Odido waarschuwt voor datalek (cyberaanval/hack)

domi10 schreef op zondag 15 februari 2026 @ 15:23:
Odido zegt in hun privacystatement dat ze de gegevens van oud-klanten maximaal 2 jaar zouden bewaren.

Dan liegen ze. Want ook op het community forum werd dat beweerd door een community mod, terwijl hier al meermaals mensen langskomen die al 4+ jaren geen klant meer zijn.

[ Voor 62% gewijzigd door Lord_Dain op 15-02-2026 16:28 ]

Lord_Dain schreef op zondag 15 februari 2026 @ 15:26:
[...]

Dan liegen ze. Want ook op het community forum werd dat beweerd, is gewoon niet waar.

Wie zijn ze en wat is niet waar? Ik heb een mail gehad van Odido dat mijn gegevens zijn gestolen terwijl ik sinds Q1 2023 geen klant meer ben van Tele2. Pagina 17 van dit document is duidelijk over een bewaartermijn van 2 jaar: https://assets.odido.nl/x/d737544207/privacy-statement.pdf Alleen facturatiegegevens worden 7 jaar bewaard, maar daar zou het paspoortnummer niet onder moeten vallen.

domi10 schreef op zondag 15 februari 2026 @ 15:23:
Ik begrijp het idee dat je om schadevergoeding kunt vragen als je daadwerkelijk schade hebt geleden en dat het moeilijk wordt om aan te tonen dat het daadwerkelijk door het datalek komt. Toch vraag ik me iets af: ik en een aanzienlijk groep oud-klanten van T-Mobile/Tele2 zijn getroffen door het lek, terwijl we al langer dan 2 jaar geen klant meer zijn. Odido zegt in hun privacystatement dat ze de gegevens van oud-klanten maximaal 2 jaar zouden bewaren. Dit wijst er sterk op dat Odido nalatig is geweest door zich niet te houden aan eigen privacystatement (afgesproken met de klant). Zou een rechtszaak in deze richting en compensatie kans van slagen hebben?

Dat zal zeker door de AP onderzocht worden. Maar in het civiel recht waar je als consument aanspraak op wil maken zal er toch weinig te halen zijn als je geen schade hebt. Of dat niet kunt bewijzen.

Allemaal leuk en aardig die waardeloze wetgeving waarbij grote bedrijven geen enkele prikkel krijgen om serieus te investeren in goed beveiligen van data van de klanten. Nul risico kennelijk, als gedupeerde moet je maar van alles bewijzen. Omgekeerde wereld als je het mij vraagt.

Het signaal van Odido van ‘jammer dat je mogelijk forse schade lijdt door ons toedoen maar we gaan je op geen enkele manier tegemoet komen’ stuit me nog het meest tegen de borst. Neem je verantwoordelijkheid voor je klanten.

domi10 schreef op zondag 15 februari 2026 @ 15:35:
[...]

Wie zijn ze en wat is niet waar? Ik heb een mail gehad van Odido dat mijn gegevens zijn gestolen terwijl ik sinds Q1 2023 geen klant meer ben van Tele2. Pagina 17 van dit document is duidelijk over een bewaartermijn van 2 jaar: https://assets.odido.nl/x/d737544207/privacy-statement.pdf Alleen facturatiegegevens worden 7 jaar bewaard, maar daar zou het paspoortnummer niet onder moeten vallen.

Heb mijn post ingekort, hopelijk is het nu duidelijker.

Naafkap schreef op zondag 15 februari 2026 @ 16:14:
Allemaal leuk en aardig die waardeloze wetgeving waarbij grote bedrijven geen enkele prikkel krijgen om serieus te investeren in goed beveiligen van data van de klanten. Nul risico kennelijk, als gedupeerde moet je maar van alles bewijzen. Omgekeerde wereld als je het mij vraagt.

Het signaal van Odido van ‘jammer dat je mogelijk forse schade lijdt door ons toedoen maar we gaan je op geen enkele manier tegemoet komen’ stuit me nog het meest tegen de borst. Neem je verantwoordelijkheid voor je klanten.

Ik ben het wel met je eens, maar je doet er niet veel aan nu.
Consumentenbond heeft n.a.v. de Odido "hack/datalek" een artikel hierover gepubliceerd (kan ook gelezen worden door NIET geabonneerden) en wat je kunt doen na een lek. Ook een lijst met alle grote hacks/lekken van de laatste tijd (je wordt er niet vrolijk van) , zie:
https://www.consumentenbo...3&mid=100003369&jb=11008&

PS,
Jammer dat ze niet de Incasso-goedkeuringslijst bij de bank vermelden bij "wat kun je doen"

Naafkap schreef op zondag 15 februari 2026 @ 16:14:
Allemaal leuk en aardig die waardeloze wetgeving waarbij grote bedrijven geen enkele prikkel krijgen om serieus te investeren in goed beveiligen van data van de klanten. Nul risico kennelijk, als gedupeerde moet je maar van alles bewijzen. Omgekeerde wereld als je het mij vraagt.

Het signaal van Odido van ‘jammer dat je mogelijk forse schade lijdt door ons toedoen maar we gaan je op geen enkele manier tegemoet komen’ stuit me nog het meest tegen de borst. Neem je verantwoordelijkheid voor je klanten.

Eens, wij zitten met de gebakken peren, maar dit komt natuurlijk voort uit het kernprincipe van 'onschuldig tot het tegendeel is bewezen'.

@PeaceNlove reageert net dat hij een voicemail heeft met daarop iets over zijn betaalrekening waar ook het abonnementsgeld van Odido wordt afgeschreven.

Komt dat inderdaad door deze hack, of is het puur toeval? Bewijslast zal toch echt bij @PeaceNlove liggen om aan te tonen dat dit door toedoen van Odido is.

mark777 schreef op zondag 15 februari 2026 @ 13:55:
[...]

hackers kijken vooral ook wie is de zwakste schakel. Wie de security het slechts op orde heeft is de klos. In dit geval dus Odido. Snap niet dat Odido nu geen verantwoordelijkheid neemt en actie onderneemt. Tot nu alleen maar slap gedoe van ze

Dit dus...

Net van Odido:

Je nieuwe provider houdt je verder op de hoogte over het omzetten van je mobiele nummer. Liever een latere datum, of heb je vragen over nummerbehoud? Neem dan contact op met je nieuwe provider. Die helpt je verder.

Waarom ga je weg?

Binnenkort internet ook nog en dan voorlopig niet meer terug naar deze ballentent. Ik snap dat gehackt worden voor kan komen maar de anti reactie waar ze meekomen is mij toch wel in het verkeerde keelgat geschoten.

Overigens dit nieuwe abonnement aangevraagd met een nieuw ID die niet bekend stond bij Odido... weet vooralsnog niet wat ik moet doen met m'n paspoort die overigens niet heel lang meer valid is.

[ Voor 9% gewijzigd door ArcticWolf op 15-02-2026 17:26 ]

Lord_Dain schreef op zondag 15 februari 2026 @ 15:26:
[...]

Dan liegen ze. Want ook op het community forum werd dat beweerd door een community mod, terwijl hier al meermaals mensen langskomen die al 4+ jaren geen klant meer zijn.

Ik dus, overtreding avg maar wat een cowboys. Duidelijk paniek reactie.

Gr4mpyC3t schreef op zondag 15 februari 2026 @ 16:51:
[...]


Eens, wij zitten met de gebakken peren, maar dit komt natuurlijk voort uit het kernprincipe van 'onschuldig tot het tegendeel is bewezen'.

@PeaceNlove reageert net dat hij een voicemail heeft met daarop iets over zijn betaalrekening waar ook het abonnementsgeld van Odido wordt afgeschreven.

Komt dat inderdaad door deze hack, of is het puur toeval? Bewijslast zal toch echt bij @PeaceNlove liggen om aan te tonen dat dit door toedoen van Odido is.

No way dat ik dit kan bewijzen. Hooguit kan je hier met elkaar wellicht wel een trend spotten dat de scamming toeneemt oid.
Was het maar zo’n feest dat ik dit kon bewijzen, dan had ik direct ook een zaak richting Odido gehad…

Die trend is er sowieso, je focust je er alleen meer op

ArcticWolf schreef op zondag 15 februari 2026 @ 17:21:
[...]Overigens dit nieuwe abonnement aangevraagd met een nieuw ID die niet bekend stond bij Odido... weet vooralsnog niet wat ik moet doen met m'n paspoort die overigens niet heel lang meer valid is.

Verdiep je er eens in welke persoonsgegevens je prijs moet geven aan een particulier bedrijf.
Afplakken/onleesbaar maken - foto en/of BSN - en zo.

ArcticWolf schreef op zondag 15 februari 2026 @ 17:21:
[...]

Binnenkort internet ook nog en dan voorlopig niet meer terug naar deze ballentent. Ik snap dat gehackt worden voor kan komen maar de anti reactie waar ze meekomen is mij toch wel in het verkeerde keelgat geschoten.

Hun reacties doen mij juist goed. Ze maximaliseren hun eigen commerciële schade er juist mee.

ter info:

https://www.ad.nl/binnenl...t-daar-niet-aan~a38d4c1a/

Tjah, vervelend wat er is gebeurd.

Onlangs nog voor twee jaar verlengd voor Internet en we stappen binnenkort over met twee mobiele abonnementen. Alles staat wel op mijn naam en gegevens.

Ik kijk het aan, met name incasso’s. Het zal wel los lopen. Anders switch ik mijn bank naar mijn andere rekening en geef ik het door aan de huidige instanties die nu mogen incasseren. Is ook niet het einde van de wereld.

Ongetwijfeld ben ik te nuchter volgens velen. Maar ja, je kunt je eeuwig druk lopen maken om iets waar je verder niets aan kan veranderen. Dat heeft weinig zin.

Tenslotte werd ik al volop lastig gevallen door poging tot phishing (sms) en met name door spoofing. Vooral dat laatste is ontzettend vervelend, omdat sommige je niet eens geloven (senioren) en beginnen te schelden tegen je.

PeaceNlove schreef op zondag 15 februari 2026 @ 15:13:
Krijg ik een voicemail van een onbekend 06 nummer met een robotstem die claimt namens de bank te spreken waar ook mijn Odido van afgeschreven wordt. Iets met geld en dringend en spoedige actie . Tuurlijk

Maar zonder gekheid, dit had ik voorheen niet en tot nu toe bleef het alleen maar bij robotcalls die me op Whatsapp willen contacten over een baan. Dit is nieuw, voor mij toch wel een indicatie dat de gegevens daadwerkelijk misbruikt worden.

Oh dit is niet nieuw helaas. Ik geloof zeker dat odido niet de enige is die het gelekt heeft en dat andere partijen? Het minder snel naar buiten brengen (buitenlandse?).

[ Voor 5% gewijzigd door dutchnltweaker op 15-02-2026 20:11 ]

Automatische incassos vind ik een bijzonder iets maar ik vind het zeer onrealistisch dat criminelen hier gebruik van maken met dit lek

Als crimineel
- je hebt eerst kvk nodig
- dan nog een incasso contract met de banken
- dan begin je je aanval bv 100 man. 10 letten op en storneren. Gaat alarm af bij bank en alle 100 worden gestorneerd en incasso contract ongeldig verklaard. En daarna aangifte richting de kvk persoon

Ik denk dat mijn IBAN al op duizenden plekken bekend is (iedere keer als je pint toch?). Geloof er niets van dat die data nooit toegankelijk is geweest. Denk eerder dat er geen realistische aanval voor is waardoor je het nooit hoort

Misschien is de vraag hier al een aantal keer gesteld, maar ik kan het niet zo snel vinden dus als dat zo is, excuus.

Heeft iemand duidelijk hoe het nou zit met de document nummers? Ik lees overal dat deze ook gelekt zouden zijn, maar in de mail die ik heb ontvangen staat heel expliciet (met dikgedrukte letters) dat dit niet het geval is.

Verschilt dit per situatie of hebben ze dit pas later ontdekt, nadat de mail verstuurd was?

laurens0619 schreef op zondag 15 februari 2026 @ 20:14:
Automatische incassos vind ik een bijzonder iets maar ik vind het zeer onrealistisch dat criminelen hier gebruik van maken met dit lek

Als crimineel
- je hebt eerst kvk nodig
- dan nog een incasso contract met de banken
- dan begin je je aanval bv 100 man. 10 letten op en storneren. Gaat alarm af bij bank en alle 100 worden gestorneerd en incasso contract ongeldig verklaard. En daarna aangifte richting de kvk persoon

Ik denk dat mijn IBAN al op duizenden plekken bekend is (iedere keer als je pint toch?). Geloof er niets van dat die data nooit toegankelijk is geweest. Denk eerder dat er geen realistische aanval voor is waardoor je het nooit hoort

Als iemand ergens een fraudeleus account wilt aanmaken waarmee ze schadelijke handelingen willen verrichten, dan kunnen ze jouw gelekte gegevens opkopen en de incasso op jouw IBAN en gegevens doen.

Degene die de dataset van 6,2 miljoen heeft gestolen kan gewoon in kleine brokjes van 10, 25, 100, duizend, 100-duizend personen per stuk veilen via het dark web. Zelfs meermaals. Dus onze gegeven zijn nu -handel.

Overigens, als iemand stiekem een camara in jouw badkamer installeert om je te bespieden tijdens het douchen, kan dat ook geen kwaad, maar prettig is het niet. Ik wil mijn gegevens niet in de handen van kwaadwillenden.

rr7r schreef op zondag 15 februari 2026 @ 20:24:
[...]


Als iemand ergens een fraudeleus account wilt aanmaken waarmee ze schadelijke handelingen willen verrichten, dan kunnen ze jouw gelekte gegevens opkopen en de incasso op jouw IBAN en gegevens doen.

Degene die de dataset van 6,2 miljoen heeft gestolen kan gewoon in kleine brokjes van 10, 25, 100, duizend, 100-duizend personen per stuk veilen via het dark web. Zelfs meermaals. Dus onze gegeven zijn nu -handel.

Overigens, als iemand stiekem een camara in jouw badkamer installeert om je te bespieden tijdens het douchen, kan dat ook geen kwaad, maar prettig is het niet. Ik wil mijn gegevens niet in de handen van kwaadwillenden.

Tuurlijk is het niet prettig, daarom probeer ik het ook even te rationaliseren dat even geld afschrijven als er een iban bekend is niet een realistische succesolle aanval zal zijn.

Online diensten die schadelijke handelingen verkopen hebben wss geen incassocontract.

[ Voor 4% gewijzigd door laurens0619 op 15-02-2026 20:30 ]

laurens0619 schreef op zondag 15 februari 2026 @ 20:28:
[...]

Tuurlijk is het niet prettig, daarom probeer ik het ook even te rationaliseren dat even geld afschrijven als er een iban bekend is niet een realistische succesolle aanval zal zijn.

Jawel dat is het wel, zie mijn vorige post. Een IBAN opgeven voor incasso kan iedereen doen zonder incassocontract. Jouw redenatie is alleen van toepassing indien de incassant zelf fraudeleus zou zijn. Voor het opgeven van andermans IBAN gegevens tbv een incasso vereist dit niet, omdat de incassant in dat geval niet de kwaadwillende is, maar eveneens een gedupeerde. Daarom hebben jouw gegevens waarde als je ze in brokjes verkoopt aan allerlei andere kwaadwillenden.

rr7r schreef op zondag 15 februari 2026 @ 20:31:
[...]


Jawel dat is het wel, zie mijn vorige post. Een IBAN opgeven voor incasso kan iedereen doen zonder incassocontract. Jouw redenatie is alleen van toepassing indien de incassant zelf fraudeleus zou zijn. Voor het opgeven van andermans IBAN gegevens tbv een incasso vereist dit niet, omdat de incassant in dat geval niet de kwaadwillende is, maar eveneens een gedupeerde. Daarom hebben jouw gegevens waarde als je ze in brokjes verkoopt aan allerlei andere kwaadwillenden.

Dat is een ander scenario ja maar welke dienst zou een aanvaller dat voor misbruiken?

Films huren zou bv leuk zijn maar die diensten willen ook geen ongeldige incassos aan hun broek (met risico dat contract ontbonden wordt) dus doen vaak iets als ct betaling/ideal validatie.

Ik zou oprecht niet weten welke dienst voor een aanvaller interessant is en alleen incasso met een iban nodig is.

En anders, je hebt 13 maanden de tijd te storneren wat weer risico op alarmbellen is wat weer risico is voor pakkans aanvaller.
Ik snap je vanuit de theorie maar in de praktijk denk ik dat her (gelukkig) bij de theorie blijft

[ Voor 10% gewijzigd door laurens0619 op 15-02-2026 20:36 ]

mvrtwkrs schreef op zondag 15 februari 2026 @ 19:15:
ter info:

https://www.ad.nl/binnenl...t-daar-niet-aan~a38d4c1a/

Dat er af en toe data lekt, hoe vervelend ook, is helaas bijna denk ik onvermijdelijk geworden.
Maar het lekken van identificerende gegevens (zoals ID-informatie) vind ik wél serieus kwalijk, daar moeten bedrijven echt verantwoordelijkheid voor nemen.
De manier waarop Odido nu richting klanten communiceert, komt eerlijk gezegd niet heel slim over. Het lijkt erop dat ze vooral proberen te voorkomen dat er een precedent ontstaat.
Want als Odido erkent en dat klanten identiteitsdocumenten op hun kosten kunnen vervangen, kan dat betekenen dat zo’n 6 miljoen klanten een claim kunnen indienen.
6 miljoen × €88 (maximale kosten voor een paspoort) = ruim €528 miljoen.
Vanuit dat perspectief is hun terughoudendheid misschien verklaarbaar, maar dat maakt het richting de getroffen klanten niet bepaald netjes en maken ze qua pr niet heel populair.

laurens0619 schreef op zondag 15 februari 2026 @ 20:34:
[...]

Dat is een ander scenario ja maar welke dienst zou een aanvaller dat voor misbruiken?

[...]

Ik zou oprecht niet weten welke dienst voor een aanvaller interessant is en alleen incasso met een iban nodig is.

Dit kan echt van alles zijn. Iemand die phising wilt uitvoeren naar die odido klanten, ergens hosting nodig heeft voor de malafide website, en de gegevens (+iban) van een ander opgeeft om buiten schot te blijven. Zomaar voorbeeldje. Direct debits kunnen ook, IBAN eurozone-breed, dus ook buiten NL.

[ Voor 5% gewijzigd door rr7r op 15-02-2026 20:40 ]

rr7r schreef op zondag 15 februari 2026 @ 20:38:
[...]


Dit kan echt van alles zijn. Iemand die phising wilt uitvoeren naar die odido klanten, ergens hosting nodig heeft voor de malafide website, en de gegevens (+iban) van een ander opgeeft om buiten schot te blijven. Zomaar voorbeeldje. Direct debits kunnen ook, IBAN eurozone-breed, dus ook buiten NL.

Ja ik blijf erbij dat is theorie in de praktijk heb ik het nooit zien gebeuren.
Anders NL86INGB0002445588 gewoon invullen vanaf nu als je ergens webruimte nodig hebt

Disclaimer: dit is een grap, niet doen.
Diensten die hier vatbaar voor zijn hebben of proactief of reactief maatregelen tegen getroffen. Of niet en hebben geen incassocontract meer (of binnenkort niet meer na storneringen)

Er is een hoop narigheid door dit lek maar laten we alsjeblieft het niet groter maken dan het is. Er bestaan genoeg mensen die oprecht niet meer kunne slapen als ze hore dat je bankrekening zo geplunderd kan worden

[ Voor 27% gewijzigd door laurens0619 op 15-02-2026 21:03 ]

Ik behoor ook tot de 6 miljoen gedupeerden.

Stomme is dat ik al ca. 10 jaar+ een telefoonabonnement bij T-mobile/Odido heb, dus mijn oude paspoortgegevens was bij hun bekend, maar ik ben paar maanden geleden van internet overgestapt van Freedom naar Odido. Dus mijn huidige paspoortgegevens liggen nu ook op straat.

En ik kom van Freedom, hoe komisch. Scheelde namelijk €50 op maandbasis.

Een paar maanden geleden vroeg Odido in de app om mijn voornaam, want die wisten ze niet (?). Zonder na te denken heb ik die ingevuld.

dutchnltweaker schreef op zondag 15 februari 2026 @ 20:37:
[...]

Dat er af en toe data lekt, hoe vervelend ook, is helaas bijna denk ik onvermijdelijk geworden.
Maar het lekken van identificerende gegevens (zoals ID-informatie) vind ik wél serieus kwalijk, daar moeten bedrijven echt verantwoordelijkheid voor nemen.
De manier waarop Odido nu richting klanten communiceert, komt eerlijk gezegd niet heel slim over. Het lijkt erop dat ze vooral proberen te voorkomen dat er een precedent ontstaat.
Want als Odido erkent en dat klanten identiteitsdocumenten op hun kosten kunnen vervangen, kan dat betekenen dat zo’n 6 miljoen klanten een claim kunnen indienen.
6 miljoen × €88 (maximale kosten voor een paspoort) = ruim €528 miljoen.
Vanuit dat perspectief is hun terughoudendheid misschien verklaarbaar, maar dat maakt het richting de getroffen klanten niet bepaald netjes en maken ze qua pr niet heel populair.

Daarom zou het ook eens handig zijn om te weten of er wel echt data gestolen is van 6,2 miljoen unieke klanten. En welke data exact, in plaats van zo'n ruime beschrijving.

Blijkbaar veel meer gedupeerde klanten eisen dat Odido de kosten voor een nieuw paspoort of rijbewijs vergoedt

https://www.ad.nl/binnenl...t-daar-niet-aan~a38d4c1a/

Odido geeft (deels) toelichting hoe het zit met mensen die langer dan 2 jaar geleden zijn vertrokken en wiens data gelekt zijn: "Voor mensen die ooit een toestel op afbetaling namen (een lening), geldt zelfs een bewaartermijn van vijf jaar voor het ID-nummer. Dat is een wettelijke verplichting, claimt Odido." https://www.ad.nl/binnenl...t-daar-niet-aan~a38d4c1a/

Ik had destijds ook een toestel op afbetaling bij Tele2 en alles afbetaald toen ik overstapte naar een andere provider. Ik vertrouw de antwoorden van Odido in ieder geval voor geen cent meer.

Het privacystatement zegt: "We bewaren de gegevens over het toestelkrediet tot maximaal 5 jaar nadat het toestelkrediet is afgelost." Op basis hiervan begrijp ik niet waarom het ID-nummer ook 5 jaar bewaard moet worden.

[ Voor 14% gewijzigd door domi10 op 15-02-2026 21:15 ]

Aardwolf schreef op zondag 15 februari 2026 @ 20:51:
[...]

Daarom zou het ook eens handig zijn om te weten of er wel echt data gestolen is van 6,2 miljoen unieke klanten. En welke data exact, in plaats van zo'n ruime beschrijving.

Dat is vaak lastig. Over het algemeen zie je de volgende scenarios bij hacks

- iemand heeft toegang gehad tot je systeem maar je hebt geen audit logging wat die heeft opgevraagd. Dan bepaal je tot welke data die aanvaller toegang had en rapporteer je dus dat die mogelijk geraadpleegd is.

- als je wel audit logging hebt, bv saleforce logt welke klantpaginas er geopend worden vanaf een account kan het al gerichter zijn. Je weet echter niet of de data ook daadwerkelijk door de aanvaller is gekopieerd.

Dus je zal bijna altijd mogelijk geraadpleegd lezen maar je moet er gewoon vanuit gaan: ja

dutchnltweaker schreef op zondag 15 februari 2026 @ 20:37:
[...]

Dat er af en toe data lekt, hoe vervelend ook, is helaas bijna denk ik onvermijdelijk geworden.
Maar het lekken van identificerende gegevens (zoals ID-informatie) vind ik wél serieus kwalijk, daar moeten bedrijven echt verantwoordelijkheid voor nemen.
De manier waarop Odido nu richting klanten communiceert, komt eerlijk gezegd niet heel slim over. Het lijkt erop dat ze vooral proberen te voorkomen dat er een precedent ontstaat.
Want als Odido erkent en dat klanten identiteitsdocumenten op hun kosten kunnen vervangen, kan dat betekenen dat zo’n 6 miljoen klanten een claim kunnen indienen.
6 miljoen × €88 (maximale kosten voor een paspoort) = ruim €528 miljoen.
Vanuit dat perspectief is hun terughoudendheid misschien verklaarbaar, maar dat maakt het richting de getroffen klanten niet bepaald netjes en maken ze qua pr niet heel populair.

Intussen hebben ze op de informatiepagina zelf dit geschreven:

Om fraude te voorkomen bij het bij het afsluiten van een mobiel abonnement controleren we altijd je identiteit en registreren we daarom het nummer van je identiteitsbewijs. Zo weten we zeker dat jij degene bent die het abonnement afsluit en kunnen we aantonen dat jij het was. Op deze manier voorkomen we ook dat contracten, abonnementen of telefoontoestellen bij de verkeerde persoon terechtkomen.

Enerzijds proberen ze vooral te benadrukken dat een documentnummer niet misbruikt zou kunnen worden. Maar anderzijds schrijven ze hier zelf dat ze het gebruiken als identificatiemethode.

Een automatische incasso is een banktransactie waarbij u een bedrijf of instelling machtigt om eenmalig of periodiek geld van uw rekening af te schrijven. Dit is handig voor vaste lasten, zoals abonnementen of verzekeringen. U behoudt controle: onterechte afschrijvingen kunt u binnen 56 dagen via uw bank terugboeken (storneren).

AlxRoelofs schreef op zondag 15 februari 2026 @ 20:22:
Misschien is de vraag hier al een aantal keer gesteld, maar ik kan het niet zo snel vinden dus als dat zo is, excuus.

Heeft iemand duidelijk hoe het nou zit met de document nummers? Ik lees overal dat deze ook gelekt zouden zijn, maar in de mail die ik heb ontvangen staat heel expliciet (met dikgedrukte letters) dat dit niet het geval is.

Verschilt dit per situatie of hebben ze dit pas later ontdekt, nadat de mail verstuurd was?

Het lijkt te verschillen per situatie. Niet helemaal duidelijk voor de buitenwereld welke situaties. Mobiel, vast, Ben, winkel, online, etc.

Ik heb ook een e-mail ontvangen van Odido. Ooit een abonnement gehad bij T-mobile. Het is de eerste keer dat ik een e-mail krijg van Odido en de laatste e-mail van T-mobile op dit e-mailadres is een bericht uit 2012.

[ Voor 3% gewijzigd door se77en op 16-02-2026 00:11 ]

Ben al dik 2 jaar geen klant meer
Kreeg ook een mail .

Ik denk dat dit een wijze les zal zijn voor veel bedrijven. Dat alle kosten in privacy en de AVG niet meer gemaakt hoeven te worden. Ze zien nu dat er toch geen consequenties aan vast zitten.

Bestseller schreef op maandag 16 februari 2026 @ 07:19:
Ik denk dat dit een wijze les zal zijn voor veel bedrijven. Dat alle kosten in privacy en de AVG niet meer gemaakt hoeven te worden. Ze zien nu dat er toch geen consequenties aan vast zitten.

Behalve dat reactief betalen voor een cyberaanval in vrijwel alle gevallen een stuk duurder is dan proactief.

Wist je dat de hack bij Jaguar Land Rover in 2025 so far bijvoorbeeld al 2,2 miljard euro heeft gekost?

swiebert schreef op donderdag 12 februari 2026 @ 20:36:
[...]

Ja hoor daar gaan we. Kan ook nog een duit in het zakje doen.... Ik voel me niet meer veilig in Nederland hierdoor en wil daarom een nieuwe identiteit in het buitenland.

Kom op Niet overal proberen een slaatje uit te slaan. BTW... Vond de reactie van BUNQ hieronder wel heel okay...
klasse[Afbeelding]

Deze mail van bunq is wel bijzonder: hebben alle klanten van bunq het gekregen, of alleen degene die klant zijn van Odido? Hoe weet bunq dat iemand klant is van Odido, en mogen zij betaalinformatie (automatische incasso) hiervoor gebruiken?

Voor gedupeerden biedt Link verwijderd heldere uitleg over wat er precies is gelekt bij het datalek van Odido. De site geeft praktische adviezen: bijvoorbeeld om je wachtwoorden te veranderen, twee-factor-authenticatie aan te zetten en alert te blijven op phishing-pogingen. Hoewel het geen officiële site is, helpt het getroffen mensen om hun digitale veiligheid weer op orde te krijgen en geeft het overzicht in een onzekere situatie. Kortom, het is een nuttig startpunt voor wie wil weten hoe nu te handelen.


Promoten van een site wordt niet zo gewaardeerd
zeker niet in deze omstandigheden

[ Voor 12% gewijzigd door MasterL op 16-02-2026 09:19 ]

Dxls schreef op maandag 16 februari 2026 @ 09:03:
Voor gedupeerden biedt Link verwijderd heldere uitleg over wat er precies is gelekt bij het datalek van Odido. De site geeft praktische adviezen: bijvoorbeeld om je wachtwoorden te veranderen, twee-factor-authenticatie aan te zetten en alert te blijven op phishing-pogingen. Hoewel het geen officiële site is, helpt het getroffen mensen om hun digitale veiligheid weer op orde te krijgen en geeft het overzicht in een onzekere situatie. Kortom, het is een nuttig startpunt voor wie wil weten hoe nu te handelen.

Dit komt van een account wat al vanaf 2022 bestaat en dit is de allereerste post?
Ik zou mensen vooral adviseren niet naar uit de grond schietende websites te gaan die inspelen op dit datalek, want mensen die hierachter zitten hebben meestal niet het beste met de ander voor ogen maar vooral het beste voor henzelf.
Dus als je dan de laatste informatie wil hebben, haal het dan via de bekende/bestaande kanalen.

[ Voor 1% gewijzigd door MasterL op 16-02-2026 09:20 ]

Dxls schreef op maandag 16 februari 2026 @ 09:03:
Voor gedupeerden biedt Link verwijderd heldere uitleg over wat er precies is gelekt bij het datalek van Odido. De site geeft praktische adviezen: bijvoorbeeld om je wachtwoorden te veranderen, twee-factor-authenticatie aan te zetten en alert te blijven op phishing-pogingen. Hoewel het geen officiële site is, helpt het getroffen mensen om hun digitale veiligheid weer op orde te krijgen en geeft het overzicht in een onzekere situatie. Kortom, het is een nuttig startpunt voor wie wil weten hoe nu te handelen.

Wachtwoorden zijn toch niet gelekt? Waarom zou ik ze dan moeten veranderen?

[ Voor 2% gewijzigd door MasterL op 16-02-2026 09:20 ]

flaskk schreef op maandag 16 februari 2026 @ 09:13:
[...]


Wachtwoorden zijn toch niet gelekt? Waarom zou ik ze dan moeten veranderen?

Dit is inspelen op de paniek en onzekerheid van getroffenen. Ik zou je adviseren niet op de link te klikken die hier gepromoot wordt of ook maar iets op te volgen wat er gepost wordt. Er is een reden dat veel security vendors verse domain namen meteen markeren als verdacht... (edit: mogelijk is de website wel gemaakt met goede intentie, maar je moet het risico gewoon niet nemen).

Dates

Updated: 2026-02-14 19:06:40 UTC
Created: 2026-02-13 12:54:56 UTC

[ Voor 8% gewijzigd door Lord_Dain op 16-02-2026 09:17 ]

Harry720A schreef op zondag 15 februari 2026 @ 22:55:
[...]

Ik heb het anders opgelost na een tip ergens in dit topic. Bij iedere bank kan je een lijst aanmaken met vertrouwde incassos. Vervolgens kan je aangeven dat alleen vertrouwde incassos mogen innen.

Dat betekent dat als iemand jouw gegevens misbruikt om geld van je rekening af te schrijven via een incasso, dit zal mislukken als de incassant niet op de lijst staat.

Harold Finch schreef op zondag 15 februari 2026 @ 21:20:
[...]

Intussen hebben ze op de informatiepagina zelf dit geschreven:

[...]

Enerzijds proberen ze vooral te benadrukken dat een documentnummer niet misbruikt zou kunnen worden. Maar anderzijds schrijven ze hier zelf dat ze het gebruiken als identificatiemethode.

Er staat nergens dat ze puur dat nummer als identificatiemethode gebruiken. Je registreert dat nummer bij aanvraag abo en voordat het abo wordt toegekend zal er dan iets van een verificatie (moeten) zijn dat jij ook daadwerkelijk eigenaar bent van dat ID document. Voorheen was dat vaak via fysiek legitimeren aan de postbode die de simkaart kwam bezorgen, tegenwoordig vaker online methodes.
Het zou in elk geval in theorie niet zo moeten zijn dat puur het weten van iemands ID nummer gebruikt wordt als bewijs dat jij die persoon bent.

Maar de praktijk is soms weerbarstiger en hoe dan ook: hoe meer van dit soort gegevens op straat liggen (gecombineerd uit verschillende lekken) hoe makkelijker het wordt om je voor te doen als iemand. Al dan niet via een net iets te behulpzame helpdesk medewerker.

[ Voor 4% gewijzigd door Orion84 op 16-02-2026 09:39 ]

Lord_Dain schreef op maandag 16 februari 2026 @ 09:12:
[...]


Dit komt van een account wat al vanaf 2022 bestaat en dit is de allereerste post?
Ik zou mensen vooral adviseren niet naar uit de grond schietende websites te gaan die inspelen op dit datalek, want mensen die hierachter zitten hebben meestal niet het beste met de ander voor ogen maar vooral het beste voor henzelf.
Dus als je dan de laatste informatie wil hebben, haal het dan via de bekende/bestaande kanalen.

Ik probeer gedupeerden gewoon te helpen met de informatie die ik zelf heb verzameld en deel ik op die site. Ik verzamel geen gegevens, ik deel alleen informatie over deze lek. Doe er mee wat je wilt, maar jou reactie is nergens op gebaseerd. Er bestaan echt nog mensen die een site opzetten zonder er zelf beter van te worden.

Ik las zojuist hun info pagina die ik over het geheel bekeken eigenlijk netjes op orde vind. Behalve dit:

Ik wil mijn order cancelen, maar ben al voorbij de 14 dagen. Mag dit?
Het datalek op zichzelf is geen reden om je overeenkomst voortijdig op te zeggen.

Als iemand van Odido meeleest; volgens mij is minstens één vervolgzin weggevallen. Dit is echt geen antwoord.

Lord_Dain schreef op maandag 16 februari 2026 @ 10:58:
[...]


Het is een beetje tricky, vraag het AI eens en die geeft het volgende terug;
De koppeling met AVG/Privacy
Organisaties zijn op grond van de AVG verplicht om zorgvuldig met persoonsgegevens om te gaan en dit vaak in een privacyverklaring vast te leggen. Als ze hier fundamenteel tegenin gaan (slecht omgaan met gegevens), kan dit worden gezien als het niet nakomen van een essentiële eigenschap van de dienst.

Je kan het wellicht beter op wanprestatie gooien;
Als de andere partij de privacyverklaring of AVG-regels schendt, is er vaak eerder sprake van een wanprestatie (tekortkoming in de nakoming van de overeenkomst) dan van dwaling. Bij wanprestatie kun je de overeenkomst ontbinden en eventueel schadevergoeding eisen.

Ik zou vooral niet dit soort zaken aan AI voorleggen. Uit het FD van vandaag:

Advocaten hebben dagtaak aan cliënten corrigeren die bij chatbot te rade gaan

jeroenkb schreef op maandag 16 februari 2026 @ 11:05:
[...]

Ik zou vooral niet dit soort zaken aan AI voorleggen. Uit het FD van vandaag:


[...]

AI is prima als hulpmiddel, maar je moet het idd niet blind vertrouwen. Hopelijk is er iemand die hier meeleest met juridische achtergrond die het kan duiden, maar ik denk dat het niet zwart wit is...

dutchnltweaker schreef op zondag 15 februari 2026 @ 20:37:
[...]

Dat er af en toe data lekt, hoe vervelend ook, is helaas bijna denk ik onvermijdelijk geworden.
Maar het lekken van identificerende gegevens (zoals ID-informatie) vind ik wél serieus kwalijk, daar moeten bedrijven echt verantwoordelijkheid voor nemen.
De manier waarop Odido nu richting klanten communiceert, komt eerlijk gezegd niet heel slim over. Het lijkt erop dat ze vooral proberen te voorkomen dat er een precedent ontstaat.
Want als Odido erkent en dat klanten identiteitsdocumenten op hun kosten kunnen vervangen, kan dat betekenen dat zo’n 6 miljoen klanten een claim kunnen indienen.
6 miljoen × €88 (maximale kosten voor een paspoort) = ruim €528 miljoen.
Vanuit dat perspectief is hun terughoudendheid misschien verklaarbaar, maar dat maakt het richting de getroffen klanten niet bepaald netjes en maken ze qua pr niet heel populair.

Na identificatie zou het ID nummer eigenlijk gelijk verwijderd moeten en vervangen worden door een vinkje "Gechecked" met een hash oid.

zx9r_mario schreef op maandag 16 februari 2026 @ 11:26:
[...]


Na identificatie zou het ID nummer eigenlijk gelijk verwijderd moeten en vervangen worden door een vinkje "Gechecked" met een hash oid.

Sowieso hadden die gegevens losgekoppeld moeten worden van het leesbare gedeelte wat evt. noodzakelijk is voor de klantenservice (naam/adres bv).

Ik ben absoluut geen jurist maar heb hier helaas ervaring mee.
Het is belangrijk om niet alles op 1 hoop te gooien wat ik hier heel veel lees, de AVG (of de Autoriteit Persoonsgegevens/AP) gaat ons niet helpen..
Nee.. AP doet eigenlijk niks voor het individu, je kunt een klacht indienen die wordt 99% van de tijd niet opgevolgd.
Nu zullen ze hier natuurlijk serieus mee aan de slag gaan omdat het z'n publiekelijk onderwerp is geworden maar stel je voor ze onderzoeken het lek en ze zeggen Odido jullie zijn fout.. Wat dan? Boete.. Odido betaald de boete en de kous betreft de "autoriteiten" is af.

AP doet geen controles zoals bijvoorbeeld de NVWA doet, geen pentest o.i.d.
Ze reageren slechts op meldingen het is geen proactieve organisatie maar een reactieve.
Nu zijn er natuurlijk "gedupeerden" waarvan hun data is gelekt. Welke rechten hebben deze personen.

Nogmaals ik ben geen jurist maar in de gevallen waar ik bij betrokken ben geweest was dit bitter weinig tenzij er echt "schade" is aangetoond.
Dit waren wel zaken waarbij het om bedrijven ging en geen particulieren wellicht is dit anders. Maar als we de gegevens even gaan ontleden, wat is er gelekt?

Openbare gegevens (zo noem ik ze even):
Je volledige naam
Je klantnummer
Je adres en woonplaats
Je telefoonnummer
Je e-mailadres

Dit is z'n beetje wat je bij elke webshop opgeeft als je een order plaatst.
Je betaalt met Ideal (IBAN), geeft je naam en adres op, telefoonnummer (opioneel)
en een e-mail adres. Er wordt ook vast een klantnummer aangemaakt.

Tevens publiceert de (semi) overheid deze gegevens van alle ondernemers m.u.v. IBAN voor iedereen om in te zien (KVK/UBO).
Deze gegevens kunnen dus geen "waarde" hebben, als Odido op basis van deze gegevens een douw krijgt is de (semi) overheid de volgende.
Evenals bijvoorbeeld SIDN als je een keer een domeintje wil.

Oke nu de minder openbare gegevens:
Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid)
Je IBAN (rekeningnummer)

Dit vind ik persoonlijk meer kwalijk maar dit laat je ook achter
als je een hotel boekt en/of bij een reisorganisatie.. En ohja die hebben ook de
gegevens die ik schaar in de categorie "openbare gegevens". Sterker nog
die hebben vaak een scan van je ID/paspoort.

Mijn mening? Je recht.. Ga je niet krijgen je gaat niet gecompenseerd worden voor je nieuw(e) ID/paspoort. Persoonlijk denk ik dat de schade voor Odido de reputatie is, ben je niet content? Stap dan lekker over maargoed Odido is lekker goedkoop dus veel mensen zullen het wel slikken.
Ik persoonlijk heb mijn abbonnement beëindigd en neem lekker een ander (fiber) abbo.
IMO dit is gebeurd, je "recht" ga je niet krijgen maar we kunnen wel met met z'n allen zorgen dat andere ISP/providers wel 30x nadenken over hun security. Dit is echter alleen als mensen actie ondernemen en dan bedoel ik niet klagen op een forum maar overstappen.

Mods kunnen jullie eens mij kijken waarom ik van deze topic notificaties krijg?
Deze topic volg ik niet alleen de notificatie denkt dat dit de odido glasvezel ervaringen en discussie is.

Sorry weet zo niet waar ik dit anders kan vragen/ te ziek om rond te kijken ook.

Sander

SmasterS schreef op maandag 16 februari 2026 @ 12:42:
Mods kunnen jullie eens mij kijken waarom ik van deze topic notificaties krijg?
Deze topic volg ik niet alleen de notificatie denkt dat dit de odido glasvezel ervaringen en discussie is.

Sorry weet zo niet waar ik dit anders kan vragen/ te ziek om rond te kijken ook.

Sander

Helemaal bovenaan staat linksboven een vinkje denk ik?



Weghalen, klaar!

ernstoud schreef op maandag 16 februari 2026 @ 12:44:
[...]


Helemaal bovenaan staat linksboven een vinkje denk ik?

[Afbeelding]

Weghalen, klaar!

Ja vinkje staat niet aan. Al heb ik die opzettelijk al keer aan en uit gezet. Ik krijg ook notificatie tekst van odido glasvezel forum. Niet van deze.

dutchnltweaker schreef op zondag 15 februari 2026 @ 20:37:
[...]

Als ze de zaken op orde hebben, dan heeft Odido als het goed is zelf ook een IT/security verzekering, is wel interessant hoe die op deze zaak zouden kijken.

mvrtwkrs schreef op maandag 16 februari 2026 @ 13:07:
[...]

Als ze de zaken op orde hebben, dan heeft Odido als het goed is zelf ook een IT/security verzekering, is wel interessant hoe die op deze zaak zouden kijken.

Non-compliance met wetgeving is niet te verzekeren.

Een verzekering zoals je suggereert is voor gevolgschade van een hack voor de polisnummer zelf. Denk aan omzetverlies door uitval van processen e.d.

Ik denk niet dat er een verzekeraar te vinden is die de schade ondervonden door klanten van de polisnemer kan dekken.

SmasterS schreef op maandag 16 februari 2026 @ 12:42:
Mods kunnen jullie eens mij kijken waarom ik van deze topic notificaties krijg?
Deze topic volg ik niet alleen de notificatie denkt dat dit de odido glasvezel ervaringen en discussie is.

Sorry weet zo niet waar ik dit anders kan vragen/ te ziek om rond te kijken ook.

Sander

Als dat genoemde vinkje uitstaat, lijkt me dat eerder een bug. Zou je even een topic aan willen maken in stoute bugs?

MasterL schreef op maandag 16 februari 2026 @ 12:01:
*knip*

Mijn mening? Je recht.. Ga je niet krijgen je gaat niet gecompenseerd worden voor je nieuw(e) ID/paspoort. Persoonlijk denk ik dat de schade voor Odido de reputatie is, ben je niet content? Stap dan lekker over maargoed Odido is lekker goedkoop dus veel mensen zullen het wel slikken.
Ik persoonlijk heb mijn abbonnement beëindigd en neem lekker een ander (fiber) abbo.
IMO dit is gebeurd, je "recht" ga je niet krijgen maar we kunnen wel met met z'n allen zorgen dat andere ISP/providers wel 30x nadenken over hun security. Dit is echter alleen als mensen actie ondernemen en dan bedoel ik niet klagen op een forum maar overstappen.

Dit heb ik dus gedaan, de manier waarop Odido communiceert schoot mij in het verkeerde keelgat, dan maar naar een andere en volgens mij ga ik niet heel veel meer betalen bij die ander, dus zo goedkoop is Odido nou ook weer niet.
Maar in principe had ik nooit echt problemen met de kwaliteit van het internet en mobiel dus waarom overstappen... nou bij deze dus

rens-br schreef op maandag 16 februari 2026 @ 13:19:
[...]

Als dat genoemde vinkje uitstaat, lijkt me dat eerder een bug. Zou je even een topic aan willen maken in stoute bugs?

Zal ik doen!

ernstoud schreef op maandag 16 februari 2026 @ 13:18:
[...]


Non-compliance met wetgeving is niet te verzekeren.

Een verzekering zoals je suggereert is voor gevolgschade van een hack voor de polisnummer zelf. Denk aan omzetverlies door uitval van processen e.d.

Ik denk niet dat er een verzekeraar te vinden is die de schade ondervonden door klanten van de polisnemer kan dekken.

Dan wordt het tijd dat daar verandering in komt. Het is wel heel erg gemakkelijk ons als bedrijf geen enkele verantwoordelijkheid te hoeven nemen voor je klanten na een grootschalig datalek. De consument heeft zoals te doen gebruikelijk het nakijken. Zelfs bij heel forse schade.

SmasterS schreef op maandag 16 februari 2026 @ 12:48:
[...]

Ja vinkje staat niet aan. Al heb ik die opzettelijk al keer aan en uit gezet. Ik krijg ook notificatie tekst van odido glasvezel forum. Niet van deze.

Dat komt denk ik doordat die posts eerst daar stonden en pas later door @rens-br hierheen verplaatst zijn.

Orion84 schreef op maandag 16 februari 2026 @ 14:02:
[...]

Dat komt denk ik doordat die posts eerst daar stonden en pas later door @rens-br hierheen verplaatst zijn.

Idee heb ik ook. Ivm het oudere forum post reacties zijn waar ik de melding van krijg!

Moet je Odido nu eens bellen met een vraag. Ze hebben daar allemaal nieuwe vragen verzonnen zoals "Wat is de naam van je wifi-netwerk" en "Wat is het serienummer van je modem".

@jongetje Ja dat had ik ook vorige week. Moest alle laatst afgeschreven bedragen opnoemen van de 3 abonnementen, het nummer waar ik het meest mee had gebeld en nog veel meer vreemde vragen waar ik echt goed voor moest gaan zoeken. Een klein beetje tegemoetkoming qua een maand of wat niets afschrijven of een lucratief verlengaanbod zat er niet in (niet dat ik dat had verwacht), dus mijn overstap is al gepland en rond.

Een opvallend detail. Odido is na het datalek voorlopig gestopt met ondersteuning via hun community. Ze verwijzen iedereen door naar sociale media of hun telefoonnummer. (Privéberichten is ook uitgezet)

jongetje schreef op maandag 16 februari 2026 @ 14:43:
Moet je Odido nu eens bellen met een vraag. Ze hebben daar allemaal nieuwe vragen verzonnen zoals "Wat is de naam van je wifi-netwerk" en "Wat is het serienummer van je modem".

Hoe gaan ze dat controleren dan? Ik heb een eigen modem en daar direct de glasvezeldraad op aangesloten.

breinonline schreef op maandag 16 februari 2026 @ 14:52:
[...]

Hoe gaan ze dat controleren dan? Ik heb een eigen modem en daar direct de glasvezeldraad op aangesloten.

Dan moet je hun modem eerst aansluiten voordat je ze gaat bellen

Naafkap schreef op maandag 16 februari 2026 @ 13:55:
[...]
Dan wordt het tijd dat daar verandering in komt. Het is wel heel erg gemakkelijk ons als bedrijf geen enkele verantwoordelijkheid te hoeven nemen voor je klanten na een grootschalig datalek. De consument heeft zoals te doen gebruikelijk het nakijken. Zelfs bij heel forse schade.

Aangezien de hoogte van die gevolgschade voor miljoenen klanten niet te bepalen is, zal er geen verzekeraar zijn die een verzekering hiervoor op de markt zal brengen omdat het risico en dus de premie niet te bepalen is.

Dat het wenselijk zou zijn voor de consumenten staat buiten kijf maar alle - niet te bepalen - schade verzekeren of rechtstreeks uitkeren, is onmogelijk.

Kalentum schreef op maandag 16 februari 2026 @ 14:53:
[...]


Dan moet je hun modem eerst aansluiten voordat je ze gaat bellen

ben maar wat blij dat ik ze niet hoef te bellen dan, met die modem zou mn hele netwerk platliggen

king006 schreef op maandag 16 februari 2026 @ 14:51:
Een opvallend detail. Odido is na het datalek voorlopig gestopt met ondersteuning via hun community. Ze verwijzen iedereen door naar sociale media of hun telefoonnummer. (Privéberichten is ook uitgezet)

Kan zijn dat ze nu alle niet-kritieke systemen tegen het licht gaan houden en dat daarom de forum software bevroren is.

Per slot van rekening kan (ik zeg met nadruk niet dat dit zo is of dat ik daar bewijs voor heb) ook van andere systemen de authenticatie gelekt zijn.

Zijn er meer tweakers met een Odido abbo die rond 28 januari zijn gebeld door +31 (0) 900884400? Zie ook deze melding: https://www.wieheeftgebeld.nl/nummer/31900884400

Ik kreeg een soortgelijk telefoontje van hetzelfde nummer. Misschien het een losstaand verhaal, maar 9 dagen voordat officieel de hack plaatsvond vind ik verdacht genoeg.

breinonline schreef op maandag 16 februari 2026 @ 14:52:
[...]

Hoe gaan ze dat controleren dan? Ik heb een eigen modem en daar direct de glasvezeldraad op aangesloten.

Staat het standaard SSID niet op een stickertje onderop de Zyxel? Ik weet niet eens waar dat ding ligt LOL.

ernstoud schreef op maandag 16 februari 2026 @ 15:18:
[...]


Kan zijn dat ze nu alle niet-kritieke systemen tegen het licht gaan houden en dat daarom de forum software bevroren is.

Per slot van rekening kan (ik zeg met nadruk niet dat dit zo is of dat ik daar bewijs voor heb) ook van andere systemen de authenticatie gelekt zijn.

Correct. Ze kunnen tevens geen checks meer uitvoeren om te zien of jij het echt bent

@Jackpot25,
Hier nog niet gebeld.

[ Voor 3% gewijzigd door king006 op 16-02-2026 16:02 ]

ArcticWolf schreef op maandag 16 februari 2026 @ 13:53:
[...]

Dit heb ik dus gedaan, de manier waarop Odido communiceert schoot mij in het verkeerde keelgat, dan maar naar een andere en volgens mij ga ik niet heel veel meer betalen bij die ander, dus zo goedkoop is Odido nou ook weer niet.
Maar in principe had ik nooit echt problemen met de kwaliteit van het internet en mobiel dus waarom overstappen... nou bij deze dus

Eerlijk is eerlijk, ik had toen het nieuwsbericht vers was al veel te mopperen over de communicatie van Odido, maar ik keek nu nog eens op die landingspagina van ze. Er zijn wat vragen toegevoegd en man man man. Als er in Milaan gouden medailles voor afschuiven, wegkijken en de vermoorde onschuld te winnen waren, dan pakte Odido ze allemaal. De rest zou niet eens in de buurt komen.

En dat is eigenlijk wel the 'proof of the pudding'. Hoe gaat een bedrijf om als zoiets gebeurt? Kijk, helemaal voorkomen doe je het nooit en het lek is nu geweest. Dat draaien we niet terug en dat kan bij een ander ook gebeuren. Maar mensen bijna te kakken zetten in een FAQ, lastig taalgebruik en de risico's downplayen dat gaat voor mij echt te ver. Zo doe je het niet als je net persoonsgegevens van meer dan een derde van Nederland hebt gelekt.

Dus ja, je kunt niet zoveel. Je kunt een klacht indienen en die wordt dan weggewuifd (basically zeggen ze dat bij voorbaat al). Je hebt nergens recht op volgens de algemene voorwaarden. Dus opzeggen is de enige manier om te laten zien dat je het er niet mee eens bent. Maar dat moet dan wel kunnen. Voorbeeldje: mijn contracten lopen nog 10 en 12 maanden. Als ik over een jaar overstap, kan dat Odido echt geen klap schelen. En als ik nu ontbind, dan betaal ik 50% over de rest van de looptijd. Best lekker voor een niet-geleverde dienst.

Dit wordt een veel langere reply dan ik vooraf dacht. Maar hoe dan ook: de meeste mensen zitten vast in een lopend contract. Die kunnen weinig doen en dat maakt Odido ze ook wel duidelijk. Dat betekent dan ook dat Odido geen stapje extra hoeft te zetten, misschien een beetje kijken naar de beveiliging en hopen dat de storm gaat liggen.

Lord_Dain schreef op maandag 16 februari 2026 @ 15:37:
[...]

Staat het standaard SSID niet op een stickertje onderop de Zyxel? Ik weet niet eens waar dat ding ligt LOL.

Die van mij ligt in de zolderkast. Even gekeken maar inderdaad staat daar een SSID op en een serienummer.

laurens0619 schreef op zondag 15 februari 2026 @ 21:17:
[...]

Dat is vaak lastig. Over het algemeen zie je de volgende scenarios bij hacks

- iemand heeft toegang gehad tot je systeem maar je hebt geen audit logging wat die heeft opgevraagd. Dan bepaal je tot welke data die aanvaller toegang had en rapporteer je dus dat die mogelijk geraadpleegd is.

- als je wel audit logging hebt, bv saleforce logt welke klantpaginas er geopend worden vanaf een account kan het al gerichter zijn. Je weet echter niet of de data ook daadwerkelijk door de aanvaller is gekopieerd.

Dus je zal bijna altijd mogelijk geraadpleegd lezen maar je moet er gewoon vanuit gaan: ja

Akkoord, maar als het op dat eerste punt is, dan waren ze blijkbaar ook echt nalatig.

En bij het tweede punt hoef je in ieder geval waarschijnlijk geen 6,2 miljoen klanten te informeren. Dan zou het lek ook veel kleiner kunnen blijken te zijn, kan Odido coulanter optreden en hoeven ze minder zorgelijk te zijn over evt. vergoedingen. Mbt dat laatste reageerde ik op @dutchnltweaker .

Dit is nu zo ruim gecommuniceerd dat werkelijk iedere klant, zelfs die van 10 jaar geleden nog, een mail heeft gekregen en die nu pissig zijn (terecht wmb).

Aardwolf schreef op maandag 16 februari 2026 @ 21:03:
[...]

Dit is nu zo ruim gecommuniceerd dat werkelijk iedere klant, zelfs die van 10 jaar geleden nog, een mail heeft gekregen en die nu pissig zijn (terecht wmb).

In ieder geval iedere klant min 1. Heb de mail gehad, ben niet pissig en maak me er niet zo druk over.

Aardwolf schreef op maandag 16 februari 2026 @ 21:03:
[...]

Akkoord, maar als het op dat eerste punt is, dan waren ze blijkbaar ook echt nalatig.

En bij het tweede punt hoef je in ieder geval waarschijnlijk geen 6,2 miljoen klanten te informeren. Dan zou het lek ook veel kleiner kunnen blijken te zijn, kan Odido coulanter optreden en hoeven ze minder zorgelijk te zijn over evt. vergoedingen. Mbt dat laatste reageerde ik op @dutchnltweaker .

Dit is nu zo ruim gecommuniceerd dat werkelijk iedere klant, zelfs die van 10 jaar geleden nog, een mail heeft gekregen en die nu pissig zijn (terecht wmb).

Klopt!
Tenzij de aanvallers echt 6,2 paginas hebben gescraped dan is het wel terecht.

Weet niet of die hier al gedeeld was maar kwam nog artikel tegen van saleforce over dit type aanval

https://status.salesforce.com/generalmessages/20000224

https://www.salesforce.co...3NzExODcyOTYkajYwJGwwJGgw

Krijg sinds vandaag meerdere authenticatie popups op het Hotmail email adres dat Odido gelekt heeft. (Fijn systeem is dat ook van Microsoft, geen wachtwoord nodig om die login pogingen te doen).

En afgelopen weekend fishing sms onder de naam van mijn bank en mijn email box loopt vol met spam, vandaag al 6 stuks.

Fijn is dat.

[ Voor 17% gewijzigd door Rogers op 17-02-2026 11:26 ]

Aardwolf schreef op maandag 16 februari 2026 @ 21:03:
[...]

Dit is nu zo ruim gecommuniceerd dat werkelijk iedere klant, zelfs die van 10 jaar geleden nog, een mail heeft gekregen en die nu pissig zijn (terecht wmb).

Dit vind ik het vreemde. Ik ben ook klant maar ik heb geen mail gehad, ook niet in de spam folder. Wel een smsje. Ik lijk wel de enige.. zijn er nog meer hier die *geen* mail gekregen hebben?

Yucon schreef op dinsdag 17 februari 2026 @ 07:04:
[...]

Dit vind ik het vreemde. Ik ben ook klant maar ik heb geen mail gehad, ook niet in de spam folder. Wel een smsje. Ik lijk wel de enige.. zijn er nog meer hier die *geen* mail gekregen hebben?

Hier ook niets, geen mail en geen sms.

Hier nog iemand zonder mail of sms. Verder ook nog geen phishingpoging gezien, dus op zich kan het kloppen.

https://nos.nl/artikel/26...-termijn-bewaren-gegevens

Telecombedrijf Odido, dat begin deze maand werd getroffen door een datalek, bewaart persoonsgegevens van voormalige klanten langer dan het zelf zegt. Het Financieele Dagblad meldt dat klanten die al vijf of tien jaar geleden zijn overgestapt naar een andere provider, nu mail hebben gekregen dat hun gegevens zijn buitgemaakt. Odido zegt in zijn privacystatement dat gegevens worden bewaard tot maximaal twee jaar na het einde van het contract.

Odido kan tegenover het FD niet zeggen hoeveel oud-klanten bericht hebben gehad. Het bedrijf zegt meer tijd nodig te hebben om uit te zoeken waarom gegevens langer dan twee jaar worden bewaard.

Dit is wel kwalijk en dit is ook wat ik eerder gelezen heb op het odido forum van klanten die langer dan de bewaartermijn geen klant meer zijn.

[ Voor 59% gewijzigd door dutchnltweaker op 17-02-2026 07:56 ]

Toch maar eens in mijn spambox gekeken en krijg nu meuk met Norton die verloopt en iets met mijn cloudopslag moet doen.

Helaas want dit mijn hoofd email adres en tot op heden niet te vinden op "have i been pnwed"

Ook hier nog geen mail/sms. wel op mijn O365 omgeving zo'n 12 verdachte inlogpogingen in de afgelopen 7 dagen uit Amerika of Luxemburg. veel ip-adressen zijn wel IPv6 dus weet niet of die locatiegegevens wel zo betrouwbaar zijn als bij IPv4.

Ik ben door zowel Odido als Ben op de hoogte gesteld las ik net. Knap waardeloos.

Ik mis hierin wel een stukje 'door het slijk gaan'. Als ik dit op mijn werk had laten lekken, had ik vandaag niet meer hoeven komen.

Wat ik me afvraag, is dit niet contractbreuk van hun kant?

dutchnltweaker schreef op dinsdag 17 februari 2026 @ 07:53:
https://nos.nl/artikel/26...-termijn-bewaren-gegevens

[...]


Dit is wel kwalijk en dit is ook wat ik eerder gelezen heb op het odido forum van klanten die langer dan de bewaartermijn geen klant meer zijn.

Kan niet wachten op de volgende hautaine toevoeging aan de FAQ.

Iemand anders deze gehad vanochtend?

Volgens het NOS artikel zijn ook gegevens van Simpel gelekt.
https://nos.nl/artikel/26...-termijn-bewaren-gegevens

Odido ontstond in 2023 na een fusie van T-Mobile Nederland en Tele2 Mobiel. Onder het bedrijf vallen ook de providers Ben en Simpel. Ook van klanten van die merken zijn gegevens gelekt.

eagle00789 schreef op dinsdag 17 februari 2026 @ 07:55:
Ook hier nog geen mail/sms. wel op mijn O365 omgeving zo'n 12 verdachte inlogpogingen in de afgelopen 7 dagen uit Amerika of Luxemburg. veel ip-adressen zijn wel IPv6 dus weet niet of die locatiegegevens wel zo betrouwbaar zijn als bij IPv4.

Jawel hoor. Een prefix is gewoon onderdeel van een blok van een LIR en uiteindelijk is bijna altijd een complete /48 of /56 uitgegeven naar jou.

Bartjeuhz schreef op dinsdag 17 februari 2026 @ 08:24:
Iemand anders deze gehad vanochtend?
[Afbeelding]

Dat krijg ik alleen op mijn telefoon binnen wanneer ik wil aanloggen op mijn pc op de odido omgeving. Als jij dat niet aan het doen was probeerde misschien iemand anders namens jou aan te loggen. Die heeft dan waarschijnlijk wel jouw email adres en wachtwoord voor jouw odido omgeving. Maar niet jouw telefoon.
Dan zou ik het wachtwoord wijzigen. Dat heb ik al gedaan naar aanleiding van de hack. Alleen kort klant geweest bij de introductie van Klik & Klaar. Wel nog simpel klant.

W1ck1e schreef op dinsdag 17 februari 2026 @ 08:33:
[...]

Dat krijg ik alleen op mijn telefoon binnen wanneer ik wil aanloggen op mijn pc op de odido omgeving. Als jij dat niet aan het doen was probeerde misschien iemand anders namens jou aan te loggen. Die heeft dan waarschijnlijk wel jouw email adres en wachtwoord voor jouw odido omgeving. Maar niet jouw telefoon.
Dan zou ik het wachtwoord wijzigen. Dat heb ik al gedaan naar aanleiding van de hack. Alleen kort klant geweest bij de introductie van Klik & Klaar. Wel nog simpel klant.

Meteen maar even gedaan ja! Krijg hem zelf idd ook alleen bij inloggen via web

resume;
- Op 17 oktober 2025 heeft de Rijksinspectie Digitale Infrastructuur (RDI) een boete van ruim 1,5 miljoen euro opgelegd aan Odido. De reden voor deze boete is dat het aftapsysteem van de provider op meerdere punten niet voldeed aan de wettelijke beveiligingseisen.

- in het weekend van 7 en 8 februari dit jaar dus de mega hack

- Odido, dat begin deze maand werd getroffen door een datalek, bewaart persoonsgegevens van voormalige klanten langer dan het zelf zegt.

Nee, bij Odido heeft veiligheid precies 0 prioriteit blijkt nu uit de praktijk, ook al zegt de gelike afdeling PR in diverse Nederlandse media anders afgelopen week.
Ze schuiven het mooi af op medewerkers van een call centre. Dit terwijl gewoon het bedrijf zelf 0,0 op heeft met veiligheid.

Wat een enorme clusterf*ck. En de klant kan het slechts aanschouwen of (indien mogelijk) gauw wegwezen bij deze club.

[ Voor 7% gewijzigd door _Bailey_ op 17-02-2026 08:47 ]

Not_Disclosed schreef op dinsdag 17 februari 2026 @ 08:25:
Volgens het NOS artikel zijn ook gegevens van Simpel gelekt.
https://nos.nl/artikel/26...-termijn-bewaren-gegevens

[...]

O das mooi ruk, ik dacht er redelijk vanaf te komen met alleen n.a.w gegevens en email maar nu dus ook simpel. Die hebben identiteitsbewijs gegevens van ons.

Not_Disclosed schreef op dinsdag 17 februari 2026 @ 08:25:
Volgens het NOS artikel zijn ook gegevens van Simpel gelekt.
https://nos.nl/artikel/26...-termijn-bewaren-gegevens

[...]

Lezen is ook een vak (quote uit het artikel):

Odido ontstond in 2023 na een fusie van T-Mobile Nederland en Tele2 Mobiel. Onder het bedrijf vallen ook de providers Ben en Simpel. Ook van klanten van Ben zijn gegevens gelekt.

Ja Simpel is ook onderdeel van Odido, maar van Ben zijn de klantgegevens gelekt.

Not_Disclosed schreef op dinsdag 17 februari 2026 @ 08:25:
Volgens het NOS artikel zijn ook gegevens van Simpel gelekt.
https://nos.nl/artikel/26...-termijn-bewaren-gegevens

[...]

Simpel ontkent dit: https://community.simpel....95?postid=16249#post16249. Ze zijn na de overname volgens mij ook redelijk onafhankelijk gebleven en hebben binnen Odido een andere status dan Ben.