Odido waarschuwt voor datalek (cyberaanval/hack)

Er zijn echt veel meldingen hier van oud klanten die niet geïnformeerd zijn. Dus dat Odido iedereen heeft benaderd is gewoon onzin. Welke klanten er wel benaderd zijn is de vraag. Als je alleen al ziet dat hier de nodige mensen niets hebben gehad, vermenigvuldig dat met x100 voor mensen die niet op tweakers zitten.

Lord_Dain schreef op donderdag 5 maart 2026 @ 20:19:
Er zijn echt veel meldingen hier van oud klanten die niet geïnformeerd zijn. Dus dat Odido iedereen heeft benaderd is gewoon onzin. Welke klanten er wel benaderd zijn is de vraag. Als je alleen al ziet dat hier de nodige mensen niets hebben gehad, vermenigvuldig dat met x100 voor mensen die niet op tweakers zitten.

Sterker nog, ik heb de email ontvangen als 'oud-klant' en dat ik slachtoffer zou zijn omdat ik minder dan 2 jaar geleden klant ben geweest (en dat klopt, ik ben 1x tussendoor naar KPN gewisseld).

De grap is dat ik momenteel 2 Odido abonnementen heb en 1 Ben. Ik denk dat ze in de toekomst konden kijken...

Hoe weet ik of ik betrokken ben bij het datalek?

Meteen na de cyberaanval hebben we contact opgenomen met de klanten van wie we hebben vastgesteld dat zij getroffen zijn. Ons onderzoek loopt nog. Naarmate dit vordert, krijgen we een steeds beter beeld van welke klanten mogelijk ook zijn geraakt.

Blijkt uit ons onderzoek dat jouw gegevens zijn getroffen en heb je hierover nog geen bericht van Odido ontvangen? Dan nemen we vanzelf rechtstreeks contact met je op.

Koudvuur schreef op donderdag 5 maart 2026 @ 20:25:
Hoe weet ik of ik betrokken ben bij het datalek?

Meteen na de cyberaanval hebben we contact opgenomen met de klanten van wie we hebben vastgesteld dat zij getroffen zijn. Ons onderzoek loopt nog. Naarmate dit vordert, krijgen we een steeds beter beeld van welke klanten mogelijk ook zijn geraakt.

Blijkt uit ons onderzoek dat jouw gegevens zijn getroffen en heb je hierover nog geen bericht van Odido ontvangen? Dan nemen we vanzelf rechtstreeks contact met je op.

Ja mooi he, staat gewoon op diezelfde pagina.

word je ook geinformeerd als je data niet is gevonden in de dataset? zouden ze niet iedere klant en oudklant moeten informeren?

Oliebolleke schreef op donderdag 5 maart 2026 @ 21:15:
word je ook geinformeerd als je data niet is gevonden in de dataset? zouden ze niet iedere klant en oudklant moeten informeren?

Drie reacties terug zegt @Koudvuur daar al iets over. Er is nog niet duidelijk wie er nou precies getroffen zijn. Als dit binnenkort wel duidelijk is, dan weet Odido automatisch wie er niet getroffen zijn. Wordt vervolgd.

Oliebolleke schreef op donderdag 5 maart 2026 @ 21:15:
word je ook geinformeerd als je data niet is gevonden in de dataset? zouden ze niet iedere klant en oudklant moeten informeren?

Als je als oudklant wordt verwijderd (zoals ze zouden moeten doen), dan is het lastig informeren...

IJsbeer schreef op donderdag 5 maart 2026 @ 21:27:
[...]

Als je als oudklant wordt verwijderd (zoals ze zouden moeten doen), dan is het lastig informeren...

dan is de vraag of ze dat doen, is de bewaartermijn niet iets van 7 jaar bij financiele informatie ofso. gaan ze dan met de billen bloot of informeren ze niet! dat zou een dilemma zijn..

IJsbeer schreef op donderdag 5 maart 2026 @ 21:27:
[...]

Als je als oudklant wordt verwijderd (zoals ze zouden moeten doen), dan is het lastig informeren...

En zeker als je na die tijd een ander e-mail adres of telefoonnummer hebt…

Gr4mpyC3t schreef op donderdag 5 maart 2026 @ 21:25:
[...]


Drie reacties terug zegt @Koudvuur daar al iets over. Er is nog niet duidelijk wie er nou precies getroffen zijn. Als dit binnenkort wel duidelijk is, dan weet Odido automatisch wie er niet getroffen zijn. Wordt vervolgd.

Hoe wordt dit duidelijk dan? Lijkt mij dat het CRM systeem iedere klant raakt of zijn het alleen de gemigreerde klanten naar salesforce?

Oliebolleke schreef op donderdag 5 maart 2026 @ 21:39:
[...]

Hoe wordt dit duidelijk dan? Lijkt mij dat het CRM systeem iedere klant raakt of zijn het alleen de gemigreerde klanten naar salesforce?

Ik weet het oprecht niet. Dat is allemaal onbekend en er is vooralsnog geen informatie beschikbaar dat het één of ander uitsluit/bevestigd.

SgtElPotato schreef op donderdag 5 maart 2026 @ 19:14:
Het is niet precies bekend. Ja het is bekend wat er gelekt is, maar het is niet bekend of er nu meer gestolen is of niet. Daarnaast als je 6,5m mensen gaat mailen kan het zijn dat je soms in de spam terecht komt.

Als dat zo zou zijn moet je daar rekening mee houden. Dan gebruik je bijvoorbeel de post om mensen te informeren.

De verzender moet in de emaillogs bijhouden welke adressen geen email bezorgbaar was. Eventuele blacklistproblemen moeten worden opgelost en onderbroken mailings moeten worden hervat.

Gr4mpyC3t schreef op donderdag 5 maart 2026 @ 17:17:
[...]


Heb je een idee hoe deze mensen jou en mij als klant kunnen helpen? Wat verwacht je precies?

SgtElPotato schreef op donderdag 5 maart 2026 @ 17:42:
[...]


Begrijpelijk dat je zo reageert, en dat is prima als je verder geen kennis hebt. Maar het is aannemelijk dat ze niet reageren en delen omdat er een zaak bezig is, al dan niet intern al dan niet waarbij het OM betrokken is.

Ze hebben een mail gestuurd met de toen bekende data die ze voorhanden hadden. Nou, dat was dus ook niet goed want er was blijkbaar meer gelekt. En SH zegt dat ze ook nog niet alles hebben vrij gegeven, dus het is wellicht nog niet eens duidelijk wat er op straat ligt.

Ze kunnen in dit geval beter te weinig communiceren dan teveel en achteraf nog meer problemen en paniek veroorzaken, maar dat snap je zelf ook wel.

Ik snap dat er in 1.500 reacties wel eens wat ondersneeuwt en je niet alles leest of onthoudt, vandaar een link naar mijn eerdere post met dat wat IK van Odido verwacht: DjoeC in "Odido waarschuwt voor datalek (cyberaanval/hack)"

mrmrmr schreef op donderdag 5 maart 2026 @ 22:52:
[...]


Als dat zo zou zijn moet je daar rekening mee houden. Dan gebruik je bijvoorbeel de post om mensen te informeren.

De post. Want dan komt het wel goed met een paar miljoen brieven. Natuurlijk!

De verzender moet in de emaillogs bijhouden welke adressen geen email bezorgbaar was. Eventuele blacklistproblemen moeten worden opgelost en onderbroken mailings moeten worden hervat.

Moet? Van wie?

Odido moet dit, Odido moet dat. Odido heeft gedaan wat ze moeten doen, de rest horen we vast nog wel. Of niet.

ernstoud schreef op donderdag 5 maart 2026 @ 23:02:
De post. Want dan komt het wel goed met een paar miljoen brieven. Natuurlijk!

De wet schrijft niet voor hoe er geïnformeerd moet worden, maar wel dat er geïnformeerd wordt. Je mag ook bij iedereen langsgaan als je dat graag wil.

Moet? Van wie?

Best current mass mailing practices en de wet, als je eenmaal deze methode gekozen hebt.

Linksom of rechtsom zul je moeten monitoren en bijhouden of er inderdaad is bezorgd. Als je best practices niet volgt mag je verklaren waarom je het beter weet, en wat je dan gaat doen om te alsnog te voldoen aan de wet.

mrmrmr schreef op donderdag 5 maart 2026 @ 23:14:
[...]

Best current mass mailing practices en de wet, als je eenmaal deze methode gekozen hebt.

Linksom of rechtsom zul je moeten monitoren en bijhouden of er inderdaad is bezorgd. Als je best practices niet volgt mag je verklaren waarom je het beter weet, en wat je dan gaat doen om te alsnog te voldoen aan de wet.

Ik ben altijd nieuwsgierig, dus stelt me dit erg teleur:



Welke wetgeving bedoel je?

In de AVG staat hier niets over (art. 34 lid 1).

[ Voor 43% gewijzigd door ernstoud op 05-03-2026 23:38 ]

ernstoud schreef op donderdag 5 maart 2026 @ 23:33:
Ik ben altijd nieuwsgierig, dus stelt me dit erg teleur:

Het gaat hier met name om het bijhouden van delivery en deliverability. Je let op bounces, zowel tijdens de SMTP sessie als non-delivery berichten. Daarmee weet je of mailings gericht aan bepaalde personen wel of niet zijn bezorgd, waarmee je stappen kan ondernemen om alsnog te bezorgen of een alternatieve manier van communiceren te vinden.

Het voert te ver om dit hier uitgebreid uit te leggen. Delivery monitoring maakt deel uit van best practices. Nogmaals: als je geen best practices volgt heb je wat uit te leggen.

Mass mailing en deliverability is een vakgebied op zichzelf, dus denk niet dat je dat met een paar minuten googlen onder de knie hebt. Er zijn mass mailing management tools nodig en een domein and IP reputatie.

---

Het is slecht dat Odido oude persoonsgegevens heeft bewaard waardoor potentieel communiceren wordt bemoeilijkt. Men gaf aan in de privacyverklaring de data te bewaren voor deze termijnen: 2 jaar voor persoonsgegevens (daar wordt geen overtuigende verklaring voor gegeven), 5 jaar voor kredieten (indien afgelost, ook hier: geen noodzaak), 7 jaar voor facturen (Belastingdienst). Maar dat is duidelijk niet gebeurd als er data uit 2011 is. Dat is een overtreding van de AVG. De bewaartermijn moet ervoor zorgen dat de impact van lekken wordt beperkt.

mrmrmr schreef op vrijdag 6 maart 2026 @ 00:46:
[...]


Het gaat hier met name om het bijhouden van delivery en deliverability. Je let op bounces, zowel tijdens de SMTP sessie als non-delivery berichten. Daarmee weet je of mailings gericht aan bepaalde personen wel of niet zijn bezorgd, waarmee je stappen kan ondernemen om alsnog te bezorgen of een alternatieve manier van communiceren te vinden.

Het voert te ver om dit hier uitgebreid uit te leggen. Delivery monitoring maakt deel uit van best practices. Nogmaals: als je geen best practices volgt heb je wat uit te leggen.

Mass mailing en deliverability is een vakgebied op zichzelf, dus denk niet dat je dat met een paar minuten googlen onder de knie hebt. Er zijn mass mailing management tools nodig en een domein and IP reputatie.

Ok. Maar wat heeft dit dan met Odido te maken?

Het is slecht dat Odido oude persoonsgegevens heeft bewaard waardoor potentieel communiceren wordt bemoeilijkt. Men gaf aan in de privacyverklaring de data te bewaren voor deze termijnen: 2 jaar voor persoonsgegevens (daar wordt geen overtuigende verklaring voor gegeven), 5 jaar voor kredieten (indien afgelost, ook hier: geen noodzaak), 7 jaar voor facturen (Belastingdienst). Maar dat is duidelijk niet gebeurd als er data uit 2011 is. Dat is een overtreding van de AVG. De bewaartermijn moet ervoor zorgen dat de impact van lekken wordt beperkt.

Dat weten we allemaal al. De AP gaat onderzoek doen. Dat zal wel even duren en moeten we gewoon afwachten.

Vermoeden is dat er bij invoering van Salesforce geen sanitation heeft plaatsgevonden en data uit oude systemen geïmporteerd is. En data geïmporteerd is zonder enige waarde. Zoals mijn zakelijk e-mail adres gebruikt 3 jaar voor het bestellen van een prepay SIM. Zonder contract dus.

We gaan het hopelijk een keer horen. Maar zelfs dan zal er veel ook onbekend blijven.

ernstoud schreef op vrijdag 6 maart 2026 @ 01:31:
Ok. Maar wat heeft dit dan met Odido te maken?

Kort van geheugen? Dat heb ik al aangegeven. Lees het even terug.