Odido waarschuwt voor datalek (cyberaanval/hack)

Over dat storneren, verleg je dan de schade naar de ondernemer die wel geleverd heeft maar naar zijn centen kan fluiten?

MikeyMan schreef op zondag 1 maart 2026 @ 09:03:
[...]


Geeft meer datalekken aan dan hibp.

Mozilla Monitor gebruikt de Have I Been Pwned database

japie06 schreef op zondag 1 maart 2026 @ 09:07:
[...]


Mozilla Monitor gebruikt de Have I Been Pwned database

Ze maken het een een ander gelijk een stuk overzichtelijker. Qua gegevens geen verrassingen, behalve dat ik mijn adres er wel bij verwacht had.

Heb geen email van Odido gehad, maar wel van I have been Pwnd:

Compromised Data:
Bank account numbers, Customer service comments, Dates of birth, Driver's licenses, Email addresses, Genders, Government issued IDs, Names, Passport numbers, Phone numbers, Physical addresses


Description:
In February 2026, Dutch telco Odido was the victim of a data breach and subsequent extortion attempt. Shortly after, a total of 6M unique email addresses were published across four separate data releases over consecutive days. The exposed data includes names, physical addresses, phone numbers, bank account numbers, dates of birth, customer service notes and passport, driver’s licence and European national ID numbers. Odido has published a disclosure notice including an FAQ to support affected customers.

Lekkere shitzooi. Was al weg sinds een half jaar, vanwege die shitzooi.

Goed bezig, Odido.

Edit: we zijn alleen op het zakelijke factuur adres geinformeerd en niet persoonlijk.

[ Voor 4% gewijzigd door NiGeLaToR op 01-03-2026 09:18 ]

Badda-b schreef op zaterdag 28 februari 2026 @ 17:16:
Zojuist gecheck bij HIBP én
tot mijn verbazing geeft HIBP de melding dat het e-mailadres van mijn dochter in de Odido breach zit.
Verbazing want ze heeft geen Odido of T-mobile en daar nooit een abonnement gehad!
Maar ze zit bij Simpel, dat niet in de lek zit volgens Odido (https://www.odido.nl/veiligheid) op dit moment.

Wat kan de verklaring zijn dat HIBP dit mailadres herkend terwijl Odido verklaard dat er geen Simpel gegevens gelekt zijn?

Zijn er meer tweakers die iets soortgelijks gezien hebben in deze breach?

[edit] ze is ook nooit bij Ben klant geweest.

De gegevens van Simpel zijn niet gelekt. Dus wat dat betreft zijn er een paar mogelijkheden:
(a) Je dochter liegt/je herinnert je het je verkeerd;
(b) Iemand heeft een typefout gemaakt en zodoende is het e-mailadres van je dochter gekoppeld aan een account (ik krijg nog weleens een mail omdat iemand een punt vergeet in het e-mailadres) ;
(c) Het abonnement voor Odido is afgesloten via Belsimpel (Dat is dus iets anders dan Simpel).

'k Ben er ook niet blij mee. Als de wettelijke bewaartermijn verstreken was, had ik een principiële aanklacht tegen Odido bijvoorbeeld graag willen sponsoren. Mijn 1e reactie was behoorlijk WTF namelijk.

Tuurlijk wil ik Odido haten en najagen om het lek, maar dat mijn gegevens nog binnen de bewaarplicht vallen is geen stok om mee te slaan.

CornermanNL schreef op zondag 1 maart 2026 @ 09:04:
[...]


Dan zou dat nu toch ook al voorkomen? Ik zie niet in waarom dit risico nu zoveel groter is. Bovendien hoe schaalbaar is dit? Linkje klikken is veel groter business model.

Nee, linkjes leveren in meer dan 99% van de gevallen helemaal niks op. Zelfs die gehele crowdfundingsactie leverde maar slechts een magere 2000 Euro vanuit heel Nederland op.

De oordeelsvorming van de rechter aanvallen kan veel meer dan die 2000 Euro van de hele crowdfundingsactie samen opleveren!

Een linkje kun je negeren, een automatische incasso kun je storneren. Maar tegen een conservatoir beslag op je bankrekening doe je in je app helemaal niets. Je belt de bank, maar de bank zegt: "Wij voeren alleen een gerechtelijk bevel uit, we kunnen niets doen."

Omdat de hackers nu je echte contracthistorie, factuurbedragen en klantnummers hebben, bouwen ze met AI in een middag 10.000 "waterdichte" juridische dossiers. De deurwaarder en de rechter zien alleen maar kloppende data en bevriezen je rekening voordat jij überhaupt weet dat er een zaak is.

Succes met je "storneer-knop" als de staat je rekening op nul zet en je maandenlang via een kort geding je onschuld moet bewijzen. Dit is geen phishing, dit is gijzeling van de rechtsstaat.

Mijn unieke alias voor een oud internet en tv abo heb ik net verwijderd. Mijn mobiel abo loopt nog wel maar een vers e-mail alias krijg ik niet geregistreerd bij Odido. Ze sturen de bevestigingscode niet. Iets loopt niet lekker bij die prutsers.

Opzeggen is de volgende optie. Alhoewel iedereen gehackt kan worden natuurlijk is het toch ook een enorme PR miskleun aan het worden.

aljooge schreef op zondag 1 maart 2026 @ 09:04:
Over dat storneren, verleg je dan de schade naar de ondernemer die wel geleverd heeft maar naar zijn centen kan fluiten?

Nee, natuurlijk niet. De ondernemer is verantwoordelijk. Er is dan sprake van een niet verschuldigd bedrag. Degene van wie de gegevens zijn misbruikt heeft daar geen invloed op en die is daarom ook niet aansprakelijk. Als duidelijk is waar de gegevens vandaan zijn gekomen kan de ondernemer wel de partij die het lek heeft veroorzaakt aansprakelijk stellen, maar dat is makkelijker gezegd dan gedaan omdat bewijs leveren lastig zal zijn.

Het zal in de FP submit zitten, maar dit is dus waarom je dit nu krijgt:

https://nos.nl/l/2604461

De internetcriminelen die hebben ingebroken bij telecomprovider Odido hebben alle resterende klantgegevens gepubliceerd. Ze zien af van het plan om de gegevens in delen vrij te geven om zo de aandacht van het grote publiek vast te houden, maar onduidelijk is waarom.

Ik lees jammer genoeg weer overal dat er "gestemd" wordt met de portemonnee, voor die paar euro per maand te besparen laten naar mijn mening vele Odido eigenlijk wegkomen met een enorme blunder op meerdere vlakken. Dan met name de klanten met een vrij contract of nu een nieuwe abonnement afsluiten.

Jammer eigenlijk, ook de overheid had wat mij betreft via de handelskamer het toezicht kunnen overnemen of een soort bewindvoerder kunnen plaatsen om de afhandeling naar de klanten en doorlichten van de bedrijfsvoering en processen transparanter te maken en er voor de toekomst een goeie casus neer te zetten om herhaling te voorkomen en een plan de campagne zodra het weer gebeurt (want dat is gewoon een feit)

Maar goed, zowel mensen, zoveel wensen en zoveel meningen.

Niet hier geventileerd, maar elders wel. Ze publiceren nu maar alles, ze staan nogal voor joker met hun groepje. Odido betaalde, terecht, niet en de rest van NL boeit het over het algemeen niet echt.

Paar spam mails en SMSjes gaat dit opleveren, andere boefjes gaan daaraan verdienen en de shinyknulletjes staan voor aap.

Het meest kwalijke van de zaak vind ik dat er behoorlijk wat klanten zijn die geen waarschuwingsmail of sms gehad hebben. Volgens de faq van Odido mag je er dan vanuit gaan dat je niet getroffen bent. Diezelfde mensen blijken vanuit hibp wel onderdeel van het lek te zijn.

Dit is toch ernstige nalatigheid?

Mooi man, opinions are like ***holes, everyone has one

Naafkap schreef op zondag 1 maart 2026 @ 09:22:
Het meest kwalijke van de zaak vind ik dat er behoorlijk wat klanten zijn die geen waarschuwingsmail of sms gehad hebben. Volgens de faq van Odido mag je er dan vanuit gaan dat je niet getroffen bent. Diezelfde mensen blijken vanuit hibp wel onderdeel van het lek te zijn.

Dit is toch ernstige nalatigheid?

(sarcasme aan) nee joh, dat is toch alleen maar een mening, doe eens niet zo raar en wees nou eens lief voor Odido, die arme mensen kunnen er toch niets aan doen dat ze gehacked worden? (sarcasme uit).

[ Voor 84% gewijzigd door Lord_Dain op 01-03-2026 09:23 ]

licon schreef op zondag 1 maart 2026 @ 09:11:
[...]


Nee, linkjes leveren in meer dan 99% van de gevallen helemaal niks op. Zelfs die gehele crowdfundingsactie leverde maar slechts een magere 2000 Euro vanuit heel Nederland op.

De oordeelsvorming van de rechter aanvallen kan veel meer dan die 2000 Euro van de hele crowdfundingsactie samen opleveren!

Een linkje kun je negeren, een automatische incasso kun je storneren. Maar tegen een conservatoir beslag op je bankrekening doe je in je app helemaal niets. Je belt de bank, maar de bank zegt: "Wij voeren alleen een gerechtelijk bevel uit, we kunnen niets doen."

Omdat de hackers nu je echte contracthistorie, factuurbedragen en klantnummers hebben, bouwen ze met AI in een middag 10.000 "waterdichte" juridische dossiers. De deurwaarder en de rechter zien alleen maar kloppende data en bevriezen je rekening voordat jij überhaupt weet dat er een zaak is.

Succes met je "storneer-knop" als de staat je rekening op nul zet en je maandenlang via een kort geding je onschuld moet bewijzen. Dit is geen phishing, dit is gijzeling van de rechtsstaat.

In het Nederlandse recht geldt bij civiele zaken: wie stelt, moet bewijzen. Maar als een crimineel een dossier overlegt dat vol staat met jouw echte data (die uit de Salesforce-dump komt), dan ziet dat er voor een rechter uit als een "voldongen feit".

De onvoorbereide burger heeft geen tegenbewijs. Hoe bewijs je dat je een rekening niet hebt ontvangen in 2024, als de crimineel een vervalst logbestand heeft dat zegt van wel?

Criminelen die dit soort "next level" fractie-beslagen leggen, gokken op de weg van de minste weerstand.
Ze sturen je een bericht: "We zien dat uw rekening is geblokkeerd voor een schuld van € 2.500. Als u nu € 750 betaalt, trekken we de vordering in."

Voor iemand die niet voorbereid is en wiens leven stilstaat omdat de rekening bevroren is, lijkt die € 750 een "goedkope" uitweg om weer bij hun eigen geld te kunnen. Dit is pure afpersing met de rechtsstaat als hefboom.

CornermanNL schreef op zondag 1 maart 2026 @ 09:04:
[...]


Dan zou dat nu toch ook al voorkomen? Ik zie niet in waarom dit risico nu zoveel groter is. Bovendien hoe schaalbaar is dit? Linkje klikken is veel groter business model.

Licon heeft de afgelopen 3 pagina's wel 6x dit evangelie zitten verkondigen en is vooral bezig met onrust te veroorzaken. De kans dat dit zo wordt toegepast zie ik echt als nihil.

japie06 schreef op zondag 1 maart 2026 @ 09:07:
[...]


Mozilla Monitor gebruikt de Have I Been Pwned database

Ah ja, Mozilla telt de data stukken, hibp de bronnen.

NiGeLaToR schreef op zondag 1 maart 2026 @ 09:10:
[...]


Lekkere shitzooi. Was al weg sinds een half jaar, vanwege die shitzooi.

Maar een half jaar is nog logisch. Ik ben er al ruim 4 jaar weg en zit toch in de dump terwijl ze zeggen dat hun bewaartermijn 2 jaar is…

Drardollan schreef op zondag 1 maart 2026 @ 09:21:
Niet hier geventileerd, maar elders wel. Ze publiceren nu maar alles, ze staan nogal voor joker met hun groepje. Odido betaalde, terecht, niet en de rest van NL boeit het over het algemeen niet echt.

Paar spam mails en SMSjes gaat dit opleveren, andere boefjes gaan daaraan verdienen en de shinyknulletjes staan voor aap.

Zo te lezen heeft @licon een andere invalshoek qua risico. Ik heb er geen verstand van maar blijkbaar kan er nu een nep dossier naar een deurwaarder en dan naar een rechter en is je rekening geblokkeerd. Ik kan niet inschatten hoe hoog dat risico echt is. Maar voor wat betreft @licon is dat er zeker.

Ik ben wel benieuwd naar deze scenario’s en hoe reëel dit kan zijn. Ik heb absoluut de kennis hier niet voor. Het is wel een interessante case denk ik.

Martinez- schreef op zondag 1 maart 2026 @ 09:25:
[...]
De kans dat dit zo wordt toegepast zie ik echt als nihil.

Dat zeiden we tien jaar geleden ook over Deepfakes en ransomware, maar kijk waar we nu zijn...
Het punt is: criminelen zijn niet lui, ze zijn efficiënt.

Waarom zou een crimineel genoegen nemen met een paar tientjes uit een phishing-linkje als hij met deze Salesforce-data de 'masterkey' in handen heeft om het juridische systeem te hacken?
Als een AI met die data een dossier kan genereren dat voor een rechter niet van echt te onderscheiden is, dan is dat geen "evangelie verkondigen", maar gewoon een logische rekensom.

[ Voor 9% gewijzigd door licon op 01-03-2026 09:29 ]

licon schreef op zondag 1 maart 2026 @ 09:28:
[...]


Dat zeiden we tien jaar geleden ook over Deepfakes en ransomware, maar kijk waar we nu zijn...
Het punt is: criminelen zijn niet lui, ze zijn efficiënt.

Waarom zou een crimineel genoegen nemen met een paar tientjes uit een phishing-linkje als hij met deze Salesforce-data de 'masterkey' in handen heeft om het juridische systeem te hacken?
Als een AI met die data een dossier kan genereren dat voor een rechter niet van echt te onderscheiden is, dan is dat geen "evangelie verkondigen", maar gewoon een logische rekensom.

Dit kost veel te veel moeite joh. Er zitten lange trajecten aan met daarbijbehorende zichtbaarheid. Laat ze maar komen, denk dat ze na 2x afdruipen.

Superman schreef op zondag 1 maart 2026 @ 08:47:
[...]

Ze moeten 7 jaar bewaren.

Ja in hun boekhouding, die doe je volgensmij niet in de database die nu is gelekt.

Het is echt volslagen idioot om te denken dat criminelen naar een rechter stappen om beslag op je rekening te leggen, echt zo compleet idioot en onrealistisch.

Qua theorie wel aardig, maar het klinkt als iets wat rechtstreeks door een AI is bedacht zonder daadwerkelijk kennis van zaken over hoe de praktijk werkt.

Dit is compleet angst aanjagen bij mensen en gebaseerd op helemaal niets. Dit lek gaat overlast geven en voor problemen zorgen, maar niet op die manier.

licon schreef op zondag 1 maart 2026 @ 09:23:
[...]


In het Nederlandse recht geldt bij civiele zaken: wie stelt, moet bewijzen. Maar als een crimineel een dossier overlegt dat vol staat met jouw echte data (die uit de Salesforce-dump komt), dan ziet dat er voor een rechter uit als een "voldongen feit".

De onvoorbereide burger heeft geen tegenbewijs. Hoe bewijs je dat je een rekening niet hebt ontvangen in 2024, als de crimineel een vervalst logbestand heeft dat zegt van wel?

Criminelen die dit soort "next level" fractie-beslagen leggen, gokken op de weg van de minste weerstand.
Ze sturen je een bericht: "We zien dat uw rekening is geblokkeerd voor een schuld van € 2.500. Als u nu € 750 betaalt, trekken we de vordering in."

Voor iemand die niet voorbereid is en wiens leven stilstaat omdat de rekening bevroren is, lijkt die € 750 een "goedkope" uitweg om weer bij hun eigen geld te kunnen. Dit is pure afpersing met de rechtsstaat als hefboom.

Een paar punten/tegenargumenten:
1. Het (slechte) gebruik van AI heeft al de aandacht in de juridische wereld. Advocaten zijn meer tijd kwijt om door AI bij elkaar gehallucineerde troep te debunken. En meerdere procespartijen zijn al veroordeeld door de proceskosten van de wederpartij vanwege het gebruik van door AI gecreëerde (onzin)documenten.
2. Ook voor de eisende (malafide) partij kost procederen geld, ook voor het leggen van conservatoir beslag. En de partij die conservatoir beslag wil leggen moet zich bekend maken, dus dat zijn afwegingen die ook meewegen.
3. Dat door AI gecreëerde overeenkomsten en overzichten er beter uit kunnen zien door deze lek dan zonder is aannemelijk, maar dat wil niet zeggen dat je er nooit gaten in kunt schieten. Je bent weldegelijk niet kansloos.

https://nos.nl/artikel/26...us-na-verkeerd-gebruik-ai

aljooge schreef op zondag 1 maart 2026 @ 09:04:
Over dat storneren, verleg je dan de schade naar de ondernemer die wel geleverd heeft maar naar zijn centen kan fluiten?

Nee, het ontdoet je niet van een betalingsverplichting, die blijft bestaan.

Edit: de schade ligt m.i. al bij de ondernemer. Hij heeft blijkbaar genoegen genomen met de door de crimineel aangeleverde gegevens en op basis daarvan een incasso uitgevoerd. Daar kun jij als rekeninghouder niets aan doen.

[ Voor 26% gewijzigd door Wally2002 op 01-03-2026 09:47 ]

Homeland schreef op zondag 1 maart 2026 @ 09:33:
Het is echt volslagen idioot om te denken dat criminelen naar een rechter stappen om beslag op je rekening te leggen, echt zo compleet idioot en onrealistisch.

Qua theorie wel aardig, maar het klinkt als iets wat rechtstreeks door een AI is bedacht zonder daadwerkelijk kennis van zaken over hoe de praktijk werkt.

Dit is compleet angst aanjagen bij mensen en gebaseerd op helemaal niets. Dit lek gaat overlast geven en voor problemen zorgen, maar niet op die manier.

Dit dus.
Het is klote dat data is gelekt, maar mensen overdrijven wel hoor.
Nieuwe paspoorten aanvragen, stellingen over de rechter etc etc.

Odido heeft een grote fout gemaakt, maar het is niet het einde van de wereld. En je gaat echt niet zoveel problemen krijgen als je doet wat je nu ook doet. En dat is alert blijven.

In de praktijk ga je gewoon meer phising mails krijgen. En waarschijnlijk meer neppe telefoontjes. Niks nieuws...

[ Voor 9% gewijzigd door DNA_Saint op 01-03-2026 09:42 ]

Drardollan schreef op zondag 1 maart 2026 @ 09:43:
[...]

Inderdaad, meer dan dat gaat het niet worden in mijn ogen.

En ik durf ook wel te stellen dat het aantal mensen wat in die spam mails/SMS/telefoontjes gaat trappen lager dan ooit zal zijn. Er is zo ontzettend veel ruchtbaarheid gegeven aan dit lek in de media de afgelopen week dat veel mensen "zo strak als een boog staan". Het zal er eerder in resulteren dat legitieme berichten genegeerd worden dan andersom.

Man o man.. ja, tuurlijk, kijk dat jij weerbaar bent en misschien jouw kennissen. Maar weet je hoe veel mensen niet digivaardig zijn? Hoeveel ouderen er dagelijks op allerlei manieren worden gescammed of hun juwelen of pincode afgeven aan criminelen? En die criminielen weten nu nóg meer van veel van deze mensen.

En dan nog maar even vergeten dat er ook prive adressen + tel. nummers zijn gelekt van allerlei mensen die in bepaalde gevoelige sectoren werken en straks aan de deur opgezocht kunnen worden.. prima dat je je eigen perspectief hebt, maar zet het niet als feit neer svp.

licon schreef op zondag 1 maart 2026 @ 09:11:
[...]


Nee, linkjes leveren in meer dan 99% van de gevallen helemaal niks op. Zelfs die gehele crowdfundingsactie leverde maar slechts een magere 2000 Euro vanuit heel Nederland op.

De oordeelsvorming van de rechter aanvallen kan veel meer dan die 2000 Euro van de hele crowdfundingsactie samen opleveren!

Een linkje kun je negeren, een automatische incasso kun je storneren. Maar tegen een conservatoir beslag op je bankrekening doe je in je app helemaal niets. Je belt de bank, maar de bank zegt: "Wij voeren alleen een gerechtelijk bevel uit, we kunnen niets doen."

Omdat de hackers nu je echte contracthistorie, factuurbedragen en klantnummers hebben, bouwen ze met AI in een middag 10.000 "waterdichte" juridische dossiers. De deurwaarder en de rechter zien alleen maar kloppende data en bevriezen je rekening voordat jij überhaupt weet dat er een zaak is.

Succes met je "storneer-knop" als de staat je rekening op nul zet en je maandenlang via een kort geding je onschuld moet bewijzen. Dit is geen phishing, dit is gijzeling van de rechtsstaat.

Toen die crowdfunding begon was het al rijkelijk te laat. Toen waren al 2M records gelekt. Het is mosterd na de maaltijd. De afpersers zeggen ook dat het te laat is. Die crowdfunding had je 2+ weken geleden op moeten zetten. Dan is er meer reden tot handelen, en had ik wel gedoneerd (makkelijk 50 EUR). Nu niet meer. Niet omdat ik nu in de dataset zit, maar omdat er al dusdanig veel mensen in de dataset zitten dat het hek van de dam is.

aljooge schreef op zondag 1 maart 2026 @ 09:04:
Over dat storneren, verleg je dan de schade naar de ondernemer die wel geleverd heeft maar naar zijn centen kan fluiten?

Ik heb op mijn bank een whitelist ingeschakeld. Standaard kan er dus niets meer 'zomaar' afgeschreven worden. Dit werkt op basis van Incassant ID's.

Dit is elke bank in Nederland verplicht om aan te bieden. Ja, het is even lastig want je wilt de bekende partijen toevoegen aan de whitelist. Maar ik slaap er wel beter door.

Ik weet inmiddels DAT mijn gegevens zijn gelekt. HIBP is bijgewerkt en ik heb de mail van Odido ontvangen dat mijn gegevens gelekt zijn.

Wat ik nog steeds niet weet is WAT er precies van mij is gelekt. Ik weet niet meer of ik zoveel jaar geleden wel of geen rijbewijs of kopie paspoort heb moeten inleveren voor een contract en of deze door Odido is bewaard.

Na de berichtgeving van de afgelopen weken is wel duidelijk dat er meer data en aantekeningen in Salesforce zat dan alleen basisgegevens.

En daar slaat Odido volgens mij de plank mis: er wordt niet per persoon inzichtelijk gemaakt welke concrete datavelden zijn buitgemaakt per gebruiker.

Ik heb dit inzageformulier gevonden:
https://assets.odido.nl/x...-persoonsgegevens-itv.pdf

Maar gaat dat mij echt vertellen wat er specifiek van mij is gelekt, of krijg ik alleen een generiek overzicht van wat ze überhaupt van mij verwerken?

En nee ik wil die dump niet downloaden en bekijken

mkleinman schreef op zondag 1 maart 2026 @ 10:00:
Maar gaat dat mij echt vertellen wat er specifiek van mij is gelekt, of krijg ik alleen een generiek overzicht van wat ze überhaupt van mij verwerken?

En nee ik wil die dump niet downloaden en bekijken

Dat formulier gaat je vertellen wat odido van je weet. Daarmee weet je dus in detail wat er gelekt kan zijn (en waarvan je dus kunt aannemen dat het ook inderdaad gelekt is, als een van die gegevens in hibp voorkomt). Wat odido niet wist, kan ook niet gelekt zijn.

Naafkap schreef op zondag 1 maart 2026 @ 08:34:
Het lijkt erop dat alle gegevens nu online staan van alle klanten. Vanuit Odido geen e-mail, geen sms, nul. Volgens Odido zit ik niet in het lek omdat ik niks gehad heb van ze. Volgens haveibeenpwnd wel.

Dit is echt de druppel en alle abonnementen gaan daar zo snel mogelijk weg.

Voor mij geldt het zelfde, ben niet door Odido op de hoogte gesteld van lekken van mijn gegevens maar vandaag ben ik wel terug te vinden op haveibeenpwned. Ik vond het al vreemd dat mijn gegevens niet gelekt zouden zijn gezien de gebrekkige administratie bij Odido.

Drardollan schreef op zondag 1 maart 2026 @ 09:42:
[...]

Als deze informatie de "masterkey" zou zijn, waarom zou een hackersgroep deze dan zo snel mogelijk op het internet dumpen? Toch zonde om die miljarden en miljarden dan te laten lopen en te gunnen aan anderen.

Mijn stelling is nog steeds, tot het tegendeel bewezen wordt, dat de boefjes die deze gegevens gaan misbruiken nu niks meer of minder kunnen dan voor dit lek. [...]

Simpel: omdat dat hun expertise niet is. Hun expertise is Salesforce CRM en phishing/vishing. Hun expertise is niet XSS kwetsbaarheden vinden of iets dergelijks.

Het overgrote deel van de gegevens is in de afgelopen jaren al gehacked en bekend op het darkweb.

Makkelijk zeggen voor politie gezien volledige bestand daar is gehackt.

En toch werken er 'maar' zo'n 65k werknemers bij de politie. Deze dataset omvat 6,5M records. Dat is een factor 100. Deze dataset is dusdanig groot en recent dat oplichters staan te springen. Ook zal het 'nieuw talent' in die sector aantrekken. En voor minderjarige kansarmen kan ik dat ergens wel begrijpen

Hoe dan ook, het is het voetvolk van deze 'specialisten'. Ze doen het vuile werk voor ze. Strength in numbers.

Ik vind het ook behoorlijk arrogant hoe diverse mensen in dit topic neerbuigend doen over deze Shinyhunters figuren alsof ze dom zijn. Hun morele kompas is zoek, ze gaan over lijken, maar dommerikjes zijn het niet. Ze weten geraffineerd hoe ze te werk gaan. Je tegenstander als dom reduceren is de eerste fout die je kunt maken in de wereld van oplichting, dat blijkt keer op keer

mkleinman schreef op zondag 1 maart 2026 @ 10:00:
Ik weet inmiddels DAT mijn gegevens zijn gelekt. HIBP is bijgewerkt en ik heb de mail van Odido ontvangen dat mijn gegevens gelekt zijn.

Wat ik nog steeds niet weet is WAT er precies van mij is gelekt. Ik weet niet meer of ik zoveel jaar geleden wel of geen rijbewijs of kopie paspoort heb moeten inleveren voor een contract en of deze door Odido is bewaard.

Na de berichtgeving van de afgelopen weken is wel duidelijk dat er meer data en aantekeningen in Salesforce zat dan alleen basisgegevens.

En daar slaat Odido volgens mij de plank mis: er wordt niet per persoon inzichtelijk gemaakt welke concrete datavelden zijn buitgemaakt per gebruiker.

Ik heb dit inzageformulier gevonden:
https://assets.odido.nl/x...-persoonsgegevens-itv.pdf

Maar gaat dat mij echt vertellen wat er specifiek van mij is gelekt, of krijg ik alleen een generiek overzicht van wat ze überhaupt van mij verwerken?

En nee ik wil die dump niet downloaden en bekijken

https://monitor.mozilla.org geeft je meer inzicht in wat er gelekt is. Ik gok dat Odido je niet precies kan vertellen wat er gelekt is.

Lord_Dain schreef op zondag 1 maart 2026 @ 09:50:
[...]


Man o man.. ja, tuurlijk, kijk dat jij weerbaar bent en misschien jouw kennissen. Maar weet je hoe veel mensen niet digivaardig zijn? Hoeveel ouderen er dagelijks op allerlei manieren worden gescammed of hun juwelen of pincode afgeven aan criminelen? En die criminielen weten nu nóg meer van veel van deze mensen.

En die mensen waren voor dit lek nog niet kwetsbaar, wel digivaardig en werden niet gescammed of bestolen van hun juwelen?

En dan nog maar even vergeten dat er ook prive adressen + tel. nummers zijn gelekt van allerlei mensen die in bepaalde gevoelige sectoren werken en straks aan de deur opgezocht kunnen worden.. prima dat je je eigen perspectief hebt, maar zet het niet als feit neer svp.

Die gegevens waren al lang en breed en al jaren bekend. Er is een reden waarom in dat geval van de mensen vaak enkel een voornaam wordt gebruikt bijvoorbeeld. En voor dit lek, werden die mensen dan niet "aan de deur opgezocht"?

Men maakt het allemaal veel spannender dan het is.

zacht schreef op zondag 1 maart 2026 @ 10:07:
[...]


https://monitor.mozilla.org geeft je meer inzicht in wat er gelekt is. Ik gok dat Odido je niet precies kan vertellen wat er gelekt is.

Nobele suggestie, maar dat is een tussenpersoon van HIBP (Troy Hunt), en die weten het ook niet precies. Waarom in dit geval niet? Omdat je het eigenlijk moet zien als zijnde dat Odido diverse databases heeft met klantenbestanden, en die verschillen van elkaar. Ze zijn allemaal gelekt. Bovendien lekt het in laagjes. Dan de ene records (bijv. passpoort IDs), dan het andere (bijv. NAW gegevens, IBAN)

Lord_Dain schreef op zondag 1 maart 2026 @ 09:50:
[...]


Man o man.. ja, tuurlijk, kijk dat jij weerbaar bent en misschien jouw kennissen. Maar weet je hoe veel mensen niet digivaardig zijn? Hoeveel ouderen er dagelijks op allerlei manieren worden gescammed of hun juwelen of pincode afgeven aan criminelen? En die criminielen weten nu nóg meer van veel van deze mensen.

En dan nog maar even vergeten dat er ook prive adressen + tel. nummers zijn gelekt van allerlei mensen die in bepaalde gevoelige sectoren werken en straks aan de deur opgezocht kunnen worden.. prima dat je je eigen perspectief hebt, maar zet het niet als feit neer svp.

Dat is precies wat ik zei. Je onderbouwd mijn standpunt. Er gaat Niks veranderen.
Mensen die nu al vatbaar zijn, blijven vatbaar.

zacht schreef op zondag 1 maart 2026 @ 10:07:
https://monitor.mozilla.org geeft je meer inzicht in wat er gelekt is. Ik gok dat Odido je niet precies kan vertellen wat er gelekt is.

De Mozilla monitor geeft mij onjuiste feedback. Mijn IBAN staat niet in het bestand van vanochtend.

Jerie schreef op zondag 1 maart 2026 @ 10:07:
[...]


Simpel: omdat dat hun expertise niet is. Hun expertise is Salesforce CRM en phishing/vishing. Hun expertise is niet XSS kwetsbaarheden vinden of iets dergelijks.

En ze kennen natuurlijk ook niemand in die wereld die het wel zou kunnen en er grof geld voor zou betalen.

Het zegt ook al genoeg dat het gevraagde losgeld een lachertje was (naar algemene maatstaven van de afgelopen jaren). De groep heeft in de media laten weten dat ze al akkoord zouden gaan met een half miljoen. En nu wil ik een half miljoen niet gaan bagatelliseren, het is namelijk ontzettend veel geld, maar het is natuurlijk lachwekkend laag voor zoveel gegevens.

Ik vind het ook behoorlijk arrogant hoe diverse mensen in dit topic neerbuigend doen over deze Shinyhunters figuren alsof ze dom zijn. Hun morele kompas is zoek, ze gaan over lijken, maar dommerikjes zijn het niet. Ze weten geraffineerd hoe ze te werk gaan. Je tegenstander als dom reduceren is de eerste fout die je kunt maken in de wereld van oplichting, dat blijkt keer op keer

Het spijt mij, maar heel geraffineerd was deze hack niet. Waarmee ik deze groep niet als dom wil wegzetten, alles behalve (en zover ik weet heb ik dat ook nooit gedaan). Maar het was een kinderlijk eenvoudige hack die je met name aan de domheid van vooral Odido en deels SalesForce kan toeschrijven. 1 phisinglinkje met een onderschepte SalesForce login was voldoende om álle gegevens van Odido uit SalesForce te trekken.

Natuurlijk was de phising geraffineerd en is er echt wel technische know-how nodig hoe je dit kan misbruiken. Maar daarna op de "export all" drukken en die gegevens binnenslurpen is niet geraffineerd. Dat was vooral heel veel geluk en gemak. Waarmee ik natuurlijk, voor de duidelijkheid, niet zeg dat ze niet meer in hun mars hebben en wellicht ook andere methodes hadden kunnen toepassen om gegevens te achterhalen.

Ik zat na de dump van vanmorgen voor mijzelf te zoeken wat er gelekt was, en het viel mij op dat voor mij enkel de gegevens van mijn datasim uitgelekt zijn, niet mijn hoofdabonnement.
Wel dingen als NAW en IBAN voor incasso bij die datasim, maar zelfs geen telefoonnummer of andere gegevens van mijn hoofdabonnement, geboortedatum of paspoortgegevens.
Het lijkt er dus op dat ik er goed van af ben gekomen, maar ze hebben dus duidelijk niet alle accounts/gegevens geëxporteerd, tenzij dat uiteraard nu net die gegevens zijn geweest die ze achter gehouden zouden hebben.

Drardollan schreef op zondag 1 maart 2026 @ 10:12:
[...]

Die gegevens waren al lang en breed en al jaren bekend. Er is een reden waarom in dat geval van de mensen vaak enkel een voornaam wordt gebruikt bijvoorbeeld. En voor dit lek, werden die mensen dan niet "aan de deur opgezocht"?

Men maakt het allemaal veel spannender dan het is.

Dat hangt van de persoon af. Er zijn volgens NOS al wel gevallen bekend waarin slachtoffers van huiselijk geweld en stalking inderdaad zijn opgezocht aan de hand van dit lek. Hetzelfde geldt voor mensen die op specifieke posities met specifieke werkzaamheden zitten. Zij zijn nu kwetsbaarder voor bepaalde vormen van intimidatie en bedreiging.

Maar op zich eens dat voor de meerderheid het met een relatieve sisser zal aflopen.

kwiebus schreef op zondag 1 maart 2026 @ 10:07:
[...]

Voor mij geldt het zelfde, ben niet door Odido op de hoogte gesteld van lekken van mijn gegevens maar vandaag ben ik wel terug te vinden op haveibeenpwned. Ik vond het al vreemd dat mijn gegevens niet gelekt zouden zijn gezien de gebrekkige administratie bij Odido.

Same, volgens HIBP staat mijn e-mail er ook tussen. Niks van Odido gehoord.

Drardollan schreef op zondag 1 maart 2026 @ 10:24:
[...]

Ik zou niet te vroeg juichen, pas vandaag zijn (volgens de hackers) alle gegevens gepubliceerd. Of en wat er achtergehouden zou zijn kan ik niet beoordelen, maar dat lijkt mij verwaarloosbaar gezien het verloop van de afgelopen dagen. Ik zou vooral even afwachten wat de dataset van vandaag brengt, die is naar mijn weten nog niet ingelezen door de bekende partijen.

HIBP is sowieso al gewoon up-to-date.

[ Voor 9% gewijzigd door EDIT op 01-03-2026 10:46 ]

Mijn paspoort verloopt deze zomer. Nu gelijk maar nieuwe aanvraag gedaan.

Heeft het zin om van bank te wisselen? Of kunnen kwaadwillenden eigenlijk al niet veel met de beschikbare informatie?
Zat te twijfelen om van bank te wisselen en dit geeft mogelijk de doorslag.

kwondoo schreef op zondag 1 maart 2026 @ 10:33:
Mijn paspoort verloopt deze zomer. Nu gelijk maar nieuwe aanvraag gedaan.

Heeft het zin om van bank te wisselen? Of kunnen kwaadwillenden eigenlijk al niet veel met de beschikbare informatie?
Zat te twijfelen om van bank te wisselen en dit geeft mogelijk de doorslag.

Volgens mij kan je je bankreknr. redelijk eenvoudig aanpassen. Misschien dat een betere optie?

PauseBreak schreef op zondag 1 maart 2026 @ 10:22:
[...]


Dat hangt van de persoon af. Er zijn volgens NOS al wel gevallen bekend waarin slachtoffers van huiselijk geweld en stalking inderdaad zijn opgezocht aan de hand van dit lek. Hetzelfde geldt voor mensen die op specifieke posities met specifieke werkzaamheden zitten. Zij zijn nu kwetsbaarder voor bepaalde vormen van intimidatie en bedreiging.

Maar op zich eens dat voor de meerderheid het met een relatieve sisser zal aflopen.

Waar lees je dat? Zie dat nog nergens in de Media. Lijkt me ook wel heel snel. Klinkt eerder als fake news dat ergens op de socials is gepost.

[ Voor 4% gewijzigd door DNA_Saint op 01-03-2026 10:36 ]

Ik vind het nu zeer onhandig geschreven. Op nu.nl staat:
Ook is van sommige mensen hun burgerservicenummer (bsn) gelekt.
Ik neem aan van zakelijke klanten alleen? Zoals eerst was te lezen.

https://www.nu.nl/algemee...ok-id-nummers-online.html

Ik zie ook dat haveibeenpwned niet klopt met de uitleg wat er gelekt is. Odido heeft nooit mijn rijbewijs gehad. Dit staat nu standaard bij iedereen denk.

• Bank account numbers
• Customer service comments
• Dates of birth
• Driver's licenses
• Email addresses
• Genders
• Government issued IDs
• Names
• Passport numbers
• Phone numbers
• Physical addresses

[ Voor 44% gewijzigd door Draconian op 01-03-2026 10:42 ]

kwondoo schreef op zondag 1 maart 2026 @ 10:33:
Mijn paspoort verloopt deze zomer. Nu gelijk maar nieuwe aanvraag gedaan.

Heeft het zin om van bank te wisselen? Of kunnen kwaadwillenden eigenlijk al niet veel met de beschikbare informatie?
Zat te twijfelen om van bank te wisselen en dit geeft mogelijk de doorslag.

Waarom zou je in een nieuw paspoort en bankrekening nummer willen hebben naar aanleiding van dit lek? Om welke reden schiet je in deze paniek stand die je enkel geld, moeite en tijd kost? En hoe ga je ermee om als je nieuwe paspoortnummer 3 weken na uitgifte ook weer in een lek zit, ga je dan weer alles vernieuwen?

Drardollan schreef op zondag 1 maart 2026 @ 10:40:
[...]


Waarom zou je in een nieuw paspoort en bankrekening nummer willen hebben naar aanleiding van dit lek? Om welke reden schiet je in deze paniek stand die je enkel geld, moeite en tijd kost? En hoe ga je ermee om als je nieuwe paspoortnummer 3 weken na uitgifte ook weer in een lek zit, ga je dan weer alles vernieuwen?

Loop mensen toch niet zo te gaslighten man, iemand die bezorgd is meteen bestempelen als piet paniek. Dat jij er op een bepaalde manier mee omgaat is jouw keuze, laat andere mensen lekker zelf bepalen hoe ze hier mee omgaan? Peace of mind is voor iedereen anders en hoeft niet zelfs niet eens feitelijk onderbouwd te zijn en ze hoeven het zeker niet aan jou uit te leggen

Eigenlijk is iedereen die deze set op zijn eigen houtje download en doorzoekt net zo slecht bezig als de hacker groep en daarnaast ook nog eens in het bezit van illegale data. De data ligt op straat ja, maar nu uit 1 bron. Straks wordt iemand die het gedownload naar z'n privé Nextcloud of VPSje gehackt en ligt het daar weer op straat. Laat het lekker over aan de professionele partijen en journalisten die onder strenge regels staan.

Ben benieuwd of justitie net zoals toen die encypted telefoons nog straks alle logs van die webservers te pakken krijgt en nog wat mensen aanschrijft of bezoek brengt over wat ze gedaan (gedownload) hebben. Zal wel bijzonder zijn.

Vorkie schreef op zondag 1 maart 2026 @ 10:43:
Eigenlijk is iedereen die deze set op zijn eigen houtje download en doorzoekt net zo slecht bezig als de hacker groep en daarnaast ook nog eens in het bezig van illegale data. De data ligt op straat ja, maar nu uit 1 bron. Straks wordt iemand die het gedownload naar z'n privé Nextcloud of VPSje gehackt en ligt het daar weer op straat. Laat het lekker over aan de professionele partijen en journalisten die onder strenge regels staan.

Ben benieuwd of justitie net zoals toen die encypted telefoons nog straks alle logs van die webservers te pakken krijgt en nog wat mensen aanschrijft of bezoek brengt over wat ze gedaan (gedownload) hebben. Zal wel bijzonder zijn.

Eens, maar aan de andere kant.. het staat toch al overal op darkweb vrij toegankelijk voor wie maar wat wil. Dus als het hier bij een paar tweakers meer of minder op de PC staat, maakt dat dan nog wat uit of voegt het dan nog wat toe aan de feiten? Het voelt nu bijna als te hard rijden op de snelweg, het mag niet, maar is erg laagdrempelig en bijna iedereen doet t.... (btw, ik heb het zelf niet gedaan, simpelweg geen behoefte aan).

kwondoo schreef op zondag 1 maart 2026 @ 10:33:
Mijn paspoort verloopt deze zomer. Nu gelijk maar nieuwe aanvraag gedaan.

Heeft het zin om van bank te wisselen? Of kunnen kwaadwillenden eigenlijk al niet veel met de beschikbare informatie?
Zat te twijfelen om van bank te wisselen en dit geeft mogelijk de doorslag.

Ik zit bij bunq, en wil al heel lang en graag weg. Ik wachtte tot ik een nieuw paspoort nodig had. Nou, geluk bij een ongeluk dat ik daar nu een goede reden voor heb. Ben al naar de kapper geweest voor de pasfoto. Nu nog de pasfoto en de aanvraag indienen.

Lord_Dain schreef op zondag 1 maart 2026 @ 10:43:
[...]


Loop mensen toch niet zo te gaslighten man, iemand die bezorgd is meteen bestempelen als piet paniek. Dat jij er op een bepaalde manier mee omgaat is jouw keuze, laat andere mensen lekker zelf bepalen hoe ze hier mee omgaan? Peace of mind is voor iedereen anders en hoeft niet zelfs niet eens feitelijk onderbouwd te zijn en ze hoeven het zeker niet aan jou uit te leggen

Ik gaslight niemand en stelde gewoon een normale vraag? Wellicht is het antwoord interessant voor mij of anderen omdat we iets leren wat we niet wisten.

Totdat iemand mij kan uitleggen wat het nut is van dergelijke acties zal ik er waar ik dat nodig vind op reageren. Tot die tijd vind ik het paniek om niets die enkel tijd, geld en moeite kost en niks oplevert. En los van het persoonlijke vlak, ik denk dat onze overheden er niet op zitten te wachten dat er nu massaal ID documenten worden vervangen zonder reden. Ze hebben het al druk genoeg met de reguliere vervangingen.

In ieder geval een klein lichtpuntje, het lijkt erop dat inlogwachtwoorden voor de app niet in de vrijgegeven dataset zitten. Hibp geeft wel aan dat m'n emailadres in de dataset zit, maar m'n wachtwoord komt niet voor in wat hibp nu hebben geïmporteerd. Voor de zekerheid toch allebei maar gewijzigd.

Lord_Dain schreef op zondag 1 maart 2026 @ 10:45:
[...]


Eens, maar aan de andere kant.. het staat toch al overal op darkweb vrij toegankelijk voor wie maar wat wil. Dus als het hier bij een paar tweakers meer of minder op de PC staat, maakt dat dan nog wat uit of voegt het dan nog wat toe aan de feiten? Het voelt nu bijna als te hard rijden op de snelweg, het mag niet, maar is erg laagdrempelig en bijna iedereen doet t....

Drempel om te hard rijden is natuurlijk kwestie van je pedaal wat dieper in te drukken.

Niet eerst uitzoeken waar je een .onion browsers download (risico 1), de URL op moet zoeken (risico 2) en tooling opzetten om 90GB aan data te doorzoeken (risico 3)

Het gaat niet alleen maar om tweakers btw, ik zie op Facebook ook de "influencers" en goede buren ineens zich bezig houden met dit zoeken en vinden bijvoorbeeld in de data hun vrienden en familie.

Jerie schreef op zondag 1 maart 2026 @ 10:46:
[...]


Ik zit bij bunq, en wil al heel lang en graag weg. Ik wachtte tot ik een nieuw paspoort nodig had. Nou, geluk bij een ongeluk dat ik daar nu een goede reden voor heb. Ben al naar de kapper geweest voor de pasfoto. Nu nog de pasfoto en de aanvraag indienen.

Waarom zou je voor een nieuwe bankrekening wachten op een nieuw paspoort? Wat heeft het 1 met het ander te maken?

Dat je je paspoort vervangt wat toch op korte termijn moet gebeuren, dat snap ik ergens wel. Die maand meer of minder maakt het verschil ook niet natuurlijk.

anboni schreef op zondag 1 maart 2026 @ 10:49:
In ieder geval een klein lichtpuntje, het lijkt erop dat inlogwachtwoorden voor de app niet in de vrijgegeven dataset zitten. Hibp geeft wel aan dat m'n emailadres in de dataset zit, maar m'n wachtwoord komt niet voor in wat hibp nu hebben geïmporteerd. Voor de zekerheid toch allebei maar gewijzigd.

Wachtwoorden zitten niet in het datalek. Anders dan het verificatie wachtwoord voor telefonie.

anboni schreef op zondag 1 maart 2026 @ 10:49:
In ieder geval een klein lichtpuntje, het lijkt erop dat inlogwachtwoorden voor de app niet in de vrijgegeven dataset zitten. Hibp geeft wel aan dat m'n emailadres in de dataset zit, maar m'n wachtwoord komt niet voor in wat hibp nu hebben geïmporteerd. Voor de zekerheid toch allebei maar gewijzigd.

Dat was toch al vanaf dag 1 bekend? Er was verwarring omdat er wachtwoorden genoemd is eerder deze week, maar dat waren de "codewoorden" die afgesproken zijn tussen de helpdesk en de klant. Buiten de CRM data uit SalesForce is er niks gelekt.

Wat overigens niet zegt dat dat niet erg is

Ample Energy schreef op zondag 1 maart 2026 @ 09:26:
[...]

Maar een half jaar is nog logisch. Ik ben er al ruim 4 jaar weg en zit toch in de dump terwijl ze zeggen dat hun bewaartermijn 2 jaar is…

Eens. Dat ze mijn data hebben vind ik niet erg, had alleen een persoonlijke ipv algemene email verwacht. Ze zijn immers mijn data kwijt geraakt en niet alleen dat van mijn bedrijf.

Vandaag weer gechecked op "Have I Been Pawned" en nu sta ik er in.
Gelukkig heb ik na het afsluiten van het Ben en Odido abo een nieuw paspoort gekregen dus met het oude paspoort nummer kunnen ze dan niks maar ze hebben wel het BSN nummer volgens deze info.

snah001 schreef op zondag 1 maart 2026 @ 10:53:
Vandaag weer gechecked op "Have I Been Pawned" en nu sta ik er in.
Gelukkig heb ik na het afsluiten van het Ben en Odido abo een nieuw paspoort gekregen dus met het oude paspoort nummer kunnen ze dan niks maar ze hebben wel het BSN nummer volgens deze info.

[Afbeelding]

Het is een algemene melding van HIBP. Als er een gegeven van je gevonden wordt dan krijg je deze melding. Het is niet dat jouw gelekte gegevens exact overeenkomen met deze lijst.

[ Voor 10% gewijzigd door Drardollan op 01-03-2026 10:57 ]

Geen bericht gehad van Odido maar wel een mail van hibp vandaag. Ben benieuwd of Odido later nog contact met mij opneemt.

sh4d0wman schreef op zondag 1 maart 2026 @ 09:02:
[...]

Mja maar alles ouder dan een jaar hoef je waarschijnlijk amper bij. Dus die hoort koud te staan. Dit was juist iets wat de impact van de hack groter maakte dan nodig.

Edit @MikeyMan er is een verschil tussen geen/minimale beveiliging en een goed geimplementeerde beveiligingsstrategie. Met beiden kun je nog steeds gehacked worden. Je voorkomt in ieder geval dan de Odido hack want daar was genoeg publieke informatie van beschikbaar om op te acteren voordat de hack plaats vond... dan was het feitelijk ongemogelijk geweest om deze hack uit te voeren.

Ja en hoe weer ik dat dat elders beter voor elkaar is dan? Beter dan bij odido die nu hopelijk wel iets leren...?

NiGeLaToR schreef op zondag 1 maart 2026 @ 10:53:
[...]

Eens. Dat ze mijn data hebben vind ik niet erg, had alleen een persoonlijke ipv algemene email verwacht. Ze zijn immers mijn data kwijt geraakt en niet alleen dat van mijn bedrijf.

De persoonlijke en welgemeende mail komt vast als ze niet meer om de advocaten heen kunnen

alwind schreef op zondag 1 maart 2026 @ 10:56:
Geen bericht gehad van Odido maar wel een mail van hibp vandaag. Ben benieuwd of Odido later nog contact met mij opneemt.

Stomme vraag, maar ben je een actieve klant of in de afgelopen 2 jaar geweest?

Drardollan schreef op zondag 1 maart 2026 @ 10:56:
[...]

Het is een algemene melding van HIBP. Als er een gegeven van je gevonden wordt dan krijg je deze melding. Het is niet dat jouw gelekte gegevens exact overeenkomen met deze lijst.

Ik sta ook op de hipb lijst maar heb geen idee of ik mij geïdentificeerd heb met paspoort of rijbewijs. Hoe kan ik checken welke van deze twee nu gelekt is?

snah001 schreef op zondag 1 maart 2026 @ 10:53:
Vandaag weer gechecked op "Have I Been Pawned" en nu sta ik er in.
Gelukkig heb ik na het afsluiten van het Ben en Odido abo een nieuw paspoort gekregen dus met het oude paspoort nummer kunnen ze dan niks maar ze hebben wel het BSN nummer volgens deze info.

[Afbeelding]

Ik krijg precies dezelfde info bij het e-mail adres van m'n vrouw. Het lijkt me sterk dat we toendertijd en het rijbewijs en het paspoort hebben moeten laten zien.

Ample Energy schreef op zondag 1 maart 2026 @ 10:58:
[...]

De persoonlijke en welgemeende mail komt vast als ze niet meer om de advocaten heen kunnen

Heel vals gedacht, zouden ze niet gewoon de hele dump afgewacht hebben en die gebruiken als bron om die mail te sturen

Drardollan schreef op zondag 1 maart 2026 @ 10:56:
[...]

Het is een algemene melding van HIBP. Als er een gegeven van je gevonden wordt dan krijg je deze melding. Het is niet dat jouw gelekte gegevens exact overeenkomen met deze lijst.

Maakt niet uit, het sluit niet uit dat dit niet zo is en dus al deze gegevens in handen zijn van de hackers.

bombadil schreef op zondag 1 maart 2026 @ 10:58:
[...]

Ik sta ook op de hipb lijst maar heb geen idee of ik mij geïdentificeerd heb met paspoort of rijbewijs. Hoe kan ik checken welke van deze twee nu gelekt is?

Er is geen legale manier om dat te checken in de dataset. Wellicht dat Odido je dit kan vertellen als je het navraagt.

Persoonlijk zou ik mij er niet druk om maken, maar dat is aan jezelf natuurlijk.

Mail van odido en hibp dat gegevens gelekt zijn. Dilemma dat ik wil weten wat er exact gelekt is zodat ik dat extra kan monitoren. Data downloaden is illegaal, wil ik ook helemaal niet. Wat zijn de opties dan nog?

snah001 schreef op zondag 1 maart 2026 @ 11:00:
[...]

Maakt niet uit, het sluit niet uit dat dit niet zo is en dus al deze gegevens in handen zijn van de hackers.

Klopt. En het sluit ook niet uit dat die gegevens al eerder bekend waren bij deze of andere hackers. Ik denk dat je er het beste van uit kan gaan dat al je gegevens al jaren (in meer of mindere mate) bekend zijn in criminele kringen.

bombadil schreef op zondag 1 maart 2026 @ 10:58:
[...]

Ik sta ook op de hipb lijst maar heb geen idee of ik mij geïdentificeerd heb met paspoort of rijbewijs. Hoe kan ik checken welke van deze twee nu gelekt is?

Ik heb het contract met Odido bewaard in de mail en daar staat het in.

BertP schreef op zondag 1 maart 2026 @ 11:02:
Mail van odido en hibp dat gegevens gelekt zijn. Dilemma dat ik wil weten wat er exact gelekt is zodat ik dat extra kan monitoren. Data downloaden is illegaal, wil ik ook helemaal niet. Wat zijn de opties dan nog?

Dit is denk ik de belangrijkste kwestie nu. Hoe haal je je recht om je eigen gelekte gegevens in te zien.

En het is meteen raak, krijg net een email van mezelf, gericht aan mezelf en ondertekend door mezelf dat ze mijn gegevens hebben. In het verleden kreeg ik wel vaker van dit soort mails, maar die waren niet van mezelf, en ondertekend door mezelf. En het erge is, dit keer is de mail nog grotendeels waar ook

NightCruiser schreef op zondag 1 maart 2026 @ 11:07:
En het is meteen raak, krijg net een email van mezelf, gericht aan mezelf en ondertekend door mezelf dat ze mijn gegevens hebben. In het verleden kreeg ik wel vaker van dit soort mails, maar die waren niet van mezelf, en ondertekend door mezelf. En het erge is, dit keer is de mail nog grotendeels waar ook

(Eigen domein? Check dan je DMARC/DKIM/SPF records.)

Zojuist ook even nagelopen, ik heb altijd mijn wildcard op mijn domein gebruikt.

tmobile@domein.nl sinds vandaag gelekt
odido@domein.nl sinds vandaag gelekt
ben@domein.nl (nog) niet gelekt

E-Mail adres van mijn vrouw, nog niet gelekt.

Rebranding van T-Mobile naar Odido was in 2023.

sOid schreef op zondag 1 maart 2026 @ 11:08:
[...]

(Eigen domein? Check dan je DMARC/DKIM/SPF records.)

hotmail adres....

@Drardollan , zal Bill Gates even mailen dat zijn mail omgeving niet klopt.

[ Voor 17% gewijzigd door NightCruiser op 01-03-2026 11:10 ]

NightCruiser schreef op zondag 1 maart 2026 @ 11:07:
En het is meteen raak, krijg net een email van mezelf, gericht aan mezelf en ondertekend door mezelf dat ze mijn gegevens hebben. In het verleden kreeg ik wel vaker van dit soort mails, maar die waren niet van mezelf, en ondertekend door mezelf. En het erge is, dit keer is de mail nog grotendeels waar ook

Het geeft vooral aan dat er instellingen niet goed staan binnen je mail omgeving. Daar zou ik mij eigenlijk meer zorgen om maken dan deze specifieke mail.

Ik las net dit op NOS.nl, geloven jullie dit. Ik namelijk niet.
(Sorry als het al geplaatst is. Ik heb de forum niet volledig terug-gelezen)

De hackers zeggen niet alle data van Odido vrij te geven. "Die zijn niet relevant", claimen de criminelen, die tegelijkertijd aangeven de bewuste data te willen inzetten "voor eigen gebruik".

Bron: https://nos.nl/artikel/2604461

[ Voor 3% gewijzigd door JuliavB op 01-03-2026 11:29 ]

NightCruiser schreef op zondag 1 maart 2026 @ 11:09:
[...]


hotmail adres....

@Drardollan , zal Bill Gates even mailen dat zijn mail omgeving niet klopt.

Dan is de mail niet afkomstig van jezelf waarschijnlijk, want de beveiliging zou ervoor moeten zorgen dat een dergelijke mail in je spam komt.

Wat heeft Bill Gates er overigens mee te maken?

[ Voor 4% gewijzigd door Drardollan op 01-03-2026 11:25 ]

_

[ Voor 100% gewijzigd door JuliavB op 01-03-2026 11:25 . Reden: Gewijzigd ]

Drardollan schreef op zondag 1 maart 2026 @ 11:05:
[...]

Waarom heb je daar de gegevens voor nodig? Welke extra risico's denk je hier mee te kunnen monitoren?

Je moet hoofdzakelijk op je hoede zijn voor spam mails, SMSjes, appjes en telefoontjes. Ook al klinkt het vertrouwd omdat ze dingen van je weten. Reageer niet en neem zelf, via bekende en vertrouwde wegen, contact op met de bedrijven die je op die manier benaderen. Je bankrekening in de gaten houden op onverwachte afschrijvingen is ook verstandig, al moet je dat sowieso altijd al doen (regels van de bank).

Bovenstaand advies is overigens niet nieuw. Dit was ook al zo voor dit lek en ook na dit lek. En dit lek is niet het laatste lek waar we mee te maken gaan krijgen. Elke dag worden er miljoenen gegevens gelekt wereldwijd.

Meerdere accounts voor zakelijk en privé, verschillende adressen/gegevens & bankrekeningen voor de familie gebruikt. Als ik kan verkleinen wat ik op dagelijkse basis moet doorlopen scheelt me dat tijd en een gedeelte onzekerheid. Tuurlijk moet ik ten alle tijde scherp zijn, maar dat is nogal een generieke regel en ik wil graag goed geïnformeerd zijn. Nu is het een soort ‘check alles maar dagelijks en sterkte met je verloren tijd omdat wij onze systemen niet op orde hebben, groetjes Odido’.

JuliavB schreef op zondag 1 maart 2026 @ 11:10:
Ik lag net dit op NOS, geloven jullie dit.
(Sorry als het al geplaatst is. Ik heb de forum niet volledig terug-gelezen)


[...]

Bron: https://nos.nl/artikel/2604461

Ik geloof er geen barst van. Gezien het absurde lage bedrag wat ze vroegen voor de data (5 ton) en de snelheid waarmee ze het zo op het publieke internet gedumpt hebben.

Als ze die data zouden hebben en zouden kunnen gebruiken dan hadden ze dat al eerder gedaan. Dan volg je een andere weg als hacker.

Ik zie het als manier om Odido te doen geloven dat ze nog meer hebben en ze alsnog te laten betalen. Wat niet gaat gebeuren, dus het is per definitie kansloos.

JuliavB schreef op zondag 1 maart 2026 @ 11:12:
Las^

Je hebt 2 dagen de tijd om je bericht te wijzigen. Is beter dan deze nabrander.

CrazyFool schreef op zondag 1 maart 2026 @ 11:08:
Zojuist ook even nagelopen, ik heb altijd mijn wildcard op mijn domein gebruikt.

tmobile@domein.nl sinds vandaag gelekt
odido@domein.nl sinds vandaag gelekt
ben@domein.nl (nog) niet gelekt

E-Mail adres van mijn vrouw, nog niet gelekt.

Rebranding van T-Mobile naar Odido was in 2023.

Ik neem het van je aan, heb wel een tip. Gebruik minder generieke namen. Dit is wel erg eenvoudig gokken, als je er 1 weet dan weet je ze allemaal.

Beter zijn bijvoorbeeld tmobile2903@domein.nl en ben1216@domein.nl gebruiken bij de aanbieder.

Ook is het wellicht handiger om niet een wildcard te gebruiken, als je bewust de email adressen als alias aanmaakt dan kan je zo ook eenvoudig weggooien en krijg je er geen spam meer op binnen. Als bijvoorbeeld tmobile2903@domein.nl gelekt is dan wijzig je bij tmobile je mail adres in tmobile8454@domein.nl en gooi je de oude alias weg. Scheelt spam en een klein risico op toch ergens per ongeluk in trappen.

JukeboxBill schreef op zondag 1 maart 2026 @ 11:13:
[...]

Je hebt 2 dagen de tijd om je bericht te wijzigen. Is beter dan deze nabrander.

Ja ik kon de knop niet vinden op mijn telefoon. Daardoor deed ik het op deze manier.

Eddit momenteel gevonden

[ Voor 5% gewijzigd door JuliavB op 01-03-2026 11:29 ]

Drardollan schreef op zondag 1 maart 2026 @ 11:11:
[...]

Dan is de mail niet afkomstig van jezelf, want die beveiliging zou ervoor zorgen dat de mail in je spam komt.

Wat heeft Bill Gates er overigens mee te maken?

Drardollan schreef op zondag 1 maart 2026 @ 11:09:
[...]


Het geeft vooral aan dat er instellingen niet goed staan binnen je mail omgeving. Daar zou ik mij eigenlijk meer zorgen om maken dan deze specifieke mail.

Wat heeft mijn eigen domein hier overigens mee te maken?

Drardollan schreef op zondag 1 maart 2026 @ 10:20:
[...]

En ze kennen natuurlijk ook niemand in die wereld die het wel zou kunnen en er grof geld voor zou betalen.

Wie zegt dat ze dat niet gedaan hebben? Ik zou het als ik hem/hen was niet doen omdat mijn core business dit of dat is, en ik mijn legacy kring zo klein mogelijk zou houden om niet in de picture te komen. Braggen heb je crimineel zijnde niks aan (ja, het komt wel voor in deze kringen). Ik zie zo voor me een jochie (het zijn altijd mannen, meestal jongemannen) dat nog studeert of een bijbaantje heeft als Uber-bestuurder, maaltijdbezorger, of supermarktmedewerker (ik noem maar even wat voorbeelden). Die doet dit als hobby erbij. Het is geen fulltime 'werk'. Ook kan meneer dat geld in die wallet niet eenvoudig gebruiken, hij zal het eerst moeten witwassen. Bovendien valt het op wanneer iemand op grote voet leeft.

Overigens is mijn overtuiging dat een significant deel van de HODL cultuur te maken heeft met verjaringstermijn

Het zegt ook al genoeg dat het gevraagde losgeld een lachertje was (naar algemene maatstaven van de afgelopen jaren). De groep heeft in de media laten weten dat ze al akkoord zouden gaan met een half miljoen. En nu wil ik een half miljoen niet gaan bagatelliseren, het is namelijk ontzettend veel geld, maar het is natuurlijk lachwekkend laag voor zoveel gegevens.

Hoe lager het bedrag, hoe eerder geneigd het slachtoffer is om te betalen.

Het spijt mij, maar heel geraffineerd was deze hack niet. Waarmee ik deze groep niet als dom wil wegzetten, alles behalve (en zover ik weet heb ik dat ook nooit gedaan). Maar het was een kinderlijk eenvoudige hack die je met name aan de domheid van vooral Odido en deels SalesForce kan toeschrijven. 1 phisinglinkje met een onderschepte SalesForce login was voldoende om álle gegevens van Odido uit SalesForce te trekken.

Natuurlijk was de phising geraffineerd en is er echt wel technische know-how nodig hoe je dit kan misbruiken. Maar daarna op de "export all" drukken en die gegevens binnenslurpen is niet geraffineerd. Dat was vooral heel veel geluk en gemak. Waarmee ik natuurlijk, voor de duidelijkheid, niet zeg dat ze niet meer in hun mars hebben en wellicht ook andere methodes hadden kunnen toepassen om gegevens te achterhalen.

Technisch geavanceerd was de hack inderdaad niet, geraffineerd was deze wel. Niemand heeft het eerder gedaan bij Odido want anders was Odido geïnformeerd. Er is geen ethische hacker geweest die dit heeft geprobeerd. Er is geen pentest geweest die dit heeft gedocumenteerd. Er is geen SOC die het tijdig heeft weten te voorkomen.

Daarnet https://assets.odido.nl/x...-persoonsgegevens-itv.pdf dit formulier ingevuld en opgestuurd naar Odido.

Met als inhoud:

Bijgevoegd treft u mijn ingevulde en ondertekende aanvraagformulier inzage persoonsgegevens op grond van artikel 15 AVG aan.

In aanvulling op het standaardformulier verzoek ik specifiek om inzage in de persoonsgegevens van mij die onderdeel zijn geweest van het datalek dat in februari 2026 door Odido is gemeld.

Ik verzoek u om inzicht in welke concrete persoonsgegevens van mij daadwerkelijk onderdeel waren van de gelekte dataset, inclusief eventuele interne notities of aanvullende CRM-velden die mijn persoon betreffen.

Ik ontvang graag een gespecificeerd overzicht van:

de concrete persoonsgegevens van mij die in de gelekte dataset waren opgenomen;

eventuele interne notities of aanvullende CRM-velden die mijn persoon betreffen en onderdeel waren van de gelekte dataset.

Ik zie uw bevestiging van ontvangst graag tegemoet.

Conform de AVG ontvang ik uw inhoudelijke reactie binnen de wettelijke termijn.

Drardollan schreef op zondag 1 maart 2026 @ 10:50:
[...]

Waarom zou je voor een nieuwe bankrekening wachten op een nieuw paspoort? Wat heeft het 1 met het ander te maken?

Dat je je paspoort vervangt wat toch op korte termijn moet gebeuren, dat snap ik ergens wel. Die maand meer of minder maakt het verschil ook niet natuurlijk.

Dit ga ik niet uitleggen. Helaas heeft bunq er een handje van om (ex-)klanten te doxxen, en ik sta hier bekend als criticus van bunq (zie het bunq topic, waar ik dit ook nooit uit heb gelegd ). Eigenlijk geef ik ze al teveel informatie voor mijn comfort zone. Ik kan enkel delen dat ik er een gegronde reden voor heb. Daar zul je het mee moeten doen.