Odido waarschuwt voor datalek (cyberaanval/hack)

De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Het zal je verbazen hoeveel van de jongeren juist erin trappen bij ons idd regelmatig tests etc. en de falers zitten steeds in de jongste categorie 25-30 jarigen

quote: https://nos.nl/artikel/26...ich-voor-als-ict-afdeling

Buitenlandse callcenters
Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt. Het lukte de aanvallers om in te loggen op Salesforce, een populair softwarepakket waarin klantgegevens worden bewaard. Door middel van scraping, het geautomatiseerd opvragen en opslaan van webpagina's, wisten ze de klantgegevens te bemachtigen.

Lekker goedkoop uitbesteden...

Martinusz schreef op vrijdag 13 februari 2026 @ 16:16:
[...]

Wmb nog belangrijker: het betreft buitenlandse accounts waar ze gebruik van hebben gemaakt. Fijn hoor, dat outsourcen naar derde wereld landen. Lekker goedkoop.

Is ook weer een bijwerkingen van de identificatie plicht vanuit de overheid. Vroeger was je mobiel abonnement "anoniem", dan was er weinig te lekken geweest.

Zal alleen maar erger worden nu ze dat voor nog meer services willen verplichten.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Het lijkt niet via de klantenservice gelekt te zijn maar via "meerdere" ICT medewerkers volgens zojuist het NPO radionieuws. Tja, en dan zit je soms zomaar diep in de data van een bedrijf.

[ Voor 4% gewijzigd door DjoeC op 13-02-2026 16:29 ]

DjoeC schreef op vrijdag 13 februari 2026 @ 16:28:
[...]

Het lijkt niet via de klantenservice gelekt te zijn maar via "meerdere" ICT medewerkers volgens zojuist het NPO radionieuws. Tja, en dan zit je soms zomaar diep in de data van een bedrijf.

Een paar berichten terug staat dat ze binnen wisten te komen via gehackte accounts van klantenservicemedewerkers door zich voor te doen als ICT-medewerkers van Odido.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:30:
[...]
Een paar berichten terug staat dat ze binnen wisten te komen via gehackte accounts van klantenservicemedewerkers door zich voor te doen als ICT-medewerkers van Odido.

Dat zou nog veel gekker zijn.... Dat je als klantenservicemedewerker je inlogmeuk aan ICT medewerkers geeft. Les 1, paragraaf 1, regel 1 in cybersecurity: Geef nooit je inloggevens aan een ander.

<aanvulling> En net m'n 2e mail gehad (ander emailadres) voor een verlopen glasvezel abbo...

[ Voor 9% gewijzigd door DjoeC op 13-02-2026 16:34 ]

Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt. Het lukte de aanvallers om in te loggen op Salesforce, een populair softwarepakket waarin klantgegevens worden bewaard. Door middel van scraping, het geautomatiseerd opvragen en opslaan van webpagina's, wisten ze de klantgegevens te bemachtigen.

Fijn dat buitenlandse outsourcete callcenters blijkbaar ook toegang hebben tot mijn data.

DjoeC schreef op vrijdag 13 februari 2026 @ 16:32:
[...]

Dat zou nog veel gekker zijn.... Dat je als klantenservicemedewerker je inlogmeuk aan ICT medewerkers geeft. Les 1, paragraaf 1, regel 1 in cybersecurity: Geef nooit je inloggevens aan een ander.

Bij een heleboel bedrijven kunnen ICT-medewerkers gewoon meekijken in de computer en tijdelijk de controle overnemen. Dat zal hier ook gebeurd zijn, aangezien de klantenservicemedewerkers kennelijk dachten dat een Odido ICT'er achter het profiel zat.

DjoeC schreef op vrijdag 13 februari 2026 @ 16:32:
[...]

Dat zou nog veel gekker zijn.... Dat je als klantenservicemedewerker je inlogmeuk aan ICT medewerkers geeft. Les 1, paragraaf 1, regel 1 in cybersecurity: Geef nooit je inloggevens aan een ander.

Sorry, maar als klantenservicemedewerker ben je veelal jong, laag betaald, en werkend op een tijdelijk contract of zelfs met een uitzendbaan, en die mensen zijn heel gevoelig voor iemand die zich belangrijk voordoet en probeert iets gedaan te krijgen. Ik ben helemaal niet verbaasd.

downtime schreef op vrijdag 13 februari 2026 @ 16:35:
[...]

Sorry, maar als klantenservicemedewerker ben je veelal jong, laag betaald, en werkend op een tijdelijk contract of zelfs met een uitzendbaan, en die mensen zijn heel gevoelig voor iemand die zich belangrijk voordoet en probeert iets gedaan te krijgen. Ik ben helemaal niet verbaasd.

Maar dan is het risicoprofiel ook heel anders voor die medewerkers en dus zou de toegang tot de data vele malen minder of niet bestaand moeten zijn.

Daarbij vraag ik mij af, ik weet vanuit mijn eigen werk dat als je data buiten de EU wordt opgeslagen (en dat lijkt te kunnen als ze hun klantenservice outsourcen) je daarvan als klant op de hoogte gebracht moet worden. Uiteraard kan het ook gewoon oostblok/Portugal/Spanje zijn maar het heeft wel mijn interesse gewekt. Dan zou een eventuele fuck-up nog groter zijn.

Zou dat salesforce dan gewoon via internet te bereiken zijn?
orange.salesforce.com?
odido-prd.salesforce.com?

P-Rock schreef op vrijdag 13 februari 2026 @ 16:35:
[...]


Bij een heleboel bedrijven kunnen ICT-medewerkers gewoon meekijken in de computer en tijdelijk de controle overnemen. Dat zal hier ook gebeurd zijn, aangezien de klantenservicemedewerkers kennelijk dachten dat een Odido ICT'er achter het profiel zat.

Om mee te kijken en/of scherm over te nemen heb je geen wachtwoord nodig. Maar je kunt dan ook alleen wat die medewerker kan - en ik mag hopen dat het downloaden van veel data daar niet onder valt.

downtime schreef op vrijdag 13 februari 2026 @ 16:35:
[...]

Sorry, maar als klantenservicemedewerker ben je veelal jong, laag betaald, en werkend op een tijdelijk contract of zelfs met een uitzendbaan, en die mensen zijn heel gevoelig voor iemand die zich belangrijk voordoet en probeert iets gedaan te krijgen. Ik ben helemaal niet verbaasd.

Dan nog blijft het regel 1 - op straffe van ontslag. En dat miveau hoort niet al die data bij elkaar te kunnen krijgen. Ik ben recent met KPN bezig geweest omdat er een abbo probleem was en daar kan men geen gecombineerde data zien, alleen op "need to know" basis.

BertP schreef op vrijdag 13 februari 2026 @ 16:38:
Daarbij vraag ik mij af, ik weet vanuit mijn eigen werk dat als je data buiten de EU wordt opgeslagen (en dat lijkt te kunnen als ze hun klantenservice outsourcen) je daarvan als klant op de hoogte gebracht moet worden. Uiteraard kan het ook gewoon oostblok/Portugal/Spanje zijn maar het heeft wel mijn interesse gewekt. Dan zou een eventuele fuck-up nog groter zijn.

De data zal hier wel opgeslagen zijn, maar ook benaderbaar vanuit een ander werelddeel. Bij Vodafone Ziggo maken ze veelvuldig gebruik van India. Zou me niet verbazen als ze dat ook bij Odido doen.

Martinez- schreef op vrijdag 13 februari 2026 @ 16:37:
[...]

Maar dan is het risicoprofiel ook heel anders voor die medewerkers en dus zou de toegang tot de data vele malen minder of niet bestaand moeten zijn.

Zeker. Dat vind ik dan ook de grote faal hier. Organisaties blijven er maar, tegen beter weten in, op vertrouwen dat het eigen personeel wel geen fouten zal maken en volstrekt betrouwbaar is, en dat is gewoon niet zo.

DjoeC schreef op vrijdag 13 februari 2026 @ 16:39:
[...]

Om mee te kijken en/of scherm over te nemen heb je geen wachtwoord nodig. Maar je kunt dan ook alleen wat die medewerker kan - en ik mag hopen dat het downloaden van veel data daar niet onder valt.

Klantenservicemedewerkers hebben toegang tot een algemene klantendatabase en alles wat daarbij hoort, en gezien alle informatie dat naar buiten is gelekt lijkt dit dus ook te zijn gedownload.

[ Voor 3% gewijzigd door P-Rock op 13-02-2026 16:43 ]

Ik begrijp sowieso nooit waarom dit soort systemen niet privacy by design hebben..

- rate limiter op aanvragen van gegevens
- alleen klantdata inzien als er (via ticketsysteem koppeling) een actieve call is met klant of als er een ticket open staat
- standaard alleen tonen wat de medewerker nodig heeft voor het uitvoeren van zijn taak. Waarom is het id uberhaubt opvraagbaar

BertP schreef op vrijdag 13 februari 2026 @ 16:38:
Daarbij vraag ik mij af, ik weet vanuit mijn eigen werk dat als je data buiten de EU wordt opgeslagen (en dat lijkt te kunnen als ze hun klantenservice outsourcen) je daarvan als klant op de hoogte gebracht moet worden. Uiteraard kan het ook gewoon oostblok/Portugal/Spanje zijn maar het heeft wel mijn interesse gewekt. Dan zou een eventuele fuck-up nog groter zijn.

Zover ik weet ben je alleen verplicht om ervoor te zorgen dat de Europese regels voor die data gevolgd worden - ook wanneer je een partij inhuurt die zelf niet in Europa zit.

identiteitsfraude: wat kan iemand daar concreet nog mee doen? Je kunt een K&K bestellen blijkbaar, maar ik ga dan niet betalen. Ik zal ook nooit verantwoordelijk zijn, want mijn handtekening staat nergens onder.
Ik denk dat het voor aanbieders van diensten steeds belangrijker gaat worden om twee factor authenticatie in te voeren. Want het puur hebben van ID nummer betekent niets, dat is sinds gisteren bekend in het publieke domein (nou ja dark-web). Een 1ct betaling van een rekening op naam verschuift die authenticatie naar de banken die ik voorlopig nog iets meer vertrouw dan Odido.
Persoonlijk ben ik ook niet zo bang voor phishing maar denk wel dat dit het grootste risico is.

[ Voor 7% gewijzigd door xah5kiDe op 13-02-2026 16:48 ]

Ben is blijkbaar ook onderdeel van Odido. Heb net ook een mail gehad. Liggen mijn gegevens weer op straat snap niet dat een grote organisaitie als dit zo slecht beveiligd is

Ik heb zowel van Odido als Ben een mail gehad.
Maar ik ben bij beide partijen al langer dan 2 jaar geen klant meer.

Houdt dit in dat het datalek eerder is gebeurt?
Of dat ze hun retentiebeleid niet op orde hebben?

Lizard schreef op vrijdag 13 februari 2026 @ 16:52:
Ik heb zowel van Odido als Ben een mail gehad.
Maar ik ben bij beide partijen al langer dan 2 jaar geen klant meer.

Houdt dit in dat het datalek eerder is gebeurt?
Of dat ze hun retentiebeleid niet op orde hebben?

Ze hebben zich niet aan hun eigen privacyvoorwaarden gehouden om gegevens max 2 jaar te bewaren.

knip

[ Voor 99% gewijzigd door Master FX op 13-02-2026 16:54 ]

Danfoss schreef op vrijdag 13 februari 2026 @ 16:43:
Ik begrijp sowieso nooit waarom dit soort systemen niet privacy by design hebben..

- rate limiter op aanvragen van gegevens
- alleen klantdata inzien als er (via ticketsysteem koppeling) een actieve call is met klant of als er een ticket open staat
- standaard alleen tonen wat de medewerker nodig heeft voor het uitvoeren van zijn taak. Waarom is het id uberhaubt opvraagbaar

Vaak zijn deze systemen ontworpen van voor concepten zoals privacy by design en security by design en nooit herschreven. Overstappen naar nieuwe software en leverancier is ook niet zomaar gedaan.

Heb de mail ook ontvangen. Had met Black Friday een abbo aangevraagd, maar dag later toch geannuleerd. Blijkbaar is het dan ook nodig om mijn gegevens te bewaren

[ Voor 6% gewijzigd door Snippertje op 13-02-2026 16:58 ]

https://nos.nl/artikel/26...ich-voor-als-ict-afdeling
Was al gedeeld zag ik.

[ Voor 9% gewijzigd door Toxicmask op 13-02-2026 17:00 ]

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Die klantenservice zit in het buitenland. Ik weet zeker dat de AP erg geinteresseerd is in welk land en hoe de verwerkers overeenkomst er uit ziet… en nageleefd wordt… en geaudit wordt…

Dit wordt gewoon de maximale boete van 20 miljoen.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:54:
[...]


Ze hebben zich niet aan hun eigen privacyvoorwaarden gehouden om gegevens max 2 jaar te bewaren.

De Belastingdienst wil heel heel heel erg graag dat oa facturen en contracten 7 jaar bewaard blijven. Laat nu op mijn contract zo'n beetje alles staan wat er maar mogelijk gelekt is.

ernstoud schreef op vrijdag 13 februari 2026 @ 16:59:
[...]


Die klantenservice zit in het buitenland. Ik weet zeker dat de AP erg geinteresseerd is in welk land en hoe de verwerkers overeenkomst er uit ziet… en nageleefd wordt… en geaudit wordt…

Dit wordt gewoon de maximale boete van 20 miljoen.

Ben ook wel benieuwd naar de DPIA.

En natuurlijk ook naar de meer technische kant van het verhaal. Mag aannemen dat Odido een SIEM incl SOC/NOC heeft en dit een van de playbooks is…

zacht schreef op vrijdag 13 februari 2026 @ 17:01:
[...]

De Belastingdienst wil heel heel heel erg graag dat oa facturen en contracten 7 jaar bewaard blijven. Laat nu op mijn contract zo'n beetje alles staan wat er maar mogelijk gelekt is.

Zover ik weet wil de Belastingdienst maar een hele beperkte set gegevens en is het niet nodig om zaken als emailadressen en rekeningnummers van klanten te bewaren. Dat is gewoon gemakzucht of verzamelwoede van Odido zelf geweest.

CloudPrutser schreef op vrijdag 13 februari 2026 @ 14:06:
Hier ook schade en iemand die heel erg boos is. Waarom in godsnaam moeten ze mijn gegevens 2 jaar lang extra bewaren na het opzeggen van mijn dienst?

Omdat je niet je hele administratie kunt verwijderen als een klant weggaat. Dan krijg je allemaal gaten in je recente administratie, denk niet dat de belastingdienst dat leuk vind.... Wettelijk gezien moet je dit 7 jaar bewaren.

Voor de geïnteresseerde kwam ik deze site tegen

https://www.14020.nl/hack...egevens-liggen-op-straat/

d-vine schreef op vrijdag 13 februari 2026 @ 17:10:
Voor de geïnteresseerde kwam ik deze site tegen

https://www.14020.nl/hack...egevens-liggen-op-straat/

Dit is voornamelijk AI-slop. Link dan naar daadwerkelijke bronnen ipv dit soort websites

xah5kiDe schreef op vrijdag 13 februari 2026 @ 16:47:
identiteitsfraude: wat kan iemand daar concreet nog mee doen? Je kunt een K&K bestellen blijkbaar, maar ik ga dan niet betalen. Ik zal ook nooit verantwoordelijk zijn, want mijn handtekening staat nergens onder.
Ik denk dat het voor aanbieders van diensten steeds belangrijker gaat worden om twee factor authenticatie in te voeren. Want het puur hebben van ID nummer betekent niets, dat is sinds gisteren bekend in het publieke domein (nou ja dark-web). Een 1ct betaling van een rekening op naam verschuift die authenticatie naar de banken die ik voorlopig nog iets meer vertrouw dan Odido.
Persoonlijk ben ik ook niet zo bang voor phishing maar denk wel dat dit het grootste risico is.

Het is prima dat jij zo denkt, maar het feitelijk onjuist, en imho naïef. Laten we hopen dat jou niks overkomt maar dit soort gegevens horen gewoon niet op straat.

ik zie verschillen in emails die zijn verstuurd. Bij mij staan de "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" als niet gelekt in emails en bij emails van anderen zie ik het wel.

Is dit vuil in de ogen gooien (juridisch) of werkelijkheid. Kan me niet voorstellen dat er bij iedereen andere gegevens gelekt zijn. Misschien dat het te maken heeft dat ik al tijdje van Odido afben en de identiteits gegevens gewist zijn.

Ik kan me voorstellen dat er bewaarplicht is maar dat je dan iemand email adres / banknummer en / telefoon nummer moet vasthouden snap ik niet helemaal. Of alles afmigreren naar WORM media waar niemand meer bij kan.

_birdie_ schreef op vrijdag 13 februari 2026 @ 17:32:
ik zie verschillen in emails die zijn verstuurd. Bij mij staan de "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" als niet gelekt in emails en bij emails van anderen zie ik het wel.

Is dit vuil in de ogen gooien (juridisch) of werkelijkheid. Kan me niet voorstellen dat er bij iedereen andere gegevens gelekt zijn. Misschien dat het te maken heeft dat ik al tijdje van Odido afben en de identiteits gegevens gewist zijn.

Ik kan me voorstellen dat er bewaarplicht is maar dat je dan iemand email adres / banknummer en / telefoon nummer moet vasthouden snap ik niet helemaal. Of alles afmigreren naar WORM media waar niemand meer bij kan.

Het is op een paar plekken al genoemd, maar of de documentnummers zijn gelekt hangt er veelal van af welke producten je had. Bij telefonie/sim only staan deze documentnummers namelijk in het contract.

Niet alles is een conspiracy

_birdie_ schreef op vrijdag 13 februari 2026 @ 17:32:
ik zie verschillen in emails die zijn verstuurd. Bij mij staan de "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" als niet gelekt in emails en bij emails van anderen zie ik het wel.

Is dit vuil in de ogen gooien (juridisch) of werkelijkheid. Kan me niet voorstellen dat er bij iedereen andere gegevens gelekt zijn. Misschien dat het te maken heeft dat ik al tijdje van Odido afben en de identiteits gegevens gewist zijn.

Ik kan me voorstellen dat er bewaarplicht is maar dat je dan iemand email adres / banknummer en / telefoon nummer moet vasthouden snap ik niet helemaal. Of alles afmigreren naar WORM media waar niemand meer bij kan.

Zal wel te maken hebben met van welke dienst je gebruikt maakte. Mobiel of Internet. Odido zelf of Ben, Tele2 etc. En vanaf wanneer.

Kakaisan schreef op vrijdag 13 februari 2026 @ 17:36:
[...]


Het is op een paar plekken al genoemd, maar of de documentnummers zijn gelekt hangt er veelal van af welke producten je had. Bij telefonie/sim only staan deze documentnummers namelijk in het contract.

Niet alles is een conspiracy

Heb zelf al een aantal jaar sim only bij Ben, en vandaag ook het mailtje gehad. Enigszins verbaasd dat 'slechts' volledige naam en adres+woonplaats "mogelijk" in de gegevens staat, en de rest blijkbaar allemaal in het rijtje niet gelekt staat. Over IBAN staat echter niks, dus geen idee of dat nu wel of niet gelekt is dan.

Waarom dit dan zo afwijkt van andere mails die ik langs heb komen? Echt geen flauw idee, en om nou te zeggen dat ik dit helemaal geloof is een ander verhaal.

nieuws: NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

Wat me aan deze clusterfuck nog het meest verbaasd is dat zowel odido als Ben de informatie over dit incident best diep hebben weggestopt op hun website. Ook de AI (die overkomt als een LLM met een lobotomie) weet van niks.

Anyway, mijn abbo loopt af in december, dan ga ik maar over naar een ander

Ik ben al anderhalf jaar geleden vertrokken bij odido. Dan had ik verwacht dat ze mijn gegevens wel verwijderd hadden. Toch kreeg ik nog de mail met de melding van data diefstal. Hoe dan?

Ramon 73 schreef op vrijdag 13 februari 2026 @ 17:53:
Ik ben al anderhalf jaar geleden vertrokken bij odido. Dan had ik verwacht dat ze mijn gegevens wel verwijderd hadden. Toch kreeg ik nog de mail met de melding van data diefstal. Hoe dan?

bewaarplicht betalingsgevers vermoed ik.

Ramon 73 schreef op vrijdag 13 februari 2026 @ 17:53:
Ik ben al anderhalf jaar geleden vertrokken bij odido. Dan had ik verwacht dat ze mijn gegevens wel verwijderd hadden. Toch kreeg ik nog de mail met de melding van data diefstal. Hoe dan?

Bewaarplicht. Je kunt zelf een verzoek tot verwijderen proberen. Sowieso geen slecht idee wanneer je een bedrijf verlaat.

Ik vind dat ze sowieso een erg laconieke houding aannemen.

"Tja, vervelend dat het is gebeurd, thoughts & prayers en let de komende tijd maar goed op!"

JJ Le Funk schreef op vrijdag 13 februari 2026 @ 11:44:
@Gwaihir er is kans op te lijden schade nog te ontstaan in de toekomst door misbruik en oplichting als gevolg van het datalek. Daarvoor zou je wellicht een vast tarief ter compensatie kunnen bepalen voor slachtoffers waarmee dan het recht op nieuwe claims vervalt? €100 of €500 ofzo (kan vast niet hoog zijn met zoveel slachtoffers of wel?).

discl.: ben geen jurist, redenatie op basis van boeren verstand

Als die slachtoffers aantoonbaar door Odido die schade lijden, dan moet het zo hoog als de schade zijn, lijkt me. (En mag Odido hopen goed verzekerd te zijn.)

Maar, en zo las ik van iemand die er toch iets dichter op zat, juridisch: dat krijg je praktisch gezien eigenlijk nooit rond; dan moet op z'n minst de crimineel komen getuigen dat hij dat allemaal gedaan heeft en geheel dankzij dat datalek. (Zie ook wat @MasterL al schreef.)

En zo zijn we weer terug bij een gewenste aanpassing in de wet, die de kosten van lekken wat ophoogt voor de lekkers, om e.e.a. economisch beter in evenwicht te brengen. (Maar dat lijkt me eerder zo'n 5 euro per persoon hoor.)

Het was in ieder geval een trigger voor me om vandaag eens al mijn accounts langs te gaan. Veel heb ik er volledig weggegooid, een aantal waar ik nog oude, zelfverzonnen (en dus makkelijke wachtwoorden) voor had heb ik in m'n wachtwoordmanager gezet (met dus door de manager verzonnen random wachtwoorden) en overal de 2FA-methode aangepast van SMS naar een authenticator-app. Zijn helaas wel een paar accounts waar de enige 2FA-mogelijkheid per SMS is. Ik twijfel nog of het verstandiger is om daar 2FA maar uit te schakelen gezien het risico op sim swapping. Wat denken jullie?

Ga van het weekend ook nog even zitten voor incassomachtigingen in de bank en dan denk ik dat ik genoeg gedaan heb. Een nieuwe bankrekening openen en een nieuw telefoonnummer en mailadres nemen vind ik toch net iets te ingrijpend en ik denk ook niet nodig. Mijn ID-gegevens waren niet gelekt, ik ben al sinds 2012 klant dus de documenten van destijds zijn allang verlopen, dus een nieuwe aanvragen hoef ik niet te doen (behalve dan dat mijn paspoort over 3 maanden sowieso verloopt ).
Ik wil niet naïef zijn, maar ik wil wel een goede afweging maken tussen wat nog praktisch is en gevolgen voor de veiligheid.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Ja, maar die e-learnings zijn toch ook vaak een wassen neus? Wij krijgen ze ook regelmatig. Dan moet je een of ander schijtlollig filmpje kijken waarin je als een kleuter wordt aangesproken en achteraf krijg je een quiz met vragen als "u gaat werken in een koffiezaak. Wat is belangrijk in dit geval?" waarbij de antwoordmogelijkheden zijn "A: zorg dat u een vers bakje koffie hebt of B: zorg dat u geen gevoelige informatie benadert op het openbare Wifi-netwerk van de koffiezaak".
Jongeren met een bijbaantje gaan dat toch absoluut niet serieus nemen? Dat doe ik zelf al nauwelijks, ik ga tijdens die niet-skipbare filmpjes ook meestal even naar de koffieautomaat en toch heb ik altijd een 100% score op de quiz.

[ Voor 4% gewijzigd door Vld1989 op 13-02-2026 17:58 ]

Vld1989 schreef op vrijdag 13 februari 2026 @ 17:57:
Ja, maar die e-learnings zijn toch ook vaak een wassen neus? Wij krijgen ze ook regelmatig. Dan moet je een of ander schijtlollig filmpje kijken waarin je als een kleuter wordt aangesproken en achteraf krijg je een quiz met vragen als "u gaat werken in een koffiezaak. Wat is belangrijk in dit geval?" waarbij de antwoordmogelijkheden zijn "A: zorg dat u een vers bakje koffie hebt of B: zorg dat u geen gevoelige informatie benadert op het openbare Wifi-netwerk van de koffiezaak".
Jongeren met een bijbaantje gaan dat toch absoluut niet serieus nemen? Dat doe ik zelf al nauwelijks, ik ga tijdens die niet-skipbare filmpjes ook meestal even naar de koffieautomaat en toch heb ik altijd een 100% score op de quiz.

Is ook zo, die e-learnings zijn dingen die je binnen 10-15 min kan afraffelen.

Binnen het bedrijf waar ik werk doen we regelmatig phishing campaigns en als je daar de resultaten van ziet dan <en hier censureer ik mezelf maar even...>.. het enige wat imo werkt is dat je mensen hier met grote regelmaat op test en een zwaar straf systeem invoert voor mensen die meerdere keren er in trappen. Anders kan ik echt niets bedenken. Maar de mens is echt de zwakke schakel hier.

Kecin schreef op donderdag 12 februari 2026 @ 22:29:
Ik zal voor de volledigheid mijn mail ook even delen, pas binnengekomen om 22:04, was klant via Tele2 ook.


[...]

Sinds 2 dagen wordt ik ook om de haverklap gebeld door mensen uit het buitenland met een gespooft NL nummer. Dit heb ik in de 20+ jaar dat ik dit nummer heb nog nooit gehad, wellicht toeval, wellicht misbruik van de data.

Ik heb vandaag één keer opgenomen bij een onbekend nummer, omdat ik nog een bestelling moest ophalen.
Na tien seconden was het al duidelijk dat het om een oplichter ging die geen woord Nederlands sprak en slechts een paar woorden Engels, maar bijna niet te verstaan was. Ik hing op, maar werd direct daarna nog binnen enkele seconden twee keer gebeld door andere ‘Nederlands’ 06‑nummers, waarop ik weer meteen ophing. De vierde keer liet ik het maar gewoon overgaan… pas toen stopte dat ‘geautomatiseerde’ belsysteem.

Ik nam nog enkel mobiel af bij Odido. Qua internet zat ik alweer bij KPN maar ben dus wel oud Odido glasvezelklant. Dus een enkele mail binnen. Meteen maar gestemd met de portemonnee. De vibe van schouder ophalend 'tja, kan gebeuren' houding bevalt me niet. Dus ja nieuw mobielnummer aanvraag elders, via een ander mailadres gedaan. ID zou in mijn geval niet buit gemaakt zijn. Nu heb ik al een verlopen id bewijs en mijn paspoort loopt binnen enkele maanden af. Dus ik ga uit voorzorg maar eerder een nieuwe aanvragen.

En natuurlijk heb ik niet het idee dat KPN, Vodafone, Simpel en co het beter op orde zullen hebben. Want menig telco bedrijf doet aan uitbesteden van de administratie dus ook daar kunnen medewerkers verleid worden om met buitgemaakte inloggevens zoveel persoonsgegevens buit te kunnen maken.

Blijft over: overstappen van bankrekening, oude incasso's blokkeren. En dan nog kunnen ze met mijn naw gegevens, mailadres vast nog veel diensten en abonnementen kunnen aanvragen maar dat ga ik dan wel merken. Je wordt wel aan het werk gezet en voor Odido is het klantenbestand een mail sturen, artikel op je site zetten en je woordvoerder het laten hebben over "siebercriminelen" en weinig boetes of wat dan ook. Dat maakt het vooral scheef. Door het nalaten van afdoende beveiliging moeten wij als getroffen klant aan de slag en zitten wij met de gebakken peren. Maar Odido zal het wat. Uit ongenoegen heb ik een klacht ingediend, compensatie voor nieuwe legitimatiebewijs verzocht en straks nog het recht op vergetelheid inzetten. Het wordt tijd dat bedrijven databeveiliging wat serieuzer nemen. Maar dat doen ze pas na zo'n gebeurtenis of wanneer het leeuwendeel van de klanten opstapt.

Emiel1984 schreef op vrijdag 13 februari 2026 @ 18:29:
[...]


Ik heb vandaag één keer opgenomen bij een onbekend nummer, omdat ik nog een bestelling moest ophalen.
Na tien seconden was het al duidelijk dat het om een oplichter ging die geen woord Nederlands sprak en slechts een paar woorden Engels, maar bijna niet te verstaan was. Ik hing op, maar werd direct daarna nog binnen enkele seconden twee keer gebeld door andere ‘Nederlands’ 06‑nummers, waarop ik weer meteen ophing. De vierde keer liet ik het maar gewoon overgaan… pas toen stopte dat ‘geautomatiseerde’ belsysteem.

Ik neem gewoon nooit op bij onbekende nummers of bij anonieme bellers. Problem solved. Soms kan dat onhandig zijn als je bv. verwacht een belletje te krijgen van een bedrijf oid maar vaak kan je van te voren het nummer krijgen of noteren. Dat of je spreekt een tijdstip af dat je gebeld wordt, dan is de kans wel heel klein dat net op dat moment zo'n hacker farm met hun belcomputers je opbellen.

Joosie200 schreef op vrijdag 13 februari 2026 @ 18:37:
Ik nam nog enkel mobiel af bij Odido. Qua internet zat ik alweer bij KPN maar ben dus wel oud Odido glasvezelklant. Dus een enkele mail binnen. Meteen maar gestemd met de portemonnee. De vibe van schouder ophalend 'tja, kan gebeuren' houding bevalt me niet. Dus ja nieuw mobielnummer aanvraag elders, via een ander mailadres gedaan. ID zou in mijn geval niet buit gemaakt zijn. Nu heb ik al een verlopen id bewijs en mijn paspoort loopt binnen enkele maanden af. Dus ik ga uit voorzorg maar eerder een nieuwe aanvragen.

En natuurlijk heb ik niet het idee dat KPN, Vodafone, Simpel en co het beter op orde zullen hebben. Want menig telco bedrijf doet aan uitbesteden van de administratie dus ook daar kunnen medewerkers verleid worden om met buitgemaakte inloggevens zoveel persoonsgegevens buit te kunnen maken.

Blijft over: overstappen van bankrekening, oude incasso's blokkeren. En dan nog kunnen ze met mijn naw gegevens, mailadres vast nog veel diensten en abonnementen kunnen aanvragen maar dat ga ik dan wel merken. Je wordt wel aan het werk gezet en voor Odido is het klantenbestand een mail sturen, artikel op je site zetten en je woordvoerder het laten hebben over "siebercriminelen" en weinig boetes of wat dan ook. Dat maakt het vooral scheef. Door het nalaten van afdoende beveiliging moeten wij als getroffen klant aan de slag en zitten wij met de gebakken peren. Maar Odido zal het wat. Uit ongenoegen heb ik een klacht ingediend, compensatie voor nieuwe legitimatiebewijs verzocht en straks nog het recht op vergetelheid inzetten. Het wordt tijd dat bedrijven databeveiliging wat serieuzer nemen. Maar dat doen ze pas na zo'n gebeurtenis of wanneer het leeuwendeel van de klanten opstapt.

Dat is dus het probleem. Je kan wel overstappen maar het kan net zo goed bij KPN of wie dan ook voorkomen. Heb het al eerder gehad met grote organisaties en het blijft gewoon een probleem. Bedrijven hebben gewoon de veiligheid niet goed voor elkaar dat moet een keer veranderen

Lord_Dain schreef op vrijdag 13 februari 2026 @ 18:47:
[...]


Ik neem gewoon nooit op bij onbekende nummers of bij anonieme bellers. Problem solved. Soms kan dat onhandig zijn als je bv. verwacht een belletje te krijgen van een bedrijf oid maar vaak kan je van te voren het nummer krijgen of noteren. Dat of je spreekt een tijdstip af dat je gebeld wordt, dan is de kans wel heel klein dat net op dat moment zo'n hacker farm met hun belcomputers je opbellen.

Let wel op, kan ook het ziekenhuis zijn, ben daar jaren geleden op een pijnlijke manier achter gekomen.

Arjantje72 schreef op vrijdag 13 februari 2026 @ 18:56:
[...]

Let wel op, kan ook het ziekenhuis zijn, ben daar jaren geleden op een pijnlijke manier achter gekomen.

Dit. Maargoed uit eigen ervaring weet ik dat ze daarna een email sturen, desnoods per post en nog een voicemail inspreken. Dus op zich alle onbekende nummers negeren is wel een goede manier om scammers te blokkeren.

mark777 schreef op vrijdag 13 februari 2026 @ 18:54:
[...]

Dat is dus het probleem. Je kan wel overstappen maar het kan net zo goed bij KPN of wie dan ook voorkomen. Heb het al eerder gehad met grote organisaties en het blijft gewoon een probleem. Bedrijven hebben gewoon de veiligheid niet goed voor elkaar dat moet een keer veranderen

Natuurlijk had dit ook KPN, Vodafone kunnen overkomen als zij van salesforce gebruik maken. Maar ik vind het te makkelijk om als klant dan maar te blijven waar je zit. Je kan je ongenoegen maar op een merkbare manier tonen aan een bedrijf: door hun geen winst meer te geven over hun dienstverlening of afgenomen producten. Aka stemmen met de portemonnee.

Odido is zelfs nog zo snel met hun klanttevredenheidsonderzoeken dit incident op te nemen als een van de redenen van vertrek btw.

Joosie200 schreef op vrijdag 13 februari 2026 @ 19:01:
[...]


Dit. Maargoed uit eigen ervaring weet ik dat ze daarna een email sturen, desnoods per post en nog een voicemail inspreken. Dus op zich alle onbekende nummers negeren is wel een goede manier om scammers te blokkeren.


[...]


Natuurlijk had dit ook KPN, Vodafone kunnen overkomen als zij van salesforce gebruik maken. Maar ik vind het te makkelijk om als klant dan maar te blijven waar je zit. Je kan je ongenoegen maar op een merkbare manier tonen aan een bedrijf: door hun geen winst meer te geven over hun dienstverlening of afgenomen producten. Aka stemmen met de portemonnee.

Odido is zelfs nog zo snel met hun klanttevredenheidsonderzoeken dit incident op te nemen als een van de redenen van vertrek btw.

[Afbeelding]

Ik denk dat er zat mensen zijn die toch konden verlengen iets hadden van ik zoek een andere provider. Een hoop mensen waren er al klaar mee na de storingen afgelopen half jaar en dan nu dit nog.

Even over maatregelen: Gezien de hoeveelheid gelekte data kunnen we nogal wat tegemoet zien. Ik ga pogen bij de bank alle incassanten te whitelisten maar bij ABN lijkt dat alleen per incassant mogelijk te zijn en niet 'alle huidige'. En een optie om nieuwe op een 'toestemmingslijst' te plaatsen zie ik ook niet.

Odido geeft ook aan dat er ID bewijs nummers gelekt zijn en andere data - wat is hier de oplossing, een nieuw paspoort aanvragen? Uiteraard ga ik alle gemaakte kosten en uren bij Odido claimen.

Roy Tollenaar schreef op vrijdag 13 februari 2026 @ 19:04:
[...]

Ik denk dat er zat mensen zijn die toch konden verlengen iets hadden van ik zoek een andere provider. Een hoop mensen waren er al klaar mee na de storingen afgelopen half jaar en dan nu dit nog.

Ik ben er wel een van ja. Kon al twee maanden overstappen, maar zag nog weinig interessante aanbiedingen. Maar als je wordt geconfronteerd met potentiële toekomstige identiteitsfraude is dat wel de druppel. Niet dat mijn sim only abo van een tientje maandelijks nu zoveel bijdraagt aan de winst van Odido maar toch.

Ik heb het kunnen terugbrengen tot de helft met meer data, met de besparing op jaarbasis heb ik mijn nieuwe legitimatiebewijs er al uit. Heb ik meteen twee vliegen in een klap: criminelen kunnen niks met mijn oude nr, oude legitimatiebewijs en het risico is beperkt tot NAW want verhuizen is ingrijpender dan nieuw nummer, bankrekening en ID regelen.

Gwaihir schreef op vrijdag 13 februari 2026 @ 09:51:
[...]

Niet onnodig veel persoonsgegevens vastleggen lijkt mij geheel on topic hoor, in de context van data lekken.

[...]

Ik moet er inderdaad stevig over nadenken, als iemand me mijn leeftijd vraagt. Maar toen ik net 18 was (of 16 of 13) wist ik dat dondersgoed. En dat zijn de leeftijden die er toe doen.

Desnoods wordt 't "Bent u 18 jaar of ouder?" en dan als nog een geboortedatum veld voor wie dat niet is, omdat de exacte overgangen dan relevant kunnen zijn. Dan heb je toch van het gros van je klanten géén geboortedatum vastgelegd.

Mijn aanname was dat ze je geboortedatum of leeftijd gebruikte voor vaststellen identiteit. Je sluit immers een abonnement af, daar is meer voor nodig dan alleen een leeftijdscheck.

Ben heeft inmiddels een SMS gestuurd aan oud klanten. Heeft even geduurd. Ben benieuwd of we ooit nog gaan leren of we onderdeel zijn van de lek of niet.

jongetje schreef op vrijdag 13 februari 2026 @ 17:09:
[...]

Omdat je niet je hele administratie kunt verwijderen als een klant weggaat. Dan krijg je allemaal gaten in je recente administratie, denk niet dat de belastingdienst dat leuk vind.... Wettelijk gezien moet je dit 7 jaar bewaren.

Ahja, da's waar

HTT-Thalan schreef op vrijdag 13 februari 2026 @ 19:09:
Odido geeft ook aan dat er ID bewijs nummers gelekt zijn en andere data - wat is hier de oplossing, een nieuw paspoort aanvragen? Uiteraard ga ik alle gemaakte kosten en uren bij Odido claimen.

Nee dat is geen oplossing. Succes met het verhalen van de kosten en de gemaakte uren. Tegen welk tarief ga je die uren dan verhalen?

Kijk, ik ben het ontzettend eens met het sentiment dat Odido je opzadelt met deze problemen, maar houd jezelf niet voor de gek door dit soort reacties te plaatsen.

Volgens mij is het vooralsnog ook nog steeds niet duidelijk welke gegevens er daadwerkelijk buitgemaakt zijn. Als het aanvragen van een nieuw ID-bewijs al enigszins helpt (denk het niet), dan doe je dat misschien wel voor niets.

Hoe moeilijk het ook is, we zullen af moeten wachten wat Odido de komende dagen gaat communiceren.

Odido-hackers kwamen binnen via phishing, deden zich voor als ICT-afdeling

Ze zijn binnengekomen via een buitenlands callcenter wat wordt ingehuurd.. man man. Alles voor de marge..


Zou een partij als bijv. freedom ofzo dit dan wel goed voor elkaar hebben? Als we het dan toch over het anderste uiterste hebben kwa prijs in Nederland.

[ Voor 8% gewijzigd door spartacusNLD op 13-02-2026 19:28 ]

Sales force geeft ook aan, het kan allemaal: grote downloads, iedereen veel rechten.
Het ligt dus aan Odido als je dit leest:
https://salesforcemanaged...reen-over-het-hoofd-ziet/

Gr4mpyC3t schreef op vrijdag 13 februari 2026 @ 19:23:
[...]


Nee dat is geen oplossing. Succes met het verhalen van de kosten en de gemaakte uren. Tegen welk tarief ga je die uren dan verhalen?

Kijk, ik ben het ontzettend eens met het sentiment dat Odido je opzadelt met deze problemen, maar houd jezelf niet voor de gek door dit soort reacties te plaatsen.

Volgens mij is het vooralsnog ook nog steeds niet duidelijk welke gegevens er daadwerkelijk buitgemaakt zijn. Als het aanvragen van een nieuw ID-bewijs al enigszins helpt (denk het niet), dan doe je dat misschien wel voor niets.

Hoe moeilijk het ook is, we zullen af moeten wachten wat Odido de komende dagen gaat communiceren.

Als er een paspoortnummer is gelekt, hoe gaat een nieuw paspoort dan niet helpen? Dan is er toch een nieuw nummer aan gekoppeld?

Odido heeft al gemaild welke data er gelekt is, en daar is o.a. IBAN en ID bewijs nummer bij.

HTT-Thalan schreef op vrijdag 13 februari 2026 @ 19:09:
Even over maatregelen: Gezien de hoeveelheid gelekte data kunnen we nogal wat tegemoet zien. Ik ga pogen bij de bank alle incassanten te whitelisten maar bij ABN lijkt dat alleen per incassant mogelijk te zijn en niet 'alle huidige'. En een optie om nieuwe op een 'toestemmingslijst' te plaatsen zie ik ook niet.

Ik hoor het graag als je er achter komt hoe in dit geval met toekomstige incassanten om te gaan. Met de FAQ en chatbot van ABN AMRO word ik niet wijzer.

P-Rock schreef op vrijdag 13 februari 2026 @ 17:55:
Ik vind dat ze sowieso een erg laconieke houding aannemen.

"Tja, vervelend dat het is gebeurd, thoughts & prayers en let de komende tijd maar goed op!"

Zo ging het ook bij het datalek van vrouwen die borstonderzoek gehad hadden. Bedrijven blijven er mee weg komen, want er volgen geen consequenties.

drvinnie schreef op vrijdag 13 februari 2026 @ 19:41:
[...]

Zo ging het ook bij het datalek van vrouwen die borstonderzoek gehad hadden. Bedrijven blijven er mee weg komen, want er volgen geen consequenties.

Geen consequenties? De AP gaat ongetwijfeld onderzoek doen en kan bij nalatigheid t.o.v. de AVG een boete van maximaal 20 miljoen opleggen. En dat is al herhaaldelijk gebeurd.

En dan vermoed ik dat een massa claim zou kunnen hoewel bewijsvoering voor nalatigheid moeilijk is.

Komen er tot deze hack terug te voeren schade gevallen dan zal via civiel recht wel wat mogelijk zijn.

Ernstiger voor Odido is nu het verlies van vertrouwen, afzeggingen en het cancelen van de beursgang wellicht.

HTT-Thalan schreef op vrijdag 13 februari 2026 @ 19:39:
[...]


Als er een paspoortnummer is gelekt, hoe gaat een nieuw paspoort dan niet helpen? Dan is er toch een nieuw nummer aan gekoppeld?

Odido heeft al gemaild welke data er gelekt is, en daar is o.a. IBAN en ID bewijs nummer bij.

Omdat een paspoortnummer vaak niet genoeg is om iets zinnigs te doen. Meestal is er toch een volledige kopie noodzakelijk en die hebben ze (voor zover we weten) niet buitgemaakt. Een documentnummer wordt vaak bij overheidsinstanties gecontroleerd op geldigheid, maar naar mijn weten hebben bedrijven dat niet (of nauwelijks).

Ze hebben gemaild dat ze deze gegevens van je hebben en dat die mogelijk buitgemaakt zijn. Ik heb nog nergens gelezen dat onze gegevens daadwerkelijk op straat liggen. In mijn mail van Odido staat:

Wat is er gebeurd?

Odido is onlangs getroffen door een cyberaanval veroorzaakt door cybercriminelen. Op basis van het onderzoek denken we dat jouw gegevens mogelijk zijn geraakt.

Denken ze dus. En tot er meer duidelijkheid is weet je het gewoon niet zeker.

Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke. Dan kan je de data er niet uit trekken zonder het eerst in te voeren en kan de medewerker het toch controleren. Met een beetje rate limiting per account kan je dan veel voorkomen.

Zal wel te makkelijk gedacht zijn ofzo.

gertvdijk schreef op vrijdag 13 februari 2026 @ 19:53:
Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke. Dan kan je de data er niet uit trekken zonder het eerst in te voeren en kan de medewerker het toch controleren. Met een beetje rate limiting per account kan je dan veel voorkomen.

Zal wel te makkelijk gedacht zijn ofzo.

Ik heb jaren voor een cyberfighting company gewerkt en de reden is puur gemak. Zoals hier al werd aangehaald, uitbesteding aan externe bedrijven, gemak voor de medewerkers etc etc. Niemand is geinteresseerd in privacy by design want dat kost meer tijd en geld dan ze aan cyber willen uitgeven.

Maar dat is nu here nor there. Ik heb een oud contact uit mijn vorige wereldje aangeschreven om te kijken of hij mijn data kan verifiëren via zijn kant om te zien of er iets recents is gelekt op de gebruikelijke fora.

gertvdijk schreef op vrijdag 13 februari 2026 @ 19:53:
Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke. Dan kan je de data er niet uit trekken zonder het eerst in te voeren en kan de medewerker het toch controleren. Met een beetje rate limiting per account kan je dan veel voorkomen.

Zal wel te makkelijk gedacht zijn ofzo.

Ik durf te wedden dat dit geen prioriteit is voor de meeste bedrijven. Ben het volledig met je eens, maar meestal is de reactie op dit soort constructies dat het allemaal te moeilijk en te omslachtig is. Als het dan ook nog eens blijkt dat hier (veel) meer geld voor betaald moet worden om daadwerkelijk te implementeren, belandt het in de 'corner of nope'.

gertvdijk schreef op vrijdag 13 februari 2026 @ 19:53:
Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke.

En wat zit er achter die API? Een database met alle gegevens. Waarbij je toch weer risico’s hebt want wie moeten daarbij kunnen… ICT, backup processen etc. Er is altijd ergens een zwakke schakel. Juist daarom geldt dat je zo weinig mogelijk gevoelige informatie moet zien te verwerken.

De hele klantenservice van Odido moet op de schop en alle medewerkers moeten verplicht op training.

ernstoud schreef op vrijdag 13 februari 2026 @ 20:05:
En wat zit er achter die API? Een database met alle gegevens. Waarbij je toch weer risico’s hebt want wie moeten daarbij kunnen… ICT, backup processen etc. Er is altijd ergens een zwakke schakel. Juist daarom geldt dat je zo weinig mogelijk gevoelige informatie moet zien te verwerken.

Uiteraard zit er ergens een database met wel de onderliggende gegevens. Maar die kan je afschermen. Daar hoeft een willekeurige klantenservicemedewerker geen toegang tot te hebben en zo beperk je het risico. Een centrale afgeschermde database met alleen een API eromheen die met per-medewerker rate limiting werkt kan al snel een gephisht accountje die de boel probeert te bruteforcen detecteren.

En ja, een systeembeheerder of DBA van die database kan erbij, maar dat is een stuk makkelijker te auditen dan een grote applicatie waar een hele sloot klantenservicemedewerkers gebruik van maakt.

Het gaat allemaal om het beperken van de risico's, je kan nooit iets helemaal perfect uitsluiten. Een hele database lekken van onderliggende data van 6,2 miljoen mensen via een gephishte klantenservicemedewerker had je hiermee wél voorkomen en is daarom dus wel heel zinnig.

[ Voor 7% gewijzigd door gertvdijk op 13-02-2026 20:26 ]

Ik ben al enige tijd klant bij (voorheen T-stukken mobile) odido (glasvezel internet) en ben (mobiel). Nooit problemen gehad, goede 'bang dit buck'. Ik heb dus 2 mails binnen, alles wat er buit kon worden gemaakt is (mogelijk!) gejat. If you pay monkeys...
Mijn id-nunmer moet al lang verlopen zijn want ik heb net een nieuwe kaart en ben al jaren en jaren klant. IBAN zit ik het meeste over in, dus ik denk dat ik een nieuwe rekening open. Er gaan alleen incasso's af, dus omzetten is redelijk goed te doen. Kost wel ff een paar uur...

De rest is volgens mij al wel 10x gejat..

Gr4mpyC3t schreef op vrijdag 13 februari 2026 @ 19:52:
[...]
Een documentnummer wordt vaak bij overheidsinstanties gecontroleerd op geldigheid, maar naar mijn weten hebben bedrijven dat niet (of nauwelijks).

https://www.rvig.nl/documentverificatiedienst

Is dus alleen een hit of nohit (ongeldig of geldig).

Gr4mpyC3t schreef op vrijdag 13 februari 2026 @ 19:23:
[...]


Nee dat is geen oplossing. Succes met het verhalen van de kosten en de gemaakte uren. Tegen welk tarief ga je die uren dan verhalen?

Kijk, ik ben het ontzettend eens met het sentiment dat Odido je opzadelt met deze problemen, maar houd jezelf niet voor de gek door dit soort reacties te plaatsen.

Volgens mij is het vooralsnog ook nog steeds niet duidelijk welke gegevens er daadwerkelijk buitgemaakt zijn. Als het aanvragen van een nieuw ID-bewijs al enigszins helpt (denk het niet), dan doe je dat misschien wel voor niets.

Hoe moeilijk het ook is, we zullen af moeten wachten wat Odido de komende dagen gaat communiceren.

Ik voel in ieder geval wel een stevige drang om de eerstvolgende facturen te gaan storneren en in kleine plukjes zelf over te maken. Uiteraard met een klein tikfoutje in het kenmerk.

jongetje schreef op vrijdag 13 februari 2026 @ 20:31:
[...]

https://www.rvig.nl/documentverificatiedienst

Is dus alleen een hit of nohit (ongeldig of geldig).

Aha, weer wat geleerd, dank!

Yucon schreef op vrijdag 13 februari 2026 @ 20:35:
[...]

Ik voel in ieder geval wel een stevige drang om de eerstvolgende facturen te gaan storneren en in kleine plukjes zelf over te maken. Uiteraard met een klein tikfoutje in het kenmerk.

Ik denk dat je meer succes gaat boeken door gewoon een tikkie naar de helpdesk te sturen om wat geld naar jou over te maken. Dikke kans dat er wel iemand bij de helpdesk op klikt.

Zucht, hier ook een SMS en een mail.
Ben oud Ben en oud Odido klant.. Odido redelijk recent, Ben al jaren niet meer...

Ik had mijn accounts en gegevens natuurlijk gewoon moeten laten verwijderen meteen nadat ik het contract opzegde...

P-Rock schreef op vrijdag 13 februari 2026 @ 20:19:
De hele klantenservice van Odido moet op de schop en alle medewerkers moeten verplicht op training.

Je trapt mooi in het frame. De echte fouten zijn nl. op
C level gemaakt.

Iedereen een beetje uitgeraasd? Ik ben gestopt met de meestal onzin commentaren te lezen op nu.nl, maar hier kunnen ze er ook wat van.

jongetje schreef op vrijdag 13 februari 2026 @ 17:09:
[...]

Omdat je niet je hele administratie kunt verwijderen als een klant weggaat. Dan krijg je allemaal gaten in je recente administratie, denk niet dat de belastingdienst dat leuk vind.... Wettelijk gezien moet je dit 7 jaar bewaren.

Die archiveer je dan ook, cold storage en bij voorkeur op een plek waar niet iedereen toegang toe heeft.

Odido valt aardig wat aan te rekenen als je het mij vraagt en dit soort reacties doen het lijken alsof het allemaal erg moeilijk is en er geen oplossingen/procedures voor zijn.

Harry720A schreef op vrijdag 13 februari 2026 @ 22:46:
Iedereen een beetje uitgeraasd? Ik ben gestopt met de meestal onzin commentaren te lezen op nu.nl, maar hier kunnen ze er ook wat van.

Mooie poging, Odido PR-team.

Marrtijn schreef op vrijdag 13 februari 2026 @ 23:30:
[...]


Mooie poging, Odido PR-team.

Beetje stoot onder de gordel denk je niet? Nergens voor nodig om op de man te gaan spelen

Het is bijzonder vervelend voor alle mensen die getroffen zijn. Het is enorm onduidelijk hoe je geraakt kan worden, en wanneer dat gebeurt, als het al gebeurt.

Maar hoe het kon gebeuren blijkt niet heel bijzonder. Zie https://forendox.com/nl/b...-nederland-van-zijn-soort

Geen idee waarom, maar je kunt al snel denken aan kelders vol met enge mannetjes die weken of maanden werken aan diepgaande scanners, exploits en ga zo maar verder. Maar zoals het artikel hierboven uitlegt is het steeds vaker simpelweg de zwakste schakel; de mens.

En voor wie hier roept dat je er niet in zou trappen. Dat kan zo zijn. Maar dit is een forum met techneuten en experts. Er zijn meer mensen die dat niet zijn, dan die dat wel zijn, in ondernemingen. En dus bleek blijkbaar maar weer dat het oppassen geblazen is met e-mails en telefoontjes. Voor iedereen.