Odido waarschuwt voor datalek (cyberaanval/hack)

Zentbeer schreef op vrijdag 1 mei 2026 @ 19:16:
Odido heeft het niet geven van een antwoord tot kunst verheven. Ik weet niet eens waarop dit een antwoord zou moeten zijn, want na diverse “computer says no”- generieke antwoorden heb ik best een aantal mails gestuurd. Op geen van die mails is dit een adequaat antwoord (vanzelfsprekend, zou ik zeggen).

[Afbeelding]

Die heb ik ook enkele keren mogen ontvangen. Waarschijnlijk hebben ze iedereen die een mail had gestuurd, eenzelfde reactie teruggestuurd. In eerste instantie dacht ik aan spam/phishing. Voor mij bevestigt deze mail dat het goed is dat ik vertrek bij Odido. De communicatie slaat wat mij betreft totaal de plank wéér mis.

Ik heb ook een e-mail ontvangen op mijn verzoek tot inzake persoonsgegevens. Helaas kwam daar nog niet meer uit dan "deze gegevens hebben we van je" met vervolgens een pdf bestand als bijlage met in de pdf een screenshot van mijn verzoek tot inzage persoonsgegevens.

Bizar, hoe verschillend de reacties van Odido zijn. Mijn inzageverzoek werd weliswaar een keertje vertraagd maar kreeg daarna op een correcte manier de gevraagde gegevens, voor zover ik zie compleet.

Je zou denken dat zo’n afhandeling een standaard procedure is. Blijkbaar niet…

buglife schreef op vrijdag 1 mei 2026 @ 20:49:
[...]

Die heb ik ook enkele keren mogen ontvangen. Waarschijnlijk hebben ze iedereen die een mail had gestuurd, eenzelfde reactie teruggestuurd. In eerste instantie dacht ik aan spam/phishing. Voor mij bevestigt deze mail dat het goed is dat ik vertrek bij Odido. De communicatie slaat wat mij betreft totaal de plank wéér mis.

Ik vraag me dan vooral af wat voor antwoord je dan verwacht op een vraag over de gegevensbewaring? Want die staat, zoals daar gezegd, beschreven in hun voorwaarden. Dat ze daar niet aan hebben voldaan klopt natuurlijk, maar aangezien daar een onderzoek naar loopt zullen ze er weinig over mogen zeggen. Ik kan je garanderen dat ongeacht bij welke partij dit ook zou gebeuren, je eenzelfde antwoord zou krijgen.

Daarbij ook niet vergeten dat het om een helpdesk gaat die normaal is ingericht voor de normale drukte. Nu krijgen ze plotseling honderden meer vragen. Dus dat de helpdesk het niet aan kan is ook een gegeven.

Dat ze geen algeheel statusupdates geven is natuurlijk wel gewoon slecht, want dat is iets dat ze wel in eigen hand hebben.

vanaalten schreef op zaterdag 2 mei 2026 @ 08:18:
Bizar, hoe verschillend de reacties van Odido zijn. Mijn inzageverzoek werd weliswaar een keertje vertraagd maar kreeg daarna op een correcte manier de gevraagde gegevens, voor zover ik zie compleet.

Je zou denken dat zo’n afhandeling een standaard procedure is. Blijkbaar niet…

Vermoedelijk, door de grote toeloop van o.a. AVG-verzoeken, ergens een batterij aan medewerkers ingehuurd die met minimale training nu de achterstanden gaan wegwerken.
Waar uiteraard vooral op KPIs zoals snelheid van afhandelen wordt gestuurd, en niet perse op kwaliteit...

redwing schreef op zaterdag 2 mei 2026 @ 09:06:
[...]

Ik vraag me dan vooral af wat voor antwoord je dan verwacht op een vraag over de gegevensbewaring? Want die staat, zoals daar gezegd, beschreven in hun voorwaarden. Dat ze daar niet aan hebben voldaan klopt natuurlijk, maar aangezien daar een onderzoek naar loopt zullen ze er weinig over mogen zeggen. Ik kan je garanderen dat ongeacht bij welke partij dit ook zou gebeuren, je eenzelfde antwoord zou krijgen.

Daarbij ook niet vergeten dat het om een helpdesk gaat die normaal is ingericht voor de normale drukte. Nu krijgen ze plotseling honderden meer vragen. Dus dat de helpdesk het niet aan kan is ook een gegeven.

Dat ze geen algeheel statusupdates geven is natuurlijk wel gewoon slecht, want dat is iets dat ze wel in eigen hand hebben.

Ze verwijzen nu naar de voorwaarden, waarnaar ik zelf al verwees in mijn vraag. Mijn account was al veel langer inactief dan de genoemde termijnen, volgens mijn administratie. Dus ik had gevraagd wat volgens hun de einddatum van het contact was.

Stuur dan gewoon een mail dat ze het druk hebben en niet snel kunnen antwoorden. Daar heb ik veel meer begrip voor.

buglife schreef op zaterdag 2 mei 2026 @ 09:55:
[...]
Ze verwijzen nu naar de voorwaarden, waarnaar ik zelf al verwees in mijn vraag. Mijn account was al veel langer inactief dan de genoemde termijnen, volgens mijn administratie. Dus ik had gevraagd wat volgens hun de einddatum van het contact was.

Stuur dan gewoon een mail dat ze het druk hebben en niet snel kunnen antwoorden. Daar heb ik veel meer begrip voor.

Oftewel je wil bewijs ontvangen dat ze de data te lang bewaard hebben. Aangezien er daar dus een onderzoek naar loopt zullen ze daar niet snel een direct antwoord op geven.

En ik snap dat je liever een ander antwoord krijgt, maar logischerwijze zul je die dus niet gaan krijgen. En zoals ik al zei, dat heeft weinig met Odido te maken, maar zul je bij al dit soort lekken met bijbehorende onderzoeken hebben.

redwing schreef op zaterdag 2 mei 2026 @ 12:11:
[...]

Oftewel je wil bewijs ontvangen dat ze de data te lang bewaard hebben. Aangezien er daar dus een onderzoek naar loopt zullen ze daar niet snel een direct antwoord op geven.

En ik snap dat je liever een ander antwoord krijgt, maar logischerwijze zul je die dus niet gaan krijgen. En zoals ik al zei, dat heeft weinig met Odido te maken, maar zul je bij al dit soort lekken met bijbehorende onderzoeken hebben.

Neen, dat bewijs heb ik helemaal niet nodig. Het laatste contactmoment heb ik zelf gedocumenteerd staan, maar ik was benieuwd of zij ergens een later moment hebben.

En dat laatste wat je stelt is pertinente onzin. Ben levert wel gewoon de gevraagde data aan, terwijl die ook bezig zijn met onderzoek. Ben stuurt wel de persoonsgegevens die ik onder mijn recht op inzage heb opgevraagd. Zij kunnen het dus blijkbaar wel, ondanks het onderzoek.

Robbie T schreef op vrijdag 1 mei 2026 @ 21:17:
Ik heb ook een e-mail ontvangen op mijn verzoek tot inzake persoonsgegevens. Helaas kwam daar nog niet meer uit dan "deze gegevens hebben we van je" met vervolgens een pdf bestand als bijlage met in de pdf een screenshot van mijn verzoek tot inzage persoonsgegevens.

Gewoon een keer boos opbellen joh. Dan vertellen ze opeens alles via de telefoon, ook van je vrouw.

Vanochtend ontving ik eindelijk een mail en sms met betrekking tot de opgevraagde persoonsgegevens van mijn oude Tele2-account. Het was echter weer een teleurstelling. Het bevat namelijk alleen klantenservicenotities met twee mails van mij van ná het datalek. Helemaal niets over de persoonsgegevens die in hun systemen staan, terwijl deze wel in het lek aanwezig zijn...

[ Voor 4% gewijzigd door buglife op 06-05-2026 11:41 ]

Telefoonabonnement opzeggen is makkelijker na klachten van klanten,
https://www.nu.nl/economi...klachten-van-klanten.html

Harry720A schreef op woensdag 6 mei 2026 @ 23:31:
Telefoonabonnement opzeggen is makkelijker na klachten van klanten,
https://www.nu.nl/economi...klachten-van-klanten.html

Wat is de link met de hack bij odido ?

W1ck1e schreef op donderdag 7 mei 2026 @ 05:44:
[...]Wat is de link met de hack bij odido ?

Misschien moet je het topic eens aandachtig doorlezen.

Harry720A schreef op donderdag 7 mei 2026 @ 13:46:
[...]
Misschien moet je het topic eens aandachtig doorlezen.

Neen, in het artikel op nu.nl wordt odido niet genoemd.

W1ck1e schreef op donderdag 7 mei 2026 @ 14:00:
[...]Neen, in het artikel op nu.nl wordt odido niet genoemd.

Onvriendelijk

[ Voor 8% gewijzigd door Jazzy op 07-05-2026 15:54 ]

Harry720A schreef op donderdag 7 mei 2026 @ 14:06:
[...]
Geknipt

Het artikel gaat over het opzeggen van abonnementen. Je moet je abbo kunnen op zeggen zoals je het ook afgesloten hebt.

In plaats van de linkdump zou je ook even kunnen uitleggen wat de relevantie voor dit topic is. Ik zie het ook niet eerlijk gezegd.

[ Voor 3% gewijzigd door Jazzy op 07-05-2026 15:54 ]

Inmiddels een reactie van odido mbt mijn inzageverzoek.

Net als @buglife bijna alleen data van ná het datalek.

Wél opvallend; ze sturen ook een "MSISDN" excel bestand door met datalogs waarin duidelijk mijn belgeschiedenis van de afgelopen 3 maanden vermeld wordt. Dit terwijl ik al sinds 2022 geen klant meer van ze ben.

Iemand met meer technische kennis die dit kan verklaren?

Jovilius schreef op donderdag 7 mei 2026 @ 15:13:
Inmiddels een reactie van odido mbt mijn inzageverzoek.

Net als @buglife bijna alleen data van ná het datalek.

Wél opvallend; ze sturen ook een "MSISDN" excel bestand door met datalogs waarin duidelijk mijn belgeschiedenis van de afgelopen 3 maanden vermeld wordt. Dit terwijl ik al sinds 2022 geen klant meer van ze ben.

Iemand met meer technische kennis die dit kan verklaren?

Zit je bij een virtuele provider die via Odido netwerk gaat?

IJsbeer schreef op donderdag 7 mei 2026 @ 15:17:
[...]

Zit je bij een virtuele provider die via Odido netwerk gaat?

Nee, sinds 2022 bij KPN.

Jovilius schreef op donderdag 7 mei 2026 @ 15:13:
Inmiddels een reactie van odido mbt mijn inzageverzoek.

Net als @buglife bijna alleen data van ná het datalek.

Wél opvallend; ze sturen ook een "MSISDN" excel bestand door met datalogs waarin duidelijk mijn belgeschiedenis van de afgelopen 3 maanden vermeld wordt. Dit terwijl ik al sinds 2022 geen klant meer van ze ben.

Iemand met meer technische kennis die dit kan verklaren?

Hier ook de documenten ontvangen en zoals anderen alleen data van na het lek, terwijl ik van de afgelopen 3 jaar gevraagd had tot aan mijn overstap in maart dit jaar.

Hiervan ook maar weer een melding richting AP gedaan dat Odido het recht op inzage niet nakomt.

W1ck1e schreef op donderdag 7 mei 2026 @ 14:00:
[...]Neen, in het artikel op nu.nl wordt odido niet genoemd.

Nee, niet nog een keer

[ Voor 11% gewijzigd door Jazzy op 08-05-2026 12:42 ]

Harry720A schreef op vrijdag 8 mei 2026 @ 09:24:
[...]
Ambtelijk gezien heb je gelijk.

Dan nog vraag ik me af wat de link is naar dit topic? Want leuk dat je nu wat makkelijker op kan zeggen, maar daarmee heb je je gehackte data nog niet van het internet gehaald.

redwing schreef op vrijdag 8 mei 2026 @ 09:40:
[...]Dan nog vraag ik me af wat de link is naar dit topic? Want leuk dat je nu wat makkelijker op kan zeggen, maar daarmee heb je je gehackte data nog niet van het internet gehaald.

Sla je het toch over. En weer door.

Harry720A schreef op vrijdag 8 mei 2026 @ 09:50:
[...]
Sla je het toch over. En weer door.

Jij vindt het schijnbaar iets dat bij dit topic past, dus ben ik benieuwd waar jij die link dan ziet. Dit is een discussie-forum, en dus bedoelt voor discussies.
En wat jij nu doet is een linkdrop zonder die uitleg en dus mogelijkheid tot discussie. Nu kan ik daar een report voor aanmaken, maar ik ga er van uit dat je een goede reden hebt voor deze link, dus ik wil graag weten wat die is

redwing schreef op vrijdag 8 mei 2026 @ 09:57:
[...]

Jij vindt het schijnbaar iets dat bij dit topic past, dus ben ik benieuwd waar jij die link dan ziet. Dit is een discussie-forum, en dus bedoelt voor discussies.
En wat jij nu doet is een linkdrop zonder die uitleg en dus mogelijkheid tot discussie. Nu kan ik daar een report voor aanmaken, maar ik ga er van uit dat je een goede reden hebt voor deze link, dus ik wil graag weten wat die is

Ik ben er door moderators meerdere malen op gewezen dit soort discussies niet op te rakelen maar een report te doen. Laat het over aan de moderator dus.

Spijkers, laag water. Mug, olifant.

Modbreak:

Gaat er iets mis in de discussie? Inderdaad niet zelf op reageren maar even een TR indienden zodat wij er naar kunnen kijken. Dank u.

Het nieuwsbericht over je abo opzeggen is zijdelings relevant, maar dit topic gaat specifiek over het datalek bij Odido. Terug on-topic.

Ik heb na 4 weken ook de reacties op inzageverzoek Mobiel en Vast van Odido ontvangen. In het e-mailbericht staat: "om te voorkomen dat andere mensen jouw gegevens kunnen inzien, krijg je een apart sms’je met een code waarmee je de document(en) kan openen." Uiteraard geen SMS ontvangen, dus ik kan de bijlagen niet openen.

Zojuist hierover gebeld met klantenservice. Advies van de klantenservicemedewerker: Dien beide inzageverzoeken maar opnieuw in....

mkleinman schreef op zaterdag 28 maart 2026 @ 12:12:
Ik heb intussen antwoord van Odido gekregen inzage mijn AVG verzoek. Ik heb niet gekregen waar ik om heb gevraagd. [...]

Heb ze maar weer gemaild.

techdudeski schreef op vrijdag 8 mei 2026 @ 13:46:
Ik heb na 4 weken ook de reacties op inzageverzoek Mobiel en Vast van Odido ontvangen. In het e-mailbericht staat: "om te voorkomen dat andere mensen jouw gegevens kunnen inzien, krijg je een apart sms’je met een code waarmee je de document(en) kan openen." Uiteraard geen SMS ontvangen, dus ik kan de bijlagen niet openen.

Zojuist hierover gebeld met klantenservice. Advies van de klantenservicemedewerker: Dien beide inzageverzoeken maar opnieuw in....


[...]

Bij mij duurde het ruim een dag voordat ik de sms binnenkreeg na de mail met de gegevens. Kan nog komen dus. Lijkt er niet op dat dit geautomatiseerd is.

Ik krijg een mail van Odido met mijn maandelijkse factuur als bijlage.

Probleem.

Ik kan van Odido nooit meer enige mail of bijlage vertrouwen. Is het legitiem? phishing? Ik zal het nooit weten, ik klik niet op bijlagen van hun.

Motrax schreef op zaterdag 9 mei 2026 @ 10:04:
Ik krijg een mail van Odido met mijn maandelijkse factuur als bijlage.

Probleem.

Ik kan van Odido nooit meer enige mail of bijlage vertrouwen. Is het legitiem? phishing? Ik zal het nooit weten, ik klik niet op bijlagen van hun.

Gelukkig staan die facturen ook in je persoonlijke omgeving op hun site. Dus het geen reden om niet te betalen.

DjoeC schreef op zaterdag 9 mei 2026 @ 10:23:
[...]

Gelukkig staan die facturen ook in je persoonlijke omgeving op hun site. Dus het geen reden om niet te betalen.

Gaat gelukkig automatisch 😉

Haha, het wordt steeds beter (ja, deze mail is echt van Odido).

Afsluiting, aanhef naam.

(p.s. mijn hele mail ging erover dat ik al vier jaar weg ben bij Odido dus het laatste bedrag factuur en dergelijke niet kan aanleveren en wat ik moet doen, weer niet adequaat dus)

Zentbeer schreef op maandag 11 mei 2026 @ 17:30:
Haha, het wordt steeds beter (ja, deze mail is echt van Odido).

Afsluiting, aanhef naam.

(p.s. mijn hele mail ging erover dat ik al vier jaar weg ben bij Odido dus het laatste bedrag factuur en dergelijke niet kan aanleveren en wat ik moet doen, weer niet adequaat dus)

[Afbeelding]

haha dat is inderdaad wel een lachertje.. een partij die alle gegevens van klanten heeft laten lekken al je gegevens opnieuw aanleveren.. ik zou er van af zien.

Lord_Dain schreef op maandag 11 mei 2026 @ 21:24:
[...]

haha dat is inderdaad wel een lachertje.. een partij die alle gegevens van klanten heeft laten lekken al je gegevens opnieuw aanleveren.. ik zou er van af zien.

Nou, het kan nog erger. Sommige bedrijven denken dat ze een paspoort nodig hebben om die gegevens te verstrekken. Een paspoort met gegevens daarop die ze nooit hebben gehad, en dat ga je natuurlijk niet geven aan een wetsovertreder. Er lopen wat juridisch onnozelen rond in het bedrijfsleven...

Het feitelijke probleem is dat Odido geen van de gegevens kan gebruiken die ze al hadden, want die liggen al op straat. Waar ze dan op terug moeten vallen is een bewijs van eigenaarschap van een emailadres. Dus niet deze malle gegevensverzameling. Er zijn ook nog andere alternatieven: een brief die je terug kan sturen. Ja, dat kost ze geld. Maar daar heb je toch gewoon recht op, want het is immers Odido die een wanprestatie heeft geleverd. Ze moeten de gevolgschade aanvaarden.

Toch weer een mailtje vanuit Odido. Kan niet zeggen dat ik het een geweldige uitleg vind voor hun radiostilte.

Ik zit nog steeds te wachten op gewoon een mail die aangeeft wat er precies van mij gelekt is qua gegevens.

Uiteraard weet ik het inmiddels al en weet ik ook dat er meer gegevens gelekt zijn dan er in de initiële mail stonden, maar ik moest daar zelf achter komen.
Dat is vooral wat mij zo dwars zit aan dit lek.

Mijn gegevens zijn ook gelekt bij de Interrail-hack, maar daar kreeg ik direct een mailtje met welke gegevens in hun systeem stonden en dus mogelijk gelekt waren en later nog een tweede mail met specifiek voor mij welke gegevens er gelekt waren. Daarnaast nog de melding dat er blijkbaar sample-data aangeboden was op internet om alle data te kunnen verkopen door de hackers, maar dat mijn gegevens nog niet bij de sampledata aanwezig waren.

Zoiets had Odido wat mij betreft ook moeten doen.

Ik heb overigens na die initiële mail geen van de andere mails gehad die hier in dit topic gedeeld zijn, ook bovenstaande niet. Heel apart.

WP_Pj schreef op dinsdag 12 mei 2026 @ 10:56:
[Afbeelding]

Toch weer een mailtje vanuit Odido. Kan niet zeggen dat ik het een geweldige uitleg vind voor hun radiostilte.

Kreeg echt de vibe van South park, ik heb de mail niet gehad trouwens, zou wel in batches gaan, of ik ben geblacklisted met 4x de zelfde vraag of ze wilde aangegeven welke legitimatie bewijs van mij gelekt is, en vervolgens 4x een mail terug gehad met "we begrijpen uit je bericht dat je ons aansprakelijk wilt stellen naar aanleiding van het cyberincident" niet communiceren was waarschijnlijk nog beter geweest dan onzinnige zooi terug sturen.

WP_Pj schreef op dinsdag 12 mei 2026 @ 10:56:
[Afbeelding]

Toch weer een mailtje vanuit Odido. Kan niet zeggen dat ik het een geweldige uitleg vind voor hun radiostilte.

Feit blijft dat de gegevens beschikbaar zijn gesteld via een manier waarvoor de leverancier al meermaals heeft gewaarschuwd. Zegt mij genoeg dat security iig niet een belangrijke pijler was. Met nadruk op hopelijk, was.

Hij geeft aan open en eerlijk te willen blijven, welke indruk ze tot nu toe absoluut niet gegeven hebben. Ook op bijvoorbeeld voorbeelden genoeg dat mensen willen weten welke data ze nu van hen hebben.

En wat voor mij tekenend is, hij verwijst naar een algemene pagina en geeft aan dat ze klanten transparant op de hoogte willen laten blijven. Hoe dan? Hoe vaak? Via welke weg? Juist dat blijft vaag.

En dan deze quote van de pagina zelf. Snap het punt, maar staat mijn inziens haaks op het verhaal.

Om veiligheidsredenen kunnen we niet precies delen welke maatregelen we nemen om onze systemen verder te versterken en te beschermen.

Ik vind het heel erg hetzelfde: damage control. Too little too late!
Ik zit er 4x keer in, maar nooit te horen gekregen welke data nu precies van mij gelekt is bijvoorbeeld. En wat de gevolgen zijn dat deze data op straat ligt. Juist dat soort individuele informatie had ik verwacht en had me vertrouwen gegeven.

Ik hoop echt dat heel veel klanten weggaan en dat ze in serieus moeilijk weer terecht komen. Niet omdat ik het ze niet gun, maar puur om ook als 'les' naar andere bedrijven waarbij security een ondergeschoven kind is.

De officiele pagina is ook bijgewerkt: https://www.odido.nl/veiligheid

Ik heb de mail even gecorrigeerd voor Odido.

• We blijven gaan investeren in onze beveiliging, zodat onze systemen bestand blijven worden tegen steeds complexere cyberdreigingen.
• We blijven willen extra ondersteuning bieden aan klanten. Bijvoorbeeld met Check je gesprek, waarmee je makkelijk checkt of je echt contact hebt met Odido. En we bieden klanten kosteloos tijdelijk toegang tot de digitale beveiligingsdienst F‑Secure.
• We blijven gaan investeren in onze aanpak voor databeveiliging en het nog langer bewaren van gegevens.

Gekke uitleg ook over "wat er precies is gebeurd". Het beveiligingsteam heeft de aanval direct gesignaleerd... maar toch hebben de aanvallers alle data kunnen stelen?

[ Voor 26% gewijzigd door 3raser op 12-05-2026 11:20 ]

"wat we hebben geleerd". "hoe we hebben gecommuniceerd". Ik zie iemand een verhaal van een teleprompter lezen.

Ik heb nog geen overzicht ontvangen met de gelekte data. Ik heb nog geen verklaring waarom sommige accounts te lang bewaard zijn.

En wat nu? Voegt dit iets toe aan de informatievoorziening?

DjoeC schreef op dinsdag 12 mei 2026 @ 12:33:
"wat we hebben geleerd". "hoe we hebben gecommuniceerd". Ik zie iemand een verhaal van een teleprompter lezen.

Ik heb nog geen overzicht ontvangen met de gelekte data. Ik heb nog geen verklaring waarom sommige accounts te lang bewaard zijn.

En wat nu? Voegt dit iets toe aan de informatievoorziening?

Hij zal wel van een teleprompter moeten lezen, want half Nederland legt elk woord dat hij over deze zaak zegt in de weegschaal. Als er ook maar een verkeerde interpretatie van zijn woorden wordt gemaakt haalt iedereen de hooivorken weer van stal.

In de video wordt toch ook aangegeven dat ze nu aan de slag gaan om alle processen en beveiligingsmaatregelen onder de loep te nemen? De verklaring zal dus nog even op zich laten wachten.

Dus ja, dit voegt voor mij wel wat toe. Ze zijn ermee bezig en komen op een later moment terug met meer details.

Hoe verliep de cyberaanval?
De aanvaller nam contact op met ons Odido Service team en deed zich voor als medewerker van onze IT‑afdeling. De eerste phishingaanval vond plaats op 5 februari, gevolgd door een tweede aanval op 6 februari. In beide gevallen herkende ons team de ongeautoriseerde toegang, onderzocht het incident en trok het de toegang van de aanvaller definitief in. Dit soort phishingaanvallen komt vaker voor en onze medewerkers zijn getraind om ze te herkennen. Maar de specifieke aanval die leidde tot het buitmaken van data, was zeer geavanceerd.

Dit zegt toch helemaal niet wat er is gebeurd. Een schoudeklopje voor zichzelf dat ze het twee keer hebben tegengehouden, medewerkers echt super aware zijn, maar als het zo geavanceerd is dan kunnen we blijkbaar niets meer.

... trok het de toegang van de aanvaller definitief in.

Blijkbaar niet, als ze nog toegang hadden en je het twee keer moest doen

Maar wat was dan zo geavanceerd???

[ Voor 8% gewijzigd door BytePhantomX op 12-05-2026 12:48 ]

Weer louter damage control, om te zorgen dat ze kunnen zeggen dat ze naderhand niet niets hebben gedaan. Verder 0,0 waarde als je het mij vraagt. Blijft echt een beschamende toko.

BytePhantomX schreef op dinsdag 12 mei 2026 @ 12:47:
[...]

Dit zegt toch helemaal niet wat er is gebeurd. Een schoudeklopje voor zichzelf dat ze het twee keer hebben tegengehouden, medewerkers echt super aware zijn, maar als het zo geavanceerd is dan kunnen we blijkbaar niets meer.


[...]

Blijkbaar niet, als ze nog toegang hadden en je het twee keer moest doen

Maar wat was dan zo geavanceerd???

Dit was een APT (Advanced Persistant Threat). Vanuit jouw luie stoel praten is erg makkelijk. Maar ik kan je verzekeren dat die vrijwel altijd lukken. Ik heb meerdere ethical hacks begeleid bij een zeer secure omgeving waarbij medewerkers wisten dat er een aanval ging komen. En toch gingen ze voor gaas. Beetje social engineering, beetje onderzoek naar de omgeving, hobby’s, familie e.d. van de te hacken medewerker en klaar.

Neemt niet weg dat door de minder goede monitoring en veel te ruime beschikbaarheid van data voor medewerkers en teveel data, de schade veel kleiner had kunnen zijn.

Besef wel dat het in de derde poging om IT personeel ging, en die hebben soms ruim toegang nodig. Anderzijds had juist een IT medewerker alert kunnen zijn, hoewel ik bij hen vaak een “het gebeurt mij niet” houding aantref.

ernstoud schreef op dinsdag 12 mei 2026 @ 13:26:
Dit was een APT (Advanced Persistant Threat).

APT is een advanced persistent threat. De originele benaming is overigens veel beter: targeted attack (niet zo). Persistence is niet het meest kwalificerende van zo'n aanval en advanced is vaak ook niet bij dit soort aanvallen. Er is geen sprake van een entry hack als zodanig, het is vooral social engineering. Geen sophisticated zerodays.

mrmrmr schreef op dinsdag 12 mei 2026 @ 13:40:
[...]


APT is een advanced persistent threat. De originele benaming is overigens veel beter: targeted attack (niet zo). Persistence is niet het meest kwalificerende van zo'n aanval en advanced is vaak ook niet bij dit soort aanvallen. Er is geen sprake van een entry hack als zodanig, het is vooral social engineering. Geen sophisticated zerodays.

Ik denk niet dat de definitie van APT 100% gedefinieerd is. Kaspersky doet hier een poging: https://www.kaspersky.nl/...vanced-persistent-threats en daar lees ik veel wat precies bij Odido gebeurd is.

Langdurig, gericht, phishing, social engineering (vermoedelijk, weten we niet zeker) etc.

En persistent was het zeker, misschien niet zo advanced, maar ook dat weten we niet.

niet sneren

[ Voor 4% gewijzigd door Jazzy op 12-05-2026 14:28 ]

EDIT schreef op dinsdag 12 mei 2026 @ 11:08:
Heel apart.

Nee niet heel apart. Odido. Dat.

Ga gewoon weg bij ze en kom nooit meer terug, anders blijven onwenselijke bedrijven zoals Odido voortbestaan en dat is in niemands belang behoudens het belang van Odido zelf. Ze spugen op jou en mij en blijkbaar merken ze dat nu in hun kwartaalcijfers dus gaan ze proberen te repareren via zo'n goedkoop e-mailtje. Wees er aub niet ontvankelijk voor.

rr7r schreef op dinsdag 12 mei 2026 @ 14:14:
[...]

Nee niet heel apart. Odido. Dat.

Ga gewoon weg bij ze en kom nooit meer terug,

Gelukkig mag iedereen dat zelf bepalen. Mijn Odido K&K is een prima product, geen enkele provider kent zoiets.

anders blijven onwenselijke bedrijven zoals Odido voortbestaan

En dan? Nog maar twee providers in NL met eigen infra? Minder concurrentie? Miljoenen klanten geen diensten meer? Meer dan 2000 werklozen erbij?

en dat is in niemands belang behoudens het belang van Odido zelf.

Ja, dat zie je nergens anders. Dat bedrijven proberen te blijven voortbestaan.

Ze spugen op jou en mij en blijkbaar merken ze dat nu in hun kwartaalcijfers dus gaan ze proberen te repareren via zo'n goedkoop e-mailtje. Wees er aub niet ontvankelijk voor.

Bron?

ernstoud schreef op dinsdag 12 mei 2026 @ 13:26:
[...]

Dit was een APT (Advanced Persistant Threat). Vanuit jouw luie stoel praten is erg makkelijk. Maar ik kan je verzekeren dat die vrijwel altijd lukken. Ik heb meerdere ethical hacks begeleid bij een zeer secure omgeving waarbij medewerkers wisten dat er een aanval ging komen. En toch gingen ze voor gaas. Beetje social engineering, beetje onderzoek naar de omgeving, hobby’s, familie e.d. van de te hacken medewerker en klaar.

Neemt niet weg dat door de minder goede monitoring en veel te ruime beschikbaarheid van data voor medewerkers en teveel data, de schade veel kleiner had kunnen zijn.

Besef wel dat het in de derde poging om IT personeel ging, en die hebben soms ruim toegang nodig. Anderzijds had juist een IT medewerker alert kunnen zijn, hoewel ik bij hen vaak een “het gebeurt mij niet” houding aantref.

Ik denk dat @BytePhantomX nog steeds gelijk heeft: Het zijn holle, inhoudloze woorden die geen enkel verder inzicht ofwel "duidelijke communicatie" bevatten. En dat heeft niks met luie stoel te maken.

Ik kan me voorstellen dat medewerkers van Odido de situatie anders "ervaren" of zien dan de klanten en je hebt gelijk: vanuit de luie stoel kunnen we er inhoudelijk niets over zeggen - maar voor jouw opmerking dat het allemaal anders is heb ik ook nog geen inhoudelijke onderbouwing gehoord of gezien. En ik weet, er is altijd nuance.....

Samenvatting: Er zijn nog steeds geen inhoudelijke mededelingen gedaan en daarmee is de communicatie zeker nog niet transparant.

<kleine toevoeging> Ik zou in de communicatie ook zeker het woord "geavanceerde aanval" gebruiken, zelfs bij een normale, idiote fout waar iemand ingestonken is. Waarom? Je wilt als bedrijf toch niet naar buiten komen met de opmerking "iemand heeft een domme fout gemaakt en tegen domme fouten bestaat nu eenmaal geen bescherming". Wij properen alles "idiot proof" te maken, maar iets "user proof" maken is onmogelijk.

[ Voor 11% gewijzigd door DjoeC op 12-05-2026 15:06 ]

@ernstoud

Of dit een APT is, is wel een beetje afhankelijk van de definitie. In dit soort gevallen probeer ik naar wat meer onafhankelijke bronnen te kijken zoals het NCSC:

Advanced persistent threat. A nation-state or highly capable criminal actor that gains unauthorised access to a system and remains undetected for a long time. 

Bron: https://www.ncsc.gov.uk/section/advice-guidance/glossary

Voor mij is dit geen APT omdat het heel kortdurend was en ze al gedetecteerd waren. Dit was er in en er uit in 1 applicatie (SalesForce) in korte tijd. En of het hacken van een account advanced is met de vele business email compromises vind ik ook twijfelachtig. Dat deze aanval gericht is, lijkt wel zeker, want ze hebben specifiek de moeite genomen om bij Odido binnen te komen. En dat is anders dan de gemiddelde BEC aanval.

Wat in dit geval echt bijzonder is, hoe kan het dat de interne detectie dit tot twee keer toe gezien heeft en dat Odido zelfs aangeeft dat ze de toegang definitief ingetrokken hebben, dat de aanval dan toch zover heeft kunnen komen. Incident response is dan in ieder geval niet adequaat geweest en naar de eerste poging zijn niet de juiste maatregelen genomen om het vervolg te voorkomen. Nu is dat inderdaad ook niet makkelijk, maar ik irriteer me wel dat Odido zichzelf schouderklopjes geeft. Wees dan transparant over de fouten die je hebt gemaakt, maar dat zal juridisch lastig liggen ivm aansprakelijkheid.

Besef wel dat het in de derde poging om IT personeel ging, en die hebben soms ruim toegang nodig.

Least privilege is daarom een ding, zeker in zo'n sterk gereguleerde omgeving als Odido. Daarnaast moet je voor hoge rechten werken volgens best practices waarbij bijvoorbeeld een Privileged Access Workstation werkt (https://learn.microsoft.com/nl-nl/security/privileged-access-workstations/privileged-access-devices), netwerk segmentatie, just in time access, phishing resistant MFA etc. Allemaal zaken waar dit mee te voorkomen is. Een nee dat is niet makkelijk, maar ik heb genoeg omgevingen gezien waar dit is toegepast en het werkt.

En ps. ook als is het een APT, we hebben het hier wel over Odido dat onderdeel is van onze kritieke infrastructuur. Die moeten in staat zijn om zich te beschermen tegen APT's.

ps2, als het zo advanced is, waarom zijn dan niet alle Salesforce klanten de pineut? Er zijn er wel een paar, maar als het zo makkelijk is had ShinyHunters wel veer meer slachtoffers kunnen maken. Misschien hebben andere partijen het wel op orde gehad? En hebben die wel de adviezen van Salesforce opgevolgd? Zou graag reactie van Odido op dit soort zaken willen. En leuk dat ze het met het bedrijfsleven gaan delen, maar ik heb daar nog weinig van gezien.

[ Voor 9% gewijzigd door BytePhantomX op 12-05-2026 15:11 ]

ernstoud schreef op dinsdag 12 mei 2026 @ 14:59:
[...]


Gelukkig mag iedereen dat zelf bepalen. Mijn Odido K&K is een prima product, geen enkele provider kent zoiets.

Aan je reactie te zien lijkt het erop dat Odido toch wel bestaansrecht heeft.

DjoeC schreef op dinsdag 12 mei 2026 @ 15:01:
[...]

Ik denk dat @BytePhantomX nog steeds gelijk heeft: Het zijn holle, inhoudloze woorden die geen enkel verder inzicht ofwel "duidelijke communicatie" bevatten. En dat heeft niks met luie stoel te maken.

Keer op keer lees ik zoiets. Maar doe eens een opzet wat dan wel inhoudsvolle communicatie was geweest? Ik heb er nl. geen beeld bij. Harde taal, zoiets als “we zijn een stel kl..‘t zakken hier bij Odido”? Een CEO met een huilbui zoal ze in Japan en Korea doen?

Ik kan me voorstellen dat medewerkers van Odido de situatie anders "ervaren" of zien dan de klanten en je hebt gelijk: vanuit de luie stoel kunnen we er inhoudelijk niets over zeggen - maar voor jouw opmerking dat het allemaal anders is heb ik ook nog geen inhoudelijke onderbouwing gehoord of gezien. En ik weet, er is altijd nuance.....

Waar zeg ik dat?

<kleine toevoeging> Ik zou in de communicatie ook zeker het woord "geavanceerde aanval" gebruiken, zelfs bij een normale, idiote fout waar iemand ingestonken is. Waarom? Je wilt als bedrijf toch niet naar buiten komen met de opmerking "iemand heeft een domme fout gemaakt en tegen domme fouten bestaat nu eenmaal geen bescherming". Wij properen alles "idiot proof" te maken, maar iets "user proof" maken is onmogelijk.

Het woord APT en de uitleg daarvan, waren mijn woorden. Volgens mij heeft Odido dit zelf nergens gebruikt.

ernstoud schreef op dinsdag 12 mei 2026 @ 15:13:
[...]


Keer op keer lees ik zoiets. Maar doe eens een opzet wat dan wel inhoudsvolle communicatie was geweest? Ik heb er nl. geen beeld bij. Harde taal, zoiets als “we zijn een stel kl..‘t zakken hier bij Odido”? Een CEO met een huilbui zoal ze in Japan en Korea doen?


[...]


Waar zeg ik dat?


[...]


Het woord APT en de uitleg daarvan, waren mijn woorden. Volgens mij heeft Odido dit zelf nergens gebruikt.

Wat voorbeelden over communicatie waar je wat aan hebt:
Hoppenbrouwers: https://www.hoppenbrouwerstechniek.nl/boek-hack/
Universiteit Maastricht: https://www.maastrichtuniversity.nl/nl/updates-cyberaanval
Hof van Twente: https://www.agconnect.nl/business/security/rapporten-ransomwareramp-bij-hof-van-twente-viel-te-voorkomen
Eindhoven: https://www.tue.nl/nieuws-en-evenementen/nieuwsoverzicht/samen-sterk-hoe-onze-universiteit-de-cyberaanval-trotseerde

Ik wil geen huilbui, ik wil graag een feitenrelaas over wat er is gebeurd. Dan kunnen we beoordelen of het advanced was, of dat ze simpelweg de adviezen over het veilig inrichten van Salesforce in de wind hebben geslagen.
Nu is het alsof ze geen fouten hebben gemaakt en ze zichzelf complimenten geven, maar niemand die het kan beoordelen.

En ja jij gebruikt APT, waarmee je een beeld lijkt te schetsen dat je je hier niet tegen kan verdedigen. Ik nuanceer jouw opmerking dat het een APT is geweest met een andere definitie, en ik vind dat dit niet zo geavanceerd is als Odido misschien wil doen laten geloven. Als het wel zo geavanceerd is, dan graag wat meer details om het aan te tonen.

[ Voor 9% gewijzigd door BytePhantomX op 12-05-2026 15:25 ]

ernstoud schreef op dinsdag 12 mei 2026 @ 15:13:
[...]
Keer op keer lees ik zoiets. Maar doe eens een opzet wat dan wel inhoudsvolle communicatie was geweest? Ik heb er nl. geen beeld bij. Harde taal, zoiets als “we zijn een stel kl..‘t zakken hier bij Odido”? Een CEO met een huilbui zoal ze in Japan en Korea doen?
[...]

"Iemand heeft een fout gemaakt, daardoor zijn we gehackt". "Dit is gewoon niet te voorkomen". Dat zie ik als heldere, eerlijke communicatie. Al dan niet ook voorzien van "onze monitoring heeft gefaald, we hebben niet tijdig opgemerkt dat onze volledige database(s) zijn gedupliceerd en naar buiten zijn verzonden. NB: Hoe is het mogelijk dat onder welk gebruikersaccount dan ook produktiedata zonder screening naar buiten een produktieomgeving kan worden gezet? Daar zou je minimaal een separaat account voor moeten hebben en dat account phishen zou dan al een stuk moeilijker moeten zijn. Dan kom je wat dichter in de buurt van "geavanceerd".

Waar zeg ik dat?

"Dit was een APT (Advanced Persistant Threat).". Dat breng je als een feit. Nergens heb ik dit uit de communicatie kunnen halen. Het feit dat er meerdere phishing pogingen waren, inclusief naat IT personeel maakt dit nog niet "advanced", het blijft gewoon phishing zoals ik dat ook elke dag in mijn mailbox krijg - en waar ik bij een awarenesstest ook wel eens (gelukkig maar 1 maal) ben ingestonken.
[...]

Het woord APT en de uitleg daarvan, waren mijn woorden. Volgens mij heeft Odido dit zelf nergens gebruikt.

Correct. Op basis van wat wel je woorden waren: Iemand bij Odido heeft een fout gemaakt die iedereen had kunnen overkomen. Dat maakt de aanval niet "advanced" of "complex" of wat dan ook anders dan: dom, en als organisatie kun je erop wachten.

Het feit dat de (produktie)systemen onvoldoende op slot zaten, dat procedures om aan "veel" informatie te kunnen onvoldoende waren of (al dan niet) door IT personeel zijn nageleefd geeft te denken. NB: Geen verwijt naar IT personeel, ook ik heb alles kunnen doen wat ten strengste verboden was omdat elke keer het proces volgen wel "erg bewerkelijk" was. Ik ben ook vaak genoeg gefrustreerd geweest omdat ik ondanks "rechten" omdat de procedures mijns inziens wel terecht bestonden en ze daarom volgde.
Wel verwijt naar IT personeel/budgetverantwoordelijken (omdat ik weet dat beveiling soms een sluitpost is qua ontwikkeluren en geld) dat de monitoring blijkbaar onvoldoende was. Alle fouten in deze paragraaf staan verder los van de aanval zelf die te verwachten was en zijn naar mijn mening dus "verwijtbaar".

Ja, dit alles geschreven vanuit de luie kantoorstoel waar ik vandaag op zit - maar ook op basis van de inmiddels jaren ervaring met gebruik, misbruik, en beveiliging van nog veel meer "gevoelige" en "gevoeligere" data dan Odido heeft.

ernstoud schreef op dinsdag 12 mei 2026 @ 15:30:
[...]

Maar denk je dat een technische uitleg van al deze zaken voor meer dan 1% van de miljoenen klanten zinvol zou zijn? Heb je van andere hacks zoals bij Interrail, Canvas e.d., wel die uitleg gehad? En als die uitleg er zou komen… wat lost dat op?

Dat een Tweaker wat meer wil weten is duidelijk. Maar Henk en Ingrid?

Eens. Maar zoals ik hierboven zei, bij een gerichte aanval gaat iedereen voor gaas. RSA is gehackt, het Pentagon, kerncentrales etc., allemaal sterk beveiligd. Zet Fox-IT in met voldoende tijd en budget en het lukt ze. Heb naast ze gezeten. Ze kregen alleen een ethernetkabel. Geen enkele info. Halve dag later konden ze de hele proces besturing, camera’s, deur bediening etc. overnemen.

Ik heb er ruim 20 jaar security op zitten, vele honderden organisaties nationaal en internationaal van binnen gezien. Ik maak me geen illusies meer dat we security ooit beter gaan doen zoals nu.

De voorbeelden die ik noem hebben veel breder bereik gehad dan alleen wat Tweakers. En ja, een deel van de communicatie is pas later gekomen (Eindhoven viel overigens wel mee), maar ik heb geen enkel signaal dat Odido op dit niveau informatie gaat delen op een later moment.

En gaaf dat je bij al die zaken betrokken bent geweest, je 20 jaar ervaring in security hebt en dat je de hackers van Fox-IT zo hoog hebt zitten. Er zijn echter wel genoeg omgevingen waar hele goede ethische hackers wat meer tijd nodig hebben dan een halve dag en een ethernet kabel (network access control iemand?) en waar ze heel snel gedetecteerd worden. Gelukkig maar, want als het zo makkelijk zou gaan, zou ik me zorgen maken over o.a. ons betaalsysteem. Blijkbaar heb je nog niet de gelegenheid gehad om in die omgevingen te mogen werken.
En nogmaals Odido is vitale infra, daar hoort de lat echt wel wat hoger te liggen. En zeker daar moet een een casus waarbij gebeld wordt names de IT-afdeling in het dreiginsscenario worden afgevangen, met meer dan alleen user awareness.

[ Voor 4% gewijzigd door BytePhantomX op 12-05-2026 15:47 ]

Los van alles wat gezegd wordt is deze Q&A toch wel kafkaësk:



In die formulieren vragen ze gegevens die je gewoon simpelweg niet meer hebt (en redelijkerwijs ook niet meer kunt of hoeft te hebben) als je al (veel) meer dan twee jaar geleden weg bent gegaan bij T-Mobile. Ze hebben dus gegevens die ze al lang hadden moeten verwijderen. Die weigeren ze echter alsnog te verwijderen omdat het formulier niet volledig kan worden ingevuld. Tja...

Ik vind hun fout rond het te lang bewaren van gegevens toch wel een van de grootste fouten waarover ze in alle talen zwijgen. Ik hoop dat ze daarvoor een flinke tik op de vingers krijgen van de AP.

Zentbeer schreef op dinsdag 12 mei 2026 @ 15:55:
Los van alles wat gezegd wordt is deze Q&A toch wel kafkaësk:

[Afbeelding]

In die formulieren vragen ze gegevens die je gewoon simpelweg niet meer hebt (en redelijkerwijs ook niet meer kunt of hoeft te hebben) als je al (veel) meer dan twee jaar geleden weg bent gegaan bij T-Mobile. Ze hebben dus gegevens die ze al lang hadden moeten verwijderen. Die weigeren ze echter alsnog te verwijderen omdat het formulier niet volledig kan worden ingevuld. Tja...

Ik vind hun fout rond het te lang bewaren van gegevens toch wel een van de grootste fouten waarover ze in alle talen zwijgen. Ik hoop dat ze daarvoor een flinke tik op de vingers krijgen van de AP.

Ik heb jaren geleden het verzoek tot verwijderen ingediend en dit was bevestigd. Dus ook het volledig invullen garandeert niets, zelfs niet wanneer je bewust vraagt je gegevens te laten verwijderen. En ja, technisch gezien was dat bij de voorlopers van Odido, maar zij beschikten wel over die oude data die allang verwijderd had moeten zijn.

buglife schreef op dinsdag 12 mei 2026 @ 16:45:
[...]

Ik heb jaren geleden het verzoek tot verwijderen ingediend en dit was bevestigd. Dus ook het volledig invullen garandeert niets, zelfs niet wanneer je bewust vraagt je gegevens te laten verwijderen. En ja, technisch gezien was dat bij de voorlopers van Odido, maar zij beschikten wel over die oude data die allang verwijderd had moeten zijn.

Bij de fusies en migraties waaruit Odido is ontstaan is verzuimd om data op te schonen lijkt het. En dan krijg je dit.

Geen excuus voor natuurlijk. Maar ik heb genoeg gezien dat in beleid zaken staan die technisch niet uitvoerbaar zijn. Hoe haal je de gegevens van dhr. Jansen weg als de applicatie die dat zou kunnen niet meer live is? Of als die gegevens in cold store ergens op een tape of ander medium staan? Weet je überhaupt in het tegenwoordige complexe landschap waar informatie staat?

Ik vroeg experts van CapGemini waar in het DBMS de staatsgeheimen stonden. Want ja, SAP moest internationaal ontsloten worden, maar niet de staatsgeheimen. De experts wisten het niet.

Dus - en uiteraard is dat totaal fout - is de vraag óf Odido eigenlijk wel de tools heeft om klant info te verwijderen. Veel bedrijven die ik tijdens audits sprak, bleven het antwoord schuldig.

ernstoud schreef op dinsdag 12 mei 2026 @ 16:21:
[...]
Targeted was het zeker. Meerdere phishing attacks. Via meerdere kanalen begrijp ik. Nogmaals; definitie kwestie.

Dat vetgedrukte ben ik het niet mee eens. Jij ontvangt bulk e-mail phishing. Bij Odido was het targeted.

Helaas beiden.... KYC: Know your Customer en check, check, doublecheck komen in gedachten.

ernstoud schreef op dinsdag 12 mei 2026 @ 17:08:
[...]


Bij de fusies en migraties waaruit Odido is ontstaan is verzuimd om data op te schonen lijkt het. En dan krijg je dit.

Geen excuus voor natuurlijk. Maar ik heb genoeg gezien dat in beleid zaken staan die technisch niet uitvoerbaar zijn. Hoe haal je de gegevens van dhr. Jansen weg als de applicatie die dat zou kunnen niet meer live is? Of als die gegevens in cold store ergens op een tape of ander medium staan? Weet je überhaupt in het tegenwoordige complexe landschap waar informatie staat?

...

Dus - en uiteraard is dat totaal fout - is de vraag óf Odido eigenlijk wel de tools heeft om klant info te verwijderen. Veel bedrijven die ik tijdens audits sprak, bleven het antwoord schuldig.

Het spijt me, maar wat is hier de relevantie van in deze casus? Alles stond in Salesforce, een platform dat gebruikt werd voor klantcontact. Daar kun je het toch prima verwijderen? Staat toch niet op tape, of is toch niet een systeem dat niet meer bestaat?

En zelfs dan, dan nog moet je data op verzoek verwijderen en je aan je eigen beleid houden. Dat het op tape staat of in een applicatie die niet meer bestaat is geen excuus. Daar moet je rekening mee houden in je beleid, de uitvoering en de technische keuzes die je maakt.

BytePhantomX schreef op dinsdag 12 mei 2026 @ 17:31:
[...]

Het spijt me, maar wat is hier de relevantie van in deze casus? Alles stond in Salesforce, een platform dat gebruikt werd voor klantcontact. Daar kun je het toch prima verwijderen? Staat toch niet op tape, of is toch niet een systeem dat niet meer bestaat?

Ik benoemde dat het bij de migratie naar SalesForce had moeten gebeuren. Dat het daarna niet meer is gebeurd zal de AP ongetwijfeld interesseren.

En zelfs dan, dan nog moet je data op verzoek verwijderen en je aan je eigen beleid houden. Dat het op tape staat of in een applicatie die niet meer bestaat is geen excuus. Daar moet je rekening mee houden in je beleid, de uitvoering en de technische keuzes die je maakt.

Ik wens je toe dat je in omgevingen rondloopt waar het altijd kan. Meneer Jansen doet een verzoek en daarna is 100% zeker alle data altijd weg. Maar nu is meneer Jansen een inkoper en zijn naam staat op facturen. Dan wil de BD echt niet dat je daaraan knutselt. Ik bedoel maar, het is soms complex. Voordat daar weer discussie over komt, ik bedoel het als voorbeeld.

Zou het kunnen dat in SalesForce na migratie van data uit andere oudere bronnen die gegevens op read-only staan? Zoiets heb ik ooit gezien in een DBMS.

Iemand anders uit de Odidotop heeft bevestigd dat Odido enige tijd niet wist dat er persoonsgegevens waren gelekt.

Odido blokkeerde het account waarop de hacker inlogde binnen een uur, zegt het bedrijf. Maar toen was het al te laat, bleek twee dagen later: de gegevens van miljoenen klanten waren in die korte tijd gedownload, zegt Van Lammeren. "We waren extreem verrast door de snelheid waarmee alles gebeurde."

De inbraak werd destijds wel opgemerkt, de diefstal niet, zegt Van Lammeren. "Er ging geen alarm af toen de gegevens op 5 februari werden gedownload."

Dat er lange tijd veel onduidelijk was, was volgens Van Lammeren de reden dat het bedrijf zo weinig aan zijn miljoenen klanten liet weten. De topvrouw zegt dat het bedrijf dat beter had kunnen doen. Ze noemt het de belangrijkste les die het bedrijf heeft geleerd na de digitale inbraak.

Volgende keer dus toch sneller en meer communiceren.

Bron

[ Voor 21% gewijzigd door buglife op 12-05-2026 21:36 ]

buglife schreef op dinsdag 12 mei 2026 @ 16:45:
[...]

Ik heb jaren geleden het verzoek tot verwijderen ingediend en dit was bevestigd. Dus ook het volledig invullen garandeert niets, zelfs niet wanneer je bewust vraagt je gegevens te laten verwijderen. En ja, technisch gezien was dat bij de voorlopers van Odido, maar zij beschikten wel over die oude data die allang verwijderd had moeten zijn.

Moeten ze niet wettelijk gezien enkele gegevens bewaren voor de belastingdienst? Meen me zoiets te herinneren.

runaround schreef op dinsdag 12 mei 2026 @ 23:44:
[...]

Moeten ze niet wettelijk gezien enkele gegevens bewaren voor de belastingdienst? Meen me zoiets te herinneren.

Ja, 7 jaar. In sommige gevallen langer.

ernstoud schreef op dinsdag 12 mei 2026 @ 23:50:
[...]
Ja, 7 jaar. In sommige gevallen langer.

Een bedrijf moet financiële (bankrekeningen, boekhouding) gegevens 7 jaar bewaren voor de belastingdienst. Het is geen wettelijke reden om zo lang een klantenbestand zo lang te laten behouden.

BytePhantomX schreef op dinsdag 12 mei 2026 @ 15:23:
[...]

Wat voorbeelden over communicatie waar je wat aan hebt:
Hoppenbrouwers: https://www.hoppenbrouwerstechniek.nl/boek-hack/
Universiteit Maastricht: https://www.maastrichtuniversity.nl/nl/updates-cyberaanval
Hof van Twente: https://www.agconnect.nl/business/security/rapporten-ransomwareramp-bij-hof-van-twente-viel-te-voorkomen
Eindhoven: https://www.tue.nl/nieuws-en-evenementen/nieuwsoverzicht/samen-sterk-hoe-onze-universiteit-de-cyberaanval-trotseerde

Ik wil geen huilbui, ik wil graag een feitenrelaas over wat er is gebeurd. Dan kunnen we beoordelen of het advanced was, of dat ze simpelweg de adviezen over het veilig inrichten van Salesforce in de wind hebben geslagen.
Nu is het alsof ze geen fouten hebben gemaakt en ze zichzelf complimenten geven, maar niemand die het kan beoordelen.

En ja jij gebruikt APT, waarmee je een beeld lijkt te schetsen dat je je hier niet tegen kan verdedigen. Ik nuanceer jouw opmerking dat het een APT is geweest met een andere definitie, en ik vind dat dit niet zo geavanceerd is als Odido misschien wil doen laten geloven. Als het wel zo geavanceerd is, dan graag wat meer details om het aan te tonen.

Waar heeft Salesforce ze precies voor gewaarschuwd? Dat er aanvallen zijn en je waakzaam moet zijn voor social engineering attacks?
Ja lekker makkelijk

Grofweg zie ik de volgende technieken misbruikt worden bij dit type aanvallen:

- Salesforce oAuth aanvallen
- IDP (bv Azure) kwetsbaarheden zoals oAuth (incl Device Code) en non-phishing resistant MFA.

Vooral de laatste is populair bij aanvallers. Echter, even al je MFA omzetten naar phishing resistant MFA (zoals Yubikey of Passkey) is echt niet mega simpel.

Tegelijk ik denk wel dat het HET onderwerp is waar bedrijven mee bezig zouden moeten zijn. Ja het is complex/kost geld maar het is wel nodig. Als ik om mij heen kijk dan is de adoptie van phishing resistant mfa nog zeer beperkt.

Ik heb geen idee op welke manier Odido kwetsbaar was maar ik weet wel dat er enorm veel bedrijven kwetsbaar zijn maar ze simpelweg nog niet aangevallen zijn (of het niet weten).
Dus nee ik denk niet dat de aanval mega geavenceerd was maar ik denk wel dat er heel bedrijven op een niet geavenceerde manier te hacken zijn.

@laurens0619 ik ben het met iedereen eens die zegt dat het niet eenvoudig is. Waar ik vooral tegen ageer is het beeld dat Odido niet zou hebben kunnen weten dat dit een issue was en wat ze moesten doen.

Bij mij is juist het beeld, samen met bijvoorbeeld de eerdere boete, dat ze aan het 'optimaliseren' zijn en hun positie als partij in de vitale infrastructuur niet serieus genoeg nemen. Zij moeten in staat zijn om zich te weren tegen de meest geavanceerde statelijke dreigingen die er zijn. Dit geeft bepaald geen vertrouwen dat ze daartoe in staat zijn. We hebben het hier niet over de bakker om de hoek, of een webshop.

[ Voor 5% gewijzigd door BytePhantomX op 13-05-2026 10:50 ]

BytePhantomX schreef op woensdag 13 mei 2026 @ 10:49:
@laurens0619 ik ben het met iedereen eens die zegt dat het niet eenvoudig is. Waar ik vooral tegen ageer is het beeld dat Odido niet zou hebben kunnen weten dat dit een issue was en wat ze moesten doen.

Bij mij is juist het beeld, samen met bijvoorbeeld de eerdere boete, dat ze aan het 'optimaliseren' zijn en hun positie als partij in de vitale infrastructuur niet serieus genoeg nemen. Zij moeten in staat zijn om zich te weren tegen de meest geavanceerde statelijke dreigingen die er zijn. Dit geeft bepaald geen vertrouwen dat ze daartoe in staat zijn. We hebben het hier niet over de bakker om de hoek, of een webshop.

Dat ben ik met je eens. Ik denk dat de security mensen bij Odido donders goed wisten welke risicos er waren maar dit het niet heeft gewonnen van de commerciele belangen van de club.

De root cause zit wat mij betreft dan ook in de race to the bottom waar bedrijven in zitten.
Gejat van iemand anders op het forum:

De theorie is dat concurrentie goed is omdat bedrijven elkaar willen overtreffen.
De realiteit is dat ze elkaars kutservice gaan matchen zodat iedereen er mee weg komt

Zelfs al wil jij nu een Goed Bedrijf starten en wel concurreren op kwaliteit: Dat kan niet, want kutservice is efficienter, dus je overleeft het niet

laurens0619 schreef op woensdag 13 mei 2026 @ 10:58:
[...]

Dat ben ik met je eens. Ik denk dat de security mensen bij Odido donders goed wisten welke risicos er waren maar dit het niet heeft gewonnen van de commerciele belangen van de club.

De root cause zit wat mij betreft dan ook in de race to the bottom waar bedrijven in zitten.
Gejat van iemand anders op het forum:

De theorie is dat concurrentie goed is omdat bedrijven elkaar willen overtreffen.
De realiteit is dat ze elkaars kutservice gaan matchen zodat iedereen er mee weg komt

Zelfs al wil jij nu een Goed Bedrijf starten en wel concurreren op kwaliteit: Dat kan niet, want kutservice is efficienter, dus je overleeft het niet

Dat is natuurlijk niet helemaal waar. Er zijn genoeg bedrijven die wel overleven die zich juist op dit soort gebieden differentiëren, Freedom internet bv.
Maar veel mensen zijn het wel eens met de principes, maar uiteindelijk 'wint' de portemonnee en gaan ze idd voor de goedkoopste.

[ Voor 6% gewijzigd door IJsbeer op 13-05-2026 11:03 ]

IJsbeer schreef op woensdag 13 mei 2026 @ 11:03:
[...]


Dat is natuurlijk niet helemaal waar. Er zijn genoeg bedrijven die wel overleven die zich juist op dit soort gebieden differentiëren, Freedom internet bv.
Maar veel mensen zijn het wel eens met de principes, maar uiteindelijk 'wint' de portemonnee en gaan ze idd voor de goedkoopste.

Nee dat klopt en gelukkig maar
Ik schrijf dingen graag gechargeerd op om een punt te maken maar gelukkig is de wereld nog niet zo zwart als ik hem schets. Tegelijk, het lijkt wel die kant op te gaan (maar nu gaan we denk ik teveel offtopic).

Mbt principes helemaal eens:
Ik denk dat Odido eerst heeft besloten niet te gaan betalen en daarna met het principe "we belonen criminelen niet" is gekomen. Geen leugen want ik geloof echt wel dat zehet daar ook mee eens zijn maar dat dat de primiaire reden is geweest? Nah zo goedgelovig ben ik niet.

[ Voor 18% gewijzigd door laurens0619 op 13-05-2026 11:07 ]

laurens0619 schreef op woensdag 13 mei 2026 @ 10:58:
[...]

Dat ben ik met je eens. Ik denk dat de security mensen bij Odido donders goed wisten welke risicos er waren maar dit het niet heeft gewonnen van de commerciele belangen van de club.

De root cause zit wat mij betreft dan ook in de race to the bottom waar bedrijven in zitten.

Die analyse is denk ik helemaal terecht. Ik heb er ook eigenlijk geen twijfel over dat het security-team van Odido wist wat ze moesten doen. Het is vooral de vraag of ze de ruimte kregen van het bestuur om hun ding goed te doen.

En het zal helaas nog wat jaren duren, maar met de recente boetes van de AP en die mogelijk met de NIS2 wetgeving gaan komen, hoop ik dat de business case om het wel goed te doen gaat draaien.

Fijne inhoudelijke discussie hierboven. Ruimte voor overdrijving of generalisering waar dat kan, nuance waar nodig en zonder elkaar te willen overtuigen van het eigen gelijk. Top!

BytePhantomX schreef op woensdag 13 mei 2026 @ 10:49:
@laurens0619
Zij moeten in staat zijn om zich te weren tegen de meest geavanceerde statelijke dreigingen die er zijn.

Ik heb risico analyses gedaan voor (zeer) kritieke infrastructuur (denk aan miljoenen mensen die niet meer in NL kunnen wonen, zou het misgaan) en de conclusie was vaak dat statelijke actoren met ongelimiteerd budget en veel tijd, het grootste risico zijn met helaas weinig denkbare mitigerende maatregelen. En als die maatregelen bedacht kunnen worden zijn ze onbetaalbaar of niet te realiseren.

Het is een illusie te denken dat een commercieel bedrijf zich kan weren tegen een statelijke actor.

ernstoud schreef op woensdag 13 mei 2026 @ 12:42:
[...]


Ik heb risico analyses gedaan voor (zeer) kritieke infrastructuur (denk aan miljoenen mensen die niet meer in NL kunnen wonen, zou het misgaan) en de conclusie was vaak dat statelijke actoren met ongelimiteerd budget en veel tijd, het grootste risico zijn met helaas weinig denkbare mitigerende maatregelen. En als die maatregelen bedacht kunnen worden zijn ze onbetaalbaar of niet te realiseren.

Het is een illusie te denken dat een commercieel bedrijf zich kan weren tegen een statelijke actor.

Zonder enig oordeel te willen geven over jouw ervaringen, zijn mijn ervaringen anders en ben ik het hartgrondig oneens met jouw standpunt. Het beeld dat het überhaupt niet mogelijk is om je te beschermen is veel te ongenuanceerd en naar mijn mening niet waar. Het is, zeker in sommige contexten, heel moeilijk, maar echt niet onmogelijk.

En om dat concreet te maken. Noord-Korea is zo'n zeer geavanceerde statelijke actor die met regelmaat aantoont dat zij geïntreseerd zijn in het hacken van financiële systemen. Voor eenieder die niet zo in cyber zit een hele leuke podcast om te luisteren: https://darknetdiaries.com/transcript/72/
En ja, ik ben er zeker van overtuigd dat onze banken nog kwetsbaarheden hebben. Daarbij moeten banken ook juist zichzelf laten testen op dit soort scenario's: https://www.dnb.nl/voor-de-sector/betalingsverkeer/begeleiding-cyberweerbaarheidstesten-door-dnb/threat-intelligence-based-ethical-red-teaming-tiber/ En denk maar niet dat die wegkomen zonder verbeterplannen.
Maar als ze zo zwak zijn als het beeld dat jij schetst, dan zouden we inmiddels al miljarden kwijt zijn geweest aan deze hackers.

[ Voor 34% gewijzigd door BytePhantomX op 13-05-2026 13:08 ]

BytePhantomX schreef op woensdag 13 mei 2026 @ 12:59:
[...]

Zonder enig oordeel te willen geven over jouw ervaringen, zijn mijn ervaringen anders en ben ik het hartgrondig oneens met jouw standpunt. Het beeld dat het überhaupt niet mogelijk is om je te beschermen is veel te ongenuanceerd en naar mijn mening niet waar. Het is, zeker in sommige contexten, heel moeilijk, maar echt niet onmogelijk.

We agree to differ.

Zou leuk zijn om ervaringen uit te wisselen. Ben erg geïnteresseerd hoe je je tegen en statelijk actor met ongelimiteerd budget en inzet van bijvoorbeeld defensie kunt verweren. Op een betaalbare en realistische wijze. Bij de risico analyses die we deden was het altijd zeer lage kans, rampzalige schade. Maatregelen om de kans nog kleiner te maken? Inzet 24/7 van Defensie, DSI e.d.

Niet te realiseren. En zeker niet voor Odido.

Maar goed, erg off-topic. Ik hou er hier over op.

ernstoud schreef op woensdag 13 mei 2026 @ 13:06:
[...]


We agree to differ.

Zou leuk zijn om ervaringen uit te wisselen. Ben erg geïnteresseerd hoe je je tegen en statelijk actor met ongelimiteerd budget en inzet van bijvoorbeeld defensie kunt verweren. Op een betaalbare en realistische wijze. Bij de risico analyses die we deden was het altijd zeer lage kans, rampzalige schade. Maatregelen om de kans nog kleiner te maken? Inzet 24/7 van Defensie, DSI e.d.

Niet te realiseren. En zeker niet voor Odido.

Maar goed, erg off-topic. Ik hou er hier over op.

De relevantie van de discussie zit in wat je mag verwachten van een partij die onder vitale infrastructuur valt. Als ik dan de combinatie maak dat dit naar mijn mening geen APT is, het een bekende aanval was die goed gedocumenteerd was en waar je je tegen kan verdedigen, ze diverse plekken onvoldoende maatregelen hebben genomen, dan ageer ik erg tegen iedereen die zegt dat je in cyber eigenlijk kansloos bent.

En wil je weten hoe het bij bijvoorbeeld defensie werkt. Heel eenvoudig, die hebben de eisen openbaar staan: https://www.defensie.nl/documenten/2020/02/04/abdo-2019
En die eisen stellen ze aan commerciële leveranciers van defensie en zijn bepaald niet optioneel.

ernstoud schreef op woensdag 13 mei 2026 @ 12:42:
[...]


Ik heb risico analyses gedaan voor (zeer) kritieke infrastructuur (denk aan miljoenen mensen die niet meer in NL kunnen wonen, zou het misgaan) en de conclusie was vaak dat statelijke actoren met ongelimiteerd budget en veel tijd, het grootste risico zijn met helaas weinig denkbare mitigerende maatregelen. En als die maatregelen bedacht kunnen worden zijn ze onbetaalbaar of niet te realiseren.

Het is een illusie te denken dat een commercieel bedrijf zich kan weren tegen een statelijke actor.

Ik ben het hier, ben ik bang, ook mee eens.
Ik blijf mijn punt herhalen maar ik denk dat zonder de pakkans van criminelen aan te pakken, het een gelopen race is voor criminelen. Als je er genoeg tijd en geld tegenaan gooit en er is geen pakkans, dan zal het ze altijd lukken.

Een van mn favoriete podcasts is de Darknet Diaries en wat mij daar opviel is dat het betalen van criminelen, vroeg of laat, juist heeft geholpen bij het vinden en arresteren van de criminele organisatie.
Het internet "even" herontwerpen zodat alles en iedereen traceerbaar is zoals kentekenplaten op de openbare weg zie ik niet zo snel gebeuren. Het financiele systemeen (en dan met name crypto) aanpakken zodat het geld beter gevolgd kan worden zie ik wel als kanshebber.

laurens0619 schreef op woensdag 13 mei 2026 @ 10:26:
[...]

Waar heeft Salesforce ze precies voor gewaarschuwd? Dat er aanvallen zijn en je waakzaam moet zijn voor social engineering attacks?
Ja lekker makkelijk

Niet op de man spelen

[ Voor 15% gewijzigd door Jazzy op 14-05-2026 13:39 ]

mrmrmr schreef op woensdag 13 mei 2026 @ 17:37:
Niet op de man spelen

Lol wat vriendelijk Nee zoals je leest heb ik mij daar allang eerder in verdiept.

laurens0619 in "Odido waarschuwt voor datalek (cyberaanval/hack)"

Maar reden dat ik het vroeg is omdat ik even wilde aftasten of we het over dezelfde advisories hadden. Tegelijk snap ik best dat je dat anders in mijn post las. Het hangt een beetje van je blik af en schijnbaar kies jij veroordelen op de man boven een inhoudelijke discussie

[ Voor 15% gewijzigd door Jazzy op 14-05-2026 13:39 ]

Goede discussie hier. Laten we het vooral over de inhoud hebben.
Het begrip 'vitale infrastructuur' werd in een aantal berichten gebruikt. Odido valt daar onder.
Ik ben zelf in deze materie geen deskundige, maar vroeg me af wat er dan precies onder valt. Voor zover ik uit de berichten kan volgen, is de infrastructuur zelf niet in het geding geweest.
Met andere woorden: wat zegt dat 'label' eigenlijk.
En ja, deze hack roept natuurlijk de vraag op of de infrastructuur dan zelf wel goed beveiligd is (en tegen wie), maar als het echt verschillende dingen zijn dan is het voor dit topic dan inderdaad richting off-topic.

[ Voor 4% gewijzigd door Wally2002 op 14-05-2026 04:41 ]

@Wally2002 als je onder vitale infrastructuur valt moet je dat niet al te technisch opvatten, meer dat een organisatie een vitaal onderdeel uitmaakt van het functioneren van Nederland. Bijvoorbeeld energie, water, telecom etc. Op dit moment is er een nieuwe wet aangenomen (ook wel NIS2 genoemd) waardoor veel meer organisaties vitaal zijn geworden, onder toezicht vallen en een forse boete kunnen krijgen.

Odido wordt al jaren als vitaal gezien en valt daarmee al jaren onder toezicht. Onderdeel daarvan is het uitvoeren van risicoanalyses en voor telecom is aangevallen worden door statelijke actoren een risico dat ze naar mijn idee moeten beheersen. Je zou dan (mogen) verwachten dat de lat een stuk hoger ligt dan een gemiddeld ander (groot) bedrijf.

Als Odido dan zegt dat de aanval heel geavanceerd was en daardoor verdediging misschien zelfs wel onmogelijk was, dan voldoen ze wat mij betreft niet aan wat van ze verwacht mag worden.

@BytePhantomX helder. Zou het kunnen zijn dat bij die risicoanalyses de focus op de infrastructuur ligt en bijvoorbeeld de klantenservice en klantgegevens niet in beeld zijn? Een risicoanalyse hoort bij een bepaalde scope. En als daar puur naar de beschikbaarheid en betrouwbaarheid van de infra wordt gekeken dan is het op zich niet vreemd dat een risico van misbruik door statelijke actoren via Chinese apparatuur als toprisico naar voren komt, en Odido en rechtsvoorganger daar op ingezet hebben (vervanging naar ander merk apparatuur).

Niet dat ik wil goedpraten wat hier gebeurd is, maar kan wel verklaren dat energie en geld aan bepaalde zaken worden uitgegeven waardoor andere onderbelicht zijn.

Je hebt te maken met een stukje scope en stukje abstractie. Daarnaast wordt er vaak gekeken of een control er in design is en/of het in praktijk ook werkt.

ik denk wel dat de klantenservice en data in scope waren. .

Daarnaast is risico management ook een belangrijk onderdeel waar risico acceptatie ook kan gebeuren.

Samengevat kunnen raamwerken als nis2 zeker helpen maar het maakt je niet per definitie veilig.

@Wally2002 zeker. Wat @laurens0619 ook al aangeeft, bij risicoanalyses hoort een scope en ook een mate van risicoacceptatie. Het kan dat Odido dit risico heeft geanalyseerd en een kosten baten afweging heeft gemaakt. Daarbij kan de conclusie bijvoorbeeld zijn dat mitigeren van het risico te duur is bevonden. Voor een bedrijf als Odido zou de risicobereidheid echter vrij laag moeten liggen. En zo'n aanval als deze zou nooit binnen de risicobereidheid mogen passen.

Of misschien een logischere verklaring, gezien de tijd, is de risicoanalyse niet op tijd bijgewerkt en was de risicoinschatting nog verkeerd. Je ziet daar ook verschillen tussen bijvoorbeeld security operations die elke dag bezig zijn met de nieuwste dreigingen, en de tragere formele risicomanagement processen. De eerste weet vaak goed wat er moet gebeuren, de laatste is degene die een bedrijf echt in beweging krijgt.

WP_Pj schreef op dinsdag 12 mei 2026 @ 10:56:
[Afbeelding]

Toch weer een mailtje vanuit Odido. Kan niet zeggen dat ik het een geweldige uitleg vind voor hun radiostilte.

Wel bijzonder, als klant heb ik de mail niet gehad. Op geen enkel account, terwijl ik de initiële mail wel meerdere keren ontving. Bijzondere manier van communiceren weer...

Overigens ontving ik van Ben een soortgelijke mail over het gebeuren, zonder verwijzing naar een video. Die lijken alles beter voor elkaar te hebben. Wellicht kan Odido eens wat beter kijken naar hoe Ben dingen doet.

buglife schreef op woensdag 20 mei 2026 @ 06:58:
[...]

Wel bijzonder, als klant heb ik de mail niet gehad. Op geen enkel account, terwijl ik de initiële mail wel meerdere keren ontving. Bijzondere manier van communiceren weer...

Overigens ontving ik van Ben een soortgelijke mail over het gebeuren, zonder verwijzing naar een video. Die lijken alles beter voor elkaar te hebben. Wellicht kan Odido eens wat beter kijken naar hoe Ben dingen doet.

Ik heb anders niks inhoudelijks van Ben gehad. Alleen maar algemene prietpraat. Daarom ben ik ook maar snel weg gegaan

Hoe staan jullie tegenover Freedom tov Odido (reviews online zijn namelijk nog slechter dan Odido) of eventuele andere goede en betaalbare glas providers waar privacy en security en stabiliteit voorop staat?

n00bs schreef op woensdag 20 mei 2026 @ 09:45:
Hoe staan jullie tegenover Freedom tov Odido (reviews online zijn namelijk nog slechter dan Odido) of eventuele andere goede en betaalbare glas providers waar privacy en security en stabiliteit voorop staat?

Volgens mij kom je dan uit op providers zoals Freedom en Cheapconnect. Maar die kosten wel wat meer, maar dat is ook wel logisch omdat ze kleiner zijn en een hele andere doelgroep bedienen met hun product. Volledige focus op internet en niet op een TV product.

n00bs schreef op woensdag 20 mei 2026 @ 09:45:
Hoe staan jullie tegenover Freedom tov Odido (reviews online zijn namelijk nog slechter dan Odido)

Bij de Consumentenbond komt Freedom juist als beste provider uit de bus

n00bs schreef op woensdag 20 mei 2026 @ 09:45:
Hoe staan jullie tegenover Freedom tov Odido (reviews online zijn namelijk nog slechter dan Odido) of eventuele andere goede en betaalbare glas providers waar privacy en security en stabiliteit voorop staat?

Ik gebruik al jaren Freedom (niet via KPN netwerk) en zou geen andere provider meer willen. Je krijgt vaste IPv4 adressen en een block met IPv6 adressen. Verder is alles toegestaan. En mocht er toch iets niet goed gaan is de klantenservice erg capabel. Het is wel wat duurder dan de rest, maar daar kies je voor.