vrijdag 27 februari 2026 @ 12:57:
[...]

En dat "kleine bedrag" verzamelen in heel veel kleine bedragen die mensen "toch niet missen" verbloemt dan het vergrijp... Als er nou een vuurwapen op me gericht zou zijn zou ik misschien wel meedoen..... Uit principe doe ik dus niet mee maar als het lijfsbehoud zou zijn zou ik wel een keertje extra nadenken.

Voor iedereen is die motivatie/principes inderdaad anders en iedereen moet zelf die afweging maken.

Maar dat is in deze situatie gek.
MIJN data is gestolen bij Odido en Odido mag de keuze maken van betalen of niet.
Het is toch MIJN Data? Ik zou liever die keuze bij de betrokkenen zien (ja ik weet, dat is niet haalbaar).

Nu zijn er dus overheidsorganen en commerciele organisaties die de keuze voor mij maken.
Als er nu geheime, niet persoonsgevoelige, gegevens waren gestolen dan was het een ander verhaal (of ransomware wat bedrijfsvoering stillegd of niet).

CISSP! Drop your encryption keys!

Acties:

vrijdag 27 februari 2026 13:05

laurens0619 schreef op vrijdag 27 februari 2026 @ 13:01:
[...]

Voor iedereen is die motivatie/principes inderdaad anders en iedereen moet zelf die afweging maken.

Maar dat is in deze situatie gek.
MIJN data is gestolen bij Odido en Odido mag de keuze maken van betalen of niet.
Het is toch MIJN Data? Ik zou liever die keuze bij de betrokkenen zien (ja ik weet, dat is niet haalbaar).

Nu zijn er dus overheidsorganen en commerciele organisaties die de keuze voor mij maken.
Als er nu geheime, niet persoonsgevoelige, gegevens waren gestolen dan was het een ander verhaal (of ransomware wat bedrijfsvoering stillegd of niet).

De vraag is of jij als klant wel een rationele keuze kunt maken? NB: Dat zegt niks over of anderen dat wel doen als ze voor jou de keuze maken....

Acties:

vrijdag 27 februari 2026 13:11

Vidi, Vici, Veni

@laurens0619 maar wat wil je nou dan?

Betalen levert je niks op. De data is al her en der beschikbaar, en zelfs als dat niet het geval zou zijn; het blijven criminelen. Denk je echt dat die na het betalen van x bedrag ineens netjes het spul verwijderen? Geloof je ze op hun woord?

Het is een dead end street. Ik ben er 100% mee eens dat er niet betaald wordt. Het moet niet gaan lonen.

Acties:

vrijdag 27 februari 2026 13:12

MikeyMan schreef op vrijdag 27 februari 2026 @ 13:05:
@laurens0619 maar wat wil je nou dan?

Betalen levert je niks op. De data is al her en der beschikbaar, en zelfs als dat niet het geval zou zijn; het blijven criminelen. Denk je echt dat die na het betalen van x bedrag ineens netjes het spul verwijderen? Geloof je ze op hun woord?

Het is een dead end street. Ik ben er 100% mee eens dat er niet betaald wordt. Het moet niet gaan lonen.

Ik heb er ook geen simpel antwoord. Ik snap het ethische dillema heel goed maar ik vind wel dat er te makkelijk wordt gedaan over dan maar 6 miljoen mensen de dupe er van te laten worden.

Ik zie het gewoon als 2 losstande zaken, de criminaliteit en dit incident.

Niet betalen om de criminaliteit te stoppen is heel nobel maar ik heb er echt 0 vertrouwen in dat dit gaat werken. Er is echt veel meer nodig dan dat en voorlopig zie ik te weinig gebeuren in de digitale wereld die dit probleem gaat oplossen.

[ Voor 18% gewijzigd door laurens0619 op 27-02-2026 13:13 ]

CISSP! Drop your encryption keys!

Acties:

rr7r

DjoeC schreef op vrijdag 27 februari 2026 @ 13:03:
[...]

De vraag is of jij als klant wel een rationele keuze kunt maken? NB: Dat zegt niks over of anderen dat wel doen als ze voor jou de keuze maken....

Misschien moeten we jou ook onder bewind stellen. Kan jij wel altijd rationele keuzes maken?

vrijdag 27 februari 2026 13:13

Acties:

vrijdag 27 februari 2026 13:14

rr7r schreef op vrijdag 27 februari 2026 @ 13:12:
[...]
Kan jij wel altijd rationele keuzes maken?

Nee. Maar samen met mijn "betere helft" kom ik een heel eind. Hoop ik.

Acties:

RippedBonobo

Kan aan mij liggen, maar geboortedatums, bsn's en documentnummers zijn (nog) geen onderdeel van de gelekte data (ik heb de data van gister en vandaag zelf bekeken)

Uiteindelijk gaat het om naw gegevens + telefoon + bankgegevens. Kwalijk, maar geen rampzalige identiteitsfraude mogelijkheden.

vrijdag 27 februari 2026 13:14

Acties:

vrijdag 27 februari 2026 13:17

laurens0619 schreef op vrijdag 27 februari 2026 @ 13:11:
[...]

Ik heb er ook geen simpel antwoord. Ik snap het ethische dillema heel goed maar ik vind wel dat er te makkelijk wordt gedaan over dan maar 6 miljoen mensen de dupe er van te laten worden.

Dus, wat wil je dan? Wel betalen zodat de criminelen er ook nog rijk van worden? Met ook nog eens een heel goede incentive voor andere partijen om hetzelfde te doen?

Uiteindelijk blijft het heel simpel, als je in deze situatie gaat betalen maak je het probleem alleen maar nog groter.

[removed]

Acties:

vrijdag 27 februari 2026 13:17

Vidi, Vici, Veni

laurens0619 schreef op vrijdag 27 februari 2026 @ 13:11:
[...]

Ik heb er ook geen simpel antwoord. Ik snap het ethische dillema heel goed maar ik vind wel dat er te makkelijk wordt gedaan over dan maar 6 miljoen mensen de dupe er van te laten worden.

Ik zie het gewoon als 2 losstande zaken, de criminaliteit en dit incident.

Niet betalen om de criminaliteit te stoppen is heel nobel maar ik heb er echt 0 vertrouwen in dat dit gaat werken. Er is echt veel meer nodig dan dat en voorlopig zie ik te weinig gebeuren in de digitale wereld die dit probleem gaat oplossen.

Het probleem is dat wel betalen ook niets oplevert...

De enige situatie waarin betalen m.i. loont is als je zelf je data kwijt bent en op die manier terug zou kunnen krijgen.

In dit geval biedt het geen enkel voordeel.

Acties:

Pinjataaa

Hit me!

Koudvuur schreef op vrijdag 27 februari 2026 @ 12:12:
[...]

Met behulp van een crowdfundactie moet het lekken van klantgegevens van Odido zo snel mogelijk stoppen. Dat zegt ethisch hacker Sijmen Ruwhof, die vandaag de actie is begonnen samen met andere (privacy)deskundigen.

Wat een grote onzin om dit nu nog te doen, ze hebben het al online gegooid dus ook voor de hackers is de kans gevlogen wat mij betreft!

vrijdag 27 februari 2026 13:19

Acties:

vrijdag 27 februari 2026 13:20

redwing schreef op vrijdag 27 februari 2026 @ 13:14:
[...]

Dus, wat wil je dan? Wel betalen zodat de criminelen er ook nog rijk van worden? Met ook nog eens een heel goede incentive voor andere partijen om hetzelfde te doen?

Uiteindelijk blijft het heel simpel, als je in deze situatie gaat betalen maak je het probleem alleen maar nog groter.

Ik ben bang dat het niet zo simpel ligt.

Bij regulie ransomware lag dat anders:
- Als je betaalde dan beloonde je de crimineel. Als je niet betaalde, was het een verliespost voor ze

Bij datadiefstal:
- Als je betaald, dan beloon je de crimineel. Betaal je niet, dan verkoopt de crimineel de data en worden ze (misschien nog wel meer beloond)

Dus nee natuurlijk wil ik niet dat criminelen betaald worden, criminaliteit moet gestopt worden maar dat niet betalen dit gaat doen vind ik wel een gelegenheidsargument/wishfull thinking

CISSP! Drop your encryption keys!

Acties:

vrijdag 27 februari 2026 13:21

Moderator Internet & Netwerken

Wel of niet betalen is natuurlijk een complexe beslissing, ik had persoonlijk betaald
om verdere schade te voorkomen. Stel je voor je familielid wordt gegijzeld en de ontvoerders eisen losgeld , wat doe je?

Politie zegt:
- Niet betalen, ze willen niet nog meer van deze zaken.
- Het is "moreel" niet juist om criminelen te belonen

Allemaal waar maar nu de realiteit, je krijgt elke dag een foto/video/vinger opgestuurd en jouw enige doel is je familielid terugkrijgen. Nu heb je een keuze betalen en hopen op het beste, niet betalen en vertrouwen hebben in de autoriteiten of optie 3 schijt hebben en denken jammer dan. Denk dat Odido de autoriteiten/optie 3 kiest en zich verschuilt achter het advies van de autoriteiten. Wat je niet moet vergeten is dat de belangen niet hetzelfde zijn, die van de autoriteiten is:
- Nieuwe zaken voorkomen c.q. niet betalen.
- Hackers pakken zodat er geen nieuwe zaken voorkomen.

Odido:
- Doofpot
- Zo min mogelijk verlies zowel financieel als reputatie.

Juist dit laatste punt kan wel eens niet overeenkomen met de autoriteiten.
Ook al interesseert je het niks dat de data is gelekt je wil geen slechte reputatie/klanten verlies. Wat kan het Odido nou schelen als KPN/Ziggo de volgende is? Betaal een miljoen (of 2) verhoog de prijzen maak een mooi persbericht dat het is opgelost en klaar. Laten we eerlijk zijn de autoriteiten zijn er nou ook niet bepaald in geslaagd om in 20 dagen de hackers op te sporen, te arresteren en/of het lek in te dammen.

Acties:

vrijdag 27 februari 2026 13:22

Vidi, Vici, Veni

@MasterL Jij denkt dat na betalen ze netjes het spul verwijderen en de zaak afgesloten is? Werkelijk?

Nogmaals, het gaat niet om iets terug krijgen waar geen beschikking meer over is. Het gaat om het voorkomen van verspreiding. In het eerste geval kun je daadwerkleijk bevestigen dat je iets terug hebt gekregen. In het tweede geval moet je ze maar geloven dat ze niet verder verspreiden.

[ Voor 58% gewijzigd door MikeyMan op 27-02-2026 13:22 ]

Acties:

vrijdag 27 februari 2026 13:22

MikeyMan schreef op vrijdag 27 februari 2026 @ 13:17:
[...]

Het probleem is dat wel betalen ook niets oplevert...

De enige situatie waarin betalen m.i. loont is als je zelf je data kwijt bent en op die manier terug zou kunnen krijgen.

In dit geval biedt het geen enkel voordeel.

Ik ben en wil geen voorstander zijn van criminelen betalen maar als je er theoretisch naar kijkt:
Betalen levert je een kans op dat de criminelen de data toch weggooien. Ook levert het een kans op dat het geld gevolgd kan worden om de daders te pakken (dat is in het verleden al paar keer gelukt).

Ik zou dat niet als niets bestempelen.

Maar samengevat is het een verschrikkelijk rot ethisch dillema.

@MasterL
Dank voor het helder samenvatten, dit is inderdaad ook hoe ik het bekijk.
Puur financieel als je de volgende kansen tegen elkaar afzet:
A 500.000 betalen voor X% kans dat het stopt
B Niet betalen voor Y% kans op xxx euro financiele impact.

Moreel technisch gezien is niet betalen de juiste keuze maar puur financieel gezien betwijfel ik dat.

[ Voor 19% gewijzigd door laurens0619 op 27-02-2026 13:27 ]

CISSP! Drop your encryption keys!

Acties:

Baserk

RippedBonobo schreef op vrijdag 27 februari 2026 @ 13:14:
Kan aan mij liggen, maar geboortedatums, bsn's en documentnummers zijn (nog) geen onderdeel van de gelekte data (ik heb de data van gister en vandaag zelf bekeken)

Uiteindelijk gaat het om naw gegevens + telefoon + bankgegevens. Kwalijk, maar geen rampzalige identiteitsfraude mogelijkheden.

Volgens NOS.nl heeft Shinyhunters zelf aangeven steeds gevoeligere informatie te dumpen, om daarmee druk/media aandacht op Ododi te kunnen houden.

De cybercriminelen hebben laten weten steeds gevoeligere informatie te gaan publiceren.

https://nos.nl/artikel/26...pnieuw-deel-klantgegevens

Romanes eunt domus | AITMOAFU

vrijdag 27 februari 2026 13:27

Acties:

amahusu

taking over the world!

MikeyMan schreef op vrijdag 27 februari 2026 @ 13:21:
@MasterL Jij denkt dat na betalen ze netjes het spul verwijderen en de zaak afgesloten is? Werkelijk?

Nogmaals, het gaat niet om iets terug krijgen waar geen beschikking meer over is. Het gaat om het voorkomen van verspreiding. In het eerste geval kun je daadwerkleijk bevestigen dat je iets terug hebt gekregen. In het tweede geval moet je ze maar geloven dat ze niet verder verspreiden.

ik denk dat veel mensen er niet bij stil staan dat het voor dergelijke hackgroepen gewoon een business model is waarin ze zichzelf in de vingers zouden snijden als ze zich niet aan hun part of the deal houden. Dus stel je betaalt en vervolgens duikt de data toch ergens op, dan zal er in het vervolg helemaal niemand meer betalen.

Dus wat voor zin zou het dan voor de hackers hebben om een bedrijf in "gijzeling" te nemen.

Andersom, als niemand betaalt dan gaat het probleem echt niet vanzelf weg, dus die redenatie snap ik persoonlijk niet helemaal. De redenering dat je criminaliteit niet moet belonen kan ik volgen, maar dan moet je wel de pros & cons heel goed tegen elkaar afwegen. En vanuit die gedachte gezien is betalen misschien in sommige gevallen toch wel the lesser evil.

Always Outnumbered, Never Outgunned // Some people feel the rain, others just get wet

vrijdag 27 februari 2026 13:29

Acties:

vrijdag 27 februari 2026 13:30

laurens0619 schreef op vrijdag 27 februari 2026 @ 13:19:
[...]
Ik ben bang dat het niet zo simpel ligt.

Bij regulie ransomware lag dat anders:
- Als je betaalde dan beloonde je de crimineel. Als je niet betaalde, was het een verliespost voor ze

Bij datadiefstal:
- Als je betaald, dan beloon je de crimineel. Betaal je niet, dan verkoopt de crimineel de data en worden ze (misschien nog wel meer beloond)

Dus nee natuurlijk wil ik niet dat criminelen betaald worden, criminaliteit moet gestopt worden maar dat niet betalen dit gaat doen vind ik wel een gelegenheidsargument/wishfull thinking

Het is in alle gevallen een gok wat er precies zal gebeuren. Want als je betaalt beloon je de crimineel en kan ie de data alsnog doorverkopen. Als die andere partij een maandje wacht met de data gebruiken kan niemand het meer linken aan dit lek. En als je niet betaalt, lekken of verkopen ze het. Uiteindelijk zoirg je er met betalen alleen maar voor dat de criminelen meer geld krijgen.

Betalen heeft gewoon geen enkele zin en geeft geen enkele garantie.

[removed]

Acties:

vrijdag 27 februari 2026 13:38

Vidi, Vici, Veni

@amahusu dat vind ik een wat naïve take... Het is niet alsof die groepen bezig zijn met het bedrijven van goede PR in hun markt... Er is werkelijk niets dat ze tegenhoudt om delen van de data aan anderen over te doen voor weinig. Hoe ga je bewijzen dat het van de odido hack komt?

wat @redwing zegt

[ Voor 4% gewijzigd door MikeyMan op 27-02-2026 13:30 ]

Acties:

vrijdag 27 februari 2026 13:39

Moderator Internet & Netwerken

MikeyMan schreef op vrijdag 27 februari 2026 @ 13:21:
@MasterL Jij denkt dat na betalen ze netjes het spul verwijderen en de zaak afgesloten is? Werkelijk?

Nogmaals, het gaat niet om iets terug krijgen waar geen beschikking meer over is. Het gaat om het voorkomen van verspreiding. In het eerste geval kun je daadwerkleijk bevestigen dat je iets terug hebt gekregen. In het tweede geval moet je ze maar geloven dat ze niet verder verspreiden.

Tuurlijk niet dat zou naïef zijn, het is een gok en in het beste geval geef je de autoriteiten meer tijd en aanwijzingen (betalingsverkeer) om de hackers te kunnen opsporen.
Je hebt wel een punt over het terugkrijgen, je krijgt inderdaad niks terug zoals bijvoorbeeld bij een crypto-ransomware aanval. Ik ben de zaak even vergeten maar ik kan me iets herinneren over een soortgelijke hack waarbij er inderdaad betaald is en de informatie alsnog gelekt is, dit werd toen niet goed ontvangen in de "community". Zoals eerder gezegd het hele idee is gebaseerd op vertrouwen, maar dit is niet anders met een ontvoering. Je kunt ook betalen en je familielid terugkrijgen tussen 6 planken.

Acties:

vrijdag 27 februari 2026 13:40

@MikeyMan @redwing
Tja je kan het naief vinden dat betalen ervoor zorgt dat ze het niet lekken. Het grootste verschil zit hem erin dat jullie het de hele tijd als 100% garantie benaderen. Nee die is er niet, je moet het als kans benaderen.

Er worden sommige zaken als feiten gebracht waar ik echt mijn twijfels bij heb:
- Betalen levert meer op dan niet betalen: wie zegt dat? Misschien levert de handel in data wel veel meer op dan half miljoen
- Niet betalen stopt de criminaliteit. Wie zegt dat? Zie bovenstaande

Maar je moet niet alleen kijken naar de linkerant van de discussie. Er is ook een rechterkant en dat is de kans dat 6 miljoen mensen potentieel wel of niet gedupeerd hier van worden. Dat moet je ook meenemen.

Maar moreel technisch gezien helemaal eens: Criminelen moet je niet betalen en belonen.

CISSP! Drop your encryption keys!

Acties:

Rmg

amahusu schreef op vrijdag 27 februari 2026 @ 13:27:
[...]

ik denk dat veel mensen er niet bij stil staan dat het voor dergelijke hackgroepen gewoon een business model is waarin ze zichzelf in de vingers zouden snijden als ze zich niet aan hun part of the deal houden. Dus stel je betaalt en vervolgens duikt de data toch ergens op, dan zal er in het vervolg helemaal niemand meer betalen.

Die data is op t darkweb maar een fractie waard in vergelijking met het losgeld, daarom dumpen ze het ook "gratis".

Daarnaast is er niets zo veranderlijk als de samenstelling en naam van een hackersgroep.

Enige wat ze gaan doen is na het losgeld de dataset nog eens goed uitpluizen en de dingen die geld waard zijn los verkopen zonder dat het traceerbaar is naar t Odido lek.

Sowieso 75% van de data lag waarschijnlijk al op straat.

vrijdag 27 februari 2026 13:41

Acties:

Animal_X

Rodin

Ik was niet van plan om over te stappen na de hack zonder in detail te weten of Odidio zijn security voldoende op orde had. Echter, ik vind het onbegrijpelijk dat Odido er niet alles aan doet om de verspreiding van de data verder te voorkomen. Mijn inziens hebben ze een morele plicht om dit te doen voor haar klantenbestand. Ik begrijp dat betalen het bedrijfsmodel van de hackers in stand houdt, maar dat is in ondergeschikt belang ten opzichte van het veiligstellen van de klantdata die de klanten aan Odido toevertrouwd hebben. Helemaal omdat het 'losgeld' slechts 500K euro is... Mij zijn de bij deze voorgoed als klant kwijt. Ik hoop dat er meer mensen zo over denken en Odido dit flink gaat voelen.

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

vrijdag 27 februari 2026 13:43

Acties:

vrijdag 27 februari 2026 13:47

Vidi, Vici, Veni

@Animal_X Die vijf ton is nuttiger besteed aan het verbeteren van de beveliging

Acties:

Lord_Dain

Het gaat om een simpele afweging die je als bedrijf maakt, baten vs kosten (en een stuk imago).

Betalen we 'x bedrag' aan de hackers en beschermen we met 'percentage/kans' onze klanten zodat de gegevens mogelijk niet gelekt worden versus niet betalen en zeker weten dat de gegevens van de klanten op straat komen te liggen. Vanuit het klantbelang zou je kunnen zeggen dat het bedrag mogelijk laag genoeg uitvalt om dit als bedrijf 'voor de klant' te doen met het risico dat ondanks de beste wil van Odido/het bedrijf uiteindelijk het niets oplevert, maar Odido er wel goede reclame mee maakt voor het imago.

Zoals het nu is gegaan lees en hoor je ook steeds vaker dat mensen Odido niet zozeer het kwalijk nemen dat ze gehacked zijn maar de manier waarop ze met alles om zijn gegaan en dan vooral (het gebrek aan) transparante communicatie naar de klanten. Dit kan natuurlijk ingefluisterd zijn door 'experts' maar als klant heb ik geen ene **** te doen met de politie of de experts waarmee Odido dit bekonkelt. Ik wil gewoon op de hoogte zijn van a) wat is er gelekt van mij en b) wat gaat Odido nu doen om mijn pijn te verzachten of mij als klant tegemoet te komen. Ik heb op beide vragen geen antwoord.

Dan heb je natuurlijk nog de publieke discussie 'betaal nooit aan hackers want verdienmodel'. Ook dat is een afweging. Je kan nu op redelijk eenvoudige manier stellen dat je vanuit principe nooit misdaad mag belonen maar het bedrijf Odido had ook de les kunnen leren dat ze nu even op de blaren moeten zitten (betalen) en vervolgens er voor zorgen dat een volgende hack bij hun niet weer gebeurt. Want als bedrijven weten te voorkomen dat ze gehacked worden dan is er ook geen bedrijfs of verdienmodel meer voor de hackers.

Door gewoon alles op straat te laten pleuren geeft Odido wmb aan dat ze niet geven om ons als klant en onze privacy en onze gegevens en tonen ze aan dat ze heel slecht zijn in hun beveiliging en de communicatie en een stukje toegeeflijkheid naar ons als klant, je zou als bedrijf toch kunnen verwachten dat mensen boos zijn en willen opzeggen, maar HO HO nee dat mag niet hoor, lekker je contract uitdienen bij deze toko of afkopen.

Long story short; Odido heeft voor mij afgedaan, ik neem er geen producten meer af en nogmaals dat is niet zozeer de hack zelf maar de wijze waarop dit bedrijf er mee is omgegaan. Doei Odido.

O-DiDO - 'kunnen we je (van je gegevens af) helpen?'?

vrijdag 27 februari 2026 13:51

Acties:

Homeland

Overstap is in gang gezet, in de enquête vanuit Odido hebben ze deze hack specifiek als reden toegevoegd voor het opzeggen, ze zullen dus zat klanten aan het verliezen zijn.

vrijdag 27 februari 2026 13:58

Acties:

Lord_Dain

rr7r schreef op vrijdag 27 februari 2026 @ 13:57:
[...]

Ja? Jij vindt het acceptabel dat je met een gephiste klantenservice medewerker login data van 6 miljoen klanten kan downloaden? Zonder dat er een limiet opstaat van X aantal aanvragen?

Ik denk dat je mijn post of niet gelezen hebt of niet begrijpt en krijg het idee dat je me nu woorden in de mond legt. Het feit dat het bedrijf gehacked is is natuurlijk met peren en geeft duidelijk aan dat ze hun zaken niet op orde hebben, dat dit initieel via de KS is gegaan via phishing... maar daarna?

Edit: even nuanceren. Ik werk zelf bij een bedrijf met paar duizend mw en tijdens een pentest is naar voren gekomen dat zodra je eenmaal binnen bent, je zelfs met low level credentials stap voor stap verder kan komen bij andere accounts en resources. Dus het is niet zo zwart wit. Zolang wij niet weten hoe de hackers technisch zijn binnengedrongen (na initeel via de klantenservice) en welk pad er daarna gekozen is om verder bij de DB te komen kunnen we dus alleen maar aannames doen.

[ Voor 48% gewijzigd door Lord_Dain op 27-02-2026 14:04 ]

vrijdag 27 februari 2026 14:01

Acties:

rr7r

RippedBonobo schreef op vrijdag 27 februari 2026 @ 13:14:
Kwalijk, maar geen rampzalige identiteitsfraude mogelijkheden.

Als dat mogelijk wordt bij 6 miljoen mensen, dan gaan ze het systeem wel aanpassen. Maar informatie die uitlekt kan je niet meer uitwissen, dus zou me eerder daar zorgen om maken.

vrijdag 27 februari 2026 14:04

Acties:

Caayn

rr7r schreef op vrijdag 27 februari 2026 @ 13:54:
[...]

Toch niet aangevinkt? Waarom zou je ze correctie informatie geven? Doen ze andersom nu toch ook niet?

Wat hoop je te bereiken door bewust te liegen over een overstapreden?

vrijdag 27 februari 2026 14:06

Acties:

rr7r

Caayn schreef op vrijdag 27 februari 2026 @ 14:04:
[...]
Wat hoop je te bereiken door bewust te liegen over een overstapreden?

Wat hoop je te bereiken door ze te helpen met informatie?
Ze helpen ons toch ook niet met juiste informatie?

vrijdag 27 februari 2026 14:06

Acties:

LigeTRy

rr7r schreef op vrijdag 27 februari 2026 @ 13:57:
[...]

Ja? Jij vindt het acceptabel dat je met een gephiste klantenservice medewerker login data van 6 miljoen klanten kan downloaden? Zonder dat er een limiet opstaat van X aantal aanvragen?

Hier wat meer te lezen over deze aanvallen (specifiek op salesforce) werken: https://www.mitiga.io/blo...r-covert-api-exfiltration. Of deze methode specifiek is gebruikt bij odido is gissen. Maar er is dus genoeg tooling beschikbaar om de huidige vorm van ratelimiting te omzeilen (als ie IP based is, is ie in ieder geval niet zo geavanceerd). En er zijn ook valide usecases om bulk data uit te lezen, zoals rapportages.

Had het voorkomen kunnen worden? jazeker
Is het niet zo zwart-wit als de meesten beschrijven? ook jazeker

vrijdag 27 februari 2026 14:10

Acties:

_l_Arjan_l_

Mijn ouders hebben geen mail gehad van odido rondom het datalek (ook niet in spam), maar staan wel op haveibeenpowned. Odido is blijkbaar niet eerlijk geweest over de grootte van het lek of er zijn meer gegevens gestolen dan ze zelf weten.

vrijdag 27 februari 2026 14:11

Acties:

bd-casemod

_l_Arjan_l_ schreef op vrijdag 27 februari 2026 @ 14:10:
Mijn ouders hebben geen mail gehad van odido rondom het datalek (ook niet in spam), maar staan wel op haveibeenpowned. Odido is blijkbaar niet eerlijk geweest over de grootte van het lek of er zijn meer gegevens gestolen dan ze zelf weten.

Ik denk het laatste, ze hebben zelf niet eens door wat er allemaal wel of niet gelekt is. het is 1 grote shitshow.

vrijdag 27 februari 2026 14:13

Acties:

Superman

nieuws: Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

vrijdag 27 februari 2026 14:18

Acties:

vrijdag 27 februari 2026 14:18

LigeTRy schreef op vrijdag 27 februari 2026 @ 14:06:
[...]

Hier wat meer te lezen over deze aanvallen (specifiek op salesforce) werken: https://www.mitiga.io/blo...r-covert-api-exfiltration. Of deze methode specifiek is gebruikt bij odido is gissen. Maar er is dus genoeg tooling beschikbaar om de huidige vorm van ratelimiting te omzeilen (als ie IP based is, is ie in ieder geval niet zo geavanceerd). En er zijn ook valide usecases om bulk data uit te lezen, zoals rapportages.

Had het voorkomen kunnen worden? jazeker
Is het niet zo zwart-wit als de meesten beschrijven? ook jazeker

Hele interessante read!
De weg via connected oAuth apps is wel, in bv de office365 wereld, een hele bekende en een best practice om dat onder admin consent te zetten.
Zou wel heel bijzonder zijn als users door een 8 cijferige code afgeven een oAuth app connected kunnen maken maar tegelijk kijk ik nergens meer van op

CISSP! Drop your encryption keys!

Acties:

YvonneVP

RippedBonobo schreef op vrijdag 27 februari 2026 @ 13:14:
Kan aan mij liggen, maar geboortedatums, bsn's en documentnummers zijn (nog) geen onderdeel van de gelekte data (ik heb de data van gister en vandaag zelf bekeken)

Uiteindelijk gaat het om naw gegevens + telefoon + bankgegevens. Kwalijk, maar geen rampzalige identiteitsfraude mogelijkheden.

Ze hebben de data ook nog maar deels op het darkweb gezet. Het is dus niet gezegd dat er geen paspoort- en BSN nummers vrijgegeven gaan worden. Als dat gebeurd dan zijn de rapen gaar, want dan kunnen er ineens heel rare dingen gebeuren met het leven van de getroffenen. Ik ben al 2 jaar geen klant meer bij Odido. Gisteravond toch even geprobeert nog op mijn account in te loggen, want zo kan ik er ook achter komen of ik nog in hun systemen voorkomen. En jawel hoor, ik kon nog gewoon inloggen. Grote kans dus dat mijn gegevens ook nog volledig in het systeem van Odido stond, en dus ook tussen de gestolen gegevens zitten. Ik ben juist weggegaan bij Odido omdat het daar zo'n puinzooi was! Dan zit iemand er dus niet op te wachten dat ruim 2 jaar later de gegevens nog gewoon bij hen in het systeem staan. Volgens mij mag dit ook niet vanuit de AVG. Dus daar kunnen ze wellicht ook nog een boete voor gaan krijgen.

vrijdag 27 februari 2026 14:21

Acties:

vrijdag 27 februari 2026 14:23

Moderator Internet & Netwerken

laurens0619 schreef op vrijdag 27 februari 2026 @ 13:39:
@MikeyMan @redwing
Tja je kan het naief vinden dat betalen ervoor zorgt dat ze het niet lekken. Het grootste verschil zit hem erin dat jullie het de hele tijd als 100% garantie benaderen. Nee die is er niet, je moet het als kans benaderen.

Er worden sommige zaken als feiten gebracht waar ik echt mijn twijfels bij heb:
- Betalen levert meer op dan niet betalen: wie zegt dat? Misschien levert de handel in data wel veel meer op dan half miljoen
- Niet betalen stopt de criminaliteit. Wie zegt dat? Zie bovenstaande

Maar je moet niet alleen kijken naar de linkerant van de discussie. Er is ook een rechterkant en dat is de kans dat 6 miljoen mensen potentieel wel of niet gedupeerd hier van worden. Dat moet je ook meenemen.

Maar moreel technisch gezien helemaal eens: Criminelen moet je niet betalen en belonen.

Buiten bovenstaande waar ik het 100% met eens ben is dit ook geen "dit of dat" keuze.
Je kunt betalen, in de tussentijd nog steeds meewerken met de autoriteiten en simultaan nog steeds (grapje natuurlijk) white hat hackers en een huurlingen leger inhuren om met de dreiging af te rekenen. Je kunt betalen ook als tijdelijke toestand zien.

Acties:

gixslayer

MasterL schreef op vrijdag 27 februari 2026 @ 14:21:
[...]

Je kunt betalen ook als tijdelijke toestand zien.

Of als een investering, zie Maastricht

vrijdag 27 februari 2026 14:24

Acties:

franssie

Save the albatross

MasterL schreef op vrijdag 27 februari 2026 @ 14:21:
[...]

Buiten bovenstaande waar ik het 100% met eens ben is dit ook geen "dit of dat" keuze.
Je kunt betalen, in de tussentijd nog steeds meewerken met de autoriteiten en simultaan nog steeds (grapje natuurlijk) white hat hackers en een huurlingen leger inhuren om met de dreiging af te rekenen. Je kunt betalen ook als tijdelijke toestand zien.

Dubbelgenaaid houdt beter is een gezegde - maar het nu nog even de vraag wie wie aan het naaien is. Eens met je post overigens, ik mag hopen dat Odido minder passief is dan ze overkomen (maar communiceren kunnen ze niet of doen ze uit principe niet, zie ook de vele storingen waar maar met moeite een reactie te ontlokken was).

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

vrijdag 27 februari 2026 14:26

Acties:

vrijdag 27 februari 2026 14:26

MasterL schreef op vrijdag 27 februari 2026 @ 14:21:
[...]

Buiten bovenstaande waar ik het 100% met eens ben is dit ook geen "dit of dat" keuze.
Je kunt betalen, in de tussentijd nog steeds meewerken met de autoriteiten en simultaan nog steeds (grapje natuurlijk) white hat hackers en een huurlingen leger inhuren om met de dreiging af te rekenen. Je kunt betalen ook als tijdelijke toestand zien.

Helemaal met je eens.

Ik zwijmel even verder terug naar de film speed waar het SWAT team Payne wist te traceren via het losgeld (ondanks het gat onderin de prullenbak naar de metro)

Was het in de digitale wereld ook maar zo makkelijk

[ Voor 3% gewijzigd door laurens0619 op 27-02-2026 14:33 ]

CISSP! Drop your encryption keys!

Acties:

vrijdag 27 februari 2026 14:45

Moderator Internet & Netwerken

gixslayer schreef op vrijdag 27 februari 2026 @ 14:23:
[...]

Of als een investering, zie Maastricht

De investering is het verminderen van leegloop c.q. behoud van klanten waar je volgend jaar onder de noemer van "gestegen kosten/inflatie" de prijzen weer van kan verhogen.

Acties:

vrijdag 27 februari 2026 14:46

laurens0619 schreef op vrijdag 27 februari 2026 @ 13:39:
@MikeyMan @redwing
Tja je kan het naief vinden dat betalen ervoor zorgt dat ze het niet lekken. Het grootste verschil zit hem erin dat jullie het de hele tijd als 100% garantie benaderen. Nee die is er niet, je moet het als kans benaderen.

Niets is 100% zeker. Maar normaal gesproken kijk je bij dit soort dingen naar vergelijkbare zaken en maak je een afweging.

Er worden sommige zaken als feiten gebracht waar ik echt mijn twijfels bij heb:
- Betalen levert meer op dan niet betalen: wie zegt dat? Misschien levert de handel in data wel veel meer op dan half miljoen

Waarom zou een crimineel de optie kiezen waar hij het minste mee verdient? Als die data op de zwarte markt veel meer waard is, gaat ie het echt niet aan Odido verkopen. Die gasten zijn natuurlijk ook niet dom.

- Niet betalen stopt de criminaliteit. Wie zegt dat? Zie bovenstaande

Die laatste noemen ze onderzoeken, maar je kunt b.v. ook simpel zoeken op of dat het helpt om bij afpersing te betalen. Ik kan je zo wel vertellen dat daar uit komt dat betalen in de regel zorgt voor extra afpersing.

Maar je moet niet alleen kijken naar de linkerant van de discussie. Er is ook een rechterkant en dat is de kans dat 6 miljoen mensen potentieel wel of niet gedupeerd hier van worden. Dat moet je ook meenemen.

Yup, net als de kans dat betalen er voor zorgt dat we volgend jaar weer een hack van miljoenen personen hebben. En ik kan je garanderen dat als criminelen weten dat ze zo makkelijk een paar jaarsalarissen kunnen verdienen ze dat zeker doen. Als ze weten dat de kans groot is dat ze met lege handen achter blijven is die kans een stu kleinier.

Maar moreel technisch gezien helemaal eens: Criminelen moet je niet betalen en belonen.

Ook praktisch gezien. Ondanks dat je het niet als gegeven wil aannemen, zijn er genoeg onderzoeken gedaan die aangeven dat toegeven aan afpersing zorgt voor meer afpersing. In dit geval, hoe groot zou de kans zijn dat ze die 500k plotseling zouden verhogen als Odido wel accoord was gegaan? B.v. met de simpele reden dat ze te lang over de keuze hebben gedaan en het bedrag nu hoger is geworden? En hoe groot is de kans dat criminelen daarna het bedrijf als een betalende klant zien en continue gaan aanvallen totdat het weer een keertje lukt?

Als je echt denkt dat betalen een goede optie was geweest heb je je kop diep in het zand zitten.

[removed]

Acties:

vrijdag 27 februari 2026 14:50

Moderator Internet & Netwerken

laurens0619 schreef op vrijdag 27 februari 2026 @ 14:26:
[...]

Helemaal met je eens.

Ik zwijmel even verder terug naar de film speed waar het SWAT team Payne wist te traceren via het losgeld (ondanks het gat onderin de prullenbak naar de metro)
Was het in de digitale wereld ook maar zo makkelijk

Na een terechte report mijn eigen bericht verwijderd, was een grapje maar inderdaad offtopic excuses

[ Voor 14% gewijzigd door MasterL op 27-02-2026 15:13 ]

Acties:

vrijdag 27 februari 2026 14:50

Moderator Internet & Netwerken

redwing schreef op vrijdag 27 februari 2026 @ 14:47:
[...]

En hoe vaak worden dit soort hackers daadwerkelijk opgepakt? Zeker als ze in landen als Rusland zitten? Dan is betalen tijd kopen om er dan achter te komen dat je helemaal niets kunt.

Je bewijst mijn punt.. Waarom samenwerken met autoriteiten als de kans op arrestatie nul is? Je kunt betalen dan heb je nog een kleine kans dat ze zich aan hun woord houden. Als jouw conclusie is:
- Betalen heeft geen zin, data wordt toch verspreid.
- Medewerken met autoriteiten heeft toch geen zin, daders worden toch niet gepakt.

Dan kun je als Odido toch beter zeggen sorry jongens we geven jullie 1/2 maand(en) korting en klaar ermee?

Acties:

vrijdag 27 februari 2026 14:51

@redwing
Ik geloof best als we collectief besluiten met zijn alle wereldwijd om hackers niet meer te betalen dat het een flinke deuk gaat hebben en het minder zal worden. De kans dat je dat lukt collectief wereldwijd te besluiten schat ik op nagenoeg 0 (helaas)...

Maar je wil niet weten hoeveel geld er richting die hackers gaat momenteel.
Tis moreel technisch de juiste keuze om niet te betalen.
Niet betalen lost alleen het probleem niet op.

Verder denk ik dat we gewoon moeten landen op een agree to disagree

[ Voor 10% gewijzigd door laurens0619 op 27-02-2026 14:52 ]

CISSP! Drop your encryption keys!

Acties:

vrijdag 27 februari 2026 14:52

Superman schreef op vrijdag 27 februari 2026 @ 14:13:
nieuws: Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Lol, die knakker is helemaal slim. Hij hoeft niet eens iets crimineels te doen om de helft van et losgeld bij elkaar te krijgen zonder dat ie er ook maar iets voor hoeft te doen $_/-\o_$

[removed]

Acties:

vrijdag 27 februari 2026 14:55

Moderator Internet & Netwerken

redwing schreef op vrijdag 27 februari 2026 @ 14:51:
[...]

Lol, die knakker is helemaal slim. Hij hoeft niet eens iets crimineels te doen om de helft van et losgeld bij elkaar te krijgen zonder dat ie er ook maar iets voor hoeft te doen $_/-\o_$

Er heel naïef van uitgaande dat deze persoon niet in het complot zit..

Acties:

vrijdag 27 februari 2026 15:02

Vidi, Vici, Veni

MasterL schreef op vrijdag 27 februari 2026 @ 14:50:
[...]

Je bewijst mijn punt.. Waarom samenwerken met autoriteiten als de kans op arrestatie nul is? Je kunt betalen dan heb je nog een kleine kans dat ze zich aan hun woord houden. Als jouw conclusie is:
- Betalen heeft geen zin, data wordt toch verspreid.
- Medewerken met autoriteiten heeft toch geen zin, daders worden toch niet gepakt.

Dan kun je als Odido toch beter zeggen sorry jongens we geven jullie 1/2 maand(en) korting en klaar ermee?

Dat lijkt me ook de enige juiste conclusie...

Hoop is geen strategie...

Acties:

dutchgio

Superman schreef op vrijdag 27 februari 2026 @ 14:13:
nieuws: Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Leuk dat DPG/Tweakers ook mee gaat in deze hype...
Ondertussen:

Update 14:49 uur: Momenteel is de rekening tijdelijk geautomatiseerd geblokkeerd door de grote hoeveel donaties in korte tijd. We proberen contact met Bunq te leggen.

Er staat nog niet eens 300 euro op. Succes met de chatbots van Bunq. Zoals gezegd amateuristisch om het zo op te zetten en te willen gaan betalen uit eigen naam.

vrijdag 27 februari 2026 15:02

Acties:

Herman

FP ProMod

MasterL schreef op vrijdag 27 februari 2026 @ 14:52:
[...]

Er heel naïef van uitgaande dat deze persoon niet in het complot zit..

Heb je hier ook bewijs voor?

Je kunt het een verstandig of een onverstandig initiatief noemen, maar gelet op zijn track record verdient hij m.i. wel het voordeel van de twijfel.

Tweakers.net Moddereter Forum | Vragen over moderatie op de FrontPage? Het kleine-mismoderatietopic

vrijdag 27 februari 2026 15:03

Acties:

vrijdag 27 februari 2026 15:04

Moderator Internet & Netwerken

MikeyMan schreef op vrijdag 27 februari 2026 @ 14:55:
[...]

Dat lijkt me ook de enige juiste conclusie...

Hoop is geen strategie...

En de cirkel is weer rond, je hebt geen garanties.
Waar vestig je je hoop op?
1: Autoriteiten
2: Losgeld betalen
3: Beiden

Als je op 1 of 2 gokt verklein je alleen maar je kansen op een zo goed mogelijke afloop en hiermee bedoel ik financiele/reputatieschade. 3 is eigenlijk de enige optie maar inderdaad dit is ook een grote gok zonder vastgestelde uitkomst.

Acties:

Louw Post

Cerenas

dutchgio schreef op vrijdag 27 februari 2026 @ 15:02:
[...]
Ondertussen:

[...]

Er staat nog niet eens 300 euro op. Succes met de chatbots van Bunq. Zoals gezegd amateuristisch om het zo op te zetten en te willen gaan betalen uit eigen naam.

Iedereen die bunq een beetje kent (of bekend is met het bunq topic hier op GoT) had dit van verre aan kunnen zien komen.

[ Voor 14% gewijzigd door Louw Post op 27-02-2026 15:05 ]

vrijdag 27 februari 2026 15:05

Acties:

vrijdag 27 februari 2026 15:05

LigeTRy schreef op vrijdag 27 februari 2026 @ 14:06:
[...]

Hier wat meer te lezen over deze aanvallen (specifiek op salesforce) werken: https://www.mitiga.io/blo...r-covert-api-exfiltration. Of deze methode specifiek is gebruikt bij odido is gissen. Maar er is dus genoeg tooling beschikbaar om de huidige vorm van ratelimiting te omzeilen (als ie IP based is, is ie in ieder geval niet zo geavanceerd). En er zijn ook valide usecases om bulk data uit te lezen, zoals rapportages.

Had het voorkomen kunnen worden? jazeker
Is het niet zo zwart-wit als de meesten beschrijven? ook jazeker

Ik heb dit artikel nog wat verder zitten uitdiepen en kwam op verschillende artikelen rondom oAuth en API toegang terecht bv deze:
https://doug-merrett.medi...for-security-dd527174b92e

Artikel is bijna jaar oud maar wat je daar leest is wel scary. Standaard is het een standaard instelling dat iedere user een oAuth consent kan doen voor apps die via de api bij de data kan komen. Als admin kun je dit niet eens uitschakelen, moet via de servicedesk.

Als dat inderdaad het geval is dan vind ik dat salesforce ook wel nalatig is in deze, helemaal als dit al jaren lang dag in dag uit misbruikt wordt door aanvallers.

CISSP! Drop your encryption keys!

Acties:

UnitedJunk

Wens 'm ook succes met de belastingdienst volgend jaar als hij IB 2026 moet doen

CardMapr.nl ✈

vrijdag 27 februari 2026 15:05

Acties:

vrijdag 27 februari 2026 15:08

Vidi, Vici, Veni

MasterL schreef op vrijdag 27 februari 2026 @ 15:03:
[...]

En de cirkel is weer rond, je hebt geen garanties.
Waar vestig je je hoop op?
1: Autoriteiten
2: Losgeld betalen
3: Beiden

Als je op 1 of 2 gokt verklein je alleen maar je kansen op een zo goed mogelijke afloop en hiermee bedoel ik financiele/reputatieschade. 3 is eigenlijk de enige optie maar inderdaad dit is ook een grote gok zonder vastgestelde uitkomst.

Ik vestig helemaal nergens hoop op. De data ligt op straat. Voor zover dat hiervoor al niet het geval is.
En nu is het Odido, volgende week KPN en de week erna Ziggo. It's what it is, live with it.

Zolang je denkt dat hier iets 'op te lossen' is, wordt het hopen. Dat heb ik reeds lang laten varen.

[ Voor 7% gewijzigd door MikeyMan op 27-02-2026 15:07 ]

Acties:

vrijdag 27 februari 2026 15:09

Moderator Internet & Netwerken

Herman schreef op vrijdag 27 februari 2026 @ 15:02:
[...]

Heb je hier ook bewijs voor?

Je kunt het een verstandig of een onverstandig initiatief noemen, maar gelet op zijn track record verdient hij m.i. wel het voordeel van de twijfel.

Absoluut niet ik wil deze persoon helemaal niet beschuldigen en wellicht is dit opgezet met de beste intenties. Alleen als ik waardevolle data zou bezitten waarvan ik had verwacht dat Odido wel zou betalen en dit blijft uit na al mijn harde werk zou dit best een alternatieve strategie kunnen zijn. Het heeft zoveel media aandacht gekregen dat deze data "opeens" waarde heeft gekregen voor de "slachtoffers" en niet slechts voor Odido.

Acties:

vrijdag 27 februari 2026 15:11

MasterL schreef op vrijdag 27 februari 2026 @ 14:50:
[...]

Je bewijst mijn punt.. Waarom samenwerken met autoriteiten als de kans op arrestatie nul is? Je kunt betalen dan heb je nog een kleine kans dat ze zich aan hun woord houden. Als jouw conclusie is:
- Betalen heeft geen zin, data wordt toch verspreid.
- Medewerken met autoriteiten heeft toch geen zin, daders worden toch niet gepakt.

Dan kun je als Odido toch beter zeggen sorry jongens we geven jullie 1/2 maand(en) korting en klaar ermee?

Inderdaad kun je dan beter de criminelen niet betalen, de beveiliging verbeteren en dan een mea culpa richting de klanten met een extraatje. Veel meer kun je in zo'n geval niet doen.

[removed]

Acties:

LigeTRy

laurens0619 schreef op vrijdag 27 februari 2026 @ 15:05:
[...]
Als dat inderdaad het geval is dan vind ik dat salesforce ook wel nalatig is in deze, helemaal als dit al jaren lang dag in dag uit misbruikt wordt door aanvallers.

Salesforce zal zeggen: product als intended, klant (odido) verantwoordelijk voor de inrichting. Zal een leuke discussie worden waarin SF zich waarschijnlijk wel heeft ingedekt via algemene voorwaarden.

Het is wel een breder probleem, grote complexe softwarepakketten waarbij functionaliteiten niet duidelijk beschreven staan en/of veel moeite kosten om te beveiligen. Neem bijvoorbeeld Microsoft Windows, waarbij je bij een mitigatie van een security risico, soms redelijk wat technische handmatige stappen moet nemen. Die staan wel beschreven, maar als je de blog post toevallig mist (of denkt dat een andere afdeling hiervoor verantwoordelijk is), ben je de pineut. En dan heb ik het nog nieteens over complexe Entra/Azure omgevingen. Secure by default is helaas nog niet zo default.

vrijdag 27 februari 2026 15:19

Acties:

vrijdag 27 februari 2026 15:20

LigeTRy schreef op vrijdag 27 februari 2026 @ 15:11:
[...]

Salesforce zal zeggen: product als intended, klant (odido) verantwoordelijk voor de inrichting. Zal een leuke discussie worden waarin SF zich waarschijnlijk wel heeft ingedekt via algemene voorwaarden.

Het is wel een breder probleem, grote complexe softwarepakketten waarbij functionaliteiten niet duidelijk beschreven staan en/of veel moeite kosten om te beveiligen. Neem bijvoorbeeld Microsoft Windows, waarbij je bij een mitigatie van een security risico, soms redelijk wat technische handmatige stappen moet nemen. Die staan wel beschreven, maar als je de blog post toevallig mist (of denkt dat een andere afdeling hiervoor verantwoordelijk is), ben je de pineut. En dan heb ik het nog nieteens over complexe Entra/Azure omgevingen. Secure by default is helaas nog niet zo default.

Ben ik helemaal met je eens hoor, juridisch kansloos

Maar toch vind ik dat SaaS providers hier een rol in spelen. Bij MS staan oAuth apps ook standaard op user consent geloof ik maar daar geven tools als SecureScore iig nog riching om dat zelf uit te schakelen.

Wat ik lees is dat het bij salesforce niet eens een instelling is maar het via de servicedesk moet. Dan vermoed ik niet dat zoiets via een securescore achtige functionaliteit gepromoot zal worden.

CISSP! Drop your encryption keys!

Acties:

Danfoss

Deze ruimte is te koop..

LigeTRy schreef op vrijdag 27 februari 2026 @ 15:11:
[...]

Salesforce zal zeggen: product als intended, klant (odido) verantwoordelijk voor de inrichting. Zal een leuke discussie worden waarin SF zich waarschijnlijk wel heeft ingedekt via algemene voorwaarden.

Het is wel een breder probleem, grote complexe softwarepakketten waarbij functionaliteiten niet duidelijk beschreven staan en/of veel moeite kosten om te beveiligen. Neem bijvoorbeeld Microsoft Windows, waarbij je bij een mitigatie van een security risico, soms redelijk wat technische handmatige stappen moet nemen. Die staan wel beschreven, maar als je de blog post toevallig mist (of denkt dat een andere afdeling hiervoor verantwoordelijk is), ben je de pineut. En dan heb ik het nog nieteens over complexe Entra/Azure omgevingen. Secure by default is helaas nog niet zo default.

Dat kan wel, maar je kunt als vendor ook jezelf dit aantrekken en wel actie ondernemen. Salesforce doet dat totaal niet.

In mijn werkgebied werk ik wel eens met een van de grote cloud database vendors. Bij 1 specifieke heeft een klant van hun in 2024 een datalek gehad waardoor er data via hun clouddatabase platform gelekt is. De vendor had hier geen enkele schuld (hun klant had zelf geen mfa ingericht en zwakke wachtwoorden gebruikt), maar dit incident was voor hun wel de trigger om mfa te enforcen voor alle klanten en wachtwoord authenticatie compleet uit te faseren en alleen api toegang toestaan met whitelisting.

Sys Specs

vrijdag 27 februari 2026 15:24

Acties:

vrijdag 27 februari 2026 15:29

Moderator Internet & Netwerken

MikeyMan schreef op vrijdag 27 februari 2026 @ 15:05:
[...]

Ik vestig helemaal nergens hoop op. De data ligt op straat. Voor zover dat hiervoor al niet het geval is.
En nu is het Odido, volgende week KPN en de week erna Ziggo. It's what it is, live with it.

Zolang je denkt dat hier iets 'op te lossen' is, wordt het hopen. Dat heb ik reeds lang laten varen.

Ik denk dat wij het eens zijn, voordat er iets op te lossen valt moet er eerst een probleem zijn. Voor mij is er geen probleem, ja tuurlijk Odido heeft een probleem met zijn beveiliging maar de data die gelekt is vind ik persoonlijk geen probleem.
Dit heb ik ook al hier beschreven, mijn informatie wordt moedwillig gepubliceerd: MasterL in "Odido waarschuwt voor datalek (cyberaanval/hack)"

Ik vind het vooral vanuit ondernemers/communicatie/perspectief interessant, dit is dit alles wat ik niet zou doen.

Acties:

Homeland

rr7r schreef op vrijdag 27 februari 2026 @ 13:54:
[...]

Toch niet aangevinkt? Waarom zou je ze correctie informatie geven? Doen ze andersom nu toch ook niet?

Ik wil juist dat ze weten dat dit de enige reden is dat ik vertrek. Laat ze het maar in hun jaarverslag zetten x miljoen aan omzet gemist door dit gekloot. En wie weet knikkeren ze er nog wat incompetente lui aan de top uit.

vrijdag 27 februari 2026 15:31

Acties:

vrijdag 27 februari 2026 15:32

Moderator Internet & Netwerken

laurens0619 schreef op vrijdag 27 februari 2026 @ 15:19:
[...]

Ben ik helemaal met je eens hoor, juridisch kansloos
Maar toch vind ik dat SaaS providers hier een rol in spelen. Bij MS staan oAuth apps ook standaard op user consent geloof ik maar daar geven tools als SecureScore iig nog riching om dat zelf uit te schakelen.

Wat ik lees is dat het bij salesforce niet eens een instelling is maar het via de servicedesk moet. Dan vermoed ik niet dat zoiets via een securescore achtige functionaliteit gepromoot zal worden.

Oke maar we hebben het over miljoenen records.. Hoe groot is de kans dat een helpdesk medewerker zoveel records moet raadplagen? Misschien 1 per minuut/per call? Dit is al extreem veel en dan nog zou het 11 jaar duren om 6 miljoen records te kunnen opvragen met een api call komop.. Ik denk dat 20 per uur al extreem is en dan kom je nog op veel meer uit.

Acties:

Spookelo

MasterL schreef op vrijdag 27 februari 2026 @ 15:31:
[...]

Oke maar we hebben het over miljoenen records.. Hoe groot is de kans dat een helpdesk medewerker zoveel records moet raadplagen? Misschien 1 per minuut/per call? Dit is al extreem veel en dan nog zou het 11 jaar duren om 6 miljoen records te kunnen opvragen met een api call komop.. Ik denk dat 20 per uur al extreem is en dan kom je nog op veel meer uit.

Ik begreep dat er meerdere medewerkers in de fishing waren getrapt, maar dan nog.

vrijdag 27 februari 2026 15:37

Acties:

vrijdag 27 februari 2026 15:55

MasterL schreef op vrijdag 27 februari 2026 @ 15:31:
[...]

Oke maar we hebben het over miljoenen records.. Hoe groot is de kans dat een helpdesk medewerker zoveel records moet raadplagen? Misschien 1 per minuut/per call? Dit is al extreem veel en dan nog zou het 11 jaar duren om 6 miljoen records te kunnen opvragen met een api call komop.. Ik denk dat 20 per uur al extreem is en dan kom je nog op veel meer uit.

Helemaal eens, je kunt oAuth wel vergeten te blokkeren maar DLP achtige controls als rate limiting zou ook wat moeten doen.
In dat eerder gelinkte artikel noemde ze een voorbeeld erover

Volume & Speed: This pattern repeated with about 8 distinct IP addresses, one after the other, over the course of roughly 1 hour and 20 minutes. In total, about 3.9 GB of data (nearly 4 million records) were exfiltrated from the Customers_PII object in that short time frame.
All of the involved IP addresses were traced to anonymization networks (Tor exit nodes or VPN services) rather than known corporate or trusted IP ranges. This aligns with known UNC6040 behavior of using services like Mullvad VPN to carry out intrusions and data theft while masking their location. By cycling through IP addresses, and presumably different exit nodes or proxies, the threat actors also attempted to bypass any single-IP rate limits or detections and make their traffic blend in with normal API usage patterns.

Dat gaat best snel dan

Sowieso bijzonder als er wel een rate limit op IP zit maar niet username?
Maar het blijft allemaal speculuatie, we weten helemaal niet of het op deze manier is gegaan maar als je beetje doorzoekt op internet is dit wel de modus operandi die vaak misbruikt is in het verleden en schijnbaar effectief is.

Als ik artikelen lees als https://cloud.google.com/...hardening-recommendations dan zie ik sowieso niets terug van rate limits. Misschien is het niet eens een optie in salesforce om die limiet per gebruiker in te stellen? Het probleem met die limieten is dat aanvallers er ook bekend mee zijn en er omheen werken. Bijvoorbeeld meer accounts te gebruiken of een slow attack uit te voeren.
Geen idee, heb het product nooit gebruikt. Zal er wel verder over ophouden want dit gaat wel iets teveel de tech hoek op (niet minder interessant maar ik denk offtopic)

[ Voor 14% gewijzigd door laurens0619 op 27-02-2026 15:42 ]

CISSP! Drop your encryption keys!

Acties:

Plisson

dutchgio schreef op vrijdag 27 februari 2026 @ 15:02:
[...]

Leuk dat DPG/Tweakers ook mee gaat in deze hype...
Ondertussen:

[...]

Er staat nog niet eens 300 euro op. Succes met de chatbots van Bunq. Zoals gezegd amateuristisch om het zo op te zetten en te willen gaan betalen uit eigen naam.

Hetzelfde krijg je ook met Revolut. Rekening net geopend + veel stortingen = red flag

vrijdag 27 februari 2026 15:56

Acties:

P-Rock

Jammer dat ik helemaal niks lees over de maatregelen die de politie neemt. Is er bekend uit welk land/landen hackersgroep Shinyhunters komt? Zijn ze überhaupt bezig om uit te vinden wie deze knakkers zijn???

vrijdag 27 februari 2026 16:15

Acties:

Joster

https://www.rtl.nl/nieuws...astigvallen-datalek-odido

Lekker bezig, kom nu toch wel op het punt dat ik denk; had nu toch maar betaald om tenminste een kans te maken dat dit niet op straat zou komen te liggen.

vrijdag 27 februari 2026 16:22

Acties:

sh4d0wman

Attack | Exploit | Pwn

P-Rock schreef op vrijdag 27 februari 2026 @ 15:56:
Is er bekend uit welk land/landen hackersgroep Shinyhunters komt?

Ja, heb hier al vaker over gepost: een los verband van verschillende personen / groepen. Communicatie voornamelijk in het Engels. Er zijn in het verleden Britten en Fransen opgepakt. Echter attribution is altijd moeilijk dus het heeft niet zo veel zin hierover te speculeren.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 27 februari 2026 16:24

Acties:

Naafkap

Joster schreef op vrijdag 27 februari 2026 @ 16:15:
https://www.rtl.nl/nieuws...astigvallen-datalek-odido

Lekker bezig, kom nu toch wel op het punt dat ik denk; had nu toch maar betaald om tenminste een kans te maken dat dit niet op straat zou komen te liggen.

Yep. Al die moraalridders die roepen ‘niet betalen’ hebben makkelijk praten. Deze gegevens zijn zo grootschalig en zo gevoelig dat het maatschappelijk belang ernstig geschaad wordt. Onbegrijpelijk dat politie en justitie dit zo ondergeschikt maken in hun adviezen om niet te betalen. Een groot deel van de bevolking is nu ernstig gedupeerd buiten eigen schuld om.

vrijdag 27 februari 2026 16:34

Acties:

vrijdag 27 februari 2026 16:35

Niet betalen is vooral een hele populaire mening
Als je het woord betalen al meer in gedachte durft te nemen wordt je direct afgebrand en neergezet als de aanstichter van cybercrime

Ik vind het artikel van een security responder daar wel treffend in en hij gaat in zijn artikel ook wat verder in op de dillemas en de, op repeat draaiende, argumenten van criminaliteit in stand houden etc etc

De Mythes van Betalen of Niet Betalen
Hallo, ik ben Rickey Gevers. Bijna 30 jaar ervaring in de cybercrime en 15 jaar in de Incident Response. Ik heb de grootste zaken in de wereld gedaan. Ik kan jullie het verhaal vertellen wat iedereen wil horen, of ik kan jullie de pijnlijke waarheid vertellen.

Vandaag vertel ik de pijnlijke waarheid, de niet populaire mening. De mening die weerstand oproept. Ik win hier niks mee, ik verlies eerder. Dus hou het aub netjes en hopelijk kunnen jullie mijn moed waarderen. Dit is in het belang van iedereen.

Betalen of niet betalen. Het is blijkbaar nog altijd een issue. Mijn stelling hierin is dat je altijd moet proberen niet te betalen. Maar helaas kan het soms niet anders. En als die situatie ontstaat, moet je er gewoon het beste van maken.

De mythes

"Betalen houdt het businessmodel in stand"
Dat klopt. Maar als je de betaling door het slachtoffer weet te elimeren uit deze business case... heeft de data nog steeds waarde. Het is echt een beetje vreemd te denken dat de data dan ineens niks meer waard is. Een slachtoffer op een leakpage plaatsen heeft waarde, het laat zien hoe medogenloos de aanvallers zijn. Ook kunnen de criminelen de data zelf gebruiken voor verdere aanvallen op slachtoffers. De LastPass hack is daar een goed voorbeeld van. En stel dat je een situatie bereikt waarin NL als waardeloos wordt gezien, dan hackt men een server via een kwetsbaarheid, ziet dat het NL is en gaat verder. Een dag later hackt hacker 2 dezelfde server, ziet dat het NL is en gaat verder. Dag 3 ... enfin. Het wordt dan een big numbers game.. en er is er altijd wel eentje die... 💣
Dat gezegd hebbende ambieer ik de ambitie van mensen die denken dat het mogelijk is een wereldwijd ransomware betaling verbod op poten te zetten. Persoonlijk denk ik dat vliegen naar Mars makkelijker is. But who am I?!

"Criminelen zijn niet te vertrouwen"
Dit is natuurlijk vooral een woordspeling waarbij de mens geneigd is "dat klopt!!" te denken. Ik heb dyslexie en denk toch echt heel anders. Sure er zijn criminelen die niet te vertrouwen zijn. Maar operaties in het ziekenhuis gaan ook fout. Zijn artsen dan ook niet te vertrouwen? Bij Responders hebben wij het nog nooit meegemaakt, maar dat er voorbeelden van zijn, ongetwijfeld. Zo werden er ook GGD gegevens gelekt door medewerkers. Zijn medewerkers dan ook niet te vertrouwen? Zo kan ik wel even doorgaan. In deze casus vergeet men de factoren van exponentiële groei en kansberekening. Stel dat een ransomware groep het al stiekem verspreid, dan wordt het naar enkelen verspreid. Wanneer het openbaar wordt verspreid zal het onder duizenden worden verspreid en wanneer er media aandacht is onder miljoenen. 3x raden waarbij de grootste kans op misbruik ontstaat? Dus zelfs áls het al verder verspreid wordt werkt betalen alsnog schade beperkend.
Dat het businessmodel van ransomware groepen op vertrouwen berust hoef ik niet uit te leggen toch? Als een groep 1x zijn afspraken niet na komt is het gedaan met ze.

https://x.com/UID_/status/2027268791663575447

[ Voor 64% gewijzigd door laurens0619 op 27-02-2026 16:36 ]

CISSP! Drop your encryption keys!

Acties:

mark777

Loop net langs de Odido winkel hier in Gorinchem en de ruit is hier ingegooid. Zal toch wel iets met de hack te maken hebben denk ik zo of niet?

vrijdag 27 februari 2026 16:38

Acties:

Intercity

Veel gedachtes over wat er gaande is. Gelukkig was er enkele tijd beschikbaar tussen bekendmaking en publicatie zodat 'gevoelige' mensen van e-mailadres en telefoonnummer konden wisselen (of in het meest extreme geval verhuizen... Owh boy, I wish I were joking). Ik hoop dat ieder die 'bij toeval' getroffen is veilig is.

Ik schrijf 'bij toeval', want wat de hack blootlegt is dat er geen PTT Telecom meer bestaat, als in: je bent als staatsburger "verplicht" om een mobiel nummer te hebben om gebruik te kunnen maken van DigID en zaken te regelen. Zo een telefoonnummer kun je echter alleen afsluiten via een private partij(!) zoals Odido, KPN etc. De keuze daarin is eigenlijk vrij willekeurig. Het is een van de weinige partijen waarbij je veel privégegevens moet overleggen omdat je anders geen contract kan aangaan.

(Ik weet nog dat ik een mobiele telefoon en nummer moest kopen omdat ik anders niet kon gaan studeren want DigID SMS-verificatie, inmiddels een half leven geleden. Nu ligt dat nummer, ondanks al mijn beste bedoelingen dat nergens zomaar in te vullen, zomaar op straat.)

Ik snap dat er waarschijnlijk weinig ruimte is voor een stichting of staatsbedrijf die (opnieuw) als telecom-partij gaat bestaan (hoi nieuw kabinet), maar ik mis tot nu toe wel de discussie m.b.t. verplichtingen als staatsburger versus contracten moeten aangaan met private partijen om verplichte zaken te kunnen regelen wat niet kan zonder mobiel nummer (zoals belastingaangiftes).

vrijdag 27 februari 2026 16:41

Acties: