Odido waarschuwt voor datalek (cyberaanval/hack)

ernstoud schreef op dinsdag 17 februari 2026 @ 19:01:
[...]
Ook weet je niet of Odido wel/niet alle klanten bericht.

Dat weten we wel, Odido licht niet all klanten in.
Hier staat dat ze betrokken personen inlichten. Dat is iets anders dan alle klanten.
Ook ben ik klant en heb geen enkel bericht gehad.
Dus dat is wel duidelijk.

Het probleem met deze wijze van communiceren is dat een klant niet weet waarom deze geen mail krijgt. Misschien is de klant niet getroffen, of misschien maakt Odido een fout bij het inlichten of, erger nog, weten ze het zelf ook niet en informeren ze alleen die mensen waarvoor ze hard bewijs hebben.

Duidelijk communiceren betekent dat je al je klanten meldt wat je weet en wat je niet weet. Een mailtje "uw gegevens zijn niet gelekt" hoort daarbij.
En als je het niet weet, zeg dat dan.

Arjantje72 schreef op woensdag 18 februari 2026 @ 10:54:
[...]
Dat zegt niks.
"voor zover wij weten" en welke deskundigen bedoelen ze?

Je vroeg om een bron die dat beweren, die gaf ik je, voor de rest mag je het zelf uitzoeken goed?

Volgens mij had ik geen klant account aangemaakt voor Odido klik & klaar.
Kan geen enkele email vinden voor de verificatie die je normaal gesproken hebt voor het aanmaken van een account.

Zou ik veiliger zijn met de gelekte gegevens, ondanks de beruchte email?

Arjantje72 schreef op woensdag 18 februari 2026 @ 10:09:
[...]

Heb je ook een bron voor je beweringen?

Ik monitor diverse hacker kanalen en heb in het white hat wereldje wel contacten. Daar is niets bekend over de dataset.

Deze twee white hats monitor ik o.a. (en anderen):



Hier post hij (zij?) over de recente data van Eurail die wel openbaar gepost is.



Gezien de wereldwijde aandacht voor de hack bij Odido ben ik vrij zeker dat er snel berichten komen als de dataset ergens opduikt.

Yucon schreef op dinsdag 17 februari 2026 @ 07:04:
[...]

Dit vind ik het vreemde. Ik ben ook klant maar ik heb geen mail gehad, ook niet in de spam folder. Wel een smsje. Ik lijk wel de enige.. zijn er nog meer hier die *geen* mail gekregen hebben?

Ok ik was misschien wat te rigoureus in die bewoording, maar toch wel veel mensen. Er zullen vast ook wat mensen geluk hebben, dat heb ik inmiddels ook al paar keer op de FP gelezen van mensen die nog niets hebben gehoord.

Zelf wel emails gehad, maar verder geen toegenomen spam of phishing. Niet dat ik dat nu teleurstellend vind, helemaal prima. Ik heb wel in aanloop tientallen gespoofde Ben emails gehad, maar dat was in december-januari. Ik weet niet of dat met dit lek te maken kan hebben gehad of dat het toeval is geweest.

Edit: ik zit nog even de laatste pagina's terug te lezen, als ik dat van wachtwoord herstel lees in november 2025 bij meerdere leden hier, dan zou het relateren van de phishing mails van een gespoofd Ben adres nog niet eens vergezocht zijn.

[ Voor 13% gewijzigd door Aardwolf op 18-02-2026 15:33 ]

Joosie200 schreef op vrijdag 13 februari 2026 @ 19:01:
[...]


Dit. Maargoed uit eigen ervaring weet ik dat ze daarna een email sturen, desnoods per post en nog een voicemail inspreken. Dus op zich alle onbekende nummers negeren is wel een goede manier om scammers te blokkeren.


[...]


Natuurlijk had dit ook KPN, Vodafone kunnen overkomen als zij van salesforce gebruik maken. Maar ik vind het te makkelijk om als klant dan maar te blijven waar je zit. Je kan je ongenoegen maar op een merkbare manier tonen aan een bedrijf: door hun geen winst meer te geven over hun dienstverlening of afgenomen producten. Aka stemmen met de portemonnee.

Odido is zelfs nog zo snel met hun klanttevredenheidsonderzoeken dit incident op te nemen als een van de redenen van vertrek btw.

[Afbeelding]

Dan weten ze met welke reclame ze klanten terug kunnen werven.

Ik vond deze reclame vrij pijnlijk:

Vodafone Business: Van cyberincident naar controle. Zo blijf je als bedrijf draaien.

Zojuist voor het eerst tegengekomen.

Vodafone Business adverteert al veel langer met cyber security diensten, dus dat hoeft geen campagne te zijn die slim inspeelt op de malaise bij de concurrentie.

Zinloos1 schreef op vrijdag 13 februari 2026 @ 09:57:
[...]


Bedoelde inderdaad voor het abonnement. Voor Ben krijg je blijkbaar alleen maar "een samenvatting van je contract" op de mail, daar staat de type identificatie niet in...

Weet iemand misschien hoe je als ex-Ben klant kunt achterhalen welk documentnummer je destijds opgegeven hebt? Kan dat alleen via een AVG verzoek?

Ik ben zo stom geweest om begin vorig jaar voor twee maanden een Ben sim-only te nemen, maar Ben snel weer vertrokken door de abominabele belkwaliteit/interconnects naar de netwerken van KPN en Vodafone.

Gelukkig heb ik toen een nieuw 06 nummer aangevraagd en een IBAN nummer gebruikt dat ik alleen voor 'hobby' dingen gebruik, dus dat is wellicht nog een geluk bij een ongeluk 😂 Maar ik kan dus geen AVG verzoek doen zonder in te loggen, maar daarvoor gaat er weer een SMS'je naar het inmiddels niet meer bestaande nieuwe nummer dat ik aangevraagd had...

[ Voor 9% gewijzigd door Sirhc_95 op 18-02-2026 15:07 ]

ernstoud schreef op dinsdag 17 februari 2026 @ 19:01:
[...]


Allemaal aannames. Er is geen bericht geweest waar dan ook dat de gegevens actief misbruikt worden/zijn. Niet via normale kanalen en ook niet in de kanalen waar hackers zich ophouden. De dataset wordt nog nergens aangeboden.

Ook weet je niet of Odido wel/niet alle klanten bericht.

Hoe verklaar je dan dat verschillende klanten 2FA meldingen voor onbekende inlogpogingen, hier op het forum en elders op het interwebs?

Sirhc_95 schreef op woensdag 18 februari 2026 @ 15:01:
[...]
Weet iemand misschien hoe je als ex-Ben klant kunt achterhalen welk documentnummer je destijds opgegeven hebt? Kan dat alleen via een AVG verzoek?

Even je oude contract opzoeken (al dan neit in je mailbox). Ik neem aan dat het daar op vermeld staat.

Sirhc_95 schreef op woensdag 18 februari 2026 @ 15:01:
[...]
Maar ik kan dus geen AVG verzoek doen zonder in te loggen,

AVG verzoek is een wettelijk iets en vormvrij dus dat moet ook zonder in te loggen (barriere) kunnen. Als ze niet op email of brief reageren zou ik rechtstreeks melding maken bij de FG en/of bij de AP.

SebasFM schreef op woensdag 18 februari 2026 @ 15:24:
[...]

Even je oude contract opzoeken (al dan neit in je mailbox). Ik neem aan dat het daar op vermeld staat.

Dank voor je reactie! Als Ben klant kreeg je per mail helaas alleen een contractsamenvatting waar dit precies niet op vermeld staat. Morgen maar eens poging doen ze te bellen.

DjoeC schreef op woensdag 18 februari 2026 @ 15:26:
[...]

AVG verzoek is een wettelijk iets en vormvrij dus dat moet ook zonder in te loggen (barriere) kunnen. Als ze niet op email of brief reageren zou ik rechtstreeks melding maken bij de FG en/of bij de AP.

Alleen moet je je wel legitimeren, dat betekent vaak je ID toesturen en of je dat nou zou willen doen

Herman schreef op woensdag 18 februari 2026 @ 15:15:
[...]

Hoe verklaar je dan dat verschillende klanten 2FA meldingen voor onbekende inlogpogingen, hier op het forum en elders op het interwebs?

Ik verklaar niets. Er zijn namelijk alleen aannames maar geen bewezen feiten. Niemand kan bewijzen of een phishing poging door welk lek dan ook komt.

Toeval bestaat. En hysterie ook. Je weet wel… iemand signaleert een drone. Iedereen ziet drones.

Ik krijg dagelijks al jaren allerlei phishing e-mails, sms’jes, of duistere pogingen tot telefoon contact. Komt dat nu opeens omdat van mijn 3 Odido abonnementen de gegevens gelekt zijn? Of komt het omdat ik sinds 1994 internet heb?

ernstoud schreef op woensdag 18 februari 2026 @ 15:49:
[...]


Ik verklaar niets. Er zijn namelijk alleen aannames maar geen bewezen feiten. Niemand kan bewijzen of een phishing poging door welk lek dan ook komt.

Toeval bestaat. En hysterie ook. Je weet wel… iemand signaleert een drone. Iedereen ziet drones.

Ik krijg dagelijks al jaren allerlei phishing e-mails, sms’jes, of duistere pogingen tot telefoon contact. Komt dat nu opeens omdat van mijn 3 Odido abonnementen de gegevens gelekt zijn? Of komt het omdat ik sinds 1994 internet heb?

Het feit is echter ook dat wij niet weten of de berichten vanuit Odido kloppen. De e-mails die mensen ontvangen kloppen lang niet altijd, gegevens zijn langer bewaard dan nodig/aangegeven, etc.
En daarbij vind ik het erg vreemd dat meerdere mensen precies na de hack dat soort vreemde inlog pogingen ontvangen. Bij mij dus ook met een uniek wachtwoord. Nu kun je zeggen dat er geen bewezen feiten zijn. Maar mijn feit is dat dit wachtwoord nergens anders bekend is dan bij Odido. Dat is geen toeval of hysterie, dat is mijn waarneming van de feiten die nu op tafel liggen.

Crusher77 schreef op woensdag 18 februari 2026 @ 16:18:
[...]
Het feit is echter ook dat wij niet weten of de berichten vanuit Odido kloppen. De e-mails die mensen ontvangen kloppen lang niet altijd, gegevens zijn langer bewaard dan nodig/aangegeven, etc.

Correct, en daarom zijn er geen zekerheden. Alleen aannames.

En daarbij vind ik het erg vreemd dat meerdere mensen precies na de hack dat soort vreemde inlog pogingen ontvangen.

Toeval bestaat.

Bij mij dus ook met een uniek wachtwoord. Nu kun je zeggen dat er geen bewezen feiten zijn. Maar mijn feit is dat dit wachtwoord nergens anders bekend is dan bij Odido. Dat is geen toeval of hysterie, dat is mijn waarneming van de feiten die nu op tafel liggen.

Als je nou eens in één post helder en met schermafbeeldingen, tijdlijnen e.d., je ervaring neerzet dan hebben we wellicht inderdaad dan nu een feit. Ik heb je posts over de laatste vier pagina’s en de reacties daarop geprobeerd te begrijpen maar kan er niet uit opmaken wat er nu gebeurde.

En als je 100% zekerheid hebt dat ook wachtwoorden gelekt zijn, dan weet ik zeker dat Tweakers er op de frontpage graag aandacht aan geeft!

Dus…

ernstoud schreef op woensdag 18 februari 2026 @ 16:34:
[...]


Correct, en daarom zijn er geen zekerheden. Alleen aannames.


[...]


Toeval bestaat.


[...]


Als je nou eens in één post helder en met schermafbeeldingen, tijdlijnen e.d., je ervaring neerzet dan hebben we wellicht inderdaad dan nu een feit. Ik heb je posts over de laatste vier pagina’s en de reacties daarop geprobeerd te begrijpen maar kan er niet uit opmaken wat er nu gebeurde.

En als je 100% zekerheid hebt dat ook wachtwoorden gelekt zijn, dan weet ik zeker dat Tweakers er op de frontpage graag aandacht aan geeft!

Dus…

Niemand van ons kan dat met zekerheid zeggen. Alleen Odido kan dat en die zijn blijkbaar niet betrouwbaar.
Ik heb al meerdere keren gezegd dat ik een uniek wachtwoord gebruik via een password manager. Dat de gegevens gelekt zijn en ik enkele dagen erna, samen met andere Tweakers, een SMS krijg voor inlogverificatie. Dit zijn de feiten en die geven aan dat dat dit wachtwoord gelekt is, omdat je pas een SMS-verificatie kunt krijgen nadat je een username/email en wachtwoord hebt ingevoerd.
Ik vind het prima dat je Odido probeert te verdedigen, maar als je deze feiten gewoon even in je opneemt dan weet iedereen dat er iets niet klopt.
Dit is geen toeval, want dit kan niet gebeuren zonder dat er wat gelekt is. Dus het principe van aannames mag je nu laten varen, dit zijn gewoon feiten.

Crusher77 schreef op woensdag 18 februari 2026 @ 16:40:
[...]
Ik heb al meerdere keren gezegd dat ik een uniek wachtwoord gebruik via een password manager. Dat de gegevens gelekt zijn en ik enkele dagen erna, samen met andere Tweakers, een SMS krijg voor inlogverificatie. Dit zijn de feiten en die geven aan dat dat dit wachtwoord gelekt is, omdat je pas een SMS-verificatie kunt krijgen nadat je een username/email en wachtwoord hebt ingevoerd.

En dat unieke wachtwoord is 100% zeker nergens ooit gelekt? Nergens anders gebruikt? Op sites als https://haveibeenpwned.com/ geverifieerd? Geen password manager met de data in de cloud gebruikt (want bijvoorbeeld 1Password is ook al eens gehackt).

Ben je helemaal zeker? In dat geval heb je een case en zou ik zeker als ik jou was contact opnemen met de Tweakers redactie.

Ik vind het prima dat je Odido probeert te verdedigen, maar als je deze feiten gewoon even in je opneemt dan weet iedereen dat er iets niet klopt.

Ik verdedig niets. Niet op de man gaan spelen a.u.b.

Crusher77 schreef op woensdag 18 februari 2026 @ 16:40:
[...]


Niemand van ons kan dat met zekerheid zeggen. Alleen Odido kan dat en die zijn blijkbaar niet betrouwbaar.
Ik heb al meerdere keren gezegd dat ik een uniek wachtwoord gebruik via een password manager. Dat de gegevens gelekt zijn en ik enkele dagen erna, samen met andere Tweakers, een SMS krijg voor inlogverificatie. Dit zijn de feiten en die geven aan dat dat dit wachtwoord gelekt is, omdat je pas een SMS-verificatie kunt krijgen nadat je een username/email en wachtwoord hebt ingevoerd.
Ik vind het prima dat je Odido probeert te verdedigen, maar als je deze feiten gewoon even in je opneemt dan weet iedereen dat er iets niet klopt.
Dit is geen toeval, want dit kan niet gebeuren zonder dat er wat gelekt is. Dus het principe van aannames mag je nu laten varen, dit zijn gewoon feiten.

Maar kwam die SMS ook 100% zeker van Odido? Ik kan bij mijn VOIP provider een sms sturen vanaf mijn vaste nummer terwijl ik daar als afzender mijn inlognaam aan koppel (je ziet dan alleen die custom afzender). Het moet vast mogelijk zijn om via een of andere shady dienst jou een SMS te sturen met een custom naam als afzender (Odido), waardoor jij nu in paniek raakt. Omdat ze gewoon wat klanten uit hun gejatte database sms-jes aan het sturen zijn.

Ook geen feit, maar een mogelijkheid.

Master FX schreef op woensdag 18 februari 2026 @ 17:11:
[...]

Maar kwam die SMS ook 100% zeker van Odido?

Goed punt. SMS spoofing is wijdverbreid.

Ik kan bij mijn VOIP provider een sms sturen vanaf mijn vaste nummer terwijl ik daar als afzender mijn inlognaam aan koppel (je ziet dan alleen die custom afzender). Het moet vast mogelijk zijn om via een of andere shady dienst jou een SMS te sturen met een custom naam als afzender (Odido), waardoor jij nu in paniek raakt.

Kan zelfs helemaal gratis via veel nogal shady diensten, zoals deze:

http://www.sendanonymoussms.com/ (Edit; lijkt niet te werken)

https://www.mijnsms.nl/ (Doet het wel, afzender mag je zelf kiezen, dus Odido als afzender kan gewoon.)

Dus… hoe hard kun je e.e.a. in de digitale wereld onderbouwen? In mijn werk met digital forensics vaak stukgelopen.

[ Voor 8% gewijzigd door ernstoud op 18-02-2026 17:50 ]

Geen feiten maar het is ook geen toeval dat meerdere mensen, die allemaal klant van odido zijn (geweest), de laatste weken berichten ontvangen die verdacht zijn.
Ik heb nooit eerder vreemde telefoontjes gehad van niet bestaande nummers, die overeenkomen met wat ik heb gelezen over phishing activiteiten. En nu in de afgelopen week 3 kort achter elkaar. Dat kan geen toeval zijn.

JukeboxBill schreef op woensdag 18 februari 2026 @ 17:33:
Geen feiten maar het is ook geen toeval dat meerdere mensen, die allemaal klant van odido zijn (geweest), de laatste weken berichten ontvangen die verdacht zijn.

Geen feit maar ook geen toeval? Uh, wat is het dan?

Ik heb nooit eerder vreemde telefoontjes gehad van niet bestaande nummers, die overeenkomen met wat ik heb gelezen over phishing activiteiten. En nu in de afgelopen week 3 kort achter elkaar. Dat kan geen toeval zijn.

Toeval is logisch. - Johan Cruijff.

Not_Disclosed schreef op dinsdag 17 februari 2026 @ 08:25:
Volgens het NOS artikel zijn ook gegevens van Simpel gelekt.
https://nos.nl/artikel/26...-termijn-bewaren-gegevens

[...]

Dat staat er niet. Er staat alleen dat Simpel een merk van Odido is. In een ander bericht stond al dat klant van Simpel niet geraakt zijn: https://nos.nl/artikel/26...-in-handen-van-criminelen

ernstoud schreef op woensdag 18 februari 2026 @ 13:25:
[...]


Ik monitor diverse hacker kanalen en heb in het white hat wereldje wel contacten. Daar is niets bekend over de dataset.

Deze twee white hats monitor ik o.a. (en anderen):

[Afbeelding]

Hier post hij (zij?) over de recente data van Eurail die wel openbaar gepost is.

[Afbeelding]

Gezien de wereldwijde aandacht voor de hack bij Odido ben ik vrij zeker dat er snel berichten komen als de dataset ergens opduikt.

Bedankt voor de verduidelijking

Ik wilde deze toch even delen ; mogelijke relevantie, maar ik kreeg deze zojuist in de mailbox, gezien ik mijn moeder overzet van Odido naar KPN, kreeg ik in de mail van Odido een "waarom ga je weg" onderzoeklink.

Vorkie schreef op woensdag 18 februari 2026 @ 19:52:
Ik wilde deze toch even delen ;

Dergelijke informatie moeten ze bij altijd kopen.
Sinterklaas is allang voorbij.

In hoeverre is een bedrijf verplicht losgeld te betalen?

Mochten de hackers bijvoorbeeld eisen dat Odido betaald voor het niet verkopen van de data, is Odido dan verplicht te betalen (mits ze dit financieel kunnen)? Of mogen ze er dan voor kiezen dat winst belangrijker is dan de persoonsgegevens van hun klanten?

Bestseller schreef op vrijdag 20 februari 2026 @ 06:21:
In hoeverre is een bedrijf verplicht losgeld te betalen?

Mochten de hackers bijvoorbeeld eisen dat Odido betaald voor het niet verkopen van de data, is Odido dan verplicht te betalen (mits ze dit financieel kunnen)? Of mogen ze er dan voor kiezen dat winst belangrijker is dan de persoonsgegevens van hun klanten?

Ik zou het op prijs stellen dat je in je post duidelijker zet dat het een fictief scenario betreft. Nu doe je overkomen alsof er losgeld is geëist.

Bestseller schreef op vrijdag 20 februari 2026 @ 06:21:
In hoeverre is een bedrijf verplicht losgeld te betalen?

Niet natuurlijk. Het zou een bijzondere wereld worden als misdaad wettelijk beloond wordt.

Bestseller schreef op vrijdag 20 februari 2026 @ 06:21:
In hoeverre is een bedrijf verplicht losgeld te betalen?

Mochten de hackers bijvoorbeeld eisen dat Odido betaald voor het niet verkopen van de data, is Odido dan verplicht te betalen (mits ze dit financieel kunnen)? Of mogen ze er dan voor kiezen dat winst belangrijker is dan de persoonsgegevens van hun klanten?

Niet. Sterker nog in sommige delen van de wereld is het terecht verboden om losgeld te betalen. Ook in Nederland zou je kunnen beargumenteren dat het illegaal is omdat het een soort van heling/chantage is maar ik geloof dat nog nooit voor een rechtbank is verschenen.

Ik zou het fijn vinden als er EU breed wordt afgesproken dat het betalen van losgeld illegaal is. Ja het is balen maar door te betalen beloon je enkel de criminelen. Als er geen losgeld betaald mag worden valt er in ieder geval één mogelijke inkomstenbron weg voor de criminelen.

Schijnbaar heeft Tweakers ook weer iets gezegd? Wie is dat dan?

Het feit dat er persoonsgegevens zijn gestolen, betekent niet automatisch dat klanten recht hebben op compensatie, legt techplatform Tweakers uit. Om in aanmerking te komen, moet aantoonbare materiële of immateriële schade zijn geleden door het datalek.

https://www.nu.nl/economi...gt-50-euro-per-claim.html

@Vorkie
Tweakers - Hoe kansrijk is een schadeclaim

Vorkie schreef op vrijdag 20 februari 2026 @ 09:04:
Schijnbaar heeft Tweakers ook weer iets gezegd? Wie is dat dan?
[...]
https://www.nu.nl/economi...gt-50-euro-per-claim.html

Nu.nl verwijst naar dit artikel review: Hoe kansrijk is een schadeclaim na het datalek bij Odido? zonder een duidelijke link.

Wel weer triest dat boefjes nu misbruik proberen te maken van deze hack door slachtoffers te ‘helpen’ met een schadeclaim, maar waarschijnlijk alleen hun eigen zakken vullen. Trap er niet in!

excuses, was al gedeeld. Nu, koffie

[ Voor 93% gewijzigd door _Bailey_ op 20-02-2026 09:28 ]

Caayn schreef op vrijdag 20 februari 2026 @ 07:59:
[...]
Niet. Sterker nog in sommige delen van de wereld is het terecht verboden om losgeld te betalen. Ook in Nederland zou je kunnen beargumenteren dat het illegaal is omdat het een soort van heling/chantage is maar ik geloof dat nog nooit voor een rechtbank is verschenen.

Ik zou het fijn vinden als er EU breed wordt afgesproken dat het betalen van losgeld illegaal is. Ja het is balen maar door te betalen beloon je enkel de criminelen. Als er geen losgeld betaald mag worden valt er in ieder geval één mogelijke inkomstenbron weg voor de criminelen.

Sterker nog: In Nederland heb je zelfs Cyberverzekeringen waarbij je als bedrijf verzekerd bent voor losgeldbetalingen bij een breach/lek.
Ik las een artikel op NCSC met een interessante bevinding:

Het hebben van een cyberverzekering is een bepalende factor voor het betalen van losgeld. Bedrijven die verzekerd zijn tegen cyberincidenten, blijken gemiddeld 2,8 keer meer losgeld te betalen. Dit suggereert dat cyberverzekeringen door criminelen worden ingecalculeerd bij de losgeldeisen

En zo hou je het verdienmodel in stand...

Je moet wel bepaalde voorwaarden voldoen voordat de verzekering zal uitkeren, en ik denk dat een datalek niet verzekerd is, maar bijvoorbeeld ransomware waar een bedrijf plat ligt wel.

Zoals eerder al werd opgemerkt denk ik ook dat het beter is als er afgesproken wordt om juist GEEN losgeld te betalen en op die manier het hele verdienmodel onderuit te halen.
Hopelijk gaat de EU met wetgeving komen, zodat het niet meer interessant is om databases van Europeanen te hacken in de hoop op losgeld.

NicoHF schreef op vrijdag 20 februari 2026 @ 11:29:
Zoals eerder al werd opgemerkt denk ik ook dat het beter is als er afgesproken wordt om juist GEEN losgeld te betalen en op die manier het hele verdienmodel onderuit te halen.
Hopelijk gaat de EU met wetgeving komen, zodat het niet meer interessant is om databases van Europeanen te hacken in de hoop op losgeld.

Helemaal mee eens. Maar ook zonder losgeld blijft persoonsinformatie, zoals in de gelekte ODIDO-batch, veel geld waard.

Wootism schreef op vrijdag 20 februari 2026 @ 11:43:
[...]

Helemaal mee eens. Maar ook zonder losgeld blijft persoonsinformatie, zoals in de gelekte ODIDO-batch, veel geld waard.

Dat klopt. Maar ik denk dat het dan in ieder geval hopelijk minder aantrekkelijk gemaakt gaat worden.

Het beste is natuurlijk dat bedrijven nou eens een keer stoppen met al het data verzamelen en vooral het bewaren van al die gegevens tot in de eeuwigheid.

Crypto app Blox waarschuwt nu ook voor de hack bij Odido. Dat ze nooit bellen/mailen/bellen/smsén met de vraag over wachtwoorden of crypto overmaken e.d.

NicoHF schreef op vrijdag 20 februari 2026 @ 12:41:
[...]

Dat klopt. Maar ik denk dat het dan in ieder geval hopelijk minder aantrekkelijk gemaakt gaat worden.

Ik denk dat de aantrekkelijkheid van een data-set niet afhangt van wetgeving rondom losgeld. Want ik kan mij niet voorstellen dat er iemand ooit ook maar één cent heeft overgemaakt naar een losgeld-vrager om "garantie te kopen dat de set niet gebruikt/verkocht wordt". Ten minste, dat hóóp ik, want dan moet je als bedrijf toch wel echt een bord voor je kop hebben.

Valorian schreef op vrijdag 20 februari 2026 @ 12:46:
[...]


Ik denk dat de aantrekkelijkheid van een data-set niet afhangt van wetgeving rondom losgeld. Want ik kan mij niet voorstellen dat er iemand ooit ook maar één cent heeft overgemaakt naar een losgeld-vrager om "garantie te kopen dat de set niet gebruikt/verkocht wordt". Ten minste, dat hóóp ik, want dan moet je als bedrijf toch wel echt een bord voor je kop hebben.

Toch gebeurd dat regelmatig, volgens mij is de recente deze:
nieuws: Hackers laboratorium in Rijswijk beloven gestolen medische data te ve...

Kan toeval zijn en dat deze organisatie dit al jaren doet als je 3 jaar niet bent ingelogd, maar anders zijn wellicht andere Nederlandse organisaties wel wakker geworden door deze hack wat betreft de gegevens die ze opslaan (Silver linings, I guess.)

Heb wel veel meer spam sinds het data lek van Odido

mark777 schreef op vrijdag 20 februari 2026 @ 16:13:
Heb wel veel meer spam sinds het data lek van Odido

Jup hier ook, kan haast geen toeval zijn.

Intercity schreef op vrijdag 20 februari 2026 @ 16:09:
Kan toeval zijn en dat deze organisatie dit al jaren doet als je 3 jaar niet bent ingelogd, maar anders zijn wellicht andere Nederlandse organisaties wel wakker geworden door deze hack wat betreft de gegevens die ze opslaan (Silver linings, I guess.)

[Afbeelding]

Kloppen de links en de username?

OV Chipkaart verwijdert wel inactieve accounts

Nou dat wordt binnenlopen....

Master FX schreef op vrijdag 20 februari 2026 @ 16:42:
Nou dat wordt binnenlopen....
[Afbeelding]

Ahum…



Jij gelooft ook alles… je bent voer voor phishing dus.

mark777 schreef op vrijdag 20 februari 2026 @ 16:13:
Heb wel veel meer spam sinds het data lek van Odido

Ik minder. Serieus. En veel minder ook. Ik heb welgeteld één spammailtje gehad sinds het lek, terwijl ik normaliter het getal bij mijn spamfolder dagelijks zie wijzigen.

ernstoud schreef op vrijdag 20 februari 2026 @ 17:32:
[...]


Want? Toeval is logisch zei Cruijf.

Al jaren, meerdere keren per dag, tientallen:

[Afbeelding]

Maar dan staat je email adres ook in "have i been pnwed"?

Haha, same here, ik gebruik een spam adres voor mijn Odido account en heb ook de laatste 5 dagen precies 0 spam berichten gehad in die mailbox

Dus we moeten de hackers nu dankbaar zijn omdat ze ons beter tegen spam beschermen dan Odido?

Ik zag spontaan ineens gekke emails voorbij komen en toen kwam ik er dus achter dat ik ook die mail gehad met odido informeerd je over een cyberaanval waarin staat dat ik mogelijk ben aangevallen met een lijstje wat dan mogelijk getroffen zouden kunnen zijn. Ik las ook dat als je een mail of sms hebt ontvangen ben je dus waarschijnlijk getroffen, er zijn dus ook een aantal mensen die bij odido zitten die dus niks hebben ontvangen. Nu wist ik niet zeker hoe en wat en wat dan van mij bekent is bij die hackers dus ik dacht laat ik eens klantenservice bellen want graag zou ik dat willen weten en vanuit de klantenservice van odido krijg ik dan dus te horen dat ik niet ben geraakt. Ik snap er nu helemaal niks meer van. Is het nou wel is het nou niet?? Hun zeggen dat is een algemene mail die je hebt ontvangen maar waarom krijgt niet iedereen die mail dan als het een algemene mail is en ik niet ben getroffen?

frank131331 schreef op vrijdag 20 februari 2026 @ 16:23:
[...]

Jup hier ook, kan haast geen toeval zijn.

Ik zie nog steeds helemaal niks qua spam.
Mijn e-mail adres is ook niet bekend bij Have I Been Powned.

Ik gebruik Protonmail. Wat gebruiken jullie?

Situatie hier nu na enkele dagen na het lek:

Bestaande klant, dus niet 'langer bewaard dan nodig' in mijn geval.
Mail gehad van Odido dat bepaalde zaken mogelijk gelekt zijn. Volgens 'mijn' versie van de mail zouden adres gegevens, naam, iban, e-mailadres, klant nummer en geboortedatum mogelijk gelekt kunnen zijn. Andere zaken als id kaart informatie niet.

Heb verder (nog) niet gemerkt, geen mails die ik niet verwacht had, geen belletjes. E-mail adres is gmail. Staat ook niet in Have i been pwned.

Dennism schreef op zaterdag 21 februari 2026 @ 01:32:
Situatie hier nu na enkele dagen na het lek:

Bestaande klant, dus niet 'langer bewaard dan nodig' in mijn geval.
Mail gehad van Odido dat bepaalde zaken mogelijk gelekt zijn. Volgens 'mijn' versie van de mail zouden adres gegevens, naam, iban, e-mailadres, klant nummer en geboortedatum mogelijk gelekt kunnen zijn. Andere zaken als id kaart informatie niet.

Heb verder (nog) niet gemerkt, geen mails die ik niet verwacht had, geen belletjes. E-mail adres is gmail. Staat ook niet in Have i been pwned.

Beetje vriendelijker mag wel..

[ Voor 7% gewijzigd door rens-br op 21-02-2026 13:28 ]

Het enige wat ik ervan merk : sinds het datalek heb ik al 2 mailtjes van Odido gehad voor een klanttevredenheidsonderzoek. Die kwamen uiteraard in de spam terecht.

Ik heb wat post opgeruimd. Zullen we het wat vriendelijker houden?

frank131331 schreef op vrijdag 20 februari 2026 @ 16:23:
[...]

Jup hier ook, kan haast geen toeval zijn.

Hier ook, ze lijken afkomstig en van 'gewone' mail adressen.

Het voordeel wanneer de einddatum van je contract is verstreken. Nu ze precies 14 dagen na de hack halsstarrig hun narratief blijven volhouden dat ze klanten niet gaan compenseren en niet willen toegeven dat ze grove fouten hebben gemaakt is het wel mooi geweest met deze prutsers.

techdudeski schreef op zaterdag 21 februari 2026 @ 20:36:
Het voordeel wanneer de einddatum van je contract is verstreken. Nu ze precies 14 dagen na de hack halsstarrig hun narratief blijven volhouden dat ze klanten niet gaan compenseren en niet willen toegeven dat ze grove fouten hebben gemaakt is het wel mooi geweest met deze prutsers.

Op welke partij ga jij nu overstappen?

Ik heb vier dagen geleden Odido een klacht gestuurd via het online contactformulier. Dat ging toen goed. Heel vervelend dat ze geen mailadres hebben of beschikbaar stellen. Ik wil niet via de community prive vragen stellen en zit niet op hun socials. Bellen kwam ik niet doorheen, lees na 30minuten maar opgehangen.

Alleen nu hebben ze mij een mail teruggestuurd op basis van mijn ingevulde contactformulier, met de mededeling dat ze deze niet per mail kunnen beantwoorden en of ik ze wil bellen. Vind het een rare gang van zaken. Nu probeer ik al drie dagen via het online contactformulier weer een bericht terug te sturen, maar ik krijg telkens een foutmelding na (proberen) versturen. Terwijl ik alles goed invul. Heb het al op verschillende apparaten, browsers en netwerken geprobeerd.

Kunnen anderen wel via het contactformulier een bericht sturen zonder foutmelding?

Klanten van Odido moeten na het datalek dat vorige week aan het licht kwam extra alert zijn.
Niet alleen op phishing- en oplichtingscampagnes, maar ook op ongeautoriseerde afschrijvingen van hun bankrekening.
De buitgemaakte gegevens kunnen daarvoor worden misbruikt.
Vorige week werd bekend dat cybercriminelen bij een aanval op Odido mogelijk de gegevens van 6,5 miljoen klanten van Odido en Ben hebben buitgemaakt.
Het gaat om namen, adressen, postcodes, woonplaatsen, e-mailadressen en telefoonnummers, maar ook om gevoelige informatie zoals bankrekeningnummers en paspoortgegevens.

"Omdat ook bankrekeningnummers zijn buitgemaakt, is het belangrijk dat mensen hun rekening actief controleren op ongeautoriseerde incasso's", zegt cybersecurityexpert Martin Krämer van KnowBe4. Met de gestolen gegevens kunnen criminelen bovendien kredietaanvragen doen.
"Het is daarom verstandig dat Odido-klanten hun gegevens bij het Bureau Krediet Registratie (BKR)
controleren."

Als er toch sprake is van een onterechte incasso, kan de rekeninghouder zelf ingrijpen.
"In alle gevallen kun je een afschrijving binnen acht weken onvoorwaardelijk terugdraaien", zegt Beugel.
Ook na die termijn zijn incasso's nog tot dertien maanden na afschrijving terug te vorderen, mits de rekeninghouder daarvoor een verzoek indient bij de bank.
De partij die de incasso uitvoerde, moet dan aantonen dat er een geldige machtiging was.

bron: https://www.nu.nl/economi...alek-extra-letten-op-hun-
bankrekening.html

Aardig wat werk bezorgd Odido mij (en alle andere gedupeerde klanten). En tot wanneer moet ik dit allemaal doen? Elk half jaar een BKR check nu laten uitvoeren? tot aan het jaar 2052?

Anyway, voor Odido is het hiermee klaar. ''Jammer klant, succes met nonstop je bankrekening in de gaten houden de komende maanden/jaren (??) ''

Vergeet niet: de een zijn dood is de ander zijn brood

Dat IBAN stuk is geschreven door een partij die security trainingen verkoopt die natuurlijk even naamsbekendheid wil meepakken.

Banken geven zelf ook al aan dat het wat anders ligt.

@_Bailey_ Je moet, volgens de voorwaarden van je bank, zelf regelmatig je rekeningoverzicht controleren. Daarbij krijg je niet zomaar een machtiging van de banken om automatische incasso's te verwerken. Dus dat zal echt wel loslopen. Dus je hoeft helemaal niet iets extra's te doen, alleen meer alert zijn.

Ik stap over naar KPN (voor mobiel). Heb overigens geen hard bewijs dat zij hun security organisatie beter op orde hebben, maar slechter dan bij Odido kan het eigenlijk niet worden.

Uruk-Hai schreef op zaterdag 21 februari 2026 @ 23:16:
[...]

Op welke partij ga jij nu overstappen?

Ik heb me geregistreerd bij BKR en heb net een controle uitgevoerd op mijn bank, maar ik heb niets verdachts kunnen vinden. Dat is wel een opluchting.

Ik baal hier ontzettend van. Ik zat jarenlang bij KPN, vond dat te duur, stapte daarom over op Odido Klik & Klaar (want las hierover positieve verhalen op tweakers.net), bleek positief verrast over de eenvoudige installatie, stabiliteit van de verbinding en de snelheid voor de opmerkelijk lage combiprijs. Ik heb zowel Ben als Odido, waardoor ik nu thuis internet heb voor 21 euro.

Ik dacht met Odido Klik & Klaar ook iets te hebben dat ik andere mensen met een krappe beurs moeiteloos aan kon raden.

En nu blijkt dat allemaal super onverstandig te zijn, vanwege één recent gebleken nadeel dat alle voordelen overschaduwd.

Is het trouwens wel mogelijk om de gelekte gegevens zomaar opnieuw in te laten wisselen voor andere gegevens? Kan ik bijvoorbeeld zomaar aan andere paspoortgegevens komen? Kan ik mijn bankrekeningnummer wel aan laten passen?

techdudeski schreef op zondag 22 februari 2026 @ 09:42:
Ik stap over naar KPN (voor mobiel). Heb overigens geen hard bewijs dat zij hun security organisatie beter op orde hebben, maar slechter dan bij Odido kan het eigenlijk niet worden.


[...]

Een van de grootste fouten bij Odido was dat er mensen iets fout hebben gedaan. Aangezien die ook bij KPN werken kan het daar net zo goed fout gaan (en dat is het in het verleden ook al gebeurd alleen op veel kleinere schaal). Hetzelfde geldt trouwens ook voor de klantenservice, die is bij alle partijen net zo belabberd.

True, fouten maken is menselijk.
Het belangrijkste bij een incident is dat je leert van je fouten zodat herhaling in de toekomst voorkomen kan worden. Het grote verschil tussen KPN en Odido is dat de mensen van KPN hebben aangetoond dat ze wel willen leren van hun fouten.

In 2012 had KPN de Baby-Dump casus waarbij initieel werd gedacht dat inloggegevens uit de KPN omgeving waren geëxfiltreerd (bleek later onjuist) Dit is een belangrijke wake-up call geweest voor hen. Er waren nl. ook kwetsbaarheden bij KPN en daar hebben ze openheid over gegeven. Nadien hebben ze a) grote investeringen in IT security gedaan, en b) KPN heeft gedupeerden een schadevergoeding uitgekeerd wat zij formeel niet had hoeven doen.

Vergelijk je de proactieve respons van KPN op hun incident met de halsstarrige houding van Odido in deze casus (geen openheid van zaken & ontkennen van grove fouten) dan is duidelijk dat Odido hier niets van gaat leren.

redwing schreef op zondag 22 februari 2026 @ 09:57:
[...]
Een van de grootste fouten bij Odido was dat er mensen iets fout hebben gedaan. Aangezien die ook bij KPN werken kan het daar net zo goed fout gaan (en dat is het in het verleden ook al gebeurd alleen op veel kleinere schaal). [..].

Vandaag op het e-mailadres van mijn ouders eerste nep mailtje gehad waarvan ik denk dat het komt van de odido hack.

redwing schreef op zondag 22 februari 2026 @ 09:57:
[...]

Een van de grootste fouten bij Odido was dat er mensen iets fout hebben gedaan. Aangezien die ook bij KPN werken kan het daar net zo goed fout gaan .

Want KPN heeft security ook niet in orde? Daar kan ook een willekeurige klant contact medewerker de gehele database downloaden?

Want ben nog steeds van mening dat niet alleen de medewerker schuld kan geven, als een trusted device was geweest is het waarschijnlijk niet gebeurd (onnodig vaak mfa goedkeuren) en dat account van de betreffende medewerker maar x aantal records per dag kan opvragen vanuit de database...

Ruben0s schreef op zondag 22 februari 2026 @ 11:07:
Vandaag op het e-mailadres van mijn ouders eerste nep mailtje gehad waarvan ik denk dat het komt van de odido hack.

spoiler:

[Afbeelding]

[Afbeelding]

Waarom denk je dat het uit het datalekken komt? Is het een uniek mailadres dat alleen bij Odido bekend is? Ik krijg dit soort mailtjes al jaren op echte en "gegokte", nooit gebruikte mailadressen, ook van deze bank waar ik al 25 jaar geen klant meer ben....

flaskk schreef op zondag 22 februari 2026 @ 11:07:
[...]


Want KPN heeft security ook niet in orde? Daar kan ook een willekeurige klant contact medewerker de gehele database downloaden?

Dat weet je niet, je weet alleen dat het daar in het verleden ook bij fout is gegaan. Daarbij zal het bij Odido ook geen willekeurige klant contact medewerker zijn geweest maar iemand wat hoger in de lijn.

Want ben nog steeds van mening dat niet alleen de medewerker schuld kan geven, als een trusted device was geweest is het waarschijnlijk niet gebeurd (onnodig vaak mfa goedkeuren) en dat account van de betreffende medewerker maar x aantal records per dag kan opvragen vanuit de database...

Op het moment dat je iemand rechtstreeks toegang geeft tot de database omzeil je de meeste beveiligingen. En uiteindelijk staat alles in de database. En het zal een opeenstapeling van fouten zijn, maar zodra je met mensen werkt worden er fouten gemaakt. Ik ken geen provider die niet eerder al ooit last heeft gehad van zo'n lek. Het grootste verschil is dat deze wel heel grootschalig is. Maar ik heb zeker niet de illusie dan dit bij andere providers niet vroeg of laat ook weer een keer gaat gebeuren.

redwing schreef op zondag 22 februari 2026 @ 11:31:
[...]
Ik ken geen provider die niet eerder al ooit last heeft gehad van zo'n lek. Het grootste verschil is dat deze wel heel grootschalig is.

Om in deze context alleen providers te betrekken is wat kort door de bocht. De IT van een provider is een dataverwerker die zou moeten leren van andere datalekken (mooi eufemistisch woord trouwens).

Lees dit stukje eens over Equifax in 2017 https://archive.epic.org/privacy/data-breach/equifax/ :

personal data of 148 million Americans had been compromised. The data breached included names, home addresses, phone numbers, dates of birth, social security numbers, and driver’s license numbers. The credit card numbers of approximately 209,000 consumers were also breached. The Equifax breach is unprecedented in scope and severity.

Als men van dit soort lekken niets leert lijkt me dat je een hopeloze dataverwerker bent....

DjoeC schreef op zondag 22 februari 2026 @ 11:24:
[...]

Waarom denk je dat het uit het datalekken komt? Is het een uniek mailadres dat alleen bij Odido bekend is? Ik krijg dit soort mailtjes al jaren op echte en "gegokte", nooit gebruikte mailadressen, ook van deze bank waar ik al 25 jaar geen klant meer ben....

Precies, volgens mij hebben veel mensen in dit topic opeens een hyperfocus op hun junkmail sinds het lek.
Ik heb voor ODIDO een ‘hide my email’ gebruikt. Zo snel daar spam op binnenkomt meld ik me wel.

techdudeski schreef op zondag 22 februari 2026 @ 09:42:
Ik stap over naar KPN (voor mobiel). Heb overigens geen hard bewijs dat zij hun security organisatie beter op orde hebben, maar slechter dan bij Odido kan het eigenlijk niet worden.


[...]

Wachtwoord van alle KPN core routers: G1rlpOw3r.

Althans dat was het in 2012. En door de reorganisaties (lees: afslanking en op en nippertje net geen faillissement) wisten heel veel ex-medewerkers dat wachtwoord.

Lees: https://www.nu.nl/tech/27...ren-slecht-beveiligd.html

Dus, tja. Domheid kom je overal tegen. En hoeveel security is genoeg? Risicoanalyses zijn altijd natte vingerwerk. Welke dreigingen zijn er? Wat is de kans dat ze optreden? Hoe groot is dan de gevolgschade? Wat is acceptabel? Welke maatregelen kun je treffen? Wat kosten die?

Heel veel van dergelijk analyses in mijn actieve loopbaan gedaan. Van kerncentrale tot laboratoria, publieke en private sector. Heel lastige materie. Je doet je best maar de onzekerheid is enorm.

Iedereen heeft hier zijn oordeel klaar zonder te beseffen dat als een goede black hat veel van je weet de kans 100% is dat je gehackt kunt worden.

Bij een heel kritisch proces wisten de managers dat FoxIT een social engineering hack ging doen. Allemaal getraind. Allemaal bewuste en hoog opgeleide mensen. En allemaal gingen ze voor gaas.

Alle providers zijn kwetsbaar. Helaas. Dus overstappen? Als het je gemoedsrust geeft doen, maar scherp blijven geldt ook dan.

[ Voor 9% gewijzigd door ernstoud op 22-02-2026 16:49 ]

Sample size 1 maar uit de gesprekken met mijn ouders lijkt het dat Delta (zelfs in Caiway tijd) de nogal toelatende spamfilter heeft opgeschroefd. Van dagelijks spam naar 0 sinds de berichtgeving .

magwelwatminder schreef op zondag 22 februari 2026 @ 18:44:
Sample size 1 maar uit de gesprekken met mijn ouders lijkt het dat Delta (zelfs in Caiway tijd) de nogal toelatende spamfilter heeft opgeschroefd. Van dagelijks spam naar 0 sinds de berichtgeving .

En dan wel regelmatig in de spam map kijken, als die er is. Want soms is spam gemerkte e-mail geen spam.

ernstoud schreef op zondag 22 februari 2026 @ 14:14:
[...]


Wachtwoord van alle KPN core routers: G1rlpOw3r.

Althans dat was het in 2012. En door de reorganisaties (lees: afslanking en op en nippertje net geen faillissement) wisten heel veel ex-medewerkers dat wachtwoord.

Lees: https://www.nu.nl/tech/27...ren-slecht-beveiligd.html

Dus, tja. Domheid kom je overal tegen. En hoeveel security is genoeg? Risicoanalyses zijn altijd natte vingerwerk. Welke dreigingen zijn er? Wat is de kans dat ze optreden? Hoe groot is dan de gevolgschade? Wat is acceptabel? Welke maatregelen kun je treffen? Wat kosten die?

Heel veel van dergelijk analyses in mijn actieve loopbaan gedaan. Van kerncentrale tot laboratoria, publieke en private sector. Heel lastige materie. Je doet je best maar de onzekerheid is enorm.

Iedereen heeft hier zijn oordeel klaar zonder te beseffen dat als een goede black hat veel van je weet de kans 100% is dat je gehackt kunt worden.

Bij een heel kritisch proces wisten de managers dat FoxIT een social engineering hack ging doen. Allemaal getraind. Allemaal bewuste en hoog opgeleide mensen. En allemaal gingen ze voor gaas.

Alle providers zijn kwetsbaar. Helaas. Dus overstappen? Als het je gemoedsrust geeft doen, maar scherp blijven geldt ook dan.

KPN heeft in het verleden idd al flinke klappen gehad (in 2009 het Huawei lek bv ook...) daarom /denk/ ik dat KPN het beter voor elkaar heeft dan Odido, maar zeker weten nee... Ik vind voornamelijk de non-reactie van Odido om te kotsen, daarom stap ik over.

Er waren voldoende denkbare reacties mogelijk, waarbij Odido uiteindelijk ook geen schadevergoeding hoeft te betalen maar iets meer empathie uitte naar je klanten.

DjoeC schreef op zondag 22 februari 2026 @ 12:13:
[...]

Om in deze context alleen providers te betrekken is wat kort door de bocht. De IT van een provider is een dataverwerker die zou moeten leren van andere datalekken (mooi eufemistisch woord trouwens).

Lees dit stukje eens over Equifax in 2017 https://archive.epic.org/privacy/data-breach/equifax/ :

[...]


Als men van dit soort lekken niets leert lijkt me dat je een hopeloze dataverwerker bent....

Klopt, maar als je provider vervangt door dataverwerker is de conclusie hetzelfde. Allemaal hebben ze wel fouten gemaakt en ook herhaalde fouten gemaakt. Dat je weg gaat omdat je de reaktie slecht vind snap ik trouwens, maar denken dat andere partijen het beter doen/je daar minder risico loopt kun je gewoon vergeten. Het is gewoon wachten op het volgende lek dat wordt gevonden.

Ik vind het hele gebeuren rondom Odido niet OK, maar de reacties erop '(sla er een slaatje uit' ') wel erg goed passen bij een tijdperk waarin ook een creep als Trump rondhuppelt. Voor de LinkedIn geïnteresseerden, lees dit eens. Daar kan Odido toch nauwelijks nog tegen op? Maar niemand die er een punt van maakt.

https://thelocalstack.eu/...ity-verification-privacy/

jlaarts schreef op zondag 22 februari 2026 @ 20:30:
Ik vind het hele gebeuren rondom Odido niet OK, maar de reacties erop '(sla er een slaatje uit' ') wel erg goed passen bij een tijdperk waarin ook een creep als Trump rondhuppelt. Voor de LinkedIn geïnteresseerden, lees dit eens. Daar kan Odido toch nauwelijks nog tegen op? Maar niemand die er een punt van maakt.

https://thelocalstack.eu/...ity-verification-privacy/

Toch altijd schokkend om te lezen, met gelijk de vraag, maar waar nog meer...

ernstoud schreef op zondag 22 februari 2026 @ 18:56:
[...]


En dan wel regelmatig in de spam map kijken, als die er is. Want soms is spam gemerkte e-mail geen spam.

Klopt, maar je wil niet weten hoeveel mensen zelf denken beter te weten, maar het bericht wel degelijk spam is. Jij en ik zien dat verschil gemakkelijk, maar zovelen hebben echt geen clue. Dat zijn de slachtoffers die een phishingcampagne succesvol maken.

Overigens hier nog geen spoor van spam op mijn uitgelekte e-mail adres.

redwing schreef op zondag 22 februari 2026 @ 09:57:
[...]

Een van de grootste fouten bij Odido was dat er mensen iets fout hebben gedaan. (...)

Nee. De grootste fout van Odido tijdens deze hack is de organisatie en hun bewustzijn voor cyberveiligheid. Het was niet één medewerker die een fout heeft gemaakt. Het is een cultuur van veiligheid die afwezig is. Dat zie je doordat 1) hackers een grote hoeveelheid aan data konden ophalen uit de servers zonder dat zij werden gehinderd door een vorm van scraping beveiliging, en 2) klantgegevens van ex-klanten (mogelijk) zijn buitgemaakt die al vele jaren geen klant meer zijn.

Of het bij andere telcoms beter is, tsja geen idee Maar dat Odido dingen serieus niet op orde heeft dat lijkt me vrij evident. Een reden voor mij om over te stappen i.i.g.

SimonBR39 schreef op zondag 22 februari 2026 @ 21:21:
[...]

Onlangs Chinezen luchthaven en moet je paspoort laten scannen voor gratis wifi, we hadden overstap van 8 uur dus even John Doe paspoort via Grok gemaakt(had ergens gelezen dat wanneer je wifi wilde gebruiken alleen via paspoort kon) en deze van te voren uitgeprint. Maar ik zag hoop lui gewoon in paspoort laten inscannen voor wat wifi 😅

[ Voor 11% gewijzigd door flaskk op 23-02-2026 10:01 ]

ernstoud schreef op zondag 22 februari 2026 @ 18:56:
[...]


En dan wel regelmatig in de spam map kijken, als die er is. Want soms is spam gemerkte e-mail geen spam.

Ik heb (gelukkig) een eigen domein waarbij ik spamfiltering kan uitzetten. Alle spam komt dus in mijn mailbox en wordt op de PC gefilterd met Mailwasher.. Eenmaal ingesteld met adressen, terugkerende onderwerpen etc. komt er nog nauwelijks een spammetje doorheen. Wel oppassen dat bijvoorbeeld electronische facturen niet per ongeluk tussen wal en schip raken, maar door spam een kleurtje te geven komt dat meestal wel goed.

Ik krijg geen extra spam maar alle spam komt wel in golven waarbij momenteel de vertalers, messensets en dunne pleisters "in de aanbieding" zijn. O ja, en mijn "morgen" verlopende KvK en Eherkenning registraties.

Maar, specifiek van het Odido lek heb ik nog niks gemerkt.

Odido lijkt nu 24 maanden F-Secure aan te bieden voor getroffen klanten.
https://www.odido.nl/veiligheid

We willen je helpen. Daarom bieden we je extra online bescherming. Je kan kosteloos het digitale veiligheidspakket van F-Secure activeren voor de duur van 24 maanden. Daarmee bescherm je je telefoon, tablet en computer extra tegen virussen, phishing en andere online dreigingen. Je activeert bij F-Secure het pakket met een vouchercode.

Herman schreef op maandag 23 februari 2026 @ 09:56:
[...]
Nee. De grootste fout van Odido tijdens deze hack is de organisatie en hun bewustzijn voor cyberveiligheid. Het was niet één medewerker die een fout heeft gemaakt. Het is een cultuur van veiligheid die afwezig is. Dat zie je doordat 1) hackers een grote hoeveelheid aan data konden ophalen uit de servers zonder dat zij werden gehinderd door een vorm van scraping beveiliging, en 2) klantgegevens van ex-klanten (mogelijk) zijn buitgemaakt die al vele jaren geen klant meer zijn.

Of het bij andere telcoms beter is, tsja geen idee Maar dat Odido dingen serieus niet op orde heeft dat lijkt me vrij evident. Een reden voor mij om over te stappen i.i.g.

Tja, zolang Ziggo mij een paar jaar geleden nog gegevens vanuit de Chello tijd kon geven zonder dat ik tussendoor ooit een abo bij hun heb gehad, heb ik er weinig vertrouwen in dat andere providers het beter voor elkaar hebben.

Verder snap ik best dat je vanwege deze hack wil overstappen (al was het maar om een signaal af te geven), maar mijn enige melding is dat je niet moet verwachten dat het bij je nieuwe provider daadwerkelijk beter is geregeld Uiteindelijk is het enige dat je kunt doen om zo min mogelijk je gegevens af te geven. Helaas ontkom je daar tegenwoordig vaak niet aan.

celine0210 schreef op zaterdag 21 februari 2026 @ 00:33:
Ik zag spontaan ineens gekke emails voorbij komen en toen kwam ik er dus achter dat ik ook die mail gehad met odido informeerd je over een cyberaanval waarin staat dat ik mogelijk ben aangevallen met een lijstje wat dan mogelijk getroffen zouden kunnen zijn. Ik las ook dat als je een mail of sms hebt ontvangen ben je dus waarschijnlijk getroffen, er zijn dus ook een aantal mensen die bij odido zitten die dus niks hebben ontvangen. Nu wist ik niet zeker hoe en wat en wat dan van mij bekent is bij die hackers dus ik dacht laat ik eens klantenservice bellen want graag zou ik dat willen weten en vanuit de klantenservice van odido krijg ik dan dus te horen dat ik niet ben geraakt. Ik snap er nu helemaal niks meer van. Is het nou wel is het nou niet?? Hun zeggen dat is een algemene mail die je hebt ontvangen maar waarom krijgt niet iedereen die mail dan als het een algemene mail is en ik niet ben getroffen?

Die eerste lijns zullen het vast niet exact weten en vooral geruststellend willen overkomen. Missie niet geslaagd zou ik zeggen.
Ga gewoon ervan uit dat je bent getroffen en handel daar naar. Wat heb je te verliezen?

Dit weekend mijn abonnement verlengd en nieuwe telefoon opgehaald bij Odidio, het was heerlijk rustig in de winkel

redwing schreef op maandag 23 februari 2026 @ 12:23:
[...]maar mijn enige melding is dat je niet moet verwachten dat het bij je nieuwe provider daadwerkelijk beter is geregeld

Toezichthouders met vakantie?

@ernstoud Wat ik begreep van de Odido inbraak is dat het via de helpdesk binnen gekomen is.
De vraag is dan voor mij, hoe heb je van 6,2 miljoen klanten gegevens kunnen scrapen via een helpdesk account. Met bijvoorbeeld datamasking en een extra bevestiging erop als je bij ID nummers of bankrekeningen wil komen kun je dat al enorm bemoeilijken. Een helpdeskmedewerker hoeft geen bulk toegang te hebben, dus dan is het account voor account.
Met dagelijks verplicht herstarten en inperking van lokale rechten kun je persistente dreigingen beperken dat er externe software (inclusief malware) geïnstalleerd kan worden, dus als er al connectie lukt, is het verbroken na de volgende herstart.
Dagelijk OTP vereisen bij inloggen en time-out na bepaalde tijd op elke sessie beperkt ook het risico verder.

Er zijn opties, en ik hoop dat ze dat ook gaan implementeren.

Talkshowhost schreef op maandag 23 februari 2026 @ 12:52:
Dit weekend mijn abonnement verlengd en nieuwe telefoon opgehaald bij Odidio, het was heerlijk rustig in de winkel

Ik loop ze vaak langs en is vaker rustig

redwing schreef op maandag 23 februari 2026 @ 12:23:
[...]

Tja, zolang Ziggo mij een paar jaar geleden nog gegevens vanuit de Chello tijd kon geven zonder dat ik tussendoor ooit een abo bij hun heb gehad, heb ik er weinig vertrouwen in dat andere providers het beter voor elkaar hebben.

Ik heb afgelopen december een contract afgesloten bij KPN (en uiteindelijk weer geannuleerd) en kreeg alle bevestigings mails opeens op het mailadres waar ik 4 jaar eerder klant was geweest terwijl ik op een totaal ander mailadres het nieuwe abonnement had afgesloten. Niemand die dat daar vreemd vond trouwens...
Dus het gras is inderdaad echt niet groener (om in KPN kleuren te blijven).