Odido waarschuwt voor datalek (cyberaanval/hack)

Herman schreef op vrijdag 13 maart 2026 @ 10:48:
Vanuit Odido verwacht ik zelf geen eerlijk en transparant verhaal.

Ik ben inmiddels op het punt dat ik van hen helemaal niets meer verwacht. Hun hele houding wijst erop dat ze net zo lang negeren en stilte vasthouden, totdat de meute het hopelijk vergeten is.

Herman schreef op vrijdag 13 maart 2026 @ 10:48:
[...]

Als dit verhaal klopt, dan heeft Odido m.i. wel enkele serieuze vragen te beantwoorden. Hoe komt het dat via een account van een simpele medewerker zoveel data buitgemaakt kon worden? Hoezo is deze database niet beveiligd tegen scraping?

Hopelijk dat via de media meer duidelijkheid komt over deze hack. Vanuit Odido verwacht ik zelf geen eerlijk en transparant verhaal.

En het bewijst daarnaast vooral dat ze gewoonweg de architectuur niet op orde hebben. Als hackers 2 dagen lang rond kunnen klooien in je systemen, miljoenen records buit kunnen maken en je als bedrijf daarvan niets merkt dan is er meer mis dan alleen een medewerker die hiervoor gevallen is.

Het is een cultuur-ding, niets meer, niets minder. En die cultuur wijzig je niet overnight, dat zal moeten gebeuren door grotere ingrepen.

NiGeLaToR schreef op vrijdag 13 maart 2026 @ 10:02:
[...]


Ik word ondertussen dagelijks gebeld door NL 06-nummers met vreemde lui, computers of soms gewoon alleen maar geluid van mensen.

Ben al een tijd geen klant meer, maar zat wel in de breached data en kan nu m'n telefoon wel op niet storen zetten de komende tijd. Kansloos.

Ik snap daar helemaal niks van... Ik zat ook in de hack maar heb nog geen enkele rara email of telefoon gehad op wat dan ook uit dat Odido lek.

Weet je 100% zeker dat Odido de oorzaak is? Er zijn momenteel wel weer een aantal hele lange, persistente spamruns voor allerlei zut bezig maar die gaan naar "oude" gelekte en/of van websites gescrapte gegevens.....

Ik snap daar helemaal niks van... Ik zat ook in de hack maar heb nog geen enkele rara email of telefoon gehad op wat dan ook uit dat Odido lek.

Denk ook dat het een beetje pech/geluk hebben is. Staat je e-mail bijvoorbeeld ook in een lek van, ik zeg maar wat, een crypto-site... dan hebben ze nu je telefoonnummer.

DjoeC schreef op vrijdag 13 maart 2026 @ 11:15:
[...]

Ik snap daar helemaal niks van... Ik zat ook in de hack maar heb nog geen enkele rara email of telefoon gehad op wat dan ook uit dat Odido lek.

Weet je 100% zeker dat Odido de oorzaak is? Er zijn momenteel wel weer een aantal hele lange, persistente spamruns voor allerlei zut bezig maar die gaan naar "oude" gelekte en/of van websites gescrapte gegevens.....

Nee natuurlijk weet ik dat niet zeker. Niemand van de mafkezen/oplichters/computers die aan de lijn komt geeft toe hoe ze aan mijn gegevens komen

Het is alleen wel sinds een week of 3-4 enorm toegenomen, maar was daarvoor ook al eens gaande. Het zijn nu alleen niet alleen Britse mompelaars, maar steevast NL-06-nummers.

Mijn telnummer heb ik al 25+ jaar, dus tjah. Ik vind het in ieder geval apart dat het nu zoveel belletjes zijn van dit specifieke type na dit specifieke incident.

De echte schuldige is ook de wetgever die geweigerd heeft spoofing te verbieden en onmogelijk te laten maken, zoals ze in België wel gedaan hebben.

@Keypunchie zoveel bedrijven hebben zoveel data gelekt inmiddels dat als ik iets niet meer weet het antwoord altijd op het darkweb te vinden is

[ Voor 6% gewijzigd door NiGeLaToR op 13-03-2026 11:32 ]

Keypunchie schreef op vrijdag 13 maart 2026 @ 11:29:
[...]


Denk ook dat het een beetje pech/geluk hebben is. Staat je e-mail bijvoorbeeld ook in een lek van, ik zeg maar wat, een crypto-site... dan hebben ze nu je telefoonnummer.

Tja, mijn probleem is een beetje - zonder de Odido hack te bagatelliseren - dat het lijkt alsof alles dat nu gebeurt aan de Odido hack gekoppeld wordt terwijl dat in heel veel gevallen niet aantoonbaar zo is.

DjoeC schreef op vrijdag 13 maart 2026 @ 11:32:
[...]

Tja, mijn probleem is een beetje - zonder de Odido hack te bagatelliseren - dat het lijkt alsof alles dat nu gebeurt aan de Odido hack gekoppeld wordt terwijl dat in heel veel gevallen niet aantoonbaar zo is.

Het is zeker een causaal verband - waarbij ze wel in 1 x meer info gelekt hebben van mij dan elk ander bedrijf ooit in 1 keer kwijt geraakt is.

Kan het ook omdraaien: hoe weet ik dat ze niet die data gebruiken voor deze masala phishing etc pogingen?

(vorig weekend stond ik hout te versnipperen en liet ik het ding draaien met de mededeling dat ik een lichaam aan het versnipperen was, of ze nog even wilde blijven hangen. Hingen ze op. Maar het beste van maken )

Chorro schreef op vrijdag 13 maart 2026 @ 11:03:
[...]


Ik ben inmiddels op het punt dat ik van hen helemaal niets meer verwacht. Hun hele houding wijst erop dat ze net zo lang negeren en stilte vasthouden, totdat de meute het hopelijk vergeten is.

Ze zijn nog steeds bezig met het onderzoek. Nogal logisch dat ze geen / weinig uitspraken doen terwijl het nog loopt. Daarnaast doet AP ook eigen onderzoek, en ook het Openbaar Ministerie. Wacht nu gewoon eerst af wat er uit het onderzoek komt.

NiGeLaToR schreef op vrijdag 13 maart 2026 @ 11:31:
[...]


Nee natuurlijk weet ik dat niet zeker. Niemand van de mafkezen/oplichters/computers die aan de lijn komt geeft toe hoe ze aan mijn gegevens komen

Het is alleen wel sinds een week of 3-4 enorm toegenomen, maar was daarvoor ook al eens gaande. Het zijn nu alleen niet alleen Britse mompelaars, maar steevast NL-06-nummers.

Mijn telnummer heb ik al 25+ jaar, dus tjah. Ik vind het in ieder geval apart dat het nu zoveel belletjes zijn van dit specifieke type na dit specifieke incident.

De echte schuldige is ook de wetgever die geweigerd heeft spoofing te verbieden en onmogelijk te laten maken, zoals ze in België wel gedaan hebben.

@Keypunchie zoveel bedrijven hebben zoveel data gelekt inmiddels dat als ik iets niet meer weet het antwoord altijd op het darkweb te vinden is

Ik snap wat je zegt. Ik heb ook bijna 30 jaar hetzelfde 06 nummer (ooit bij Dutchtone in Amsterdam gekocht) maar krijg helemaal niets. Een verschil is mogelijk dat ik het nummer altijd anoniem gebruikt heb en alleen in minimale gevallen heb gedeeld met "buitenstaanders"/bedrijven. Overigens, ik bel ook van "vast" anoniem en krijg daar ook maar heel weinig spam.

Spamming in allerlei vormen is de laatste maanden inderdaad flink toegenomen maar ik kan aangeven dat dat niets met Odido te maken heeft. Wel heel direct met het lek van (o.a.) Ticketcounter uit 2021. En alle info@domeinnaam email adressen worden volop gespamd ook al zijn die nooit gebruikt.

Ze zijn nog steeds bezig met het onderzoek. Nogal logisch dat ze geen / weinig uitspraken doen terwijl het nog loopt.

Bezig met het onderzoek. Nou, de beste externe experts ingehuurd hoor!

Het is gewoon codetaal voor: "we zijn doodsbang voor juridische gevolgen en aansprakelijkheid, dus we houden ons zo stil mogelijk."

Dit heeft niks met "belang van onderzoek" of "belang van de klant" te maken, en alles met "belang van Odido".

edie schreef op vrijdag 13 maart 2026 @ 11:37:
Ze zijn nog steeds bezig met het onderzoek. Nogal logisch dat ze geen / weinig uitspraken doen terwijl het nog loopt. Daarnaast doet AP ook eigen onderzoek, en ook het Openbaar Ministerie. Wacht nu gewoon eerst af wat er uit het onderzoek komt.

Het is niet logisch dat slachtoffers nog steeds niet allemaal geïnformeerd zijn. Het onverwijld informeren van slachtoffers is wettelijk verplicht.

De gelekte gegevens zijn gewoon door iedereen te downloaden. Na verificatie tussen deze gelekte records en de aanwezige records kan iedereen worden geïnformeerd. Dat had vorige week gebeurd moeten zijn.

Ik kan één geldige reden bedenken waarom niet iedereen geïnformeerd zou zijn, en dat is als er records zijn verwijderd waardoor deze verificatie niet meer mogelijk is. Maar ook dan zou je verwachten dat er backups bestaan. Door uitbesteding heeft men misschien niet de controle hierover. Dat zou dan een systemische fout zijn. Je moet e.e.a. zodanig inrichten (geldt ook voor uitbestedingen) dat je die controle wel hebt.

Wat betreft de Salesforce tool die de criminelen noemen in het NRC artikel:
https://www.salesforceben...esforce-experience-cloud/

De security adviezen van Salesforce:
https://www.salesforce.co...-cloud-guest-user-access/

mrmrmr schreef op vrijdag 13 maart 2026 @ 12:02:
[...]
Ik kan één geldige reden bedenken waarom niet iedereen geïnformeerd zou zijn, en dat is als er records zijn verwijderd waardoor deze verificatie niet meer mogelijk is.
[...]

Een andere mogelijke reden: mensen actief benaderen zorgt voor een golf aan vragen, klachten, claims en kritiek, terwijl de Odido servicedesk nu al overbelast is vermoed ik.

Keypunchie schreef op vrijdag 13 maart 2026 @ 11:57:
[...]

Bezig met het onderzoek. Nou, de beste externe experts ingehuurd hoor!

Het is gewoon codetaal voor: "we zijn doodsbang voor juridische gevolgen en aansprakelijk, dus we houden ons zo stil mogelijk."

Dit heeft niks met "belang van onderzoek" of "belang van de klant" te maken, en alles met "belang van Odido".

Invullen is eitje. We weten de waarheid niet, maar vanuit zakelijk oogpunt snap ik ze.

edie schreef op vrijdag 13 maart 2026 @ 11:37:
[...]

Ze zijn nog steeds bezig met het onderzoek. Nogal logisch dat ze geen / weinig uitspraken doen terwijl het nog loopt. Daarnaast doet AP ook eigen onderzoek, en ook het Openbaar Ministerie. Wacht nu gewoon eerst af wat er uit het onderzoek komt.

Dit is er een beetje ingesleten, maar wat staat een onderneming in de weg om tussenrapportages uit te brengen? Zo van, dit weten we nu en dit zijn de bevindingen zover. Odido is geen beursgenoteerd bedrijf dus er zijn zelfs vanuit die kant geen regels omtrent openbaarmaking. Het "we wachten op onderzoek" is in dit geval een vertragingstechniek om te wachten totdat deze grote donkere wolk (het liefst met zo weinig mogelijk kleerscheuren) voorbij is getrokken. Ze hopen dat over pak 'm beet twee jaar iedereen dit gebeuren weer is vergeten, het onderzoeksrapport ligt ergens in een la en Odido kan alsnog naar de beurs.

dutchnltweaker schreef op donderdag 12 februari 2026 @ 20:11:
https://community.odido.n...s-de-bewaartermijn-383104 hier zegt iemand op het odido forum dat die gene al 13 jaar geen klant is en toch zijn er gegevens gelekt? Hoe zit dat nu, zolang mogen ze toch je gegevens niet bewaren? Wat ik apart vind is, ik had voor 1 maand een Ben sim only eind 2024/begin 2025. En toch krijg ik van Ben een email dat mijn gegevens zijn gelekt, ik neem aan dat die gegevens niet eindig opgeslagen staan toch?

Het mooie is dat mijn en mijn vriendin haar gegevens gelekt zijn, terwijl wij nooit klant zijn geweest bij Odido . Wel bij voorgangers Tmobile en Tele2.
In sept. 2020 ben ik weggegaan bij tele2. Dus Odido bewaard mijn gegevens al 5,5 jaar terwijl er in 2021 al een verzoek van mijn kant uit is geweest om deze gegevens uit hun systeem te halen.
Gelukkig zijn er in tussentijd al wat id's en rijbewijzen vernieuwd, maar dit gaat helemaal nergens over.

[ Voor 5% gewijzigd door vincedd op 13-03-2026 12:56 ]

DjoeC schreef op vrijdag 13 maart 2026 @ 11:32:
[...]

Tja, mijn probleem is een beetje - zonder de Odido hack te bagatelliseren - dat het lijkt alsof alles dat nu gebeurt aan de Odido hack gekoppeld wordt terwijl dat in heel veel gevallen niet aantoonbaar zo is.

Bij mij is mijn telefoonnummer, adres, rijbewijs nummer en mailadres gelekt - bevestigd door mijzelf op te zoeken in die dataset. Sinds het lek nog 0 vreemde telefoontjes of spam / vage mailtjes ontvangen.

Voor e-mail heb ik een mailadres gebruikt dat ik enkel voor Odido gebruik, dus ALS een spammail binnenkomt dan weet ik daardoor ook zeker of dat wel of niet uit dat Odido-lek komt. En tot dusver nog niets.

Ofwel, ook ik zie nog geen aanwijzingen dat de data uit het Odido-lek daadwerkelijk is gebruikt.

Keypunchie schreef op vrijdag 13 maart 2026 @ 11:57:
[...]

Bezig met het onderzoek. Nou, de beste externe experts ingehuurd hoor!

Het is gewoon codetaal voor: "we zijn doodsbang voor juridische gevolgen en aansprakelijkheid, dus we houden ons zo stil mogelijk."

Dit heeft niks met "belang van onderzoek" of "belang van de klant" te maken, en alles met "belang van Odido".

Nee hoor. Het is gewoon beter mensen niet te informeren, dan verkeerd te informeren.

mrmrmr schreef op vrijdag 13 maart 2026 @ 12:02:
[...]

Het is niet logisch dat slachtoffers nog steeds niet allemaal geïnformeerd zijn. Het onverwijld informeren van slachtoffers is wettelijk verplicht.

De AP heeft onderzoek ingesteld - zowel naar het lek als de afhandeling.

De gelekte gegevens zijn gewoon door iedereen te downloaden. Na verificatie tussen deze gelekte records en de aanwezige records kan iedereen worden geïnformeerd. Dat had vorige week gebeurd moeten zijn.

*knip*

En dat zal op advies van diverse experts (nog) niet gedaan zijn. Het downloaden van de dataset neemt weer extra risico's met zich mee en daarnaast moet je uitermate zorgvuldig zijn wanneer die dataset wel wordt gebruikt voor het informeren, zodat je niet nog een keer een datalek hebt (door bijvoorbeeld de verkeerde personen te informeren). Dat is niet iets dat je in een weekje regelt.

Ik verwacht dat Odido naar aanleiding van het onderzoek over een paar jaar wel weer een megaboete op de mat kan verwachten. Ze hebben voor hun gebrek aan beveiliging al meerdere boetes ontvangen.

Nee hoor. Het is gewoon beter mensen niet te informeren, dan verkeerd te informeren.

Absoluut niet mee eens. Als je mensen niet informeert, dan gaan ze, terecht of onterecht, het ergste aannemen.

Je kunt prima voorlopig mensen informeren. "Dit weten we wel, dit weten we niet". Het probleem alleen is dat het duidelijk is dat er dingen ook bij Odido niet lekker zaten. Te veel toegang, data die er niet meer hoorde te zijn.

Het is niet ingewikkeld om die conclusie te trekken, de dataset is namelijk gewoon publiek beschikbaar en degene die hem hebben ingezien, zoals media, hebben dit gerapporteerd.

De communicatie en afhandeling van Odido is er nu op gericht om vooral geen juridische openingen te creeeren voor getroffen klanten (te weten: iedereen). Nou, veel plezier ermee, ik ben al zo goed als weg.

Maar goed hoor, als je het de voorkeur geeft kun je lekker een paar maanden gaan wachten op de conclusies van het zorgvuldige en afgewogen onderzoek van Odido naar Odido.

Met de huidige insteek is mijn verwachting dat hun conclusie gaat zijn dat ze heel zielig zijn, dat het vooral erg ongelukkig is dat er nog oude data in zat en dat zo'n medewerker in een phishing trapte. Ze betreuren het, maar ze hebben procedures "aangescherpt" en niemand heeft recht op wat voor compensatie dan ook, eigenlijk moet je op je blote knietjes dankbaar zijn dat ze zo coulant zijn om iedereen een jaartje F-secure te geven.

Of je alvast de inflatiecorrectie wilt betalen, zodat ze je nog beter van dienst kunnen zijn!


Edit: Ik denk dat een deel van mijn frustratie erin zit, omdat ik *weet* dat een pijnlijk moment zoals dit, juist ook altijd een kans is om te verbeteren. "Never let a good crisis go to waste". Dit is *het* moment om naar voren te stappen, open te zijn naar alle klanten en structurele fouten te verbeteren. In plaats daarvan gedraagd Odido zich als kind die met de hand in de snoeppot is betrapt. Terwijl, juist nu had je nog sympathie, omdat aan het einde van de rit, Odido slachtoffer was.

In plaats daarvan handelt Odido laf, halfslachtig en ontransparant.]

[ Voor 15% gewijzigd door Keypunchie op 13-03-2026 15:13 ]

P-Rock schreef op vrijdag 13 maart 2026 @ 14:28:
Ik verwacht dat Odido naar aanleiding van het onderzoek over een paar jaar wel weer een megaboete op de mat kan verwachten. Ze hebben voor hun gebrek aan beveiliging al meerdere boetes ontvangen.

Wat hebben de klanten er aan? Boetes verdwijnen in zakken van de (semi-)overheid, niet in de zakken van de slachtoffers. Voor hen gaan de prijzen omhoog, om de boetes op te hoesten.

[ Voor 6% gewijzigd door Harry720A op 13-03-2026 14:45 ]

de informatie komt steeds meer naar buiten , behalve dan van de kant van Odido, die steken hun kop in het zand.
https://www.rtl.nl/nieuws...x-klanten-systeem-bewaard

edebee schreef op vrijdag 13 maart 2026 @ 15:03:
de informatie komt steeds meer naar buiten , behalve dan van de kant van Odido, die steken hun kop in het zand.
https://www.rtl.nl/nieuws...x-klanten-systeem-bewaard

Tja, RTL geeft eigenlijk weer wat ze zelf (en anderen) al eerder hebben gemeld en wat we hier al eerder hebben besproken. Niets nieuws onder de zon daar....

Leuk ook dat de "experts" hun "mening" geven maar: wat heeft de consument aan weer een expert of hoogleraar of een security specialist die "een mening" heeft? Zorgt dat ergens voor een verandering of een verbetering waar ik iets aan heb of is het weer redactionele opvulling?

vanaalten schreef op vrijdag 13 maart 2026 @ 13:41:
[...]

Bij mij is mijn telefoonnummer, adres, rijbewijs nummer en mailadres gelekt - bevestigd door mijzelf op te zoeken in die dataset. Sinds het lek nog 0 vreemde telefoontjes of spam / vage mailtjes ontvangen.

Voor e-mail heb ik een mailadres gebruikt dat ik enkel voor Odido gebruik, dus ALS een spammail binnenkomt dan weet ik daardoor ook zeker of dat wel of niet uit dat Odido-lek komt. En tot dusver nog niets.

Ofwel, ook ik zie nog geen aanwijzingen dat de data uit het Odido-lek daadwerkelijk is gebruikt.

Dat laatste stukje kan ik ondertussen tegenspreken. Ik gebruik ook een uniek emailadres enkel en alleen voor Odido en daar heb ik gisteren een phising mail op ontvangen.

DjoeC schreef op vrijdag 13 maart 2026 @ 15:37:
[...]

Tja, RTL geeft eigenlijk weer wat ze zelf (en anderen) al eerder hebben gemeld en wat we hier al eerder hebben besproken. Niets nieuws onder de zon daar....

Leuk ook dat de "experts" hun "mening" geven maar: wat heeft de consument aan weer een expert of hoogleraar of een security specialist die "een mening" heeft? Zorgt dat ergens voor een verandering of een verbetering waar ik iets aan heb of is het weer redactionele opvulling?

Ik moet altijd zo lachen wanneer de media een "hoogleraar" of soortgelijk optrommelt om precies hun eigen mening te verdedigen.

Ik ben zelden zulke dwaallichten tegen gekomen als de hoogleraren en professoren als in academia.

edie schreef op vrijdag 13 maart 2026 @ 14:26:
De AP heeft onderzoek ingesteld - zowel naar het lek als de afhandeling.

Een AP onderzoek staat los van de overige actuele wettelijke verplichtingen en werkt niet opschortend.