Odido waarschuwt voor datalek (cyberaanval/hack)

Cooyco schreef op donderdag 25 juni 2026 @ 09:35:
[...]

Bedrijven en zeker bedrijven met een nutsfunctie zullen dan in de toekomst weten dat het goedkoper is de beveiliging te optimaliseren dan een hack te riskeren. De boetes van welke overheidsinstantie lukt dat tot nu toe niet. En nee, geen beveiliging is absoluut maar de afwegingen kunnen echt anders.

Omdat er verkeersboetes zijn rijdt niemand meer te hard?

Risico mitigeren kost heel veel geld, tijd en moeite. En “optimaliseren” betekent dan een restrisico. Daar kun je een hoop aan rekenen, discussie over voeren op alle lagen van de organisatie, certificeren, red/blue team sessies houden etc. etc. En dan nog kun je gehackt worden. Ik denk dat kerncentrales (heb ik een beveiligingsplan voor gemaakt, bij de IAEA in Wenen over gepresenteerd) het “best” beveiligd zijn. En kijk naar Stuxnet… ook die sector loopt risico.

Als je geen hack wil riskeren moet je je bedrijf stoppen. Ga je door, loop je risico’s, die je vaak niet kunt inschatten.

Dat Odido in dit geval laks is geweest door niet tijdig op de (late) door SalesForce aangegeven verbeteringen te reageren is duidelijk. Hopelijk leren ze, en anderen ook, er van.

TexMex schreef op donderdag 25 juni 2026 @ 09:31:
[...]
Toch denk ik niet dat we zomaar kunnen uitsluiten dat Odido in dit soort topics actief is op enigerlei wijze.

Dat kan. En dan nog? Openbaar forum. Denk je dat Tweakers makke schapen zijn die dan alles voor zoete koek slikken?

Ik vind het wel bijzonder in deze en andere threads dat als je wat tegengas geeft op zwaar aangezette woorden hier direct in de hoek gezet wordt van “zal wel bij Odido of partner werken”. Kom op zeg.

ernstoud schreef op donderdag 25 juni 2026 @ 09:49:
[...]


Omdat er verkeersboetes zijn rijdt niemand meer te hard?

Risico mitigeren kost heel veel geld, tijd en moeite. En “optimaliseren” betekent dan een restrisico. Daar kun je een hoop aan rekenen, discussie over voeren op alle lagen van de organisatie, certificeren, red/blue team sessies houden etc. etc. En dan nog kun je gehackt worden. Ik denk dat kerncentrales (heb ik een beveiligingsplan voor gemaakt, bij de IAEA in Wenen over gepresenteerd) het “best” beveiligd zijn. En kijk naar Stuxnet… ook die sector loopt risico.

Als je geen hack wil riskeren moet je je bedrijf stoppen. Ga je door, loop je risico’s, die je vaak niet kunt inschatten.

Dat Odido in dit geval laks is geweest door niet tijdig op de (late) door SalesForce aangegeven verbeteringen te reageren is duidelijk. Hopelijk leren ze, en anderen ook, er van.

Slechts nalatigheid? Dat zeiden ze in 1986 ook bij de kerncentrale van Tsjernobyl. Laten we onze reactie van toen eens voorstellen: "Dat de kerncentrale van Tsjernobyl in dit geval laks is geweest door niet tijdig op de (late) door het engineeringteam aangegeven verbeteringen te reageren is duidelijk. Hopelijk leren ze, en anderen ook, er van".

Een modern telecombedrijf moet beschikken over een gelaagde beveiligingsbasis en standaard "Zero Trust" hanteren, zeker bij toegang tot bedrijfskritieke gegevens. We hebben hier niet zomaar te maken met een phishing- (of vishing-) aanval - een volstrekt elementaire aanval die zelfs door een redelijk ontwikkelde scholier uit China of Wit-Rusland kan worden uitgevoerd. Het punt is echter dat deze vishing niet alleen de diefstal van een deel van de data mogelijk maakte (wat nog enigszins verklaard had kunnen worden), maar de volledige klantendatabase, inclusief financieel gevoelige informatie.

Hier zijn werkelijk alle protocollen voor informatiebeveiliging geschonden:

1. Centrale opslag van data met de mogelijkheid tot volledige export.
2. Falen van SIEM/SOC-systemen.
3. Falen van firewalls en overige WAF-configuraties die op verdachte activiteiten zijn ingesteld.
4. Falen van alle antifraude systemen.
5. Ontbreken van enige alarmering bij verdachte acties.

U haalt een belachelijk voorbeeld aan met Stuxnet. Dat was een andere wereld 2010 toen 3D/VBV nog niet eens volledig was geïntegreerd. Dat is hetzelfde als een voorbeeld uit 1980 aanhalen.

Maar u merkt terecht op: "Daar kun je een hoop aan rekenen, discussie over voeren op alle lagen van de organisatie, certificeren, red/blue team sessies houden etc. etc. En dan nog kun je gehackt worden."

Misschien is het beter om er in plaats van eindeloze vergaderingen en het onderhouden van incompetent C-level personeel (CEO, CISO), beter mensen ingehuurd kunnen worden die niet vergaderen, maar hun werk doen en ervoor zorgen dat de onderneming aan haar contractuele verplichtingen voldoet. Een essentieel onderdeel van dat contract is het waarborgen van de veiligheid van abonneedata.

Nogmaals, het gaat hier primair om compensatie als opvoedkundig middel - niemand is uit op verrijking ten koste van hen, maar zij zijn verplicht om financiële verantwoordelijkheid te dragen. En dan niet alleen het bedrijf, maar de gehele lijn van verantwoordelijk personeel: de CEO en CISO. U beweert dat de chaos in het bedrijf niet bewezen is, waarom beweert u dat?

Lees dit: https://stratedigi.medium.com/how-i-tried-to-improve-the-unimprovable-or-the-odido-project-fbb44776e0c3

Denkt u dat er iets is veranderd? Nee! De mobiele app werkt niet. Ze begrijpen zelf niet wat er in hun billing gebeurt.

En toch: hoe kan Odido volgens u het gebrek aan chaos aantonen en de bekwaamheid van het management bevestigen? Door advocaten van een miljoen in te schakelen voor een zaak van 100 euro? Door maandelijkse uitval van de verbinding? Door een klantenservice die alleen uit bots bestaat, of met wachttijden van 100 dagen? Of misschien door de beveiliging van hun informatie en daadwerkelijk geleerd te hebben van hun fouten?

Kijk overigens eens naar de staat van hun Surface for Potential Cyberattack via DNS-dumpster. Er is in vier maanden tijd niets veranderd - deze onderneming kan opnieuw worden aangevallen door elk willekeurig, enigszins voorbereid team.

Ik wil er direct bij zeggen dat dit openbare gegevens zijn, zodat de vertegenwoordigers van de CEO/CISO van Odido niet de enige truc proberen die ze beheersen: het verzoeken om verwijdering van gegevens van websites, in plaats van zich te focussen op hun eigenlijke verantwoordelijkheden.

En voor de duidelijkheid: stuur deze schermafbeeldingen simpelweg naar een willekeurig AI-systeem en vraag wat de risico's voor de informatiebeveiliging zijn. Iedere willekeurige LLM zal u hetzelfde antwoord geven.

TexMex schreef op donderdag 25 juni 2026 @ 10:05:
[...]


Als dat direct gelieerd is aan Odido, zou het wel zo netjes zijn dat kenbaar te maken. Verder beschuldig ik niemand. Ik zeg louter dat ik niet uitsluit dat Odido hier actief is.

Ik kan u echter met volledige zekerheid zeggen - natuurlijk is Odido hier actief, dat weet ik inmiddels juridisch gezien direct. Ze maken zich grote zorgen over de discussie die ik hier ben gestart. Maar om andere reageerders ervan te verdenken dat ze voor hen werken, is waarschijnlijk wat overbodig.

alexshaman schreef op donderdag 25 juni 2026 @ 10:57:
[...]

Slechts nalatigheid? Dat zeiden ze in 1986 ook bij de kerncentrale van Tsjernobyl. Laten we onze reactie van toen eens voorstellen: "Dat de kerncentrale van Tsjernobyl in dit geval laks is geweest door niet tijdig op de (late) door het engineeringteam aangegeven verbeteringen te reageren is duidelijk. Hopelijk leren ze, en anderen ook, er van".

Er speelden daar heel andere problemen dan wat je hier schetst. Voornamelijk het gebruik van sterk verouderde technologie.

Een modern telecombedrijf moet beschikken over een gelaagde beveiligingsbasis en standaard "Zero Trust" hanteren, zeker bij toegang tot bedrijfskritieke gegevens. We hebben hier niet zomaar te maken met een phishing- (of vishing-) aanval - een volstrekt elementaire aanval die zelfs door een redelijk ontwikkelde scholier uit China of Wit-Rusland kan worden uitgevoerd. Het punt is echter dat deze vishing niet alleen de diefstal van een deel van de data mogelijk maakte (wat nog enigszins verklaard had kunnen worden), maar de volledige klantendatabase, inclusief financieel gevoelige informatie.

Hier zijn werkelijk alle protocollen voor informatiebeveiliging geschonden:

1. Centrale opslag van data met de mogelijkheid tot volledige export.
2. Falen van SIEM/SOC-systemen.
3. Falen van firewalls en overige WAF-configuraties die op verdachte activiteiten zijn ingesteld.
4. Falen van alle antifraude systemen.
5. Ontbreken van enige alarmering bij verdachte acties.

Valide opsomming. Maar zonder inside informatie is het lastig om alles wat het beveiligingsmodel heeft doen falen met zekerheid op te sommen.

Je vergeet er overigens wel één, een belangrijke: een leverancier die software levert met een enorme kwetsbaarheid.

U haalt een belachelijk voorbeeld aan met Stuxnet. Dat was een andere wereld 2010 toen 3D/VBV nog niet eens volledig was geïntegreerd. Dat is hetzelfde als een voorbeeld uit 1980 aanhalen.

Belachelijk? Waarom? Ik geef aan dat in de nucleaire wereld waar ik een tijd heb rondgelopen en waar qua security/safety de standaards heel hoog liggen, er nog steeds rest risico is. Leren uit het verleden is erg verstandig.

Misschien is het beter om er in plaats van eindeloze vergaderingen en het onderhouden van incompetent C-level personeel (CEO, CISO), beter mensen ingehuurd kunnen worden die niet vergaderen, maar hun werk doen en ervoor zorgen dat de onderneming aan haar contractuele verplichtingen voldoet.

Je ben cybersecurity specialist begrijp ik. In het algemeen hebben die zo is mijn ruime ervaring, het idee dat zij beleid bepalen. Dat is niet zo, dat is het management. Je harde woorden over incompetentie e.d. tonen frustratie. Dat begrijp ik maar jij zit niet achter de stuurknuppel bij Odido. Het is niet anders.

Nogmaals, het gaat hier primair om compensatie als opvoedkundig middel - niemand is uit op verrijking ten koste van hen, maar zij zijn verplicht om financiële verantwoordelijkheid te dragen. En dan niet alleen het bedrijf, maar de gehele lijn van verantwoordelijk personeel: de CEO en CISO.

Opvoedkundig middel? Je zou echt eens in een directie van een grote organisatie moeten deelnemen. Die zijn niet bezig met dat wat jij schetst.

U beweert dat de chaos in het bedrijf niet bewezen is, waarom beweert u dat?

Omdat het te grote woorden zijn. Allerlei voorbeelden noemen wat fout gaat bij Odido of KPN, de overheid of wie dan ook, impliceert geen “chaos”. Elke dag weer komen miljoenen mensen veilig op hun werk. De krant noemt alleen de ongelukken. Betekent dat, dat er chaos op de weg is?

Lees dit: https://stratedigi.medium.com/how-i-tried-to-improve-the-unimprovable-or-the-odido-project-fbb44776e0c3

Duidelijk van jouw hand? Zelfde toon, zelfde n=1 rant, kan er niet veel mee. De miljoenen tevreden Odido gebruikers ook niet.

Ik kan over mijn recente ervaringen met het omzetten van zakelijke KPN contracten ook mijn frustratie delen. Betekent dat chaos bij KPN?

alexshaman schreef op donderdag 25 juni 2026 @ 10:59:
[...]
Ze maken zich grote zorgen over de discussie die ik hier ben gestart.