Odido waarschuwt voor datalek (cyberaanval/hack)

Uniciteit schreef op vrijdag 27 februari 2026 @ 16:57:
Als deze groep er inderdaad om bekend staat dat ze niet publiceren na betaling, dan had Odido dat moeten doen. Aan de NOS had de hackersgroep laten weten dat ze met €500.000 akkoord zouden gaan.

Tja, hoeveel omzet levert de gemiddelde Odido klant per jaar op? €700?

Er hoeven dan maar 715 klanten te vertrekken en dan zitten ze al aan een structureel jaarlijks omzetverlies van €500.000.

Lijkt me dat ze dit geintje waarbij nu ook daadwerkelijk gegevens uitlekken ze uiteindelijk een veelvoud aan klanten gaat kosten.

Nog even los van de extreem beroerde communicatiestrategie… alsof ze een lijst hadden gemaakt met “dit moeten we vooral niet doen” en vervolgens toch ieder ding op die lijst zijn aan het afvinken.

Ik denk dat het wel meer oplevert per klant. Als ik hier kijk en bij vrienden, dan zit eigenlijk iedereen met meerdere mobiele abonnementen en vast internet (soms nog tv) bij dezelfde partij. Mede door de voordelen die je dan krijgt.

Alleen al bij onszelf verdwijnen er 3 abonnementen. Ik weet van meerdere vrienden dat ze ook gaan overstappen en ook daar kost dat Odido dan minimaal 3-4 abonnementen per gezin. Dan gaat het best wel hard.

Jerie schreef op vrijdag 27 februari 2026 @ 17:01:
[...]


Heb je daar een link van?

Deze: https://x.com/intcyberdigest/status/2026763577512636435?s=46

In theorie sta ik wel achter het idee van 'betalen', maar wat al vaker wordt gezegd. Wat weerhoudt men ervan om het later vrij te geven? Of als er onderling in de ShinyHunters groep discontent is en 1 persoon alsnog die data gaat lekken. Of als ShinyHunters zelf gehackt wordt en de data komt dan alsnog vrij? Of...???
Deze data natuurlijk enorm interessant voor hackers e.d. en mijn vermoeden dat als Odido wel had betaald, de data alsnog binnen een jaar vrij was gekomen. Mogelijk niet via ShinyHunters, maar dan wel op een andere manier, maar mogelijk wel met minder media aandacht/hype.

Naafkap schreef op vrijdag 27 februari 2026 @ 16:24:
[...]


Yep. Al die moraalridders die roepen ‘niet betalen’ hebben makkelijk praten. Deze gegevens zijn zo grootschalig en zo gevoelig dat het maatschappelijk belang ernstig geschaad wordt. Onbegrijpelijk dat politie en justitie dit zo ondergeschikt maken in hun adviezen om niet te betalen. Een groot deel van de bevolking is nu ernstig gedupeerd buiten eigen schuld om.

Wie zegt dat er na betaling gestopt wordt met het verkopen/verspreiden van de gegevens?? En dat de gegevens daadwerkelijk gewist worden?

Er is al meermaals gekeken naar deze partij en blijkt niet erg betrouwbaar om hun woord te geven en daarbij kunnen ze de hele zooi offline verkopen aan een andere partij die het daarna alsnog misbruikt.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 17:09:
[...]

Wie zegt dat er na betaling gestopt wordt met het verkopen/verspreiden van de gegevens?? En dat de gegevens daadwerkelijk gewist worden?

Er is al meermaals gekeken naar deze partij en blijkt niet erg betrouwbaar om hun woord te geven en daarbij kunnen ze de hele zooi offline verkopen aan een andere partij die het daarna alsnog misbruikt.

Het blijkt juist dat deze club wel betrouwbaar is. En ze hebben een reputatie hoog te houden. Nu weten we zeker dat alles op straat ligt. Klant maximaal gedupeerd.

Naafkap schreef op vrijdag 27 februari 2026 @ 17:15:
[...]


Het blijkt juist dat deze club wel betrouwbaar is. En ze hebben een reputatie hoog te houden. Nu weten we zeker dat alles op straat ligt. Klant maximaal gedupeerd.

Tot wanneer zijn ze betrouwbaar? Dit soort psychopaten zijn ziek in hun kop (ok ok dat is dubbel), misschien kickt er wel iemand op het lekken van dit soort gevoelige informatie en verkoopt de data offline.

Je kan mij niet vertellen dat deze idioten de datasets van vorige hacks daadwerkelijk hebben gewist?

Enige optie is opsporen, oppakken en levend begraven, dan leren ze het wel af.

Mn abbo bij odido maar opgezegd. Een hack kan gebeuren maar de afhandeling en de manier waarom gegevens beschikbaar waren voor medewerkers past niet bij mij.

Remy!!!! schreef op vrijdag 27 februari 2026 @ 17:03:
In theorie sta ik wel achter het idee van 'betalen', maar wat al vaker wordt gezegd. Wat weerhoudt men ervan om het later vrij te geven? Of als er onderling in de ShinyHunters groep discontent is en 1 persoon alsnog die data gaat lekken. Of als ShinyHunters zelf gehackt wordt en de data komt dan alsnog vrij? Of...???
Deze data natuurlijk enorm interessant voor hackers e.d. en mijn vermoeden dat als Odido wel had betaald, de data alsnog binnen een jaar vrij was gekomen. Mogelijk niet via ShinyHunters, maar dan wel op een andere manier, maar mogelijk wel met minder media aandacht/hype.

Niets behalve hun reputatie. Ja, het zijn criminelen dus dan kun je denken: “Dan hebben ze toch geen reputatie?” Maar hun hele ‘business model’ is bedrijven laten betalen in ruil voor het niet lekken van gegevens.

Als ze het dan alsnog wel doen, dan gaat in de toekomst sowieso geen enkel bedrijf betalen (en stort hun business model dus in).

Dus nee, harde garantie is er niet.

Maar het had hoe dan ook voor Odido denk ik verstandiger geweest. Hoe mooi was het als Odido meteen open had gecommuniceerd: “Dit is er gebeurt, dit zijn maatregelen die we nemen om herhaling in de toekomst te voorkomen en we hebben een deal gesloten (=betaling) waarbij beloofd is dat de gehackte gegevens niet op straat komen.”

Ja, dan waren mensen natuurlijk nog wel boos geweest. Maar niet in de mate zoals het nu gebeurt, want er zouden dan ook zat mensen zijn die hadden gezegd: “Shit happens, ze communiceren er open over, ze nemen maatregelen en er is een deal gesloten in de hoop de schade te beperken.”

Maar nu begon het al met die barslechte communicatie… “Hallo! Er is een cyberaanval geweest. Geen zorgen je kunt gewoon veilig blijven bellen, internetten en tv kijken 🥰 Ook zijn er geen wachtwoorden of factuurgegevens gelekt ☺️ Oh ja, wel al je identiteitsgegevens, paspoortnummer, IBAN, enzovoort… Maar weet je trouwens dat geen enkele organisatie immuun is? 🤷‍♂️ Hier zijn nog wat tips om phishing tegen te gaan. Bij phishing proberen cybercriminelen aan je gegevens te komen zoals naam, adres, IBAN, paspoortnummer, enz. en dat wil je natuurlijk niet… 🌈 Je bent zelf verantwoordelijk dat je goed op let. Liefs, Odido”

Uniciteit schreef op vrijdag 27 februari 2026 @ 16:57:
Als deze groep er inderdaad om bekend staat dat ze niet publiceren na betaling, dan had Odido dat moeten doen. Aan de NOS had de hackersgroep laten weten dat ze met €500.000 akkoord zouden gaan.

Tja, hoeveel omzet levert de gemiddelde Odido klant per jaar op? €700?

Er hoeven dan maar 715 klanten te vertrekken en dan zitten ze al aan een structureel jaarlijks omzetverlies van €500.000.

Lijkt me dat ze dit geintje waarbij nu ook daadwerkelijk gegevens uitlekken ze uiteindelijk een veelvoud aan klanten gaat kosten.

Nog even los van de extreem beroerde communicatiestrategie… alsof ze een lijst hadden gemaakt met “dit moeten we vooral niet doen” en vervolgens toch ieder ding op die lijst zijn aan het afvinken.

Het mooie van betalen is dat je zelf financieel het gevolg van je kwetsbaarheid duidelijk voelt. Die kwetsbaarheid was blijkbaar nog bekend ook want Salesforce is specialiteit van deze groepering.

Door niet te betalen verleggen ze de schade naar de klanten. Die zijn of worden boos op Odido. Ze gaan ook klanten verliezen, en ze willen weten/meten hoeveel. Dat kan ze in de toekomst vertellen of ze wel of niet gaan betalen @rr7r dus daar zit een mogelijk belang voor jou als (ex-klant).

Als de groep alsnog publiceert, dan is dat schadelijk voor hun eigen imago. Dan slopen ze hun eigen business model, van hun en hun peers (die in dezelfde 'business' zitten). Moet je niet willen. Het kan overigens wel een exit strategie zijn.

Ben je voor losgeld betalen, dan is dit een goede reden om weg te gaan bij Odido. Of je daar dan eerlijk over moet zijn, @rr7r, dat is afhankelijk van je belang.

Ben je tegen losgeld betalen, dan is dit een goede reden om klant te blijven bij Odido.

Ik sta er persoonlijk genuanceerd in. Ik neigde vroeger naar niet betalen, ook niet onderhandelen met een terrorist of gijzelnemer enz. maar dat is makkelijk gezegd als je geen partij bent. ik sta daar tegenwoordig genuanceerder in.

Persoonlijk vind ik 500k EUR op 6M klanten een lachertje qua prijs. Als de bende een goede naam heeft (dat ze niet publiceren na betaling) dan zou ik toch overwegen om wel te betalen.

En ik vind Odido's communicatie in deze kwestie bovendien vrij zwak. Hun mea culpa was vooral slachtofferrol geschreven door marketing/legal. Op zich slim omdat je weet dat de tegenpartij jou als verantwoordelijk probeert te houden... maar dat zijn ze ook. Odido is verantwoordelijk voor hun beveiliging. Odido had schade kunnen voorkomen, zowel voor als na de hack. Of dat rate limiting gebrek aan Salesforce ligt weet ik trouwens niet maar ook op een API kun je rate limiting configureren (W.T.F. zou ik altijd doen bij een openbare API, alleen al tegen DoS).

Wat betreft het traceren van het geld. Het is cryptocurrency. De betaling gaat in het openbaar, en de geldstromen zijn te volgen. Dat adres komt in een blacklist te staan, en alle stromen van of naar dat adres worden gevolgd. Vaak blijft zo'n wallet lange tijd cold. Hangt er ook een beetje van af of men krap bij kas zit, en waar men zich in de wereld bevindt. Bij Financiën en politie o.a. werken mensen die die stromen kunnen volgen. Ja, natuurlijk adviseert politie om niet te betalen. Scheelt ze werk, en ze willen dit business model slopen, maar ze hebben een substantieel ander belang (en alles van hun medewerkers is al recent gelekt ).

Deze dataset is zeer recent, oude klanten zijn eruit te filteren, en het is te cross referencen aan andere datasets. Dat maakt het waardevol.

Odido heeft de FAQ inmiddels aangepast. En wederom: juridisch dichtgetimmerd, maar inhoudelijk weinig empathie.

Waarom hebben jullie de heel sensitieve gegevens zoals ID, rijbewijs of paspoort na activatie nog bewaard? Hebben jullie wel het recht om dat te doen? En kan dit met spoed verwijderd worden?

En de kern van het antwoord: "We willen je er ook op wijzen dat het Centraal Meldpunt Identiteitsfraude ook heeft benadrukt dat niet automatisch sprake is van identiteitsfraude of dat met de gestolen gegevens identiteitsfraude kan worden gepleegd als deze gegevens onderdeel zijn van een datalek."

Dat kan juridisch allemaal kloppen, maar het leest als risicominimalisatie in plaats van erkenning van de ernst. Geen: “We begrijpen dat dit je gevoel van veiligheid aantast.” Geen: “We hadden dit anders moeten inrichten.” Alleen: technisch en juridisch indekken.

Voor een incident van deze omvang had ik meer verwacht dan alleen schadebeperking in formuleringen.

En iets offtopic. Misschien in de topicstart een poll maken om te inventariseren wie vertrekt bij Odido en ( alle ) abonnementen opzegt bij hen?

Ik ben in elk geval weg bij Odido.

PheraX schreef op vrijdag 27 februari 2026 @ 17:25:
Mn abbo bij odido maar opgezegd. Een hack kan gebeuren maar de afhandeling en de manier waarom gegevens beschikbaar waren voor medewerkers past niet bij mij.

Niet specifiek als reactie op jou maar veel mensen vertrekken bij Odido vanwege "communicatie"

Ik zal even mijn perspectief schetsen: ik heb 1 email gekregen (op 12 februari) dat mijn data mogelijk gelekt is. En de gebruikelijke bla bla die iedereen toch al moet doen. Prima, bedankt voor de info.

Wat verwachten mensen dan nog meer?

Kalentum schreef op vrijdag 27 februari 2026 @ 17:55:
[...]


Niet specifiek als reactie op jou maar veel mensen vertrekken bij Odido vanwege "communicatie"

Ik zal even mijn perspectief schetsen: ik heb 1 email gekregen (op 12 februari) dat mijn data mogelijk gelekt is. En de gebruikelijke bla bla die iedereen toch al moet doen. Prima, bedankt voor de info.

Wat verwachten mensen dan nog meer?

Informatie over wat specifiek is gelekt? ...of hoe ze dat eventueel nog laten weten?

-LA- schreef op vrijdag 27 februari 2026 @ 18:00:
[...]

Informatie over wat specifiek is gelekt? ...of hoe ze dat eventueel nog laten weten?

Dat is toch bekend? Ik ga uit van de usual + IBAN + rijbewijsnummer

Kalentum schreef op vrijdag 27 februari 2026 @ 17:55:
[...]


Niet specifiek als reactie op jou maar veel mensen vertrekken bij Odido vanwege "communicatie"

Ik zal even mijn perspectief schetsen: ik heb 1 email gekregen (op 12 februari) dat mijn data mogelijk gelekt is. En de gebruikelijke bla bla die iedereen toch al moet doen. Prima, bedankt voor de info.

Wat verwachten mensen dan nog meer?

Die mail heb ik ook gehad en die spreekt over het 'mogelijk' lekken van data. Nu we 2 weken verder zijn zal het onderzoek intern ook gevorderd zijn en zullen ze (moeten) weten welke data precies is gelekt van mij. Waarom word ik daar niet preciezer over geïnformeerd? Vervolgens verschijnt in de media dat Odido geen losgeld betaalt, en nu zitten we in een periode waarin dagelijks gegevens online verschijnen. Waarom worden we daar niet persoonlijk over geïnformeerd? Waarom kan Odido niet nu een nieuwe e-mail sturen met de precieze gegevens die bij ShinyHunters in bezit zijn en dat die dus de komende dagen ergens online gaan komen? Odido toont in haar communicatie en gedrag niet dat zij de klant ondersteunt, terwijl zij onvoldoende onze data heeft beschermd en dat wel beloofd had.

Kalentum schreef op vrijdag 27 februari 2026 @ 18:00:
[...]


Dat is toch bekend? Ik ga uit van de usual + IBAN + rijbewijsnummer

"ik ga uit van" ....precies dat, ik weet eigenlijk niet wat ze allemaal precies hebben van mij

Kalentum schreef op vrijdag 27 februari 2026 @ 18:00:
[...]


Dat is toch bekend? Ik ga uit van de usual + IBAN + rijbewijsnummer

Nee er is veel meer gelekt dan dat...

257 regels PER account:
roawser in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'

ArcticWolf schreef op vrijdag 27 februari 2026 @ 17:19:
[...]

Tot wanneer zijn ze betrouwbaar? Dit soort psychopaten zijn ziek in hun kop (ok ok dat is dubbel), misschien kickt er wel iemand op het lekken van dit soort gevoelige informatie en verkoopt de data offline.

Je kan mij niet vertellen dat deze idioten de datasets van vorige hacks daadwerkelijk hebben gewist?

Enige optie is opsporen, oppakken en levend begraven, dan leren ze het wel af.

Welja, levend begraven. Vierendelen. Spaanse laars. Ook allemaal opnemen, op TikTok zetten. Zo, dat lucht op.

In een rechtsstaat hebben verdachten recht op een eerlijk proces. Levend begraven valt daar niet onder, en dat geldt ook voor afschuwelijke strafbare feiten, zoals bijvoorbeeld Marengo proces (de zaak Taghi).

Psychopaten zijn als dusdanig geboren, ze zijn anders 'gewired' dan neurotypische mensen. Net zoals autisten anders zijn gewired. Omdat psychopaten anders zijn gewired missen zij bepaalde emotionele functies.

Dat valt niet medisch op te lossen, behalve pogen dat mensen op het rechte pad blijven. We hebben als maatschappij helaas geen adequate oplossing om dit van te voren aan te pakken. Tenminste, qua mogelijkheden die we als humaan achten (denk aan eugenica, DNA analyse, castratie, enz).

Liever spreek ik van dark triad want narcisme en machiavellisme zijn ook problematisch en een recept voor problemen.

areyouben schreef op vrijdag 27 februari 2026 @ 18:01:
[...]


Die mail heb ik ook gehad en die spreekt over het 'mogelijk' lekken van data. Nu we 2 weken verder zijn zal het onderzoek intern ook gevorderd zijn en zullen ze (moeten) weten welke data precies is gelekt van mij. Waarom word ik daar niet preciezer over geïnformeerd? Vervolgens verschijnt in de media dat Odido geen losgeld betaalt, en nu zitten we in een periode waarin dagelijks gegevens online verschijnen. Waarom worden we daar niet persoonlijk over geïnformeerd? Waarom kan Odido niet nu een nieuwe e-mail sturen met de precieze gegevens die bij ShinyHunters in bezit zijn en dat die dus de komende dagen ergens online gaan komen? Odido toont in haar communicatie en gedrag niet dat zij de klant ondersteunt, terwijl zij onvoldoende onze data heeft beschermd en dat wel beloofd had.

Niet om odido goed te praten maar als
Organisatie is het vaak lastig vast te stellen welke data er precies gelekt is.

Je kunt wel de potentiele omvang inschatten (tot welke data had gehackt account toegang) maar dan kan het zijn dat je veel meer dan gelekt gaat communiceren.

Als vervolgens de hacker group samples naar NOS stuurt en niet naar odido dan blijft t lastig.
Nu heeft odido een beter idee maar alsnog weet je nooit zeker of ze echt 6 miljoen aan gegevens hebben, dat weet je pas na publicatie dat ze dat tenminste hebben.

Wel denk ik dat het tijd is dat odido een update naar de betrokken gaat sturen over de gelekte data.

[ Voor 3% gewijzigd door laurens0619 op 27-02-2026 18:12 ]

laurens0619 schreef op vrijdag 27 februari 2026 @ 18:10:
[...]

Niet om odido goed te praten maar om als
Organisatie is het vaak lastig vast te stellen welke data er precies gelekt is.

Je kunt wel de potentiele omvang inschatten (tot welke data had gehackt account toegang) maar dan kan het zijn dat je veel meer dan gelekt gaat communiceren.

Als vervolgens de hacker group samples naar NOS stuurt en niet naar odido dan blijft t lastig.
Nu heeft odido een beter idee maar alsnog weet je nooit zeker of ze echt 6 miljoen aan gegevens hebben, dat weet je pas na publicatie dat ze dat tenminste hebben.

Dat laatste stukje, die samples, wie zegt dat Odido die niet gehad heeft? Ze communiceren niets of niet volledige transparent.

Jerie schreef op vrijdag 27 februari 2026 @ 18:06:
[...]

In een rechtsstaat hebben verdachten recht op een eerlijk proces. Levend begraven valt daar niet onder, en dat geldt ook voor afschuwelijke strafbare feiten, zoals bijvoorbeeld Marengo proces (de zaak Taghi).

Ik vermoed dat de huidige strafmaat ook niet echt ontmoedigend werkt: https://www.lemonde.fr/en...-in-prison_6417923_7.html

Vorkie schreef op vrijdag 27 februari 2026 @ 18:12:
[...]


Dat laatste stukje, die samples, wie zegt dat Odido die niet gehad heeft? Ze communiceren niets of niet volledige transparent.

Dat is een aanname inderdaad maar het is niet onbekend dat aanvallers de media als pion inzetten en bewust daar andere/meer informatie mee deelt. Het zijn ratten hoor

Tegelijk een sample is alsnog geen garantie dat de aanvallers die data voor 6 miljoen heeft dus het blijft lastig daar het juiste te communiceren

laurens0619 schreef op vrijdag 27 februari 2026 @ 18:10:
[...]

Niet om odido goed te praten maar als
Organisatie is het vaak lastig vast te stellen welke data er precies gelekt is.

[...]

Wel denk ik dat het tijd is dat odido een update naar de betrokken gaat sturen over de gelekte data.

Misschien is het dan een idee dat Odido de gepubliceerde data zelf analyseert en in ons Odido/Ben account laat zien wat er is gepubliceerd. Er zjn nu soortgelijke initiatieven van derden om te checken óf je ertussen zit, maar niet wát. Help daar dan als bedrijf weer mee.

areyouben schreef op vrijdag 27 februari 2026 @ 18:14:
[...]


Misschien is het dan een idee dat Odido de gepubliceerde data zelf analyseert en in ons Odido/Ben account laat zien wat er is gepubliceerd. Er zjn nu soortgelijke initiatieven van derden om te checken óf je ertussen zit, maar niet wát. Help daar dan als bedrijf weer mee.

Helemaal eens en ik verwacht ook wel dat hier iets gaat gebeuren.
Maar ik snap best dat odido zich rot is geschrokken en, ook legal wise, zorgvuldig en langzamer te werk gaat hierin. Iig langzamer dan de gemiddelde vibe coder die even een dataset binnenhaalt en online gooit

laurens0619 schreef op vrijdag 27 februari 2026 @ 18:14:
[...]

Dat is een aanname inderdaad maar het is niet onbekend dat aanvallers de media als pion inzetten en bewust daar andere/meer informatie mee deelt. Het zijn ratten hoor

Tegelijk een sample is alsnog geen garantie dat de aanvallers die data voor 6 miljoen heeft dus het blijft lastig daar het juiste te communiceren

Hackers hadden een chat met Odido opgezet. Odido is daar van weggelopen en sindsdien gaat het via de NOS. Dat is hoe ik het begrepen heb.

Per de NOS:

Toeleverancier Odido waarschuwde voor gebruikte hackmethode

De toeleverancier die door Odido wordt gebruikt voor de opslag van klantendata, waarschuwde meermaals voor de door hackersgroep Shinyhunters gebruikte hackmethode. Salesforce riep bedrijven op om de beveiliging indien nodig aan te scherpen.
[...]
Vorig jaar waarschuwde Salesforce ook al een aantal keer voor de gebruikte methode, waaronder in oktober in een officiële security-update. Ook beveiligingsbedrijf Mandiant, onderdeel van Google, en de FBI hebben waarschuwingen uitgedaan.

https://nos.nl/artikel/26...oor-gebruikte-hackmethode

ArcticWolf schreef op vrijdag 27 februari 2026 @ 18:03:
[...]

Nee er is veel meer gelekt dan dat...

257 regels PER account:
roawser in 'Hackers zetten eerste batch met gestolen Odido-data online - update 2'

Zijn voor alle accounts die regels ook daadwerkelijk gevuld? Je leest 6,2 miljoen personen en 21 miljoen “records”. 3,8 gevulde regels per account lijkt me logischer dan 3,8 Odido abonnementen per persoon?

GaHard schreef op vrijdag 27 februari 2026 @ 18:18:
[...]

Hackers hadden een chat met Odido opgezet. Odido is daar van weggelopen en sindsdien gaat het via de NOS. Dat is hoe ik het begrepen heb.

Dat ligt iets gecompliceerder ben ik bang, het js een bewuste tactiek

Ronald prins, oud oprichtiger foxit, had daar gister nog mooie post over
https://www.linkedin.com/...-7432674208981323776-6XKw

Eijsbeer schreef op vrijdag 27 februari 2026 @ 18:21:
[...]


Zijn voor alle accounts die regels ook daadwerkelijk gevuld? Je leest 6,2 miljoen personen en 21 miljoen “records”. 3.8 gevulde regels per account lijkt me logischer dan 3.8 Odido abonnementen per persoon?

3,8 regels per account kan bijna niet, dat is niet eens voldoende voor je naam en adres.

Die 6,2 miljoen accounts kan kloppen maar er is waarschijnlijk veel meer dan 21 miljoen records aan data gestolen... of bedoelen ze 21 miljoen accounts over de jaren heen?
Misschien over 10 jaar dat het daadwerkelijk over 21 miljoen accounts/records gaat * 257 regels? Dat is een hoop data... het bedrijf waar ik werk gebruikt ook Odido voor mobiele telefonie, dan heb je al 5500 nummers op 1 account? Ik heb geen idee hoe dat werkt...

[ Voor 22% gewijzigd door ArcticWolf op 27-02-2026 18:30 ]

Prive al lang wat abonnementen bij Odido.

Maar het verbaasde me ook op mijn zakelijke email adres de melding te krijgen van Odido dat er data gelekt is.
Volgens mij nooit zakelijk met Odido gecommuniceerd.

Dus eens nagezocht.

In december 2020 via de zakelijke email een prepay SIM aangeschaft voor een M2M systeem (SMS versturen als er een server omviel). In 2023 bericht gekregen dat de SIM verviel want 2G ging uit. Nooit laten vervangen.

Dus 3 jaar later bewaren ze een zakelijke email nog. Die 1 keer gebruikt is voor de aanschaf van een prepay SIM. Zonder contract. Geen enkele reden denkbaar om dan data te bewaren. En zeker niet tot 3 jaar na staken van het gebruik.

Wat een bende.

Misschien zou de belangrijkste les van deze hack moeten zijn dat dit soort bedrijven minder gegevens moeten verzamelen. Dus geen kopie van je paspoort in de database, maar een vinkje dat het paspoort is gezien en geverifieerd.

Baserk schreef op vrijdag 27 februari 2026 @ 18:21:
Per de NOS:

[...]


[...]

https://nos.nl/artikel/26...oor-gebruikte-hackmethode

Klinkt als nalatigheid

ericplan schreef op vrijdag 27 februari 2026 @ 18:32:
Misschien zou de belangrijkste les van deze hack moeten zijn dat dit soort bedrijven minder gegevens moeten verzamelen. Dus geen kopie van je paspoort in de database, maar een vinkje dat het paspoort is gezien en geverifieerd.

Dat werkt toch niet? Dan is elke winkelier ook te vertrouwen. Krijg je wel/niet discussies.

Gewoon een Digid/iDin-achtige oplossing opzetten. Bij voorkeur overheidspartij die vertrouwd is. En dat de winkelier dan inderdaad dat vinkje krijgt en mag laten staan, meer niet.

Kalentum schreef op vrijdag 27 februari 2026 @ 18:00:
[...]


Dat is toch bekend? Ik ga uit van de usual + IBAN + rijbewijsnummer

'jij gaat uit'

En dat is precies het probleem.

PJ1989 schreef op vrijdag 27 februari 2026 @ 18:31:
[...]

Dus 3 jaar later bewaren ze een zakelijke email nog. Die 1 keer gebruikt is voor de aanschaf van een prepay SIM. Zonder contract. Geen enkele reden denkbaar om dan data te bewaren. En zeker niet tot 3 jaar na staken van het gebruik.

Wat een bende.

Ja maar meneer, we gaan uiteraard vertrouwelijk met uw gegevens om, dus wat is het probleem?

Jerie schreef op vrijdag 27 februari 2026 @ 17:34:
[...]


Het mooie van betalen is dat je zelf financieel het gevolg van je kwetsbaarheid duidelijk voelt. Die kwetsbaarheid was blijkbaar nog bekend ook want Salesforce is specialiteit van deze groepering.

Door niet te betalen verleggen ze de schade naar de klanten. Die zijn of worden boos op Odido. Ze gaan ook klanten verliezen, en ze willen weten/meten hoeveel. Dat kan ze in de toekomst vertellen of ze wel of niet gaan betalen @rr7r dus daar zit een mogelijk belang voor jou als (ex-klant).

Als de groep alsnog publiceert, dan is dat schadelijk voor hun eigen imago. Dan slopen ze hun eigen business model, van hun en hun peers (die in dezelfde 'business' zitten). Moet je niet willen. Het kan overigens wel een exit strategie zijn.

Ben je voor losgeld betalen, dan is dit een goede reden om weg te gaan bij Odido. Of je daar dan eerlijk over moet zijn, @rr7r, dat is afhankelijk van je belang.

Ben je tegen losgeld betalen, dan is dit een goede reden om klant te blijven bij Odido.

Ik sta er persoonlijk genuanceerd in. Ik neigde vroeger naar niet betalen, ook niet onderhandelen met een terrorist of gijzelnemer enz. maar dat is makkelijk gezegd als je geen partij bent. ik sta daar tegenwoordig genuanceerder in.

Persoonlijk vind ik 500k EUR op 6M klanten een lachertje qua prijs. Als de bende een goede naam heeft (dat ze niet publiceren na betaling) dan zou ik toch overwegen om wel te betalen.

En ik vind Odido's communicatie in deze kwestie bovendien vrij zwak. Hun mea culpa was vooral slachtofferrol geschreven door marketing/legal. Op zich slim omdat je weet dat de tegenpartij jou als verantwoordelijk probeert te houden... maar dat zijn ze ook. Odido is verantwoordelijk voor hun beveiliging. Odido had schade kunnen voorkomen, zowel voor als na de hack. Of dat rate limiting gebrek aan Salesforce ligt weet ik trouwens niet maar ook op een API kun je rate limiting configureren (W.T.F. zou ik altijd doen bij een openbare API, alleen al tegen DoS).

Wat betreft het traceren van het geld. Het is cryptocurrency. De betaling gaat in het openbaar, en de geldstromen zijn te volgen. Dat adres komt in een blacklist te staan, en alle stromen van of naar dat adres worden gevolgd. Vaak blijft zo'n wallet lange tijd cold. Hangt er ook een beetje van af of men krap bij kas zit, en waar men zich in de wereld bevindt. Bij Financiën en politie o.a. werken mensen die die stromen kunnen volgen. Ja, natuurlijk adviseert politie om niet te betalen. Scheelt ze werk, en ze willen dit business model slopen, maar ze hebben een substantieel ander belang (en alles van hun medewerkers is al recent gelekt ).

Deze dataset is zeer recent, oude klanten zijn eruit te filteren, en het is te cross referencen aan andere datasets. Dat maakt het waardevol.

Het grootste probleem in deze is wat mij betreft 'de groep'. Wie is die groep? Hoe groot is deze? Wie heeft er toegang tot die data? Hoe homogeen is deze? Hoe stabiel is deze?

Stel nerds verspreid over de wereld in een soort los-vast verband geeft mij weinig reden om er vanuit te gaan dat hier op fatsoenlijke manier zaken gedaan kan worden. Voor zover dat überhaupt mogelijk is in een afleersingszaak.

En nogmaals, als je data kwijt bent vind ik het iets anders. Dan kun je voor je betaling je data terug krijgen. Maar dit geeft nul garantie.

MikeyMan schreef op vrijdag 27 februari 2026 @ 18:44:
[...]


Het grootste probleem in deze is wat mij betreft 'de groep'. Wie is die groep? Hoe groot is deze? Wie heeft er toegang tot die data? Hoe homogeen is deze? Hoe stabiel is deze?

Stel nerds verspreid over de wereld in een soort los-vast verband geeft mij weinig reden om er vanuit te gaan dat hier op fatsoenlijke manier zaken gedaan kan worden. Voor zover dat überhaupt mogelijk is in een afleersingszaak.

En nogmaals, als je data kwijt bent vind ik het iets anders. Dan kun je voor je betaling je data terug krijgen. Maar dit geeft nul garantie.

Ach ja, 0 garantie. Nu heb je 100% garantie dat heel gevoelige data op straat ligt! Het is maar wat je liever hebt als klant. Ik weet het wel.

[ Voor 3% gewijzigd door Naafkap op 27-02-2026 18:56 ]

En daar komen de eerste van (hopelijk niet) vele telefoontjes ... "U had mij gebeld" ...

Hun uitspraak ook. Zit even op het Darkweb te spitten met Tor browser. Als je echt safe en anoniem wilt zijn moet je Tails OS op een USB stick gebruiken. Maar ze geven er geen reet om wat er met onze data gebeurt en doen er alles aan om het in alle hoeken van de criminele onderwereld te verspreiden en te misbruiken.
Dit klinkt meer als een stel kinderen.

Naafkap schreef op vrijdag 27 februari 2026 @ 18:54:
[...]

Ach ja, 0 garantie. Nu heb je 100% garantie dat heel gevoelige data op straat ligt! Het is maar wat je liever hebt als klant. Ik weet het wel.

Die "heel gevoelige" data geldt maar voor een X% van het bestand... ik weet vrij zeker dat er bij mij geen enkele aantekening in het bestand staat en dat zal voor het gros van de accounts zo zijn.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 11:34:
[...]

Dat kan bij mijn bank alleen bij zakelijke rekeningen, niet bij prive rekeningen

Ai, dat is minder. Ik had ook een paar oude incasso ertussen staan, bijvoorbeeld Vattenfall waar ik geen klant meer ben. Die trekken dat blijkbaar niet in.

ericplan schreef op vrijdag 27 februari 2026 @ 18:32:
Misschien zou de belangrijkste les van deze hack moeten zijn dat dit soort bedrijven minder gegevens moeten verzamelen. Dus geen kopie van je paspoort in de database, maar een vinkje dat het paspoort is gezien en geverifieerd.

Ik zou graag bij wet geregeld zien dat niet meer data mag worden opgeslagen dan strikt noodzakelijk om een product of dienst te leveren.

rr7r schreef op vrijdag 27 februari 2026 @ 18:13:
[...]


Ik vermoed dat de huidige strafmaat ook niet echt ontmoedigend werkt: https://www.lemonde.fr/en...-in-prison_6417923_7.html

En ik vermoed dat het eeuwige geleuter over strafmaat een afleiding is voor de gebrekkige pakkans. Daar zit hem namelijk het werkelijke probleem. Strenger straffen verhard de doelgroep mee, en is opmaat naar nog zwaardere misdaad middels lagere drempel.

In die zin heeft de politie de juiste strategie, namelijk the long game. Door nooit te betalen, draai je het businessmodel vanuit de wortel de nek om (zo da's nog eens een dubbele, doch verneukte beeldspraak). Behalve dus, dat de verkoop dan ondergronds gaat, en meer targeted (dit leert hoe de corrupte maatschappij in Rusland werkt ons).

Ook is er jurisprudentie van bad actors binnen de org die data misbruiken. Dat was al bekend in de jaren '90 bij Financiën. Omdat medewerkers via telnet bepaalde profielen (lees BN'ers) bekeken. Die werden toen maar afgeschermd (ik ben nooit zo dom geweest om dat te doen omdat ik weet dat er logging is dat die logging nauwelijks tot niet bekeken werd is een kwestie van 'geluk hebben'). Onlangs nog tijdens corona had je ook bij RIVM datalekken, en simswapping is makkelijk via een corrupte medewerker (middels SS7 via 'iedere telco'). Doch, targeted.

En wat betreft martelen van verdachten. Daarmee laat je jezelf alleen maar kennen. Je verlaagd jezelf tot het niveau van de tegenstander. Bovendien geef je groeperingen die anti-overheid zijn (daar vallen deze figuren vaak onder, zie The Com) zuurstof, en de tegenpartij zal zich gerechtvaardigd voelen soortgelijke tactieken toe te passen. Bovendien kun je dan dagdag zeggen tegen je rechtsstaat.

bszz schreef op vrijdag 27 februari 2026 @ 19:04:
[...]

Ik zou graag bij wet geregeld zien dat niet meer data mag worden opgeslagen dan strikt noodzakelijk om een product of dienst te leveren.

Ja eens!

Ow wacht die wet is er al
https://www.autoriteitper...vens-u-verwerkt-en-waarom

ArcticWolf schreef op vrijdag 27 februari 2026 @ 19:01:
[...]

Die "heel gevoelige" data geldt maar voor een X% van het bestand... ik weet vrij zeker dat er bij mij geen enkele aantekening in het bestand staat en dat zal voor het gros van de accounts zo zijn.

Ah bij jou niet, dus dan is het niet zo erg.

Jerie schreef op vrijdag 27 februari 2026 @ 19:07:
[...]


En ik vermoed dat het eeuwige geleuter over strafmaat een afleiding is voor de gebrekkige pakkans. Daar zit hem namelijk het werkelijke probleem. Strenger straffen verhard de doelgroep mee, en is opmaat naar nog zwaardere misdaad middels lagere drempel.

Euhm nee. Bij levenslange opsluiting is het recidive nul. Jij prefereert kennelijk recidive-risico.

Misschien moet je die screenshot paar posts hierboven eens bekijken. Zie je met welk volk je te maken hebt.
Draconian in "Odido waarschuwt voor datalek (cyberaanval/hack)"

[ Voor 22% gewijzigd door rr7r op 27-02-2026 19:13 ]

Jerie schreef op vrijdag 27 februari 2026 @ 19:07:
[...]

*knip*

In die zin heeft de politie de juiste strategie, namelijk the long game. Door nooit te betalen, draai je het businessmodel vanuit de wortel de nek om (zo da's nog eens een dubbele, doch verneukte beeldspraak). Behalve dus, dat de verkoop dan ondergronds gaat, en meer targeted (dit leert hoe de corrupte maatschappij in Rusland werkt ons).

*knip*

Maar dit zei ik dus in m'n initiële post, ik ben tegen betalen omdat het een precedent schept (beloning voor de hackers), in de longrun gaat dit helpen, maar @Naafkap wilt perse dat er betaald wordt.

Daarom zei ik even hard; enige wat helpt is opsporen, oppakken en levend begraven.

Dat kan ook helpen (als je ze te pakken krijgt en die kans is niet zo groot).

Naafkap schreef op vrijdag 27 februari 2026 @ 18:54:
[...]

Ach ja, 0 garantie. Nu heb je 100% garantie dat heel gevoelige data op straat ligt! Het is maar wat je liever hebt als klant. Ik weet het wel.

Voor 95% van de data zal dat al het geval zijn...

Maar dit is toch een gebed zonder eind. Nu ff vijf ton aftikken, volgende maand weer geld nodig. Niet aan beginnen.

bszz schreef op vrijdag 27 februari 2026 @ 19:04:
[...]

Ik zou graag bij wet geregeld zien dat niet meer data mag worden opgeslagen dan strikt noodzakelijk om een product of dienst te leveren.

Ondanks dat deze wetgeving er al is, vind ik alsnog dat het opslaan van dit soort persoonsgegevens niet wenselijk is.

Er vindt nog te weinig innovatie plaats op dit gebied. Waarom bestaat er nog steeds geen algemeen gebruikt systeem/methode waar een bedrijf of instantie kan opvragen dat ik:

• Meerjarig ben
• Geen wanbetaler ben/BKR-registratie heb
• Echt op een woonadres woon
• Enzovoorts, enzovoorts

Dan hoeft bijvoorbeeld een documentnummer ook niet in een systeem van Odido, maar slechts een vinkje dat mijn identiteit is bevestigd.

Dat zou wat mij betreft een taak van de overheid mogen zijn en per wet vastgelegd.

[ Voor 3% gewijzigd door Gr4mpyC3t op 27-02-2026 19:17 ]

Gr4mpyC3t schreef op vrijdag 27 februari 2026 @ 19:16:
[...]


Waarom bestaat er nog steeds geen algemeen gebruikt systeem/methode waar een bedrijf of instantie kan opvragen dat ik:

• Meerjarig ben
• Geen wanbetaler ben/BKR-registratie heb
• Echt op een woonadres woon
• Enzovoorts, enzovoorts

Bestaat al. iDin heet het.

[ Voor 8% gewijzigd door rr7r op 27-02-2026 19:21 ]

Ik vraag me eerlijk gezegd af of Odido als merk nu echt blijvend beschadigd is. Vertrouwen is toch de basis van een telecomprovider. Je geeft zo’n partij je persoonsgegevens, je telefoonnummer, soms zelfs een kopie van je ID. Als er dan een datalek plaatsvindt, voelt dat gewoon ongemakkelijk. Dan ga je toch anders naar zo’n naam kijken.

Aan de andere kant weet ik ook hoe het vaak gaat. Op het moment zelf is iedereen verontwaardigd, het haalt het nieuws, mensen zeggen dat ze gaan overstappen. Maar een jaar of twee later? Dan is het weer stil en kijken de meeste mensen gewoon naar prijs, bereik en bundels. De vraag is dus: blijft dit echt aan Odido kleven, of waait het uiteindelijk over?

Ik kan me ook niet direct herinneren dat in Nederland een grote provider failliet is gegaan puur door een datalek. Volgens mij gebeurt dat bijna nooit alleen daardoor. Meestal spelen er meerdere problemen tegelijk als een bedrijf echt omvalt. Een datalek zorgt voor imagoschade en misschien boetes, maar niet automatisch voor het einde van een bedrijf.

Daarom twijfel ik. Dit kan iets zijn wat het merk nog jaren achtervolgt, maar het kan ook iets zijn wat over tijd vervaagt en er geen haan meer naar kraait.

Odido zal de abonnementsprijzen wel weer snel verhogen nu duizenden klanten over gaan stappen. De houding van dit bedrijf is stuitend en geeft goed weer hoe zij over de privacy van hun klanten denken.

DeJurist schreef op vrijdag 27 februari 2026 @ 19:24:
Ik vraag me eerlijk gezegd af of Odido als merk nu echt blijvend beschadigd is. Vertrouwen is toch de basis van een telecomprovider. Je geeft zo’n partij je persoonsgegevens, je telefoonnummer, soms zelfs een kopie van je ID. Als er dan een datalek plaatsvindt, voelt dat gewoon ongemakkelijk. Dan ga je toch anders naar zo’n naam kijken.

Voor mijzelf sprekend; nee, ik ga dit niet vergeten, dit blijft altijd kleven. En dan is het de afweging; 10tje meer betalen voor de concurrent of weer met ze in zee gaan. Wat ook mee zal spelen; zijn er straks andere grote ISP's die nat gaan? Want dan is de keuze alleen maar minder en de kans dat je dan toch weer voor Odido kiest ook groter.

Ik kan me ook niet direct herinneren dat in Nederland een grote provider failliet is gegaan puur door een datalek. Volgens mij gebeurt dat bijna nooit alleen daardoor. Meestal spelen er meerdere problemen tegelijk als een bedrijf echt omvalt. Een datalek zorgt voor imagoschade en misschien boetes, maar niet automatisch voor het einde van een bedrijf.

Dit is wat dat betreft 'gelukkig' een unicum, er is volgens mij geen ISP geweest die zo'n grote lek heeft gehad met een dergelijk volume en het aantal informatie per klant. Daarom wordt het wel interessant om te zien hoe de komende jaren het met Odido vergaat, maar ook hoe de markt in de breedte hierop reageert. Ik vermoed dat de marketing van Ziggo, KPN en overige ISP's nu heel erg hard op de 'veiligheid' gaat focussen, daarbij houden ze de herinnering aan deze F up in leven én benadrukken ze dat je bij hen mogelijk beter uit bent.

Mijn eigen tactische keuze; ik blijf even bij de kleinere ISP's. Minder exposure, minder interessant voor een grote dataset, en er zijn gelukkig nog wel een paar kleinere ISP's met een redelijk CV qua security, alhoewel je het natuurlijk nooit zeker weet.

[ Voor 6% gewijzigd door Lord_Dain op 27-02-2026 19:34 ]

Lord_Dain schreef op vrijdag 27 februari 2026 @ 19:29:
[...]


Voor mijzelf sprekend; nee, ik ga dit niet vergeten, dit blijft altijd kleven. En dan is het de afweging; 10tje meer betalen voor de concurrent of weer met ze in zee gaan. Wat ook mee zal spelen; zijn er straks andere grote ISP's die nat gaan? Want dan is de keuze alleen maar minder en de kans dat je dan toch weer voor Odido kiest ook groter.


[...]


Dit is wat dat betreft 'gelukkig' een unicum, er is volgens mij geen ISP geweest die zo'n grote lek heeft gehad met een dergelijk volume en het aantal informatie per klant. Daarom wordt het wel interessant om te zien hoe de komende jaren het met Odido vergaat, maar ook hoe de markt in de breedte hierop reageert. Ik vermoed dat de marketing van Ziggo, KPN en overige ISP's nu heel erg hard op de 'veiligheid' gaat focussen, daarbij houden ze de herinnering aan deze F up in leven én benadrukken ze dat je bij hen mogelijk beter uit bent.

Niet in nederland nee maar wel in USA.
Att gehackt door dezelfde club en 110 miljoen gegevens gestolen.
Mrja att had betaald en zover ik weet is het hierna, op de samples na ook niet gelekt

nieuws: AT&T betaalde hacker 370.000 dollar om onlangs gestolen data te wissen

Haalde daar uit comment dat betalen in usa niet is toegestaan tenzij akkoord vanuit overheid

In dit geval is het een amerikaans bedrijf en in amerika is het verboden om te betalen tenzij je akkoord krijgt van de overheid. Dat laatste krijg je eigenlijk alleen als het gaat om data die grote groepen amerikanen of de overheid zelf betreft. Doe je dat niet in overleg, dan bestaat er een grote kans dat je wordt vervolgd.
En dat geldt niet alleen voor de bedrijven die geraakt worden, maar ook voor de banken of services die helpen in de betaling (die de betaling faciliteren).

https://www.aha.org/syste...are-payments1-9-21-21.pdf

Interessant. Laat denk ik wel zien dat het principe “nooit betalen” iets tekort door de bocht is maar “altijd betalen” ook

laurens0619 schreef op vrijdag 27 februari 2026 @ 19:37:
[...]

Interessant. Laat denk ik wel zien dat het principe “nooit betalen” iets tekort door de bocht is maar “altijd betalen” ook

Psies.. het is verbazingwekkend dat de politie dit zou adviseren.. ik neem aan dat er genoeg politie medewerkers privé een Odido abonnement hebben of hadden.. en dan hebben we het niet over mensen die in andere gevoelige sectoren werken, denk aan DJI, (private) beveiligers and so on. Al die mensen hun naam + adres liggen straks op straat, elke gek of crimineel kan opzoeken waar zo iemand woont.. dan kan ik me gewoon goed voorstellen dat er besloten wordt om dit keer wél te betalen.

Toch maar even pollen...

Poll: Ben je overgestapt na deze hack?
• Ja
• Nee
• Ga ik nog doen

resultaten:
https://poll.dezeserver.nl/results.cgi?pid=407466

[ Voor 16% gewijzigd door ArcticWolf op 27-02-2026 19:56 ]

Lord_Dain schreef op vrijdag 27 februari 2026 @ 19:45:
[...]


Psies.. het is verbazingwekkend dat de politie dit zou adviseren.. ik neem aan dat er genoeg politie medewerkers privé een Odido abonnement hebben of hadden.. en dan hebben we het niet over mensen die in andere gevoelige sectoren werken, denk aan DJI, (private) beveiligers and so on. Al die mensen hun naam + adres liggen straks op straat, elke gek of crimineel kan opzoeken waar zo iemand woont.. dan kan ik me gewoon goed voorstellen dat er besloten wordt om dit keer wél te betalen.

Ik begrijp hem ook niet als je naar het grotere plaatje kijkt, ook niet vanuit cfo.

Tenzij er meer is dan wij weten, bijvoorbeeld wat in deze post/radio uitzending wordt aangehaald

https://www.nporadio1.nl/uitzendingen?date=26-02-2026

Dat er ook de situatie bestaat dat er nooit een keuze/optie is geweest voor odido en de criminelen sowieso zouden lekken.

Het zou mij niet verbazen iig.
Die hackers vinden het heel leuk om alles en iedereen te manipuleren

[ Voor 4% gewijzigd door laurens0619 op 27-02-2026 20:03 ]

Naafkap schreef op vrijdag 27 februari 2026 @ 18:54:
[...]

Ach ja, 0 garantie. Nu heb je 100% garantie dat heel gevoelige data op straat ligt! Het is maar wat je liever hebt als klant. Ik weet het wel.

Tja 99% kans met 500k betalen of 100% zonder te betalen. Waarbij ik die 99% denk ik nog laag inschat. Kijk naar wat voor boodschappen die ShinyHunters naar buiten sturen en het is wel duidelijk dat het ze vooral om het zooi trappen te doen is. Die gaan echt niet de data netjes weggooien als er betaald is.

redwing schreef op vrijdag 27 februari 2026 @ 20:00:
[...]

Tja 99% kans met 500k betalen of 100% zonder te betalen. Waarbij ik die 99% denk ik nog laag inschat. Kijk naar wat voor boodschappen die ShinyHunters naar buiten sturen en het is wel duidelijk dat het ze vooral om het zooi trappen te doen is. Die gaan echt niet de data netjes weggooien als er betaald is.

Dit is onderbuikgevoel, die 99%. Hun reputatie laat iets anders zien.

redwing schreef op vrijdag 27 februari 2026 @ 20:07:
[...]

Bij eerdere hacks is er later ook data opgedoken op andere plekken. Leuk dat ze het niet per direct publiceren maar als het alsnog bij de verkeerde mensen terecht komt schiet je er weinig mee op. Daarbij blijft zo'n groep bestaan omdat ze weten dat ze geld kunnen verdienen. Dus doordat eerdere partijen wel betaald hebben, hebben we nu zo'n hack te pakken.

Dit is niet juist. In heel veel gevallen komt de data nooit online. De belangen van de klanten en de maatschappelijke gevolgen daarvan zou meer zwaarwegend moeten zijn. De klanten lijden maximaal schade. Het is een illusie om te denken dat je dit soort criminaliteit gaat uitbannen door niet te betalen.

Naafkap schreef op vrijdag 27 februari 2026 @ 20:10:
[...]

Dit is niet juist. In heel veel gevallen komt de data nooit online. De belangen van de klanten en de maatschappelijke gevolgen daarvan zou meer zwaarwegend moeten zijn. De klanten lijden maximaal schade. Het is een illusie om te denken dat je dit soort criminaliteit gaat uitbannen door niet te betalen.

Ik zou me er iets meer in verdiepen dan, bij zo'n beetje elke eerdere hack zijn er wel voorbeelden te vinden van mensen met specifieke mailadressen die dat adres later toch ergens tegenkwamen.

Daarbij vraag ik me nog steeds af welke maximale schade? Deze hack is toevallig een keer erg groot, maar zoals al eerder aangegeven heb je jaarlijks duizenden van dit soort hacks waarmee je ook aan miljoenen gegevens komt die op het dark web terecht komen.

Het is dan ook een illusie om te denken dat je verspreiding kunt voorkomen door te betalen. Zo'n groep betalen is gewoon het stomste wat je kunt doen.

Naafkap schreef op vrijdag 27 februari 2026 @ 20:10:
[...]

Dit is niet juist. In heel veel gevallen komt de data nooit online. De belangen van de klanten en de maatschappelijke gevolgen daarvan zou meer zwaarwegend moeten zijn. De klanten lijden maximaal schade. Het is een illusie om te denken dat je dit soort criminaliteit gaat uitbannen door niet te betalen.

Je gaat toch geen hackers betalen die je forceren te betalen om niet je persoonlijke info online te gooien? Wat voor masochisme is dat...
"ja ze zijn betrouwbaar omdat ze altijd woord hebben gehouden" ... de tering zeg, een groep betrouwbaar noemen die je afpersen om persoonlijke informatie niet online te gooien te walgelijk voor woorden.

Beetje Stockholm syndroom om te betalen

rr7r schreef op vrijdag 27 februari 2026 @ 19:20:
[...]


Bestaat al. iDin heet het.

Klopt, maar ook iDIN levert vrolijk de persoonsgegevens aan na verificatie. Mijn punt is juist dat er een systeem zou moeten zijn dat simpelweg 'ja of nee' teruggeeft.

Voorbeeld: Om een telefoonabonnement af te mogen sluiten moet ik 18 zijn. Ben ik 18? Ja of nee is hiervoor meer dan genoeg. Daar hoeft een verificatiesysteem mijn geboortedatum niet voor door te geven aan een telco.

Daarnaast leunt iDIN vooral op de ondersteuning van enkele (commerciële) banken en is dus vooral een vrijwillig initiatief. Ook bepaalt iedere bank zelf welke kosten zij in rekening brengt voor een iDIN-verificatie.

Leuk initiatief, maar het lost dus niet veel op in het kader van gegevensbeveiliging.

redwing schreef op vrijdag 27 februari 2026 @ 20:04:
[...]

Daar is genoeg onderzoek naar gedaan, zodra je dat gaat doen weten die lui dat ze de lul zijn zodra ze gepakt worden en zorgen ze dus wel dat ze genoeg wapens en andere middelen hebben om niet gepakt te worden. En dat is dus precies de reden waarom minder zwaar straffen in de praktijk meestal beter werkt. En voor je onderbuikgevoel voelt dat slecht (ook bij mij hoor), maar ik heb liever dat een rechter kijkt naar wat in de praktijk het beste werkt en niet wat het beste voelt in de onderbuik.

Gewoon gaslighting wat je doet. Impliceren dat wat ik zeg voortkomt uit onderboek-gevoel.

[ Voor 6% gewijzigd door rr7r op 27-02-2026 20:33 ]

redwing schreef op vrijdag 27 februari 2026 @ 20:14:
[...]

Ik zou me er iets meer in verdiepen dan, bij zo'n beetje elke eerdere hack zijn er wel voorbeelden te vinden van mensen met specifieke mailadressen die dat adres later toch ergens tegenkwamen.

Dus Rickey Gevers praat poep? En als het dan al uit lekt zal dat niet op deze schaal zijn waarbij letterlijk de hele wereld er bij kan.

laurens0619 schreef op vrijdag 27 februari 2026 @ 19:08:
[...]

Ja eens!

Ow wacht die wet is er al
https://www.autoriteitper...vens-u-verwerkt-en-waarom

Ok. Maar wat niet duidelijk is hoe dit gehandhaafd wordt. Bedrijven bepalen nu vaak wat zij nodig hebben. Waarom perse een telefoonnummer bijvoorbeeld? En wat is het nut van het weten van iemands geslacht?

bszz schreef op vrijdag 27 februari 2026 @ 20:44:
[...]


Ok. Maar wat niet duidelijk is hoe dit gehandhaafd wordt. Bedrijven bepalen nu vaak wat zij nodig hebben. Waarom perse een telefoonnummer bijvoorbeeld? En wat is het nut van het weten van iemands geslacht?

Eens maar dat was ook een beetje mijn punt

Wetten zijn een goed begin maar legal wise kun je er vaak mooi omheen en handhaven ja helemaal een ding.
Maw: ik zie daar helaas niet de oplossing.

Maar ik denk wel dat bedrijven nu meer gaan inzien dat het hebben van data gevaarlijk kan zijn. Bij ieder record moet je een “assume it is going to be compromised” hebben en de afweging of je die data durft op te slaan

Met Salesforce Shield had dus gewoon voorkomen kunnen worden dat er grootschalige data exports konden plaats vinden. Maar ja, dat kost geld

redwing schreef op vrijdag 27 februari 2026 @ 20:45:
[...]

Ehm, nee, hier zijn gewoon genoeg onderzoeken naar gedaan. Het kan hooguit een beetje helpen voor het huidige afpersen, maar zorgt voor meer afpersingen in de toekomst. Waarbij het verleden dus ook laat zien dat wel betalen nog steeds een grote kans geeft op lekken van data (dus ook maar beperkt nut heeft voor de huidige afperspoging)

Welke onderzoeken refereer je naar ?

pdidi schreef op vrijdag 27 februari 2026 @ 20:52:
Met Salesforce Shield had dus gewoon voorkomen kunnen worden dat er grootschalige data exports konden plaats vinden. Maar ja, dat kost geld

Achteraf is altijd makkelijk praten natuurlijk.
Maar voor elke hack kan je achteraf zeggen als het bedrijf oplossing X voor bedrag Y had afgenomen het niet was gebeurd. Maar het had net zo goed kunnen zijn dat oplossing X niet dekkend was en het bedrijf óók oplossing Z had af moeten nemen. Vooraf weet je dat niet, en je bent altijd te laat. (Overigens hoor je niets van bedrijven die wel met oplossing X het e.e.a. tegen hebben weten te houden.)

Maar de vraag is altijd hoeveel beveiliging wil je nemen en hoeveel geld mag het gaan kosten, en uiteindelijk zoek je daarin naar een goede balans.

GaHard schreef op vrijdag 27 februari 2026 @ 20:54:
[...]

Welke onderzoeken refereer je naar ?

Even vanuit google :
"Het overgrote deel van onderzoek en advies van veiligheidsdiensten (zoals FBI, NCSC, politie) adviseert om nooit losgeld te betalen aan afpersers of ransomware-criminelen."

Gezien bijna alle zoekopdrachten nu met de Odido-case komen is het wat lastig om specifieke onderzoeken te vinden, maar in het verleden zijn er regelmatig onderzoeken voorbij gekomen waarbij steevast het advies is om vooral niet te betalen. Simpele zoekopdrachten op afpersen laten dat ook zien (b.v. van de politie https://www.politie.nl/in...sueel-beeldmateriaal.html ) maar er zijn ook makkelijk heel veel andere betrouwbare sites te vinden die precies hetzelfde aangeven.

15+ jaar klant en begonnen van Wannadoo->Orange->T-mobile-> Odido, en hoe meer ik lees wat allemaal mis bij Odido ben ik blij dat ik een paar dagen geleden toch de knoop doorgehakt en me abonnement opgezegd.

In september zeg ik mijn mobiele abonnement op wat ik ook al 15+ jaar heb bij Odido.
Ik betaal liever paar euro's mee en geen garantie bij bij de volgende partij te hebben dan bij Odido te blijven en deze bende financieel te steunen

Ik hoop dat er serieuze consequenties volgen voor Odido.

redwing schreef op vrijdag 27 februari 2026 @ 20:45:
[...]

Ehm, nee, hier zijn gewoon genoeg onderzoeken naar gedaan. Het kan hooguit een beetje helpen voor het huidige afpersen, maar zorgt voor meer afpersingen in de toekomst. Waarbij het verleden dus ook laat zien dat wel betalen nog steeds een grote kans geeft op lekken van data (dus ook maar beperkt nut heeft voor de huidige afperspoging)

Je haalt nu twee discussies door elkaar.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 19:49:
Toch maar even pollen...

Poll: Ben je overgestapt na deze hack?
• Ja
• Nee
• Ga ik nog doen

resultaten:
https://poll.dezeserver.nl/results.cgi?pid=407466

Ik ben nog niet weg gegaan. Bijna altijd tevreden geweest met de dekking van Odido. Bij mij op het werk doen KPN en Vodofone het een stuk minder, hoor collegas regelmatig klagen. En ook met de klanten service heb ik persoonlijk goede ervaring. Ik heb vorig jaar nog een maand bedrag terug gestort gekregen omdat ik een klacht had ingediend toen dekking op het werk weggevallen was voor bijna 2 weken. Was wel even kut dat het niet werkte maar uiteindelijk wel netjes opgelost imo. Ik wacht nog even af denk ik en dan ga ik toch weer bellen/mailen voor een compensatie. Kijken wat ze dan verzinnen en afhankelijk daarvan zal ik wel een beslissing maken.

rr7r schreef op vrijdag 27 februari 2026 @ 19:12:
[...]


Euhm nee. Bij levenslange opsluiting is het recidive nul. Jij prefereert kennelijk recidive-risico.

Misschien moet je die screenshot paar posts hierboven eens bekijken. Zie je met welk volk je te maken hebt.
Draconian in "Odido waarschuwt voor datalek (cyberaanval/hack)"

Standaard chantage (afperser, gijzelnemer, enz) die de high ground heeft (qua macht, niet qua ethiek).

Als je op afpersing levenslang wilt zetten, wat is er dan moreel ernstiger dan afpersing? Nou, wat mij betreft is verkrachting ook behoorlijk ernstig, maar is moord wel ernstiger dan verkrachting of afpersing. Zet je afpersing of verkrachting op gelijke voet als moord, waarom zou een verkrachter dan zijn slachtoffer niet ook vermoorden? Zelfde voor de afperser. Levenslang krijgt hij toch al. Het verhard de misdaad en maatschappij enkel. Je weet ook dat levenslang maatschappelijk nogal prijzig is?

Je kunt beter zorgen dat iemand zijn skills inzet in het maatschappelijk belang, in ruil voor strafvermindering. Bijvoorbeeld als kanonnenvoer of dronepiloot aan het front, als blackhat die de boel bij de tegenpartij aan gort hackt, of die juist stil te werk gaat (afhankelijk van je belang).

Bovendien vergeet niet vervolging moet een afschrikwekkend effect hebben voor de misdaad an sich. Door heel streng te straffen verhard die tak in de misdaad. Dat moet je niet willen.

[ Voor 6% gewijzigd door Jerie op 27-02-2026 21:16 ]

redwing schreef op vrijdag 27 februari 2026 @ 21:04:
[...]

Even vanuit google :
"Het overgrote deel van onderzoek en advies van veiligheidsdiensten (zoals FBI, NCSC, politie) adviseert om nooit losgeld te betalen aan afpersers of ransomware-criminelen."

Gezien bijna alle zoekopdrachten nu met de Odido-case komen is het wat lastig om specifieke onderzoeken te vinden, maar in het verleden zijn er regelmatig onderzoeken voorbij gekomen waarbij steevast het advies is om vooral niet te betalen. Simpele zoekopdrachten op afpersen laten dat ook zien (b.v. van de politie https://www.politie.nl/in...sueel-beeldmateriaal.html ) maar er zijn ook makkelijk heel veel andere betrouwbare sites te vinden die precies hetzelfde aangeven.

Dat gaat over sexstortion.

En ja, ik snap dat opsporing en handhavings diensten dat zullen adviseren. Maar die hebben toch hele andere belangen dan de bedrijven en klanten.

Wat adviseren cybersecurity experts ? Over specifiek data breaches.

Jerie schreef op vrijdag 27 februari 2026 @ 21:14:
[...]


Standaard chantage (afperser, gijzelnemer, enz) die de high ground heeft (qua macht, niet qua ethiek).

Als je op afpersing levenslang wilt zetten, wat is er dan moreel ernstiger dan afpersing?

Dat zeg ik toch niet? Ik heb het over deze bende en soortgelijke.

redwing schreef op vrijdag 27 februari 2026 @ 21:20:
[...]

Sorry, klopt inderdaad Antwoord is echter niet veel anders. B.v. https://www.eur.nl/nieuws...een-veiligere-samenleving

En ook daar zijn veel meer voorbeelden van te vinden met even zoeken. Uiteindelijk is de conclusie vanuit de wetenschap dat de kans om gepakt te worden heel belangrijk is. En dat een softe strafmaat zorgt voor minder recidive en minder criminaliteit.

Als de Staat iemand levenslang opsluit, kan er per definitie geen sprake zijn van recidive. Die is dan nul. Minder dan nul kan niet. Ik vermoed dat de situatie waaraan jij refereert om die reden ook hier niet van toepassing is.

ArcticWolf schreef op vrijdag 27 februari 2026 @ 19:49:
Toch maar even pollen...

Poll: Ben je overgestapt na deze hack?
• Ja
• Nee
• Ga ik nog doen

resultaten:
https://poll.dezeserver.nl/results.cgi?pid=407466

Wou dat ik het kon, maar zit nog meer dan een jaar aan ze vast...

DeJurist schreef op vrijdag 27 februari 2026 @ 19:24:
Ik vraag me eerlijk gezegd af of Odido als merk nu echt blijvend beschadigd is. Vertrouwen is toch de basis van een telecomprovider. Je geeft zo’n partij je persoonsgegevens, je telefoonnummer, soms zelfs een kopie van je ID. Als er dan een datalek plaatsvindt, voelt dat gewoon ongemakkelijk. Dan ga je toch anders naar zo’n naam kijken.

Aan de andere kant weet ik ook hoe het vaak gaat. Op het moment zelf is iedereen verontwaardigd, het haalt het nieuws, mensen zeggen dat ze gaan overstappen. Maar een jaar of twee later? Dan is het weer stil en kijken de meeste mensen gewoon naar prijs, bereik en bundels. De vraag is dus: blijft dit echt aan Odido kleven, of waait het uiteindelijk over?

Ik kan me ook niet direct herinneren dat in Nederland een grote provider failliet is gegaan puur door een datalek. Volgens mij gebeurt dat bijna nooit alleen daardoor. Meestal spelen er meerdere problemen tegelijk als een bedrijf echt omvalt. Een datalek zorgt voor imagoschade en misschien boetes, maar niet automatisch voor het einde van een bedrijf.

Daarom twijfel ik. Dit kan iets zijn wat het merk nog jaren achtervolgt, maar het kan ook iets zijn wat over tijd vervaagt en er geen haan meer naar kraait.

Odido is in bezit van twee investeringsmaatschappijen. Ze wilden naar de beurs gaan. 1 dag voor bekendmaking lek werd bekend dat ze afzagen van de beursgang omdat ze signalen hadden ontvangen dat dit niet het juiste moment was. Toen wisten ze al van dit datalek. Ze zijn tijdens hun ontstaan onafhankelijk geworden van T-Mobile Deutschland (Deutsche Telecom). Ze bieden nu scherpe prijzen aan om marktaandeel te winnen (dat lukt prima) en hebben een jaar via ODF alleenrecht. Qua 4G/5G leveren ze de beste prijs/kwaliteit. KPN (WBA, DSL, 4G/5G) staat bekend als relatief duur. Vodafone 4G/5G is minste van de drie, en Ziggo relatief duur. Het was dus een budgetprovider met eigen infra. Daar hadden we er maar één van (voorheen meerdere, toen Tele2 nog bestond stonden zij vooraan maar 4G only).

Het heeft er alle schijn van dat ze voor damage control en incasseren gaan om vervolgens alsnog vrolijk naar de beurs te stappen. Ze nemen hun verlies voor lief. Wellicht 500k aan reclame uitgeven (of F-Secure) hebben ze eigenlijk een eigen SOC zoals KPN dat heeft? Zo niet, tijd om daar in te investeren.

Die phishing tests die je door whitehat security bedrijf uit kunt laten voeren zijn geinig. Het effect: iedereen let even wat beter op, na een maand ofzo kakt de awareness weer in en na 6 maanden nagenoeg ineffectief. Zijn meerdere onderzoeken naar gedaan.

Maar dat is te mitigeren.... met.... rate limiting!*badum tish*

Jerie schreef op vrijdag 27 februari 2026 @ 21:33:
[...]
Maar dat is te mitigeren.... met.... rate limiting!*badum tish*

Dit. Individuen onder je eigen personeel kan namelijk ook kwaadwillend zijn. Komt genoeg voor.

rr7r schreef op vrijdag 27 februari 2026 @ 21:28:
[...]


Als de Staat iemand levenslang opsluit, kan er per definitie geen sprake zijn van recidive. Die is dan nul. Minder dan nul kan niet. Ik vermoed dat de situatie waaraan jij refereert om die reden ook hier niet van toepassing is.

Zoals gezegd klinkt dat leuk maar zodra een groep weet dat dat het gevolg zal zijn is er geen enkele reden waarom ze niet met geweld aanhouding zullen willen voorkomen. Oftewel dan krijg je een geweld-spiraal want waarom zouden ze zich laten arresteren als ze weten dat ze bij arrestatie nooit meer vrij komen? Dan kunnen ze toch beter wat agenten neerknallen in de hoop dat ze kunnen ontsnappen? Want als ze dan gepakt worden krijgen ze weliswaar 10 keer levenslang, maar dat is in de praktijk natuurlijk precies hetzelfde als levenslang.

Daarbij, waarom zou een hack als vergelijkbaar zijn met b.v. meervoudige moord en daarmee een vergelijkbare straf opleveren?

rr7r schreef op vrijdag 27 februari 2026 @ 21:28:
[...]


Als de Staat iemand levenslang opsluit, kan er per definitie geen sprake zijn van recidive. Die is dan nul. Minder dan nul kan niet. Ik vermoed dat de situatie waaraan jij refereert om die reden ook hier niet van toepassing is.

Een moordenaar met levenslang kan niet nog een moord plegen in de gevangenis ?

redwing schreef op vrijdag 27 februari 2026 @ 21:24:
[...]

Wat uiteindelijk grotendeels hetzelfde is. Er is data beschikbaar die makkelijk verspreid kan worden en waarvan je dus na betaling alsnog geen zekerheid hebt dat het niet alsnog wordt bewaard/verspreid.

[...]

Dat ligt er aan waar ze naar kijken en wat hun belang er bij is. Maar ook dan is de conclusie hetzelfde dat als je naar een specifiek zaak kijkt dat betalen kan helpen (maar alsnog met weinig zekerheid als het om gestolen data gaat), maar naar het geheel gekeken is niet betalen vele malen beter.

Bij ransomware is de discussie een stuk lastiger. Want daar kun je wel snel zien dat je je data terug hebt en dan weet je ook zeker dat je klaar bent. Bij gegevens stelen zoals bij Odido weet je na betalen nooit of je data niet later alsnog ergens anders opduikt.

Je moet m.i. kijken naar het imago van de groep. Die heeft een legacy. True, het zou kunnen dat ze kleine delen van de dataset (targeted) verkopen. Maar dat heeft een afbreukrisico, en het slooot hun legacy. Je legacy kun je slopen als exit strategie, maar de peers nemen dat niet in dank af. Dat is immers niet onderdeel van de erecode.

Ransomware kun je zien dat je de data terug hebt? Dat hangt er helemaal van af. De versleutelde data kan ook geëxfiltreerd zijn. Dat weet je niet. Ransomware is eenvoudig te verslaan met regelmatige offline, incrementele backups. Daardoor kun je de schade vrijwel volledig mitigeren, mits geen sprake is van data exfil.

Je weet nooit helemaal zeker of je klaar bent, want je weet nooit zeker of ze volledig uit de systemen zijn geschopt en hoe veilig de boel verder is.

Wel weet je als het goed is waar de kwetsbaarheden zitten (dus je weet hoe onveilig e.e.a. is). Bijvoorbeeld het gebrek aan rate limiting op de API moet bekend geweest zijn. Dikke faal is dat, hebben ze daar dan niets meegekregen van de RIVM medewerkers die lekten? Van corrupte telecom medewerkers die aan sim swapping doen?

Ik gok dan ook op dat er bij dit bedrijf nog meer lijken in de kast zitten. Blij dat ik qua ODF weg ben nu de rest nog.

rr7r schreef op vrijdag 27 februari 2026 @ 21:56:
[...]
Ja het verzet bij arrestatie en het op de vlucht slaan moet je belonen zoals jij graag ziet kennelijk. Misschien moet je direct contact opnemen met de politie met deze geniale inzichten. Doen ze nu al jaren verkeerd.

Ehm, nee, dat is wat jij wil doen. Jij wilt ze voor het hacken al de maximaal mogelijke straf geven, waardoor het geen bal meer uitmaakt wat de criminelen verder nog doen.

Verder is dit precies waarom de straffen zijn zoals ze nu zijn. Jij stelt voor om ze vele malen zwaarder te maken en ik geef alleen maar aan waarom dat een slecht idee is. Onze rechtspraak weet echter allang wat ik zeg dus dat hoef ik ze niet te vertellen en ze doen het dan ook zeker niet al jaren verkeerd.

laurens0619 schreef op vrijdag 27 februari 2026 @ 20:48:
[...]

Eens maar dat was ook een beetje mijn punt

Wetten zijn een goed begin maar legal wise kun je er vaak mooi omheen en handhaven ja helemaal een ding.
Maw: ik zie daar helaas niet de oplossing.

Maar ik denk wel dat bedrijven nu meer gaan inzien dat het hebben van data gevaarlijk kan zijn. Bij ieder record moet je een “assume it is going to be compromised” hebben en de afweging of je die data durft op te slaan

En dan heb ik het nog niet eens over de bijna per definitie gevoelige info die wordt gevraagd in het kader van de “Know your customer” wetgeving. Ik wordt (als zelfstandig ondernemer) af en toe het hemd van mijn lijf gevraagd: kopieën van id, bewijs van privéadres van de beslissingsbevoegde, etc etc.

Onbekend schreef op vrijdag 27 februari 2026 @ 21:04:
[...]

Achteraf is altijd makkelijk praten natuurlijk.
Maar voor elke hack kan je achteraf zeggen als het bedrijf oplossing X voor bedrag Y had afgenomen het niet was gebeurd. Maar het had net zo goed kunnen zijn dat oplossing X niet dekkend was en het bedrijf óók oplossing Z had af moeten nemen. Vooraf weet je dat niet, en je bent altijd te laat. (Overigens hoor je niets van bedrijven die wel met oplossing X het e.e.a. tegen hebben weten te houden.)

Maar de vraag is altijd hoeveel beveiliging wil je nemen en hoeveel geld mag het gaan kosten, en uiteindelijk zoek je daarin naar een goede balans.

Ik denk niet dat dit over achteraf gaat. Dit had gewoon vooraf moeten gebeuren. Alles wat er ongeveer mis is gegaan bij Odido had met Salesforce Shield voorkomen kunnen worden. Encryptie, auditing, monitoring en niet te vergeten Data Detect waarmee sensitive data in kaart wordt gebracht en retentie policies ingesteld kunnen worden. Als je zo'n grote hoeveelheid sensitive data bezit ben verplicht dit vooraf te implementeren en kan er niet gezegd worden "ja achteraf is makkelijk praten"

laurens0619 schreef op vrijdag 27 februari 2026 @ 20:48:
[...]

Eens maar dat was ook een beetje mijn punt

Wetten zijn een goed begin maar legal wise kun je er vaak mooi omheen en handhaven ja helemaal een ding.
Maw: ik zie daar helaas niet de oplossing.

Maar ik denk wel dat bedrijven nu meer gaan inzien dat het hebben van data gevaarlijk kan zijn. Bij ieder record moet je een “assume it is going to be compromised” hebben en de afweging of je die data durft op te slaan

En dan heb ik het nog niet eens over de bijna per definitie gevoelige info die wordt gevraagd in het kader van de “Know your customer” wetgeving. Ik wordt (als zelfstandig ondernemer) af en toe het hemd van mijn lijf gevraagd: kopieën van id, bewijs van privéadres van de beslissingsbevoegde, etc etc.