Odido waarschuwt voor datalek (cyberaanval/hack)

[ Voor 13% gewijzigd door SaN op 01-03-2026 17:52 ]

Bastiaan schreef op zondag 1 maart 2026 @ 17:01:
Mijn gegevens zaten in de eerste batch met data die daadwerkelijk gepubliceerd was. Iets met mosterd en maaltijd, maar ondertussen ben ik wel begonnen om al mijn registraties met een alias-mailadres te gaan invullen.

RiDo78 schreef op zondag 1 maart 2026 @ 17:48:
En daar is nummer twee. Wordt door de spamfilter van mijn provider niet herkend.

[Afbeelding]

Meer ga ik er niet posten; want ik verwacht een hele stortvloed aan die rotzooi. Maar het is duidelijk dat de ratjes zich alweer rijk rekenen en vrolijk zijn gaan vissen... Laten we hopen op een minimale vangst.

SaN schreef op zondag 1 maart 2026 @ 17:47:
Ik heb het topic een beetje doorgelezen de afgelopen dagen en ik zie dat er toch wel wat mensen zijn die redelijk wat actie gaan ondernemen vanwege het lekken van hun gegevens. Zelf dacht ik dat er net even wat meer kans zou zijn op meer gerichte phishing mails/telefoontjes, maar ik merk dat er wat meningsverschillen zijn over het praktisch nut van deze gegevens voor kwaadwillenden.

Zonder er verder heel diep in te duiken zou ik aannemen dat, wanneer er algemeen bekend is dat van ongeveer de helft van alle volwassen Nederlanders gevoelige gegevens zijn gelekt, hier rekening mee wordt gehouden door partijen/bedrijven/instanties die hierdoor zouden kunnen worden gemanipuleerd en dat juist door de omvang van het lek deze gegevens minder waard worden.

Is dit een te gemakkelijke aanname?

Mijn gegevens zijn gelekt, wat nu?
Als uit een van de bovenstaande websites blijkt dat jouw gegevens in handen van de hackers zijn gevallen, is dat best schrikken. Toch is er geen reden voor paniek. Criminelen kunnen niet zomaar bij je spaargeld. Wel is het belangrijk om de komende tijd alert te zijn op je bankafschriften en extra op te letten bij verdachte telefoontjes en mails.

📞
Nooit via de telefoon
Odido of je bank zal nooit via de telefoon of een linkje in een sms vragen om wachtwoorden, pincodes of om geld over te maken. Krijg je zo'n telefoontje? Hang direct op. Ze kunnen je bellen of appen en zich voordoen als een medewerker van Odido of je bank die je zogenaamd komt helpen met dit datalek.

💶
Bankfraude
Met alleen jouw IBAN (rekeningnummer) en naam kunnen criminelen geen geld pinnen. Wat ze wel kunnen proberen, is een valse automatische incasso starten, bijvoorbeeld voor een nep-abonnement. Kijk de komende maanden iets vaker naar je bankafschriften.

Zie je een bedrag dat is afgeschreven door een bedrijf dat je niet kent? Dan kun je dit via de app of klantenservice van je bank eenvoudig storneren (terugboeken). Dit kan tot 8 weken na de afschrijving.

🥸
Identiteitsfraude
Odido waarschuwt dat er mogelijk ook documentnummers van paspoorten of rijbewijzen zijn gestolen. Met deze gegevens kunnen criminelen proberen op jouw naam ergens een account aan te maken.

Krijg je ineens post, rekeningen of e-mails van onbekende bedrijven over bestellingen of abonnementen die je nooit hebt afgesloten? Negeer dit dan niet, maar meld dit direct bij het bedrijf in kwestie en bij het Centraal Meldpunt Identiteitsfraude (CMI).

[ Voor 5% gewijzigd door ArcticWolf op 01-03-2026 17:56 ]

RiDo78 schreef op zondag 1 maart 2026 @ 17:48:
En daar is nummer twee. Wordt door de spamfilter van mijn provider niet herkend.

[Afbeelding]

Meer ga ik er niet posten; want ik verwacht een hele stortvloed aan die rotzooi. Maar het is duidelijk dat de ratjes zich alweer rijk rekenen en vrolijk zijn gaan vissen... Laten we hopen op een minimale vangst.

HowsMyApple schreef op zondag 1 maart 2026 @ 17:47:
[...]


Als andere instanties net zo met hun data omgaan als Odido dan heeft het achteraf veranderen van je emailadres naar een met een +alias helaas weinig nut.
Ik heb 5 jaar geleden mijn emailadres bij T-Mobile veranderd naar een met +alias erin, maar zowel de alias als m'n "originele" zijn te vinden in het Odido lek. M'n oude mailadres staat dus ook nog steeds in de database.

[ Voor 11% gewijzigd door Bastiaan op 01-03-2026 18:05 ]

RiDo78 schreef op zondag 1 maart 2026 @ 17:48:
En daar is nummer twee. Wordt door de spamfilter van mijn provider niet herkend.

[Afbeelding]

Meer ga ik er niet posten; want ik verwacht een hele stortvloed aan die rotzooi. Maar het is duidelijk dat de ratjes zich alweer rijk rekenen en vrolijk zijn gaan vissen... Laten we hopen op een minimale vangst.

licon schreef op zondag 1 maart 2026 @ 17:39:
[...]


De Beslagsyllabus vraagt juist om de gedetailleerde bewijslast die deze Salesforce-dump zo perfect biedt (Naam Wederpartij, Adres, Woonplaats, Klantnummer, Contractdatum, Producttype, Factuurnummer, Factuurdatum, Hoofdsom, Vervaldatum, IBAN Debiteur), terwijl de "anonimiteit" in de praktijk simpel wordt omzeild via katvangers en brievenbus/plof-B.V.’s die je rekening al hebben gegijzeld voordat de rechter de fraude doorziet en ze de boel al lang opgedoekt hebben voordat de rechter je beroep in behandeling heeft kunnen nemen. Dan sta je 2-0 achter met advocaten die je 200+ euro per uur moet betalen en waar je de kosten nooit kunt verhalen tegen een tegenpartij die niet meer bestaat! Dat allemaal terwijl ze zelf ondertussen vrolijk onder een andere naam doorgaan met advocaten die alle feiten natuurlijk in hun voordeel verdraaien!

GaHard schreef op zondag 1 maart 2026 @ 17:32:
[...]

Ik vind het gewoon vervelend dat iedereen nu in principe mijn nummer kan vinden online, mijn adres staat er ook op en daar baal ik ook van maarja dat valt niet zo makkelijk te wijzigen.

Vorkie schreef op zondag 1 maart 2026 @ 10:50:
[...]

Drempel om te hard rijden is natuurlijk kwestie van je pedaal wat dieper in te drukken.

Niet eerst uitzoeken waar je een .onion browsers download (risico 1), de URL op moet zoeken (risico 2) en tooling opzetten om 90GB aan data te doorzoeken (risico 3)

Het gaat niet alleen maar om tweakers btw, ik zie op Facebook ook de "influencers" en goede buren ineens zich bezig houden met dit zoeken en vinden bijvoorbeeld in de data hun vrienden en familie.

ernstoud schreef op zondag 1 maart 2026 @ 18:13:
[...]


Natuurlijk joh. Een onwaarschijnlijk scenario. Maar alles kan. Via katvangers zelfs. Toe maar.

En dan nog. Het is - als het lukt - een beslaglegging. Die je dus kunt aanvechten. En ja, dat kost geld. Dus dat is dan de schade. Via een eventuele rechtsbijstandsverzekering.

Ik geloof er niet in. Bangmakerij.

Jerie schreef op zondag 1 maart 2026 @ 18:27:
[...]


Je weet dat dit een budgetprovider is en dat er hele hordes Nederlanders zijn die zich dat niet kunnen veroorloven? Naast 'bovenmodaal' heb je ook 'ondermodaal'

ernstoud schreef op zondag 1 maart 2026 @ 18:13:
[...]


Natuurlijk joh. Een onwaarschijnlijk scenario. Maar alles kan. Via katvangers zelfs. Toe maar.

En dan nog. Het is - als het lukt - een beslaglegging. Die je dus kunt aanvechten. En ja, dat kost geld. Dus dat is dan de schade. Via een eventuele rechtsbijstandsverzekering.

Ik geloof er niet in. Bangmakerij.

jongetje schreef op zondag 1 maart 2026 @ 17:46:
[...]

"Vroeger" was dat de normaalste zaak van de wereld. Als je iemand wilde bellen pakte je het telefoonboek waarin namen, adressen en telefoonnummers stonden. Sterker nog, elk jaar kreeg je een tlwfoonboek met al deze gegevens gratis in je brievenbus. En weinig mensen vonden dit een probleem.

neeecht schreef op zondag 1 maart 2026 @ 18:45:
[...]


Toen hadden we nog een redelijke high-trust-society...
Dat kan tegenwoordig niet meer met alles wat rond loopt.

GaHard schreef op zondag 1 maart 2026 @ 16:20:
Ik overweeg om iig mijn telefoon nummer te wijzigen. Maar daar zitten vandaag de dag ook weer veel haken en ogen aan... Mogelijk nog accounts met 2fa of herstel opties waar je dan straks mogelijk niet meer bij kan. Meeste van mijn belangrijke accounts gaan via 2FA authenticator apps en niet via SMS maar toch, makkelijk om iets te vergeten en straks toegang te verliezen tot accounts. En dan moet je iedereen en alles weer informeren over je nieuwe nummer...

franssie schreef op zondag 1 maart 2026 @ 18:49:
[...]

En toen was er nog niet echt internet waardoor mensen in bulk gepersonifieerde mails konden schrijven. En zo een heel telefoonboek overtypen om het met Shift-F7 in brieven op te nemen om die te gaan versturen, postzegels waren toen goedkoper maar ook niet gratis

Maar ik vind de post van @jongetje toch wel relativerend.

SgtElPotato schreef op zondag 1 maart 2026 @ 17:55:
[...]


Niet anders dan de rest van de spam dus..

ArcticWolf schreef op zondag 1 maart 2026 @ 17:52:
Ik zou mij niet al teveel zorgen maken, kans op phising & fishing neemt iets toe

GGdiArgos schreef op zondag 1 maart 2026 @ 18:53:
[...]


En berichten van Mijn Overheid/Belastingdienst krijg je (gelukkig) tegenwoordig niet meer in je e-mail, dus dat is dan sowieso spam.

licon schreef op zondag 1 maart 2026 @ 18:31:
[...]


Tuurlijk, terwijl jij eventjes de verzekering belt en zij een dossier aanmaken (gemiddeld 5-10 werkdagen), staat je bankrekening bevroren. Je huur wordt gestorneerd of je hypotheek mislukt, en je kunt geen boodschappen meer doen als je zo weinig cash hebt als de hippe moderne mensen tegenwoordig. Die secundaire schade (boetes, BKR-meldingen, stress) vergoedt geen enkele verzekeraar.

[ Voor 12% gewijzigd door rens-br op 01-03-2026 20:20 ]

SaN schreef op zondag 1 maart 2026 @ 17:47:
Ik heb het topic een beetje doorgelezen de afgelopen dagen en ik zie dat er toch wel wat mensen zijn die redelijk wat actie gaan ondernemen vanwege het lekken van hun gegevens. Zelf dacht ik dat er net even wat meer kans zou zijn op meer gerichte phishing mails/telefoontjes, maar ik merk dat er wat meningsverschillen zijn over het praktisch nut van deze gegevens voor kwaadwillenden.

Zonder er verder heel diep in te duiken zou ik aannemen dat, wanneer er algemeen bekend is dat van ongeveer de helft van alle volwassen Nederlanders gevoelige gegevens zijn gelekt, hier rekening mee wordt gehouden door partijen/bedrijven/instanties die hierdoor zouden kunnen worden gemanipuleerd en dat juist door de omvang van het lek deze gegevens minder waard worden.

Is dit een te gemakkelijke aanname?

btw

[ Voor 3% gewijzigd door rens-br op 01-03-2026 20:17 ]

Vld1989 schreef op zondag 1 maart 2026 @ 19:44:
Net eens op knip gekeken. Naam, telefoonnummer en emailadres zijn gelekt maar IBAN en woonadres blijkbaar niet.

Ben 2 jaar geleden verhuisd en m'n oude adres zit wel in het lek. Zou me na alles wat inmiddels bekend is niet verbazen als Odido z'n administratie zo brak is dat m'n oude adres er nog in staat al staat m'n adres wel juist op Mijn Odido.

Zelfde geldt voor m'n IBAN, die heb ik een jaar of 5 geleden gewijzigd. Zou graag eens m'n oude IBAN door de check halen maar die weet ik niet meer

[ Voor 6% gewijzigd door rens-br op 01-03-2026 20:16 ]

Vld1989 schreef op zondag 1 maart 2026 @ 19:44:
Net eens op knip gekeken. Naam, telefoonnummer en emailadres zijn gelekt maar IBAN en woonadres blijkbaar niet.

[ Voor 2% gewijzigd door rens-br op 01-03-2026 20:16 ]

Jerie schreef op zondag 1 maart 2026 @ 18:21:
[...]
Tooling om te doorzoeken heb je niet nodig. Ik heb het al 46638x gezegd: het is JSON. Vanuit CLI kun je JSON met jq parsen. Standaard tooling.

[ Voor 24% gewijzigd door licon op 01-03-2026 20:02 ]

Jerie schreef op zondag 1 maart 2026 @ 18:21:
[...]


Tor Browser staat op sommige OS'en standaard geïnstalleerd. Het is voor mij een van de eerste tools die ik op een computer met GUI installeer (niet per definitie gebruik maar wel beschikbaar wil hebben).

Het onion adres was behoorlijk eenvoudig te vinden. Ik ga niet zeggen hoe, maar een zekere journalist deelde al een deel er van. Was dat nodig? M.i. niet. Al ben ik het later ook organisch tegengekomen.

Tooling om te doorzoeken heb je niet nodig. Ik heb het al 46638x gezegd: het is JSON. Vanuit CLI kun je JSON met jq parsen. Standaard tooling.

Bovenstaande is geen hogere wiskunde. Wel nog stukje OPSEC noodzakelijk: gebruik VM enkel in RAM, donder deze data z.s.m. weg, en zoek niet naar allerlei onzin die je zaken niet zijn. Ook geen hogere wiskunde.

Het is hier Tweakers niet Hackforums. Je mag verwachten dat mensen willen leren. Ben ik fan van in dit soort datasets spitten? Eerlijk? Neen. Het liefst krijg je na het lekken te horen wat er exact van jou is gelekt. Dat is bij Odido teveel gevraagd.

[ Voor 19% gewijzigd door Hemingr op 01-03-2026 20:10 ]

PauseBreak schreef op zondag 1 maart 2026 @ 19:27:
[...]


Je kunt er zelf proactief in staan en bijvoorbeeld je bank op de hoogte stellen dat je IBAN gelekt is. Van zowel mijn vrouw als mij is dat het geval, net als alle andere denkbare persoonlijke data. Dus op onze accounts staat nu telefonische verificatie uit en als er iets is moeten we voorlopig naar een kantoor om in persoon te identificeren en dingen akkoord te kunnen geven. Er staat ook een 'hold' op nieuwe automatische incasso's en dergelijke. Die moeten we in de bank app zelf allebei akkoord geven voordat die door kan gaan.

Maar dat zijn dus wel zaken die we zelf hebben moeten regelen. De bank kwam hier niet zelf mee. Dus ik denk ook niet dat andere instanties zelf proactief actie zullen ondernemen, dat moet echt uit jezelf komen.

Voor ons is de risico-inschatting wel wat anders door ons werk, dus daar zullen we ook wat maatregelen moeten gaan nemen. Maar ik denk niet dat de gemiddelde klant zich er zoveel zorgen over hoeft te maken om eerlijk te zijn. Je zult met name meer en beter gepersonaliseerde phishing binnenkrijgen dus je belangrijke dingen overzetten naar een nieuw e-mailadres is misschien wel het minimale dat je zou moeten overwegen. Wel een bitch om te doen trouwens.

Waah schreef op zondag 1 maart 2026 @ 19:10:
Hier helaas alles beschikbaar in de hack. En ik gebruik bijna overal een catch-all constructie voor. Maar odido had ik dit blijkbaar later pas aangepast en zijn de catch-all en mijn hoofdmail dus gelekt.

Best balen, want het blokkeren van "dienstnaam@domein.nl" is een stuk simpeler dan "hoofdemail@domein.nl". Spam was heel makkelijk te herkennen aan het email waar het aan verzonden was. Dat is nu dus voorbij helaas.

SgtElPotato schreef op zondag 1 maart 2026 @ 20:03:
[...]


Dat goedkeuren van incasso's zou wat mij betreft automatisch een goedkeuringslijst moeten zijn in plaats van een blokkadelijst zoals het nu bij de Rabo is. Enkele instanties zoals BD, overheid, banken zouden bij iedereen goedgekeurd moeten zijn, maar de rest niet, alleen goedkeuren via de app of kantoor.

laurens0619 schreef op zondag 1 maart 2026 @ 20:10:
@SgtElPotato
Eens

Hoe enorm verrot dit lek ook is misschien gaat het wel goede zaken teweegbrengen
- herontwerp van het incasso systeem
- herontwerp van telefonische authenticatie

Soms gaat dat laatste al beter trouwens. Als ik mn zorgverzwkering bel dan moet dat uit de app. De app belt dan telnr#7272673
Dat laatste is dan een unieke code die hij doorkiest en zo weet de ks dat ik uit een ingelogde app bel

Mrja dat lukt natuurlijk niet overal, iets uniforms wat ook voor mensen zonder smartphone zou mooi zijn

Jerie schreef op zondag 1 maart 2026 @ 20:17:
[...]


Ik zeg dagelijks tegen mijn kinderen: van fouten maken kun je leren. Toch maken ze nog steeds fouten, dagelijks. We hebben nog een lange weg te gaan. Ik denk dat we zullen moeten gaan naar een authenticatie met overheid (of een stichting die deels gefinancierd wordt met publiek geld), waarbij overheid (of stichting) de partij is die de authenticatie met een derde partij kan regelen. Ofwel een brede uitrol en acceptatie van Yivi. Al die oplossingen hebben wel een nadeel, namelijk SPOF.

Apps zijn gewoon obscurity op de grootste scriptkiddies (die niet uit kunnen vinden hoe deze werkt) buiten de deur te houden. Onzin, bovendien forceer je mensen ook nog eens nog meer richting een ecosysteem. Moeten we niet willen.

Jerie schreef op zondag 1 maart 2026 @ 20:10:
[...]


Da's balen maar een goede reden om af te stappen van hoofdemail@ en enkel nog dienstnaam@ (of variant) gebruiken.

[ Voor 10% gewijzigd door Waah op 01-03-2026 20:31 ]

laurens0619 schreef op zondag 1 maart 2026 @ 20:22:
[...]

Als mensen niet acteren op fouten is het probleem vaak niet groot genoeg voor ze.

Hoe erg dit lek voor vele nu ook is (lijkt?)? Ik ben bang dat het niet groot genoeg is dat er echt zaken gaan veranderen.

Tenzij mensen/bedrijven proactief gaan acteren

Ik zie het in de digitale wereld wel somber in. Je kunt je als aanvaller zo overal doorheen tunnelen/verstoppen, het maakt t lastig.

Waah schreef op zondag 1 maart 2026 @ 20:30:
[...]

De grap is dat ik dat al een tijdje doe. Maar als Odido dan vervolgens het oude emailadres toch bewaart en lekt tja. Dat maakt het lastig in dit specifieke geval.

En als ik mensen persoonlijk ken en die vragen mijn email, geef ik mijn hoofdemail ja ☺️

licon schreef op zondag 1 maart 2026 @ 19:43:
[...]


Ja, btw-nummers, zitten in een bepaald gedeelte in duizenden tegelijk.

Jerie schreef op zondag 1 maart 2026 @ 20:44:
[...]


Client-side(-only) phone number whitelisting is er v.z.i.w. niet. Wel neem ik nooit anonieme telefoontjes op. Je wilt niet zeggen wie jij bent als je belt? Prima, dan hoef ik jou niet te spreken. Ook neem ik internationaal nooit op, tenzij wanneer ik dat verwacht. Maar het is dweilen met de kraan open.

Liever zou ik iets zien zoals met antispam en uBlock. Dat je spammers en scammers kunt crowdsourcen via publieke lijsten, transparant.

jongetje schreef op zondag 1 maart 2026 @ 17:46:
[...]

"Vroeger" was dat de normaalste zaak van de wereld. Als je iemand wilde bellen pakte je het telefoonboek waarin namen, adressen en telefoonnummers stonden. Sterker nog, elk jaar kreeg je een telefoonboek met al deze gegevens gratis in je brievenbus. En weinig mensen vonden dit een probleem.

Jerie schreef op zondag 1 maart 2026 @ 21:07:
[...]
"Vroeger"

[ Voor 70% gewijzigd door rens-br op 02-03-2026 08:23 ]

ArcticWolf schreef op zondag 1 maart 2026 @ 15:23:
[...]

Vraagje, ik heb net alle velden met mijn gegevens nagelopen op knip. [mbr]Zie topic warning[/mbr].

Maar kreeg alleen bij naam, emailadres en telefoonnummer de melding dat die gevonden waren, bij IBAN en fysieke adres kreeg ik dat er niks gevonden was. Kan ik er dan echt van uit gaan dat die 2 zaken niet gelekt zijn? Vind het wel vreemd namelijk als er zoveel records zijn gelekt en deze dan toevallig niet bij mij (opzich vind ik dat niet erg... )

RiDo78 schreef op zondag 1 maart 2026 @ 17:48:
En daar is nummer twee. Wordt door de spamfilter van mijn provider niet herkend.

[Afbeelding]

Meer ga ik er niet posten; want ik verwacht een hele stortvloed aan die rotzooi. Maar het is duidelijk dat de ratjes zich alweer rijk rekenen en vrolijk zijn gaan vissen... Laten we hopen op een minimale vangst.

NicoHF schreef op zondag 1 maart 2026 @ 21:17:
[...]

Ik heb precies hetzelfde op die bepaalde site.
Ben ook benieuwd of Iban en adres dan definitief niet gelekt zijn?

Weet alleen niet hoe ik nu kan checken of rijbewijs nummer gelekt is ja of de nee?

Email adres helaas wel vanochtend, staat ook op Have I Been Pwned.
Gisteren nog niet.

[ Voor 3% gewijzigd door CR2032 op 01-03-2026 21:33 ]

licon schreef op zondag 1 maart 2026 @ 21:12:
[...]


knip

[ Voor 72% gewijzigd door rens-br op 02-03-2026 08:23 ]

CR2032 schreef op zondag 1 maart 2026 @ 21:31:
[...]


Rijbewijzen en nog veel meer kun je ook checken met F-Secure Total. Is een Finse app.
Via Odido kun je een voucher code nu voor 2 jaar gratis krijgen. Aanrader.

https://www.f-secure.com/nl/id-protection

gixslayer schreef op zondag 1 maart 2026 @ 20:34:
Nou, volgens Ben was mijn geboortedatum -niet- gelekt. Net van iemand vernomen dat dit wel degelijk het geval is. Ga je dan toch afvragen wat er nog meer gelekt is, en mogelijk niet eens vrijgegeven aangezien de hackers claimen sommige data achterwege te hebben gehouden.

Communicatie vanuit Ben/Odido heb je dus vrij weinig aan, klopt gewoon letterlijk niet

Er gaat/ging veel mis bij ze, maar letterlijk onjuist, niet eens onvolledig, informeren? Dat is wel erg kwalijk.

CR2032 schreef op zondag 1 maart 2026 @ 21:31:
[...]


Rijbewijzen en nog veel meer kun je ook checken met F-Secure Total. Is een Finse app.
Via Odido kun je een voucher code nu voor 2 jaar gratis krijgen. Aanrader.

https://www.f-secure.com/nl/id-protection

japie06 schreef op zondag 1 maart 2026 @ 20:55:
[...]


Ik ben laatst op deze FOSS app SpamBlocker gestuit. Je kan regex gebruiken, maar ook basis van herhaalde belletjes, of het nummer bekend is in je contacten etc. Ook kan je dus (offline evt) de app een lookup laten doen in bekende spamlijsten.

Voor nu gebruik het ik het alleen om nummers uit bepaalde landen te blokkeren met een simpele regex. Werkt voor mij prima. Maar het is dus best uitgebreid.

NicoHF schreef op zondag 1 maart 2026 @ 21:41:
[...]

Staat daar nu ook de hele Odido database in en kan ik dan het rijbewijs nummer invoeren en dan zie ik of het bekend is?

[ Voor 84% gewijzigd door SMSfreakie op 01-03-2026 22:03 ]

franssie schreef op zondag 1 maart 2026 @ 23:06:
@licon bedoel je SBI sector codes?

JeroenTheStig schreef op zondag 1 maart 2026 @ 23:01:
Mijn emailadres is met de Odido-hack voor de 8e keer gecompromitteerd, dus vond ik het vandaag tijd om mijn online accounts op een andere manier te managen. Mijn huidige emailadres wil ik gaan uitfaseren, ook omdat hier inmiddels een gigantische hoeveelheid spam op binnenkomt. In eerste instantie was ik van plan om Apple's hide my email service in te gaan zetten om per account een uniek, willekeurig emailadres te genereren. Voordeel hiervan is dat adressen in te trekken zijn zodra er spam op terecht komt en je bovendien weet welke organisatie z'n zaakjes niet voor elkaar heeft. Vervelende is dat ik hiermee een vendor lock-in creëer en is dus niet houdbaar voor de lange termijn.

Ik heb daarom een nieuw domein geregistreerd, waar ik een email service aan heb geknoopt. Hierin een catch-all rule toegevoegd die alles wat op het domein binnenkomt naar mijn mailbox wordt geforward. Als een organisatie een adres van mij nodig heeft, bijv. als username of één of andere klantenkaart, dan krijgen ze van mijn een adres die gebaseerd is op de organisatienaam. Wel deterministisch, zodat ze later weer opnieuw herleidbaar zijn, maar als één of meerdere adressen gecompromitteerd worden, zijn adressen voor andere services niet herleidbaar.

In redelijk kort-door-de-bocht pseudo-code doe ik dat als volgt:

code:

1	BIP39(HMAC_SHA256(pepper, organisatienaam), nrOfWords: 3) + '@mydomain.nl'

Script kan in Scriptable app geplaatst worden, zodat ik het direct bij de hand heb op m'n iphone.
Output van het script is bijv. battery-horse-staple@mydomain.nl. Niet direct herleidbaar naar een service/organisatie, ook geen mogelijkheid om voor andere services het adres te herleiden.

Is het overkill? Vast. Maar het helpt mij te reageren op grote fuck-ups van organisaties zoals Odido, zodat ik phishing en spam tegen kan houden.

licon schreef op zondag 1 maart 2026 @ 23:09:
[...]


Ja, dit zijn (geaggregeerde) SBI-sectoren.

licon schreef op zondag 1 maart 2026 @ 23:36:
[...]
knip

[ Voor 17% gewijzigd door rens-br op 02-03-2026 08:22 ]

beyazz06 schreef op maandag 2 maart 2026 @ 00:31:
[...]


İk vind het persoonlijk ook erg krom dat een tech-news site als Tweakers iedere keer weer NOS als bron noemt ipv zelf daadwerkelijk een nieuwsitem te dichten.

Jerie schreef op maandag 2 maart 2026 @ 01:31:
[...]


Probleem met die 'data-analyse' is dat het een alt-right propaganda talking point (zoals deze (bron: lees mijn boek )) is dat ik al eerder in dit topic heb aangekaart, inclusief de haken en ogen. Het is ook niet te bewijzen of te ontkrachten. Want de data is proprietary; bezit is immers strafbaar. Dat is ook exact het probleem met AI: blackbox says no. We hoeven nog net niet richting Silicon Valley te knielen.

En dit vind ik ook veel te ver gaan, dit soort data analyses. Die van @licon zijn relatief harmless, maar er valt iets te zeggen om ook dat niet te willen (tegenpartij leest ook mee). Balen, want je weet dat er in allerlei (lichte|schemer|donkere) krochten (white|grey|black)hats zijn die dit bespreken. NOS heeft wel de ballen het te bespreken, hulde voor Joost Schellevis + collegae. Maar het ligt niet aan de redactie alhier; het ligt aan de laag boven hen.

Jerie schreef op maandag 2 maart 2026 @ 01:08:
[...]
En je gaat targeted scamming krijgen. Die is m.i. nog enger (ik ben immers veel te intelligent om in zo'n massa scam te vallen!!!11 wij allemaal, toch??!!??!!). Even, ... waarom enger? Omdat je hierbij afhankelijk bent van hoe goedgelovig derde partijen zijn. Je hebt het niet zelf in de hand, maar kunt wel so worden.

[ Voor 21% gewijzigd door Harold Finch op 02-03-2026 03:57 ]

Harold Finch schreef op maandag 2 maart 2026 @ 03:29:
[...]

Dit is inderdaad best eng, ja. Hier maak ik mij denk ik ook de meeste zorgen over. Alles valt of staat met een goede verificatie bij de helpdesk. Een helpdeskmedewerker zal op op een of andere moeten vaststellen dat de ander daadwerkelijk een klant is. Dat gebeurt echter lang niet altijd voldoende is mijn indruk.

PS Ik zie bijvoorbeeld bij een niet nader te noemen hostingpartij dat je kan opzeggen via e-mail. Dat lijkt me vragen om problemen.

franssie schreef op maandag 2 maart 2026 @ 01:05:
[...]

Ik denk dat ze niet mogen van de juridische afdeling. Prima toch?
Ik ga morgen mijn eigen onderzoek doen zoals vele tweakers ook al deden.
Wel grappig - de politie dossiers en tweak2Jhon hacks indachtig

[ Voor 16% gewijzigd door beyazz06 op 02-03-2026 05:44 ]

mrmrmr schreef op maandag 2 maart 2026 @ 00:02:
[...]
De bottleneck voor zulke grote bestanden is het geheugen. Niet iedereen heeft 128GB RAM geheugen en steeds een stukje I/O en dan weer intensief processorgebruik is inefficiënt. Dat is wel wat de meeste tools zullen doen, bij iedere zoekactie opnieuw.

[ Voor 15% gewijzigd door licon op 02-03-2026 06:50 ]

saikol schreef op maandag 2 maart 2026 @ 07:04:
Is er ook bekend welke data er gelekt is?

Tweakers bijvoorbeeld spreekt over ‘identiteitsbewijzen en rijbewijzen’ gaat dit dat echt om de fotokopieën of alleen de documentnummers? Odido zegt dat deze NIET gelekt zijn, maar dat zeiden ze van wachtwoorden ook.

Oftewel ik zoek bevestiging hiervan van een andere partij dan odido .

beyazz06 schreef op maandag 2 maart 2026 @ 05:40:
[...]
İndien NOS het kan, waarom een tech-site als Tweakers niet denk ik dan..

breinonline schreef op maandag 2 maart 2026 @ 07:13:
[...]

Omdat NOS serieuze journalistiek als een publieke taak ziet en DPG Media alleen op winst uit is. Die willen op dit vlak geen risico lopen dat het hun winst aantast.

Xtinction89 schreef op maandag 2 maart 2026 @ 07:30:
Ik ben meer dan 2 jaar geleden overgestapt maar heb toch een e-mail of sms ontvangen. Hoe kan dat?
Odido hanteert in het systeem een termijn van 2 jaar nadat alle wederzijdse verplichtingen zijn afgehandeld. Had je na je overstap nog openstaande rekeningen, servicevragen die nog niet afgehandeld waren, dan is de 2 jaar gestart op het moment dat rekeningen betaald zijn en vragen afgehandeld waren.

Bovenstaande staat op de website van Odido.
Ik ben al meer dan 8 jaar geen klant meer bij Odido, toch zitten mijn gegevens er ook bij.

Rekeningen altijd gewoon maandelijks betaald, en kan me geen servicevraag herinneren. Logisch ook natuurlijk na al die jaren

jongetje schreef op maandag 2 maart 2026 @ 07:54:
Ik lees een hoop "paniek" van zakelijke klanten. Maar precies de info die gelekt is, is toch informatie die de KvK al jaren gewoon verkoopt aan iedereen die ze maar betaald?

Jerie schreef op zondag 1 maart 2026 @ 23:12:
[...]


Dit is een goede suggestie. Ik hoop dat meer mensen soortgelijke schema's aannemen.

[ ... ]

Wel nog een kanttekening:

Een dergelijk email adres overtikken of telefonisch dooregeven is foutgevoelig. Dan kun je beter een wat kortere gebruikersnaam gebruiken. Maar, A for effort. Raden gaat niet lukken (mits met geen username iteration kan doen op de MTA of webmail enz?)

ooo.. en een aspergesoep voor de tag.

ericplan schreef op maandag 2 maart 2026 @ 08:06:
Kijk, zo kan het dus ook. Niets bewaren wat je niet meer nodig hebt. Netjes van de NEN

[Afbeelding]

Intercity schreef op maandag 2 maart 2026 @ 02:09:
[...]

Waar ik meer bedoelde is dat je weet dat er voldoende AI/ML-modellen op getraind zullen worden

RiDo78 schreef op maandag 2 maart 2026 @ 08:52:
[...]

Het feit dat ze dat proactief communiceren betekent vaak dat ze er over hebben nagedacht en een proces hebben opgezet om dat te regelen. Dus de kans dat ze die belofte niet waarmaken acht ik vrij klein. Ze hadden dat mailtje ook niet hoeven sturen; het kost alleen maar geld om die functionaliteit aan te kunnen bieden (ontwikkellen, email template opstellen, enz).

RiDo78 schreef op maandag 2 maart 2026 @ 08:49:
[...]

Ik weet niet of dit is wat hij bedoeld, maar technisch gesproken kan een mailserver kan drie dingen doen wanneer een emailadres in een aangeboden email (voor een domain waar hij zelf verantwoordelijk is) niet bestaat:
1 - Direct weigeren - de verzendende mailserver weet dan meteen dat de mail niet afgeleverd kan worden en afhankelijk van de instelling bij de ontvangende server ook waarom)
2 - Accepteren en zelf een foutmelding terugsturen - de verzendende mailserver denkt dan succesvol afgeleverd te hebben, maar de afzender wordt wel op de hoogte gebracht
3 - Accepteren en stilletjes weggooien - De mail lijkt afgeleverd te zijn en er is geen response wat het tegendeel bewijst.

Met optie 1 lever je dus gewoon een mailtje aan met een hele lijst aan ontvangers voor dat domain en je ziet meteen welke wel en niet geaccepteerd worden. Bovendien kan de afzender een vals afzenderadres gebruiken. Met optie 2 is het al wat lastiger, al is daar is vast ook wel tooling voor te vinden. Maar dan moet de afzender wel een valide afzenderadres gebruiken anders krijgt hij de foutrapporten niet. Optie 3 spreekt voor zich.

RiDo78 schreef op maandag 2 maart 2026 @ 08:49:
2 - Accepteren en zelf een foutmelding terugsturen - de verzendende mailserver denkt dan succesvol afgeleverd te hebben, maar de afzender wordt wel op de hoogte gebracht

JeroenTheStig schreef op zondag 1 maart 2026 @ 23:01:
Mijn emailadres is met de Odido-hack voor de 8e keer gelekt, dus vond ik het vandaag tijd om mijn online accounts op een andere manier te managen. Mijn huidige emailadres wil ik gaan uitfaseren, ook omdat hier inmiddels een gigantische hoeveelheid spam op binnenkomt. In eerste instantie was ik van plan om Apple's hide my email service in te gaan zetten om per account een uniek, willekeurig emailadres te genereren. Voordeel hiervan is dat adressen in te trekken zijn zodra er spam op terecht komt en je bovendien weet welke organisatie z'n zaakjes niet voor elkaar heeft. Vervelende is dat ik hiermee een vendor lock-in creëer en is dus niet houdbaar voor de lange termijn.

Ik heb daarom een nieuw domein geregistreerd, waar ik een email service aan heb geknoopt. Hierin een catch-all rule toegevoegd die alles wat op het domein binnenkomt naar mijn mailbox wordt geforward. Als een organisatie een adres van mij nodig heeft, bijv. als username of één of andere klantenkaart, dan krijgen ze van mijn een adres die gebaseerd is op de organisatienaam. Wel deterministisch, zodat ze later weer opnieuw herleidbaar zijn, maar als één of meerdere adressen lekken, zijn adressen voor andere services niet herleidbaar.

In redelijk kort-door-de-bocht pseudo-code doe ik dat als volgt:

code:

1	BIP39(HMAC_SHA256(pepper, organisatienaam), nrOfWords: 3) + '@mydomain.nl'

Script kan in Scriptable app geplaatst worden, zodat ik het direct bij de hand heb op m'n iphone.
Output van het script is bijv. battery-horse-staple@mydomain.nl. Niet direct herleidbaar naar een service/organisatie, ook geen mogelijkheid om voor andere services het adres te herleiden.

Is het overkill? Vast. Maar het helpt mij te reageren op grote fuck-ups van organisaties zoals Odido, zodat ik phishing en spam tegen kan houden.

nafofella schreef op maandag 2 maart 2026 @ 11:16:
[...]

ik zie alleen hele oude leaks waar mijn email in zit terwijl bij haveibeenpowned ik er gewoon in sta.
En ik heb een normaal nordvpn account.

Cubico schreef op maandag 2 maart 2026 @ 11:23:
[...]

Ik had een oude leak van twitter en een nieuwe van Odido. Maar bij Odido mis ik de 06 en identieteit, die zaten wel weer bij HIBB.

Jerie schreef op zondag 1 maart 2026 @ 22:13:
[...]


Hier wil ik ook nog even op reageren. Je suggesties zijn noemenswaardig en hebben een goede bedoeling, maar qua telefoonnummer is er wel een probleempje.

Een nieuw, schoon nummer met kengetal, dat gaat wel lukken. 06? No... friggin' way. Gaat niet lukken. Net zoals IPv4. Die zijn er niet schoon, forget it.

Moet je het dan niet proberen? Het kan misschien beter worden? Da's fair enough, een heldere keuze. Maar wees wel eerlijk over de verwachtingen, dan is de potentiële teleurstelling kleiner.