Odido waarschuwt voor datalek (cyberaanval/hack)

De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Het zal je verbazen hoeveel van de jongeren juist erin trappen bij ons idd regelmatig tests etc. en de falers zitten steeds in de jongste categorie 25-30 jarigen

quote: https://nos.nl/artikel/26...ich-voor-als-ict-afdeling

Buitenlandse callcenters
Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt. Het lukte de aanvallers om in te loggen op Salesforce, een populair softwarepakket waarin klantgegevens worden bewaard. Door middel van scraping, het geautomatiseerd opvragen en opslaan van webpagina's, wisten ze de klantgegevens te bemachtigen.

Lekker goedkoop uitbesteden...

Martinusz schreef op vrijdag 13 februari 2026 @ 16:16:
[...]

Wmb nog belangrijker: het betreft buitenlandse accounts waar ze gebruik van hebben gemaakt. Fijn hoor, dat outsourcen naar derde wereld landen. Lekker goedkoop.

Is ook weer een bijwerkingen van de identificatie plicht vanuit de overheid. Vroeger was je mobiel abonnement "anoniem", dan was er weinig te lekken geweest.

Zal alleen maar erger worden nu ze dat voor nog meer services willen verplichten.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Het lijkt niet via de klantenservice gelekt te zijn maar via "meerdere" ICT medewerkers volgens zojuist het NPO radionieuws. Tja, en dan zit je soms zomaar diep in de data van een bedrijf.

[ Voor 4% gewijzigd door DjoeC op 13-02-2026 16:29 ]

DjoeC schreef op vrijdag 13 februari 2026 @ 16:28:
[...]

Het lijkt niet via de klantenservice gelekt te zijn maar via "meerdere" ICT medewerkers volgens zojuist het NPO radionieuws. Tja, en dan zit je soms zomaar diep in de data van een bedrijf.

Een paar berichten terug staat dat ze binnen wisten te komen via gehackte accounts van klantenservicemedewerkers door zich voor te doen als ICT-medewerkers van Odido.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:30:
[...]
Een paar berichten terug staat dat ze binnen wisten te komen via gehackte accounts van klantenservicemedewerkers door zich voor te doen als ICT-medewerkers van Odido.

Dat zou nog veel gekker zijn.... Dat je als klantenservicemedewerker je inlogmeuk aan ICT medewerkers geeft. Les 1, paragraaf 1, regel 1 in cybersecurity: Geef nooit je inloggevens aan een ander.

<aanvulling> En net m'n 2e mail gehad (ander emailadres) voor een verlopen glasvezel abbo...

[ Voor 9% gewijzigd door DjoeC op 13-02-2026 16:34 ]

Mogelijk ging het om medewerkers van buitenlandse callcenters die Odido inhuurt. Het lukte de aanvallers om in te loggen op Salesforce, een populair softwarepakket waarin klantgegevens worden bewaard. Door middel van scraping, het geautomatiseerd opvragen en opslaan van webpagina's, wisten ze de klantgegevens te bemachtigen.

Fijn dat buitenlandse outsourcete callcenters blijkbaar ook toegang hebben tot mijn data.

DjoeC schreef op vrijdag 13 februari 2026 @ 16:32:
[...]

Dat zou nog veel gekker zijn.... Dat je als klantenservicemedewerker je inlogmeuk aan ICT medewerkers geeft. Les 1, paragraaf 1, regel 1 in cybersecurity: Geef nooit je inloggevens aan een ander.

Bij een heleboel bedrijven kunnen ICT-medewerkers gewoon meekijken in de computer en tijdelijk de controle overnemen. Dat zal hier ook gebeurd zijn, aangezien de klantenservicemedewerkers kennelijk dachten dat een Odido ICT'er achter het profiel zat.

DjoeC schreef op vrijdag 13 februari 2026 @ 16:32:
[...]

Dat zou nog veel gekker zijn.... Dat je als klantenservicemedewerker je inlogmeuk aan ICT medewerkers geeft. Les 1, paragraaf 1, regel 1 in cybersecurity: Geef nooit je inloggevens aan een ander.

Sorry, maar als klantenservicemedewerker ben je veelal jong, laag betaald, en werkend op een tijdelijk contract of zelfs met een uitzendbaan, en die mensen zijn heel gevoelig voor iemand die zich belangrijk voordoet en probeert iets gedaan te krijgen. Ik ben helemaal niet verbaasd.

downtime schreef op vrijdag 13 februari 2026 @ 16:35:
[...]

Sorry, maar als klantenservicemedewerker ben je veelal jong, laag betaald, en werkend op een tijdelijk contract of zelfs met een uitzendbaan, en die mensen zijn heel gevoelig voor iemand die zich belangrijk voordoet en probeert iets gedaan te krijgen. Ik ben helemaal niet verbaasd.

Maar dan is het risicoprofiel ook heel anders voor die medewerkers en dus zou de toegang tot de data vele malen minder of niet bestaand moeten zijn.

Daarbij vraag ik mij af, ik weet vanuit mijn eigen werk dat als je data buiten de EU wordt opgeslagen (en dat lijkt te kunnen als ze hun klantenservice outsourcen) je daarvan als klant op de hoogte gebracht moet worden. Uiteraard kan het ook gewoon oostblok/Portugal/Spanje zijn maar het heeft wel mijn interesse gewekt. Dan zou een eventuele fuck-up nog groter zijn.

Zou dat salesforce dan gewoon via internet te bereiken zijn?
orange.salesforce.com?
odido-prd.salesforce.com?

P-Rock schreef op vrijdag 13 februari 2026 @ 16:35:
[...]


Bij een heleboel bedrijven kunnen ICT-medewerkers gewoon meekijken in de computer en tijdelijk de controle overnemen. Dat zal hier ook gebeurd zijn, aangezien de klantenservicemedewerkers kennelijk dachten dat een Odido ICT'er achter het profiel zat.

Om mee te kijken en/of scherm over te nemen heb je geen wachtwoord nodig. Maar je kunt dan ook alleen wat die medewerker kan - en ik mag hopen dat het downloaden van veel data daar niet onder valt.

downtime schreef op vrijdag 13 februari 2026 @ 16:35:
[...]

Sorry, maar als klantenservicemedewerker ben je veelal jong, laag betaald, en werkend op een tijdelijk contract of zelfs met een uitzendbaan, en die mensen zijn heel gevoelig voor iemand die zich belangrijk voordoet en probeert iets gedaan te krijgen. Ik ben helemaal niet verbaasd.

Dan nog blijft het regel 1 - op straffe van ontslag. En dat miveau hoort niet al die data bij elkaar te kunnen krijgen. Ik ben recent met KPN bezig geweest omdat er een abbo probleem was en daar kan men geen gecombineerde data zien, alleen op "need to know" basis.

BertP schreef op vrijdag 13 februari 2026 @ 16:38:
Daarbij vraag ik mij af, ik weet vanuit mijn eigen werk dat als je data buiten de EU wordt opgeslagen (en dat lijkt te kunnen als ze hun klantenservice outsourcen) je daarvan als klant op de hoogte gebracht moet worden. Uiteraard kan het ook gewoon oostblok/Portugal/Spanje zijn maar het heeft wel mijn interesse gewekt. Dan zou een eventuele fuck-up nog groter zijn.

De data zal hier wel opgeslagen zijn, maar ook benaderbaar vanuit een ander werelddeel. Bij Vodafone Ziggo maken ze veelvuldig gebruik van India. Zou me niet verbazen als ze dat ook bij Odido doen.

Martinez- schreef op vrijdag 13 februari 2026 @ 16:37:
[...]

Maar dan is het risicoprofiel ook heel anders voor die medewerkers en dus zou de toegang tot de data vele malen minder of niet bestaand moeten zijn.

Zeker. Dat vind ik dan ook de grote faal hier. Organisaties blijven er maar, tegen beter weten in, op vertrouwen dat het eigen personeel wel geen fouten zal maken en volstrekt betrouwbaar is, en dat is gewoon niet zo.

DjoeC schreef op vrijdag 13 februari 2026 @ 16:39:
[...]

Om mee te kijken en/of scherm over te nemen heb je geen wachtwoord nodig. Maar je kunt dan ook alleen wat die medewerker kan - en ik mag hopen dat het downloaden van veel data daar niet onder valt.

Klantenservicemedewerkers hebben toegang tot een algemene klantendatabase en alles wat daarbij hoort, en gezien alle informatie dat naar buiten is gelekt lijkt dit dus ook te zijn gedownload.

[ Voor 3% gewijzigd door P-Rock op 13-02-2026 16:43 ]

Ik begrijp sowieso nooit waarom dit soort systemen niet privacy by design hebben..

- rate limiter op aanvragen van gegevens
- alleen klantdata inzien als er (via ticketsysteem koppeling) een actieve call is met klant of als er een ticket open staat
- standaard alleen tonen wat de medewerker nodig heeft voor het uitvoeren van zijn taak. Waarom is het id uberhaubt opvraagbaar

BertP schreef op vrijdag 13 februari 2026 @ 16:38:
Daarbij vraag ik mij af, ik weet vanuit mijn eigen werk dat als je data buiten de EU wordt opgeslagen (en dat lijkt te kunnen als ze hun klantenservice outsourcen) je daarvan als klant op de hoogte gebracht moet worden. Uiteraard kan het ook gewoon oostblok/Portugal/Spanje zijn maar het heeft wel mijn interesse gewekt. Dan zou een eventuele fuck-up nog groter zijn.

Zover ik weet ben je alleen verplicht om ervoor te zorgen dat de Europese regels voor die data gevolgd worden - ook wanneer je een partij inhuurt die zelf niet in Europa zit.

identiteitsfraude: wat kan iemand daar concreet nog mee doen? Je kunt een K&K bestellen blijkbaar, maar ik ga dan niet betalen. Ik zal ook nooit verantwoordelijk zijn, want mijn handtekening staat nergens onder.
Ik denk dat het voor aanbieders van diensten steeds belangrijker gaat worden om twee factor authenticatie in te voeren. Want het puur hebben van ID nummer betekent niets, dat is sinds gisteren bekend in het publieke domein (nou ja dark-web). Een 1ct betaling van een rekening op naam verschuift die authenticatie naar de banken die ik voorlopig nog iets meer vertrouw dan Odido.
Persoonlijk ben ik ook niet zo bang voor phishing maar denk wel dat dit het grootste risico is.

[ Voor 7% gewijzigd door xah5kiDe op 13-02-2026 16:48 ]

Ben is blijkbaar ook onderdeel van Odido. Heb net ook een mail gehad. Liggen mijn gegevens weer op straat snap niet dat een grote organisaitie als dit zo slecht beveiligd is

Ik heb zowel van Odido als Ben een mail gehad.
Maar ik ben bij beide partijen al langer dan 2 jaar geen klant meer.

Houdt dit in dat het datalek eerder is gebeurt?
Of dat ze hun retentiebeleid niet op orde hebben?

Lizard schreef op vrijdag 13 februari 2026 @ 16:52:
Ik heb zowel van Odido als Ben een mail gehad.
Maar ik ben bij beide partijen al langer dan 2 jaar geen klant meer.

Houdt dit in dat het datalek eerder is gebeurt?
Of dat ze hun retentiebeleid niet op orde hebben?

Ze hebben zich niet aan hun eigen privacyvoorwaarden gehouden om gegevens max 2 jaar te bewaren.

knip

[ Voor 99% gewijzigd door Master FX op 13-02-2026 16:54 ]

Danfoss schreef op vrijdag 13 februari 2026 @ 16:43:
Ik begrijp sowieso nooit waarom dit soort systemen niet privacy by design hebben..

- rate limiter op aanvragen van gegevens
- alleen klantdata inzien als er (via ticketsysteem koppeling) een actieve call is met klant of als er een ticket open staat
- standaard alleen tonen wat de medewerker nodig heeft voor het uitvoeren van zijn taak. Waarom is het id uberhaubt opvraagbaar

Vaak zijn deze systemen ontworpen van voor concepten zoals privacy by design en security by design en nooit herschreven. Overstappen naar nieuwe software en leverancier is ook niet zomaar gedaan.

Heb de mail ook ontvangen. Had met Black Friday een abbo aangevraagd, maar dag later toch geannuleerd. Blijkbaar is het dan ook nodig om mijn gegevens te bewaren

[ Voor 6% gewijzigd door Snippertje op 13-02-2026 16:58 ]

https://nos.nl/artikel/26...ich-voor-als-ict-afdeling
Was al gedeeld zag ik.

[ Voor 9% gewijzigd door Toxicmask op 13-02-2026 17:00 ]

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Die klantenservice zit in het buitenland. Ik weet zeker dat de AP erg geinteresseerd is in welk land en hoe de verwerkers overeenkomst er uit ziet… en nageleefd wordt… en geaudit wordt…

Dit wordt gewoon de maximale boete van 20 miljoen.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:54:
[...]


Ze hebben zich niet aan hun eigen privacyvoorwaarden gehouden om gegevens max 2 jaar te bewaren.

De Belastingdienst wil heel heel heel erg graag dat oa facturen en contracten 7 jaar bewaard blijven. Laat nu op mijn contract zo'n beetje alles staan wat er maar mogelijk gelekt is.

ernstoud schreef op vrijdag 13 februari 2026 @ 16:59:
[...]


Die klantenservice zit in het buitenland. Ik weet zeker dat de AP erg geinteresseerd is in welk land en hoe de verwerkers overeenkomst er uit ziet… en nageleefd wordt… en geaudit wordt…

Dit wordt gewoon de maximale boete van 20 miljoen.

Ben ook wel benieuwd naar de DPIA.

En natuurlijk ook naar de meer technische kant van het verhaal. Mag aannemen dat Odido een SIEM incl SOC/NOC heeft en dit een van de playbooks is…

zacht schreef op vrijdag 13 februari 2026 @ 17:01:
[...]

De Belastingdienst wil heel heel heel erg graag dat oa facturen en contracten 7 jaar bewaard blijven. Laat nu op mijn contract zo'n beetje alles staan wat er maar mogelijk gelekt is.

Zover ik weet wil de Belastingdienst maar een hele beperkte set gegevens en is het niet nodig om zaken als emailadressen en rekeningnummers van klanten te bewaren. Dat is gewoon gemakzucht of verzamelwoede van Odido zelf geweest.

CloudPrutser schreef op vrijdag 13 februari 2026 @ 14:06:
Hier ook schade en iemand die heel erg boos is. Waarom in godsnaam moeten ze mijn gegevens 2 jaar lang extra bewaren na het opzeggen van mijn dienst?

Omdat je niet je hele administratie kunt verwijderen als een klant weggaat. Dan krijg je allemaal gaten in je recente administratie, denk niet dat de belastingdienst dat leuk vind.... Wettelijk gezien moet je dit 7 jaar bewaren.

Voor de geïnteresseerde kwam ik deze site tegen

Link verwijderd naar een bron welke volledig is geschreven door AI

[ Voor 50% gewijzigd door Yariva op 14-02-2026 08:05 ]

d-vine schreef op vrijdag 13 februari 2026 @ 17:10:
Voor de geïnteresseerde kwam ik deze site tegen

Dit is voornamelijk AI-slop. Link dan naar daadwerkelijke bronnen ipv dit soort websites

[ Voor 16% gewijzigd door Yariva op 14-02-2026 08:06 ]

xah5kiDe schreef op vrijdag 13 februari 2026 @ 16:47:
identiteitsfraude: wat kan iemand daar concreet nog mee doen? Je kunt een K&K bestellen blijkbaar, maar ik ga dan niet betalen. Ik zal ook nooit verantwoordelijk zijn, want mijn handtekening staat nergens onder.
Ik denk dat het voor aanbieders van diensten steeds belangrijker gaat worden om twee factor authenticatie in te voeren. Want het puur hebben van ID nummer betekent niets, dat is sinds gisteren bekend in het publieke domein (nou ja dark-web). Een 1ct betaling van een rekening op naam verschuift die authenticatie naar de banken die ik voorlopig nog iets meer vertrouw dan Odido.
Persoonlijk ben ik ook niet zo bang voor phishing maar denk wel dat dit het grootste risico is.

Het is prima dat jij zo denkt, maar het feitelijk onjuist, en imho naïef. Laten we hopen dat jou niks overkomt maar dit soort gegevens horen gewoon niet op straat.

ik zie verschillen in emails die zijn verstuurd. Bij mij staan de "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" als niet gelekt in emails en bij emails van anderen zie ik het wel.

Is dit vuil in de ogen gooien (juridisch) of werkelijkheid. Kan me niet voorstellen dat er bij iedereen andere gegevens gelekt zijn. Misschien dat het te maken heeft dat ik al tijdje van Odido afben en de identiteits gegevens gewist zijn.

Ik kan me voorstellen dat er bewaarplicht is maar dat je dan iemand email adres / banknummer en / telefoon nummer moet vasthouden snap ik niet helemaal. Of alles afmigreren naar WORM media waar niemand meer bij kan.

_birdie_ schreef op vrijdag 13 februari 2026 @ 17:32:
ik zie verschillen in emails die zijn verstuurd. Bij mij staan de "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" als niet gelekt in emails en bij emails van anderen zie ik het wel.

Is dit vuil in de ogen gooien (juridisch) of werkelijkheid. Kan me niet voorstellen dat er bij iedereen andere gegevens gelekt zijn. Misschien dat het te maken heeft dat ik al tijdje van Odido afben en de identiteits gegevens gewist zijn.

Ik kan me voorstellen dat er bewaarplicht is maar dat je dan iemand email adres / banknummer en / telefoon nummer moet vasthouden snap ik niet helemaal. Of alles afmigreren naar WORM media waar niemand meer bij kan.

Het is op een paar plekken al genoemd, maar of de documentnummers zijn gelekt hangt er veelal van af welke producten je had. Bij telefonie/sim only staan deze documentnummers namelijk in het contract.

Niet alles is een conspiracy

_birdie_ schreef op vrijdag 13 februari 2026 @ 17:32:
ik zie verschillen in emails die zijn verstuurd. Bij mij staan de "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" als niet gelekt in emails en bij emails van anderen zie ik het wel.

Is dit vuil in de ogen gooien (juridisch) of werkelijkheid. Kan me niet voorstellen dat er bij iedereen andere gegevens gelekt zijn. Misschien dat het te maken heeft dat ik al tijdje van Odido afben en de identiteits gegevens gewist zijn.

Ik kan me voorstellen dat er bewaarplicht is maar dat je dan iemand email adres / banknummer en / telefoon nummer moet vasthouden snap ik niet helemaal. Of alles afmigreren naar WORM media waar niemand meer bij kan.

Zal wel te maken hebben met van welke dienst je gebruikt maakte. Mobiel of Internet. Odido zelf of Ben, Tele2 etc. En vanaf wanneer.

Kakaisan schreef op vrijdag 13 februari 2026 @ 17:36:
[...]


Het is op een paar plekken al genoemd, maar of de documentnummers zijn gelekt hangt er veelal van af welke producten je had. Bij telefonie/sim only staan deze documentnummers namelijk in het contract.

Niet alles is een conspiracy

Heb zelf al een aantal jaar sim only bij Ben, en vandaag ook het mailtje gehad. Enigszins verbaasd dat 'slechts' volledige naam en adres+woonplaats "mogelijk" in de gegevens staat, en de rest blijkbaar allemaal in het rijtje niet gelekt staat. Over IBAN staat echter niks, dus geen idee of dat nu wel of niet gelekt is dan.

Waarom dit dan zo afwijkt van andere mails die ik langs heb komen? Echt geen flauw idee, en om nou te zeggen dat ik dit helemaal geloof is een ander verhaal.

nieuws: NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

Wat me aan deze clusterfuck nog het meest verbaasd is dat zowel odido als Ben de informatie over dit incident best diep hebben weggestopt op hun website. Ook de AI (die overkomt als een LLM met een lobotomie) weet van niks.

Anyway, mijn abbo loopt af in december, dan ga ik maar over naar een ander

Ik ben al anderhalf jaar geleden vertrokken bij odido. Dan had ik verwacht dat ze mijn gegevens wel verwijderd hadden. Toch kreeg ik nog de mail met de melding van data diefstal. Hoe dan?

Ramon 73 schreef op vrijdag 13 februari 2026 @ 17:53:
Ik ben al anderhalf jaar geleden vertrokken bij odido. Dan had ik verwacht dat ze mijn gegevens wel verwijderd hadden. Toch kreeg ik nog de mail met de melding van data diefstal. Hoe dan?

bewaarplicht betalingsgevers vermoed ik.

Ramon 73 schreef op vrijdag 13 februari 2026 @ 17:53:
Ik ben al anderhalf jaar geleden vertrokken bij odido. Dan had ik verwacht dat ze mijn gegevens wel verwijderd hadden. Toch kreeg ik nog de mail met de melding van data diefstal. Hoe dan?

Bewaarplicht. Je kunt zelf een verzoek tot verwijderen proberen. Sowieso geen slecht idee wanneer je een bedrijf verlaat.

Ik vind dat ze sowieso een erg laconieke houding aannemen.

"Tja, vervelend dat het is gebeurd, thoughts & prayers en let de komende tijd maar goed op!"

JJ Le Funk schreef op vrijdag 13 februari 2026 @ 11:44:
@Gwaihir er is kans op te lijden schade nog te ontstaan in de toekomst door misbruik en oplichting als gevolg van het datalek. Daarvoor zou je wellicht een vast tarief ter compensatie kunnen bepalen voor slachtoffers waarmee dan het recht op nieuwe claims vervalt? €100 of €500 ofzo (kan vast niet hoog zijn met zoveel slachtoffers of wel?).

discl.: ben geen jurist, redenatie op basis van boeren verstand

Als die slachtoffers aantoonbaar door Odido die schade lijden, dan moet het zo hoog als de schade zijn, lijkt me. (En mag Odido hopen goed verzekerd te zijn.)

Maar, en zo las ik van iemand die er toch iets dichter op zat, juridisch: dat krijg je praktisch gezien eigenlijk nooit rond; dan moet op z'n minst de crimineel komen getuigen dat hij dat allemaal gedaan heeft en geheel dankzij dat datalek. (Zie ook wat @MasterL al schreef.)

En zo zijn we weer terug bij een gewenste aanpassing in de wet, die de kosten van lekken wat ophoogt voor de lekkers, om e.e.a. economisch beter in evenwicht te brengen. (Maar dat lijkt me eerder zo'n 5 euro per persoon hoor.)

Het was in ieder geval een trigger voor me om vandaag eens al mijn accounts langs te gaan. Veel heb ik er volledig weggegooid, een aantal waar ik nog oude, zelfverzonnen (en dus makkelijke wachtwoorden) voor had heb ik in m'n wachtwoordmanager gezet (met dus door de manager verzonnen random wachtwoorden) en overal de 2FA-methode aangepast van SMS naar een authenticator-app. Zijn helaas wel een paar accounts waar de enige 2FA-mogelijkheid per SMS is. Ik twijfel nog of het verstandiger is om daar 2FA maar uit te schakelen gezien het risico op sim swapping. Wat denken jullie?

Ga van het weekend ook nog even zitten voor incassomachtigingen in de bank en dan denk ik dat ik genoeg gedaan heb. Een nieuwe bankrekening openen en een nieuw telefoonnummer en mailadres nemen vind ik toch net iets te ingrijpend en ik denk ook niet nodig. Mijn ID-gegevens waren niet gelekt, ik ben al sinds 2012 klant dus de documenten van destijds zijn allang verlopen, dus een nieuwe aanvragen hoef ik niet te doen (behalve dan dat mijn paspoort over 3 maanden sowieso verloopt ).
Ik wil niet naïef zijn, maar ik wil wel een goede afweging maken tussen wat nog praktisch is en gevolgen voor de veiligheid.

P-Rock schreef op vrijdag 13 februari 2026 @ 16:21:
De 'klantenservice' van Odido is dus zo lek als een mandje. Je moet als jongere toch wel heel onwetend zijn om in die phishing mails te trappen, zeker als je bij een telecommunicatiebedrijf werkt. Krijgen die lui daar geen cursussen ofzo? Op mijn werk worden we regelmatig via e-learnings e.d. bijgehouden van de laatste ontwikkelingen tbv phishing, spam, babbeltrucs etc en hebben we zo'n verplichte tool in Outlook (Hoxhunt) die regelmatig nepmails verstuurt om de medewerkers te testen.

Ja, maar die e-learnings zijn toch ook vaak een wassen neus? Wij krijgen ze ook regelmatig. Dan moet je een of ander schijtlollig filmpje kijken waarin je als een kleuter wordt aangesproken en achteraf krijg je een quiz met vragen als "u gaat werken in een koffiezaak. Wat is belangrijk in dit geval?" waarbij de antwoordmogelijkheden zijn "A: zorg dat u een vers bakje koffie hebt of B: zorg dat u geen gevoelige informatie benadert op het openbare Wifi-netwerk van de koffiezaak".
Jongeren met een bijbaantje gaan dat toch absoluut niet serieus nemen? Dat doe ik zelf al nauwelijks, ik ga tijdens die niet-skipbare filmpjes ook meestal even naar de koffieautomaat en toch heb ik altijd een 100% score op de quiz.

[ Voor 4% gewijzigd door Vld1989 op 13-02-2026 17:58 ]

Vld1989 schreef op vrijdag 13 februari 2026 @ 17:57:
Ja, maar die e-learnings zijn toch ook vaak een wassen neus? Wij krijgen ze ook regelmatig. Dan moet je een of ander schijtlollig filmpje kijken waarin je als een kleuter wordt aangesproken en achteraf krijg je een quiz met vragen als "u gaat werken in een koffiezaak. Wat is belangrijk in dit geval?" waarbij de antwoordmogelijkheden zijn "A: zorg dat u een vers bakje koffie hebt of B: zorg dat u geen gevoelige informatie benadert op het openbare Wifi-netwerk van de koffiezaak".
Jongeren met een bijbaantje gaan dat toch absoluut niet serieus nemen? Dat doe ik zelf al nauwelijks, ik ga tijdens die niet-skipbare filmpjes ook meestal even naar de koffieautomaat en toch heb ik altijd een 100% score op de quiz.

Is ook zo, die e-learnings zijn dingen die je binnen 10-15 min kan afraffelen.

Binnen het bedrijf waar ik werk doen we regelmatig phishing campaigns en als je daar de resultaten van ziet dan <en hier censureer ik mezelf maar even...>.. het enige wat imo werkt is dat je mensen hier met grote regelmaat op test en een zwaar straf systeem invoert voor mensen die meerdere keren er in trappen. Anders kan ik echt niets bedenken. Maar de mens is echt de zwakke schakel hier.

Kecin schreef op donderdag 12 februari 2026 @ 22:29:
Ik zal voor de volledigheid mijn mail ook even delen, pas binnengekomen om 22:04, was klant via Tele2 ook.


[...]

Sinds 2 dagen wordt ik ook om de haverklap gebeld door mensen uit het buitenland met een gespooft NL nummer. Dit heb ik in de 20+ jaar dat ik dit nummer heb nog nooit gehad, wellicht toeval, wellicht misbruik van de data.

Ik heb vandaag één keer opgenomen bij een onbekend nummer, omdat ik nog een bestelling moest ophalen.
Na tien seconden was het al duidelijk dat het om een oplichter ging die geen woord Nederlands sprak en slechts een paar woorden Engels, maar bijna niet te verstaan was. Ik hing op, maar werd direct daarna nog binnen enkele seconden twee keer gebeld door andere ‘Nederlands’ 06‑nummers, waarop ik weer meteen ophing. De vierde keer liet ik het maar gewoon overgaan… pas toen stopte dat ‘geautomatiseerde’ belsysteem.

Ik nam nog enkel mobiel af bij Odido. Qua internet zat ik alweer bij KPN maar ben dus wel oud Odido glasvezelklant. Dus een enkele mail binnen. Meteen maar gestemd met de portemonnee. De vibe van schouder ophalend 'tja, kan gebeuren' houding bevalt me niet. Dus ja nieuw mobielnummer aanvraag elders, via een ander mailadres gedaan. ID zou in mijn geval niet buit gemaakt zijn. Nu heb ik al een verlopen id bewijs en mijn paspoort loopt binnen enkele maanden af. Dus ik ga uit voorzorg maar eerder een nieuwe aanvragen.

En natuurlijk heb ik niet het idee dat KPN, Vodafone, Simpel en co het beter op orde zullen hebben. Want menig telco bedrijf doet aan uitbesteden van de administratie dus ook daar kunnen medewerkers verleid worden om met buitgemaakte inloggevens zoveel persoonsgegevens buit te kunnen maken.

Blijft over: overstappen van bankrekening, oude incasso's blokkeren. En dan nog kunnen ze met mijn naw gegevens, mailadres vast nog veel diensten en abonnementen kunnen aanvragen maar dat ga ik dan wel merken. Je wordt wel aan het werk gezet en voor Odido is het klantenbestand een mail sturen, artikel op je site zetten en je woordvoerder het laten hebben over "siebercriminelen" en weinig boetes of wat dan ook. Dat maakt het vooral scheef. Door het nalaten van afdoende beveiliging moeten wij als getroffen klant aan de slag en zitten wij met de gebakken peren. Maar Odido zal het wat. Uit ongenoegen heb ik een klacht ingediend, compensatie voor nieuwe legitimatiebewijs verzocht en straks nog het recht op vergetelheid inzetten. Het wordt tijd dat bedrijven databeveiliging wat serieuzer nemen. Maar dat doen ze pas na zo'n gebeurtenis of wanneer het leeuwendeel van de klanten opstapt.

Emiel1984 schreef op vrijdag 13 februari 2026 @ 18:29:
[...]


Ik heb vandaag één keer opgenomen bij een onbekend nummer, omdat ik nog een bestelling moest ophalen.
Na tien seconden was het al duidelijk dat het om een oplichter ging die geen woord Nederlands sprak en slechts een paar woorden Engels, maar bijna niet te verstaan was. Ik hing op, maar werd direct daarna nog binnen enkele seconden twee keer gebeld door andere ‘Nederlands’ 06‑nummers, waarop ik weer meteen ophing. De vierde keer liet ik het maar gewoon overgaan… pas toen stopte dat ‘geautomatiseerde’ belsysteem.

Ik neem gewoon nooit op bij onbekende nummers of bij anonieme bellers. Problem solved. Soms kan dat onhandig zijn als je bv. verwacht een belletje te krijgen van een bedrijf oid maar vaak kan je van te voren het nummer krijgen of noteren. Dat of je spreekt een tijdstip af dat je gebeld wordt, dan is de kans wel heel klein dat net op dat moment zo'n hacker farm met hun belcomputers je opbellen.

Joosie200 schreef op vrijdag 13 februari 2026 @ 18:37:
Ik nam nog enkel mobiel af bij Odido. Qua internet zat ik alweer bij KPN maar ben dus wel oud Odido glasvezelklant. Dus een enkele mail binnen. Meteen maar gestemd met de portemonnee. De vibe van schouder ophalend 'tja, kan gebeuren' houding bevalt me niet. Dus ja nieuw mobielnummer aanvraag elders, via een ander mailadres gedaan. ID zou in mijn geval niet buit gemaakt zijn. Nu heb ik al een verlopen id bewijs en mijn paspoort loopt binnen enkele maanden af. Dus ik ga uit voorzorg maar eerder een nieuwe aanvragen.

En natuurlijk heb ik niet het idee dat KPN, Vodafone, Simpel en co het beter op orde zullen hebben. Want menig telco bedrijf doet aan uitbesteden van de administratie dus ook daar kunnen medewerkers verleid worden om met buitgemaakte inloggevens zoveel persoonsgegevens buit te kunnen maken.

Blijft over: overstappen van bankrekening, oude incasso's blokkeren. En dan nog kunnen ze met mijn naw gegevens, mailadres vast nog veel diensten en abonnementen kunnen aanvragen maar dat ga ik dan wel merken. Je wordt wel aan het werk gezet en voor Odido is het klantenbestand een mail sturen, artikel op je site zetten en je woordvoerder het laten hebben over "siebercriminelen" en weinig boetes of wat dan ook. Dat maakt het vooral scheef. Door het nalaten van afdoende beveiliging moeten wij als getroffen klant aan de slag en zitten wij met de gebakken peren. Maar Odido zal het wat. Uit ongenoegen heb ik een klacht ingediend, compensatie voor nieuwe legitimatiebewijs verzocht en straks nog het recht op vergetelheid inzetten. Het wordt tijd dat bedrijven databeveiliging wat serieuzer nemen. Maar dat doen ze pas na zo'n gebeurtenis of wanneer het leeuwendeel van de klanten opstapt.

Dat is dus het probleem. Je kan wel overstappen maar het kan net zo goed bij KPN of wie dan ook voorkomen. Heb het al eerder gehad met grote organisaties en het blijft gewoon een probleem. Bedrijven hebben gewoon de veiligheid niet goed voor elkaar dat moet een keer veranderen

Lord_Dain schreef op vrijdag 13 februari 2026 @ 18:47:
[...]


Ik neem gewoon nooit op bij onbekende nummers of bij anonieme bellers. Problem solved. Soms kan dat onhandig zijn als je bv. verwacht een belletje te krijgen van een bedrijf oid maar vaak kan je van te voren het nummer krijgen of noteren. Dat of je spreekt een tijdstip af dat je gebeld wordt, dan is de kans wel heel klein dat net op dat moment zo'n hacker farm met hun belcomputers je opbellen.

Let wel op, kan ook het ziekenhuis zijn, ben daar jaren geleden op een pijnlijke manier achter gekomen.

Arjantje72 schreef op vrijdag 13 februari 2026 @ 18:56:
[...]

Let wel op, kan ook het ziekenhuis zijn, ben daar jaren geleden op een pijnlijke manier achter gekomen.

Dit. Maargoed uit eigen ervaring weet ik dat ze daarna een email sturen, desnoods per post en nog een voicemail inspreken. Dus op zich alle onbekende nummers negeren is wel een goede manier om scammers te blokkeren.

mark777 schreef op vrijdag 13 februari 2026 @ 18:54:
[...]

Dat is dus het probleem. Je kan wel overstappen maar het kan net zo goed bij KPN of wie dan ook voorkomen. Heb het al eerder gehad met grote organisaties en het blijft gewoon een probleem. Bedrijven hebben gewoon de veiligheid niet goed voor elkaar dat moet een keer veranderen

Natuurlijk had dit ook KPN, Vodafone kunnen overkomen als zij van salesforce gebruik maken. Maar ik vind het te makkelijk om als klant dan maar te blijven waar je zit. Je kan je ongenoegen maar op een merkbare manier tonen aan een bedrijf: door hun geen winst meer te geven over hun dienstverlening of afgenomen producten. Aka stemmen met de portemonnee.

Odido is zelfs nog zo snel met hun klanttevredenheidsonderzoeken dit incident op te nemen als een van de redenen van vertrek btw.

Joosie200 schreef op vrijdag 13 februari 2026 @ 19:01:
[...]


Dit. Maargoed uit eigen ervaring weet ik dat ze daarna een email sturen, desnoods per post en nog een voicemail inspreken. Dus op zich alle onbekende nummers negeren is wel een goede manier om scammers te blokkeren.


[...]


Natuurlijk had dit ook KPN, Vodafone kunnen overkomen als zij van salesforce gebruik maken. Maar ik vind het te makkelijk om als klant dan maar te blijven waar je zit. Je kan je ongenoegen maar op een merkbare manier tonen aan een bedrijf: door hun geen winst meer te geven over hun dienstverlening of afgenomen producten. Aka stemmen met de portemonnee.

Odido is zelfs nog zo snel met hun klanttevredenheidsonderzoeken dit incident op te nemen als een van de redenen van vertrek btw.

[Afbeelding]

Ik denk dat er zat mensen zijn die toch konden verlengen iets hadden van ik zoek een andere provider. Een hoop mensen waren er al klaar mee na de storingen afgelopen half jaar en dan nu dit nog.

Even over maatregelen: Gezien de hoeveelheid gelekte data kunnen we nogal wat tegemoet zien. Ik ga pogen bij de bank alle incassanten te whitelisten maar bij ABN lijkt dat alleen per incassant mogelijk te zijn en niet 'alle huidige'. En een optie om nieuwe op een 'toestemmingslijst' te plaatsen zie ik ook niet.

Odido geeft ook aan dat er ID bewijs nummers gelekt zijn en andere data - wat is hier de oplossing, een nieuw paspoort aanvragen? Uiteraard ga ik alle gemaakte kosten en uren bij Odido claimen.

Roy Tollenaar schreef op vrijdag 13 februari 2026 @ 19:04:
[...]

Ik denk dat er zat mensen zijn die toch konden verlengen iets hadden van ik zoek een andere provider. Een hoop mensen waren er al klaar mee na de storingen afgelopen half jaar en dan nu dit nog.

Ik ben er wel een van ja. Kon al twee maanden overstappen, maar zag nog weinig interessante aanbiedingen. Maar als je wordt geconfronteerd met potentiële toekomstige identiteitsfraude is dat wel de druppel. Niet dat mijn sim only abo van een tientje maandelijks nu zoveel bijdraagt aan de winst van Odido maar toch.

Ik heb het kunnen terugbrengen tot de helft met meer data, met de besparing op jaarbasis heb ik mijn nieuwe legitimatiebewijs er al uit. Heb ik meteen twee vliegen in een klap: criminelen kunnen niks met mijn oude nr, oude legitimatiebewijs en het risico is beperkt tot NAW want verhuizen is ingrijpender dan nieuw nummer, bankrekening en ID regelen.

Gwaihir schreef op vrijdag 13 februari 2026 @ 09:51:
[...]

Niet onnodig veel persoonsgegevens vastleggen lijkt mij geheel on topic hoor, in de context van data lekken.

[...]

Ik moet er inderdaad stevig over nadenken, als iemand me mijn leeftijd vraagt. Maar toen ik net 18 was (of 16 of 13) wist ik dat dondersgoed. En dat zijn de leeftijden die er toe doen.

Desnoods wordt 't "Bent u 18 jaar of ouder?" en dan als nog een geboortedatum veld voor wie dat niet is, omdat de exacte overgangen dan relevant kunnen zijn. Dan heb je toch van het gros van je klanten géén geboortedatum vastgelegd.

Mijn aanname was dat ze je geboortedatum of leeftijd gebruikte voor vaststellen identiteit. Je sluit immers een abonnement af, daar is meer voor nodig dan alleen een leeftijdscheck.

Ben heeft inmiddels een SMS gestuurd aan oud klanten. Heeft even geduurd. Ben benieuwd of we ooit nog gaan leren of we onderdeel zijn van de lek of niet.

jongetje schreef op vrijdag 13 februari 2026 @ 17:09:
[...]

Omdat je niet je hele administratie kunt verwijderen als een klant weggaat. Dan krijg je allemaal gaten in je recente administratie, denk niet dat de belastingdienst dat leuk vind.... Wettelijk gezien moet je dit 7 jaar bewaren.

Ahja, da's waar

HTT-Thalan schreef op vrijdag 13 februari 2026 @ 19:09:
Odido geeft ook aan dat er ID bewijs nummers gelekt zijn en andere data - wat is hier de oplossing, een nieuw paspoort aanvragen? Uiteraard ga ik alle gemaakte kosten en uren bij Odido claimen.

Nee dat is geen oplossing. Succes met het verhalen van de kosten en de gemaakte uren. Tegen welk tarief ga je die uren dan verhalen?

Kijk, ik ben het ontzettend eens met het sentiment dat Odido je opzadelt met deze problemen, maar houd jezelf niet voor de gek door dit soort reacties te plaatsen.

Volgens mij is het vooralsnog ook nog steeds niet duidelijk welke gegevens er daadwerkelijk buitgemaakt zijn. Als het aanvragen van een nieuw ID-bewijs al enigszins helpt (denk het niet), dan doe je dat misschien wel voor niets.

Hoe moeilijk het ook is, we zullen af moeten wachten wat Odido de komende dagen gaat communiceren.

Odido-hackers kwamen binnen via phishing, deden zich voor als ICT-afdeling

Ze zijn binnengekomen via een buitenlands callcenter wat wordt ingehuurd.. man man. Alles voor de marge..


Zou een partij als bijv. freedom ofzo dit dan wel goed voor elkaar hebben? Als we het dan toch over het anderste uiterste hebben kwa prijs in Nederland.

[ Voor 8% gewijzigd door spartacusNLD op 13-02-2026 19:28 ]

Sales force geeft ook aan, het kan allemaal: grote downloads, iedereen veel rechten.
Het ligt dus aan Odido als je dit leest:
https://salesforcemanaged...reen-over-het-hoofd-ziet/

Gr4mpyC3t schreef op vrijdag 13 februari 2026 @ 19:23:
[...]


Nee dat is geen oplossing. Succes met het verhalen van de kosten en de gemaakte uren. Tegen welk tarief ga je die uren dan verhalen?

Kijk, ik ben het ontzettend eens met het sentiment dat Odido je opzadelt met deze problemen, maar houd jezelf niet voor de gek door dit soort reacties te plaatsen.

Volgens mij is het vooralsnog ook nog steeds niet duidelijk welke gegevens er daadwerkelijk buitgemaakt zijn. Als het aanvragen van een nieuw ID-bewijs al enigszins helpt (denk het niet), dan doe je dat misschien wel voor niets.

Hoe moeilijk het ook is, we zullen af moeten wachten wat Odido de komende dagen gaat communiceren.

Als er een paspoortnummer is gelekt, hoe gaat een nieuw paspoort dan niet helpen? Dan is er toch een nieuw nummer aan gekoppeld?

Odido heeft al gemaild welke data er gelekt is, en daar is o.a. IBAN en ID bewijs nummer bij.

HTT-Thalan schreef op vrijdag 13 februari 2026 @ 19:09:
Even over maatregelen: Gezien de hoeveelheid gelekte data kunnen we nogal wat tegemoet zien. Ik ga pogen bij de bank alle incassanten te whitelisten maar bij ABN lijkt dat alleen per incassant mogelijk te zijn en niet 'alle huidige'. En een optie om nieuwe op een 'toestemmingslijst' te plaatsen zie ik ook niet.

Ik hoor het graag als je er achter komt hoe in dit geval met toekomstige incassanten om te gaan. Met de FAQ en chatbot van ABN AMRO word ik niet wijzer.

P-Rock schreef op vrijdag 13 februari 2026 @ 17:55:
Ik vind dat ze sowieso een erg laconieke houding aannemen.

"Tja, vervelend dat het is gebeurd, thoughts & prayers en let de komende tijd maar goed op!"

Zo ging het ook bij het datalek van vrouwen die borstonderzoek gehad hadden. Bedrijven blijven er mee weg komen, want er volgen geen consequenties.

drvinnie schreef op vrijdag 13 februari 2026 @ 19:41:
[...]

Zo ging het ook bij het datalek van vrouwen die borstonderzoek gehad hadden. Bedrijven blijven er mee weg komen, want er volgen geen consequenties.

Geen consequenties? De AP gaat ongetwijfeld onderzoek doen en kan bij nalatigheid t.o.v. de AVG een boete van maximaal 20 miljoen opleggen. En dat is al herhaaldelijk gebeurd.

En dan vermoed ik dat een massa claim zou kunnen hoewel bewijsvoering voor nalatigheid moeilijk is.

Komen er tot deze hack terug te voeren schade gevallen dan zal via civiel recht wel wat mogelijk zijn.

Ernstiger voor Odido is nu het verlies van vertrouwen, afzeggingen en het cancelen van de beursgang wellicht.

HTT-Thalan schreef op vrijdag 13 februari 2026 @ 19:39:
[...]


Als er een paspoortnummer is gelekt, hoe gaat een nieuw paspoort dan niet helpen? Dan is er toch een nieuw nummer aan gekoppeld?

Odido heeft al gemaild welke data er gelekt is, en daar is o.a. IBAN en ID bewijs nummer bij.

Omdat een paspoortnummer vaak niet genoeg is om iets zinnigs te doen. Meestal is er toch een volledige kopie noodzakelijk en die hebben ze (voor zover we weten) niet buitgemaakt. Een documentnummer wordt vaak bij overheidsinstanties gecontroleerd op geldigheid, maar naar mijn weten hebben bedrijven dat niet (of nauwelijks).

Ze hebben gemaild dat ze deze gegevens van je hebben en dat die mogelijk buitgemaakt zijn. Ik heb nog nergens gelezen dat onze gegevens daadwerkelijk op straat liggen. In mijn mail van Odido staat:

Wat is er gebeurd?

Odido is onlangs getroffen door een cyberaanval veroorzaakt door cybercriminelen. Op basis van het onderzoek denken we dat jouw gegevens mogelijk zijn geraakt.

Denken ze dus. En tot er meer duidelijkheid is weet je het gewoon niet zeker.

Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke. Dan kan je de data er niet uit trekken zonder het eerst in te voeren en kan de medewerker het toch controleren. Met een beetje rate limiting per account kan je dan veel voorkomen.

Zal wel te makkelijk gedacht zijn ofzo.

gertvdijk schreef op vrijdag 13 februari 2026 @ 19:53:
Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke. Dan kan je de data er niet uit trekken zonder het eerst in te voeren en kan de medewerker het toch controleren. Met een beetje rate limiting per account kan je dan veel voorkomen.

Zal wel te makkelijk gedacht zijn ofzo.

Ik heb jaren voor een cyberfighting company gewerkt en de reden is puur gemak. Zoals hier al werd aangehaald, uitbesteding aan externe bedrijven, gemak voor de medewerkers etc etc. Niemand is geinteresseerd in privacy by design want dat kost meer tijd en geld dan ze aan cyber willen uitgeven.

Maar dat is nu here nor there. Ik heb een oud contact uit mijn vorige wereldje aangeschreven om te kijken of hij mijn data kan verifiëren via zijn kant om te zien of er iets recents is gelekt op de gebruikelijke fora.

gertvdijk schreef op vrijdag 13 februari 2026 @ 19:53:
Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke. Dan kan je de data er niet uit trekken zonder het eerst in te voeren en kan de medewerker het toch controleren. Met een beetje rate limiting per account kan je dan veel voorkomen.

Zal wel te makkelijk gedacht zijn ofzo.

Ik durf te wedden dat dit geen prioriteit is voor de meeste bedrijven. Ben het volledig met je eens, maar meestal is de reactie op dit soort constructies dat het allemaal te moeilijk en te omslachtig is. Als het dan ook nog eens blijkt dat hier (veel) meer geld voor betaald moet worden om daadwerkelijk te implementeren, belandt het in de 'corner of nope'.

gertvdijk schreef op vrijdag 13 februari 2026 @ 19:53:
Ik snap niet dat systemen zo zijn ingericht dat je niet zomaar de onderliggende persoonsgegevens kan downloaden/inzien, maar alleen kan controleren. Dus een API die alleen OK terug kan geven op ingevoerde geboortedatum, paspoortnummer, rekeningnummer en dergelijke.

En wat zit er achter die API? Een database met alle gegevens. Waarbij je toch weer risico’s hebt want wie moeten daarbij kunnen… ICT, backup processen etc. Er is altijd ergens een zwakke schakel. Juist daarom geldt dat je zo weinig mogelijk gevoelige informatie moet zien te verwerken.

De hele klantenservice van Odido moet op de schop en alle medewerkers moeten verplicht op training.

ernstoud schreef op vrijdag 13 februari 2026 @ 20:05:
En wat zit er achter die API? Een database met alle gegevens. Waarbij je toch weer risico’s hebt want wie moeten daarbij kunnen… ICT, backup processen etc. Er is altijd ergens een zwakke schakel. Juist daarom geldt dat je zo weinig mogelijk gevoelige informatie moet zien te verwerken.

Uiteraard zit er ergens een database met wel de onderliggende gegevens. Maar die kan je afschermen. Daar hoeft een willekeurige klantenservicemedewerker geen toegang tot te hebben en zo beperk je het risico. Een centrale afgeschermde database met alleen een API eromheen die met per-medewerker rate limiting werkt kan al snel een gephisht accountje die de boel probeert te bruteforcen detecteren.

En ja, een systeembeheerder of DBA van die database kan erbij, maar dat is een stuk makkelijker te auditen dan een grote applicatie waar een hele sloot klantenservicemedewerkers gebruik van maakt.

Het gaat allemaal om het beperken van de risico's, je kan nooit iets helemaal perfect uitsluiten. Een hele database lekken van onderliggende data van 6,2 miljoen mensen via een gephishte klantenservicemedewerker had je hiermee wél voorkomen en is daarom dus wel heel zinnig.

[ Voor 7% gewijzigd door gertvdijk op 13-02-2026 20:26 ]

Ik ben al enige tijd klant bij (voorheen T-stukken mobile) odido (glasvezel internet) en ben (mobiel). Nooit problemen gehad, goede 'bang dit buck'. Ik heb dus 2 mails binnen, alles wat er buit kon worden gemaakt is (mogelijk!) gejat. If you pay monkeys...
Mijn id-nunmer moet al lang verlopen zijn want ik heb net een nieuwe kaart en ben al jaren en jaren klant. IBAN zit ik het meeste over in, dus ik denk dat ik een nieuwe rekening open. Er gaan alleen incasso's af, dus omzetten is redelijk goed te doen. Kost wel ff een paar uur...

De rest is volgens mij al wel 10x gejat..

Gr4mpyC3t schreef op vrijdag 13 februari 2026 @ 19:52:
[...]
Een documentnummer wordt vaak bij overheidsinstanties gecontroleerd op geldigheid, maar naar mijn weten hebben bedrijven dat niet (of nauwelijks).

https://www.rvig.nl/documentverificatiedienst

Is dus alleen een hit of nohit (ongeldig of geldig).

Gr4mpyC3t schreef op vrijdag 13 februari 2026 @ 19:23:
[...]


Nee dat is geen oplossing. Succes met het verhalen van de kosten en de gemaakte uren. Tegen welk tarief ga je die uren dan verhalen?

Kijk, ik ben het ontzettend eens met het sentiment dat Odido je opzadelt met deze problemen, maar houd jezelf niet voor de gek door dit soort reacties te plaatsen.

Volgens mij is het vooralsnog ook nog steeds niet duidelijk welke gegevens er daadwerkelijk buitgemaakt zijn. Als het aanvragen van een nieuw ID-bewijs al enigszins helpt (denk het niet), dan doe je dat misschien wel voor niets.

Hoe moeilijk het ook is, we zullen af moeten wachten wat Odido de komende dagen gaat communiceren.

Ik voel in ieder geval wel een stevige drang om de eerstvolgende facturen te gaan storneren en in kleine plukjes zelf over te maken. Uiteraard met een klein tikfoutje in het kenmerk.

jongetje schreef op vrijdag 13 februari 2026 @ 20:31:
[...]

https://www.rvig.nl/documentverificatiedienst

Is dus alleen een hit of nohit (ongeldig of geldig).

Aha, weer wat geleerd, dank!

Yucon schreef op vrijdag 13 februari 2026 @ 20:35:
[...]

Ik voel in ieder geval wel een stevige drang om de eerstvolgende facturen te gaan storneren en in kleine plukjes zelf over te maken. Uiteraard met een klein tikfoutje in het kenmerk.

Ik denk dat je meer succes gaat boeken door gewoon een tikkie naar de helpdesk te sturen om wat geld naar jou over te maken. Dikke kans dat er wel iemand bij de helpdesk op klikt.

Zucht, hier ook een SMS en een mail.
Ben oud Ben en oud Odido klant.. Odido redelijk recent, Ben al jaren niet meer...

Ik had mijn accounts en gegevens natuurlijk gewoon moeten laten verwijderen meteen nadat ik het contract opzegde...

P-Rock schreef op vrijdag 13 februari 2026 @ 20:19:
De hele klantenservice van Odido moet op de schop en alle medewerkers moeten verplicht op training.

Je trapt mooi in het frame. De echte fouten zijn nl. op
C level gemaakt.

Knip*. Dit voegt echt bijzonder weinig toe.

[ Voor 88% gewijzigd door rens-br op 14-02-2026 08:26 ]

jongetje schreef op vrijdag 13 februari 2026 @ 17:09:
[...]

Omdat je niet je hele administratie kunt verwijderen als een klant weggaat. Dan krijg je allemaal gaten in je recente administratie, denk niet dat de belastingdienst dat leuk vind.... Wettelijk gezien moet je dit 7 jaar bewaren.

Die archiveer je dan ook, cold storage en bij voorkeur op een plek waar niet iedereen toegang toe heeft.

Odido valt aardig wat aan te rekenen als je het mij vraagt en dit soort reacties doen het lijken alsof het allemaal erg moeilijk is en er geen oplossingen/procedures voor zijn.

Het is bijzonder vervelend voor alle mensen die getroffen zijn. Het is enorm onduidelijk hoe je geraakt kan worden, en wanneer dat gebeurt, als het al gebeurt.

Maar hoe het kon gebeuren blijkt niet heel bijzonder. Zie https://forendox.com/nl/b...-nederland-van-zijn-soort

Geen idee waarom, maar je kunt al snel denken aan kelders vol met enge mannetjes die weken of maanden werken aan diepgaande scanners, exploits en ga zo maar verder. Maar zoals het artikel hierboven uitlegt is het steeds vaker simpelweg de zwakste schakel; de mens.

En voor wie hier roept dat je er niet in zou trappen. Dat kan zo zijn. Maar dit is een forum met techneuten en experts. Er zijn meer mensen die dat niet zijn, dan die dat wel zijn, in ondernemingen. En dus bleek blijkbaar maar weer dat het oppassen geblazen is met e-mails en telefoontjes. Voor iedereen.

Harry720A schreef op vrijdag 13 februari 2026 @ 22:46:
Knip

ik haal anders zeer nuttige info uit dit topic. Onder andere hoe deze hack heeft kunnen plaatsvinden.
Hoe Odido de hele boel eigenlijk bagatelliseert.
Dat blijkbaar een bedrijf jarenlang je zeer gevoelige gegevens bewaard, ondanks je al jaren geen enkele dienst meer afneemt.
Hoe knullig (oke, de mens is de zwakste schakel hierin) dit eigenlijk heeft kunnen gebeuren.
Heb zef nul verstand van cyber security, een aantal members hier hebben mij (en vele anderen) een kijkje in de keuken gegeven als het ware.

Verder; ik lees dat diverse cyber security experts ( nu en nos) nav deze Odido hack aangeven dat veel van onze (zeer gevoelige) prive gegevens 'toch' al op straat liggen door de diverse hacks in het verleden.
Tsja, dat zou voor (grote) bedrijven dan niet echt extra een motivatie zijn om (nog) veel geld (opleiding/training) uit te geven voor gegevensbescherming.

En natuurlijk komen er ook emoties vrij na zo'n grootschalige diefstal/hack, is niet meer dan logisch.
Het voelt toch een beetje als iemand je voordeur binnen wandelt, wat spullen van je jat en weer de voordeur uitloopt.

[ Voor 35% gewijzigd door rens-br op 14-02-2026 08:29 ]

_Bailey_ schreef op zaterdag 14 februari 2026 @ 03:19:
[...]


ik haal anders zeer nuttige info uit dit topic. Onder andere hoe deze hack heeft kunnen plaatsvinden.
Hoe Odido de hele boel eigenlijk bagatelliseert.
(...)
Het voelt toch een beetje als iemand je voordeur binnen wandelt, wat spullen van je jat en weer de voordeur uitloopt.

Maar dat gevoel klopt. Het is ook zo dat er van je gestolen is. En de nadelen zijn voor jou.

Odido zal zonder twijfel niet beter of slechter zijn dan een ander. Laten we eerlijk wezen. Die zaten hier ook niet op te wachten.

Kon het beter? Zeker. Doet iedereen dat? Nee joh. Moeten we dit normaal gaan vinden? Zeker niet.

Technisch zou je je kunnen zeggen:
1. Waarom was er geen encryptie op data-at rest? Dat is niet heel gangbaar helaas. Maar als je een account hebt met toegang, dat doet dat er niet eens toe.
2. Waarom was Odido niet wakker toen het gejat werd, maar ontdekte ze het pas later? Dat is omdat de dienst extern draaide en ze zelf geen monitoring deden, schat ik in. Ze vertrouwde op Salesforce om te monitoren.
3. Waarom merkte Salesforce het niet op dan? Ik schat in dat er vele gebruikers zo nu en dan exports maken, dat is niet een teken van criminaliteit per se, maar vanuit hun perspectief normaal gedrag zo nu en dan.

En dan juridisch:
4. Ga ik dan nu wel ergens iets kunnen claimen? Nee. Iedereen wuift dit van zijn schouders. Dat is de realiteit. Je gegevens liggen op straat en je kunt nooit aantonen dat ook maar iets in de toekomst er aan te verwijten is.
5. Moet Odido nu een miljoenenboete krijgen? Nee, want hoe fout dit ook is. Odido wilde het ook liever niet. En is het verwijtbaar? Deels. Odido werkt net als andere bedrijven. Externe callcenters. Te veel roulatie om iedereen te trainen. Niet perfect. Wel de norm. Dit kon niet heel veel beter. Ze hadden wél meer moeten investeren in trainingen om phishing tegen te gaan. Zeker omdat niemand het gemeld heeft, dat akkefietje met wachtwoorden en belletjes van zogenaamde IT. Maar dat is nu mosterd na de maaltijd. Dit had elk ander bedrijf kunnen zijn.

Is het daarom oke? Echt niet. Zeker niet. Een bedrijf als Odido heeft genoeg middelen om trainingen zoals dit wel goed voor elkaar te hebben. Het is mijns inziens zeker wel aan te rekenen. En mijns inziens zouden ze geen boete moeten krijgen, maar wel moeten vergoeden wat er als gevolg hiervan voor schade komt voor particulieren. Morgen, of over 20 jaar nog. Dit is hun schuld.

Maar het is niet dat een andere onderneming in Nederland, van dit kaliber, het beter voor elkaar heeft. Of dat die er beter tegen bewapend zijn. Dit is ondernemersrisico. Ook voor Odido. En idealiter kwakken we daar geen nietszeggende boete op voor de schatkist, maar markeren we individuen als verantwoordelijk. De verantwoordelijkheid komt met voor en nadelen aan de top. En als verantwoordelijke zou je een rood kruisje naast je naam moeten krijgen om nog zoiets te mogen ondernemen, of deel van uit te mogen maken.

Dat klinkt heel hard. Maar dat is het niet. Dat is een hele reële manier van oplossen. De les moet namelijk zijn dat dit niet door de beugel kan. Maar een onderneming of individu monetair aanpakken is zinloos. Een onderneming rekent het door aan klanten, en een individu kan niet naar ratio benadeeld worden. Het enige zinnige is om verantwoordelijke uit te sluiten van dergelijke posities.

En voor de slachtoffers; het leven is niet eerlijk. De aap is uit de mouw. Deze gegevens liggen op straat.

Ironisch genoeg moeten de slachtoffers nu zich beter verweren tegen phishing en social engineering dan dat de medewerkers van de Odido klantenservice zich hebben weten te verweren. En de slachtoffers voor de rest van hun leven helaas.

Eigenlijk komt er nu een ander probleem naar boven: dat je fraude zou kunnen plegen adv de gelekte gegevens.

Ik bedoel: mijn IBAN laat ik op verschillende plekken achter maar mijn pincode niet. Toch snap ik wel dat mensen zich zorgen maken.
De fraude is op veel plekken mogelijk. Dan heb ik het niet expliciet over Odio

Verificatie van persoon over telefoon: dit blijft een probleem. Met enkele naw gegevens ben je er al vaak doorheen waarna van alles mogelijk is. Ook niet heel simpel op te lossen alleen. Bij mn zorgverz bel ik uit de app en stuurt die een identifier code mee. Slim maar wss is er ook nog het traditionele proces voor mensen zonder app

Automatisch incasso: eigenlijk ook gek toch? Als je een incasso contract kun je dus gewoon geld afschrijven (waar je een machtiging moet laten zien wat al simpel
Formulier kan zijn oid).
Tijd dat dit ook via verificatie gaat. Bv 1ct overmaken maar netter een autorisatie in de app oid.

Ik lees veel de rant: stom dat er in phishing is getrapt maar dat er scraping mogelijk is, is kwalijk.

Snap ik maar daarom in die trant:
Stom dat persoongegevens gelekt zijn maar dat dit misbruikt kan worden is kwalijk.

Data lekt en zal blijven lekken. We kunne het lekken nooit stoppen maar wel kijken naar impact beperking van gelekte data

Hier kwam gistermiddag de mail van odido binnen en vannacht direct een spam mail, die door het spamfilter gekomen is, van mijn bank met de melding dat ik een nieuwe pas moet aanvragen. Zo te zien wordt de data al gebruikt? De bank is natuurlijk makkelijk te achterhalen obv IBAN.

Nee ik geloof er niets van dat ze deze info al gebruiken want dan waren er hier al veel meer meldingen geweest plus dat die partij als ze een som hebben geëist van odido pas de gegevens zal verkopen na x periode. Vaak geven ze de gehackte partij weken de tijd om de dwangsom te betalen.

Mahmudov schreef op zaterdag 14 februari 2026 @ 07:41:
Hopelijk neemt Odido verantwoording en betalen ze het bedrag wat de eisers willen, zodat alle gestolen data vernietigd wordt. Beetje service na je klanten. ;-)

En wat geeft dan het bewijs dag die data vernietigd wordt? Of geloven we deze hackers op hun mooie blauwe ogen?

Betalen lijkt mij een slecht plan. Resereveer datzelfde budget dan liever voor klantcompensatie of een investering in veiliger eerken. Niet voor het belonen van een hack.

Vervelend idd dat dit gebeurd is, echter als ik voor mijzelf spreek zijn genoemde gelekte gegevens vrij algemene gegevens die spammers/abusers/hackers etc. ws. al lang van mij hebben. Ik woon al 10 jaar op hetzelfde adres (voordat de AVG van kracht werd) en de andere gegevens heb ik nog veel langer. Alleen de combinatie met het klantnummer van Odido hebben ze er nu dan bij. Dus ja, ik moet in het vervolg iets voorzichtiger zijn in communicatie omtrent Odido/Ben, omdat dat nep kan zijn.
Alleen de paspoortgegevens, ik weet niet zeker of ik die ook ooit heb moeten doorgeven aan Ben/Odido en of die dan zijn van voor of na dat ik mijn paspoort heb verlengd. Ga dan maar even er vanuit dat ze die ook hebben, maar dan nog vraag ik me af of ze echt veel kunnen met alleen het nummer en de geldigheidsdatum.

Zoals altijd voorzichtig blijven dus, maar ik zie nog geen extra verhoogd risico nu.

ExIT schreef op zaterdag 14 februari 2026 @ 05:15:
[...]


En dan juridisch:
4. Ga ik dan nu wel ergens iets kunnen claimen? Nee. Iedereen wuift dit van zijn schouders. Dat is de realiteit. Je gegevens liggen op straat en je kunt nooit aantonen dat ook maar iets in de toekomst er aan te verwijten is.


maar wel moeten vergoeden wat er als gevolg hiervan voor schade komt voor particulieren. Morgen, of over 20 jaar nog. Dit is hun schuld.

kun je dit verder juridisch toelichten? Ik kan het dus nooit aantonen, maar als ik hier schade van ondervind moet Odido het wel vergoeden, nu of over 20 jaar?

[ Voor 9% gewijzigd door _Bailey_ op 14-02-2026 08:42 ]

Het email adres dat ik heb gebruikt voor aanloggen bij odido is "odido@[eigendomein]". Ik ben geen klant meer van odido. Mocht ik nog mails ontvangen dan zal ik die nauwkeurig bekijken. Die van andere toko's dan odido zijn sowieso verdacht.

Mahmudov schreef op zaterdag 14 februari 2026 @ 07:41:
Hopelijk neemt Odido verantwoording en betalen ze het bedrag wat de eisers willen, zodat alle gestolen data vernietigd wordt. Beetje service na je klanten. ;-)

Ik zie je knipoog inderdaad. Maar voor wie het niet snapt: dit dus inderdaad nooit!

Het probleem met criminelen is dat ze crimineel zijn.

Als je betaald voor data dan doe je 2 dingen:
1. Je houd een verdienmodel in stand. Want als je betaald, dan loon het het dus. En dus proberen meer criminelen het..
2. Je laat jezelf foppen. Criminelen die geld eisen die zullen om meer geld vragen nadat je betaald hebt.

En dan de kicker. Als je betaald hebt om het niet te laten lekken, raad eens? Precies. Dan denken die criminelen: "Fijn. Dat geld is leuk. En we hebben ook nog een kopie van de data. Extra leuk."

Het is naar voor de slachtoffers. Maar gestolen is gestolen. Je moet nooit ingaan op criminelen.

Als je die voor wilt zijn, dan zul je moeten investeren om het nooit te laten stelen.

PS: dit is een theoretische casus. Want zover bekend is er geen sprake van een eis voor losgeld.

[ Voor 7% gewijzigd door ExIT op 14-02-2026 08:54 ]

ExIT schreef op zaterdag 14 februari 2026 @ 08:48:
[...]


Als je betaald voor data dan doe je 2 dingen:
1. Je houd een verdienmodel in stand. Want als je betaald, dan loon het het dus. En dus proberen meer criminelen het..
2. Je laat jezelf foppen. Criminelen die geld eisen die zullen om meer geld vragen nadat je betaald hebt.

1) Dat verdienmodel hebben ze al in stand gehouden door hun eigen belang zodanig te laten prevaleren boven het klantbelang blijkens dat hun beveiliging kennelijk niet adequaat genoeg was, met dit lek tot gevolg. Zie ook het artikel op Tweakers hoe dit lek heeft kunnen gebeuren.

2) Ze hebben vooral hun (ex-)klanten gefopt met al die mooie teksten op hun website over beveiliging en privacy waar je nu niets aan hebt.

Veel beter zouden ze EU-wetgeving maken dat bij een zodanig lek zoals deze er per direct nationalisatie plaatsvindt en een overheidsorgaan of klantcoöperatie het eigendom maar gewoon overneemt, opdat het belang van alle stakeholders in elk geval nadien wel adequaat worden behartigd.

rr7r schreef op zaterdag 14 februari 2026 @ 09:07:
[...]


2) Ze hebben vooral hun (ex-)klanten gefopt met al die mooie teksten op hun website over beveiliging en privacy waar je nu niets aan hebt.

en dan deze reactie van Odido: "Helaas komen cyberincidenten zoals deze steeds vaker voor en is geen enkele organisatie immuun."

Zo, 'ons' straatje is nu schoon en vervolgens gaan we onze klanten een lesje geven in dat ze voorzichtig/waakzaam moeten zijn met aankomende foute mailtjes en/of telefoontjes en andere privacy tips in de toekomst.

Odido is al eens eerder op de vingers getikt inzake beveiliging.

Nee, Odido geeft letterlijk nergens écht aan dat ze bloedserieus omgaan met de bescherming van mijn gevoelige gegevens bij hen; wel legt Odido in een mail (nav de hack) uiteraard uit hoe ik me moet wapenen tegen de boze (online) buitenwereld.
Hypocriet zeg ik je.

[ Voor 5% gewijzigd door _Bailey_ op 14-02-2026 09:26 ]

Wolly schreef op vrijdag 13 februari 2026 @ 22:05:
[...]


Je trapt mooi in het frame. De echte fouten zijn nl. op
C level gemaakt.

Precies. De medewerkers an sich valt ook iets te verwijten, maar het echte probleem zit in het systeem, niet in het individu. Per definitie moet je ervanuit gaan dat je mensen falen in het herkennen van malafide mails (first line of defense), daarna zou het systeem nog het eea moeten doen (geofencing, rate limiter etc).

_Bailey_ schreef op zaterdag 14 februari 2026 @ 09:23:
[...]


en dan deze reactie van Odido: "Helaas komen cyberincidenten zoals deze steeds vaker voor en is geen enkele organisatie immuun."

Zo, 'ons' straatje is nu schoon en vervolgens gaan we onze klanten een lesje geven in dat ze voorzichtig/waakzaam moeten zijn met aankomende foute mailtjes en/of telefoontjes en andere privacy tips in de toekomst.

Odido is al eens eerder op de vingers getikt inzake beveiliging.

Nee, Odido geeft letterlijk nergens écht aan dat ze bloedserieus omgaan met de bescherming van mijn gevoelige gegevens bij hen; wel legt Odido in een mail (nav de hack) uiteraard uit hoe ik me moet wapenen tegen de boze (online) buitenwereld.
Hypocriet zeg ik je.

En daarom ben ik van mening, persoonlijk, dat boetes geen soelaas bieden. Het is vele malen goedkoper om dergelijke gevallen af te wachten als onderneming, dan om je er tegen te wapenen.

Een stom voorbeeld, maar sommige mensen rijden altijd te hard op de Nederlandse snelwegen omdat het negen van de tien keer loont in hun ogen. En de keer dat ze er voor gepakt worden betalen ze het uit een reserve die ze speciaal voor verkeersboetes opzij hebben gezet.

Vandaar mijn opmerking eerder dat mijns inziens in dit soort gevallen er "rode kruisjes" achter de namen van verantwoordelijke moeten komen. Geld is geen straf voor wie genoeg te besteden heeft, mits de hoogte van boetes blijft uitnodigen om andere paden te bewandelen.

En zelfs als je Odido failliet maakt met een mega-boete, wat dan? Daar heeft niemand baat bij en niemand een oplossing voor. De echte oplossing is om de verantwoordelijke aan te pakken op een manier waarop ze niet langer schade kunnen veroorzaken.

oktober 2025;

Het aftapsysteem van Odido was niet goed beveiligd tegen mogelijk meekijken van buitenstaanders. De Rijksinspectie Digitale Infrastructuur (RDI) heeft de provider daarom een boete van 1,5 miljoen euro opgelegd.

De beveiliging van Odido's systeem voldeed volgens de RDI op meerdere onderdelen niet aan de wet. Inmiddels heeft de provider aanpassingen gedaan, waardoor de risico's op pottenkijkers zijn weggenomen.

Een aftapsysteem bevat informatie van afgeluisterde telefoongesprekken of onderschepte berichten die via sms, chat of e-mail zijn verstuurd. Aftappen mag niet zomaar. Dat is alleen geoorloofd onder strikte voorwaarden en op last van de officier van justitie of van de inlichtingen- en veiligheidsdiensten.

Het onderzoek vond in 2021 en 2022 plaats. Toen bleek dat Odido geen beveiligingsplan had dat volledig voldeed aan de eisen van de toezichthouder. In zo'n plan staat welke maatregelen worden getroffen om het systeem te beveiligen.

Ook werd personeel met toegang tot het aftapsysteem niet goed gescreend. Zo had een groot deel geen geheimhoudingsverklaring ondertekend of ontbrak een Verklaring Omtrent het Gedrag.

Ook personeel dat niets met het systeem te maken had kon bij de afgetapte gegevens.
In een aftapsysteem kunnen zeer gevoelige gegevens staan, zoals staatsgeheimen of strafrechtelijke informatie. Daarom worden er strenge eisen aan de beveiliging gesteld.
Odido schoot tekort in de digitale toegangsbeveiliging, waardoor ook leveranciers toegang hadden.

---------------------------

Plus nu deze Odido hack van deze maand, dan kan je concluderen dat Odido geen prio heeft bij écht serieuze beveiliging.
Ook bovenstaande onderzoek van 2021/2022 laat zien dat Odido wederom 0 moeite heeft met dat Jan en alleman in de organisatie overal maar bij kan als het gaat om gevoelige data, precies zoals met deze hack dus van afgelopen week