Datalek op datalek - We zijn het zat! Wat kunnen we doen?

Tsja, ga er maar vanuit dat alle persoonsgegevens die je aan bedrijven hebt gegeven vroeg of laat op straat komen te liggen. Misschien wat pessimistisch, maar een hack kan elk bedrijf overkomen. Ook bedrijven die hun beveiliging aardig op orde hebben.

Het enige dat je kunt doen is om te proberen zo weinig mogelijk persoonsgegevens af te staan. Door te werken met 'hide-my-email' aliassen enzo. En voor een aankoop bij een webshop ga ik echt niet een bestaand tel-nummer opgeven. Maar goed, dat zijn natuurlijk wel druppels op een gloeiende plaat.

[ Voor 13% gewijzigd door Herman op 19-04-2026 21:24 ]

Herman schreef op zondag 19 april 2026 @ 21:23:
Tsja, ga er maar vanuit dat alle persoonsgegevens die je aan bedrijven hebt gegeven vroeg of laat op straat komen te liggen. Misschien wat pessimistisch, maar een hack kan elk bedrijf overkomen. Ook bedrijven die hun beveiliging aardig op orde hebben.

Het enige dat je kunt doen is om te proberen zo weinig mogelijk persoonsgegevens af te staan. Door te werken met 'hide-my-email' aliassen enzo. En voor een aankoop bij een webshop ga ik echt niet een bestaand tel-nummer opgeven. Maar goed, dat zijn natuurlijk wel druppels op een gloeiende plaat.

Helaas (wel positief gezien natuurlijk) ben ik het helemaal met jou eens.

Ik gebruik sinds enige tijd ook aliassen en dat werkt goed, Had (heb het nog steeds, maar ben het aan het uitfaseren) 25 jaar ofzo Microsoft accounts en de meest recente gebruik ik alweer 20 jaar ofzo. Deze is al "100" keer gelekt natuurlijk.
Sinds kort een account bij Proton en die hebben een prettige "hide my e-mailadres" functie welke ik ook actief ben gaan gebruiken. Dit e-mailadres zal ik dus nergens "echt" gebruiken. De aliassen verwijder ik ook weer nadat een bestelling binnen is. De sites waar een account nodig is hebben/krijgen een vaste alias.

Mijn telefoonnummer geef ik ook nooit (meer) op en anders mijn werknummer. Ik geef tegenwoordig geen eens meer mijn echte naam op. Helaas kan ik mijn adres niet "faken", want anders had ik dat ook gedaan. Het mag niet, want je moet naar waarheid invullen, maar dat boeit me niet

Alles onder het mom van zo weinig mogelijk info delen. We zijn hier met z'n allen veel te laat achter gekomen en hebben het altijd maar gewoon blind (en met vertrouwen) gedaan.

Sinds 2 weken heb ik ook Nextcloud thuis geinstalleerd waardoor ik bij Proton alleen de mail gebruik en de rest van de cloud functionaliteiten niet.

De agenda host ik nu zelf, files (Onedrive) ook en Notes (Onenote) ook. Ben het nog aan het verkennen, maar het bevalt mij goed
Ook hier is het idee zo weinig mogelijk delen en zoveel maar bij mezelf houden. Kost wat extra moeite, maar dat is de prijs die je hier schijnbaar voor moet betalen.

[ Voor 10% gewijzigd door Mit-46 op 19-04-2026 21:43 ]

SpaceCrunk schreef op zondag 19 april 2026 @ 20:52:
Maar dan moeten wij als consumenten wél in actie komen. En dat is precies waar ik benieuwd naar ben.

Als consument kan je eigenlijk maar een ding doen: per direct stoppen met het afnemen van diensten en goederen van de lekkende partij.
Echter, met oog hierop:

Het meest irritante vind ik nog wel dat het door deze bedrijven veelal klein gemaakt wordt.

De meeste consumenten maken nóg veel kleiner. De toegang tot geleverde diensten of producten is vele malen belangrijker dan privacy.

Nieuwe wetgeving kan hier ook bij helpen, bijvoorbeeld door het opslaan van een huisadres alleen mag het bedrijf ook daadwerkelijk fysiek aan huis iets komt doen of laat bezorgen. De sportschool bijvoorbeeld hoeft echt niet te weten waar je woont om je toegang te verlenen tot hún gebouw. Sterker nog, een sportschool hoeft helemaal niets van je te weten als je het net zo inricht als het openbaar vervoer: inchecken met al dan niet automatisch opgeladen tegoedkaart.

Hetzelfde geld voor een boekingssite als Booking.com: waarom zouden zij moeten weten waar je huis staat als je elkaar nooit fysiek gaat ontmoeten?

Datalek op datalek - We zijn het zat! Wat kunnen we doen?

Vast niet je insteek, maar doorgaan met je leven en je niet te druk erover maken? Soms gebeurd het nou eenmaal omdat beveiliging nooit 100% is, bij de bakker kan ook worden ingebroken en de uitgeprintte lijst bestellingen gestolen worden. En soms zijn er laakbare fouten gemaakt (zoals Odido die gewoon te lang dingen had opgeslagen). Maar dan nog, ik lig er niet wakker van.

Goed het scheelt dat ik bij geen van deze hacks 'slachtoffer' was . (Terwijl ik booking toch nog gebruikt had recent). Maar bijvoorbeeld bij de KLM hack was ik dat wel. En die was vervelend want ze hadden namen en telefoonnummers, oftewel toen de blockchain helpdesk mij belde om te vertelde dat mijn blockchain account ging vervallen, hadden ze ook nog eens mijn naam. En natuurlijk snap ik dat er mensen intrappen, anders deden ze het niet. Maar verder? Ja ze hebben mijn e-mail adres. Die is niet bepaald geheim, wel zo handig als mensen je moeten kunnen bereiken. Dat ding is al decennia geleden gelekt. En mijn naam. Gezien mijn e-mail [voornaam]_[achternaam] is, lukte ze dat anders ook nog wel.

En zo kan je met de meeste dingen behalve spammen nou niet zoveel. En dat is natuurlijk vervelend, maar mijn e-mail adres is nooit geheim geweest. "Maar identiteitsdiefstal dan!". Zoveel kan je met de meeste van die dingen niet, omdat ze weer niet heel geheim zijn, maar adres, naam, telefoonnummer en email adres hebben zat mensen in mijn omgeving. BSN niet natuurlijk, tegelijk die ligt van honderdduizenden ZZP'ers ook nog steeds op straat. En voor andere dingen als je wil dat er wat veranderd, zorg dan dat zaken zo worden gedaan dat diefstal van die dingen minder impact heeft. Eg met dingen als Digi-D verificatie, en bijvoorbeeld via banken ook meer verificatie voor commerciele dingen doen. Dat gaat effectiever zijn als verwachten dat die dingen die je met een hoop mensen en instanties moet delen nooit bij een kwaadwillende uitkomen.

FredvZ schreef op zondag 19 april 2026 @ 22:01:
[...]

Totdat je écht slachtoffer bent is het makkelijk praten...

Kijk de aflevering van "Even tot hier" van gisteren eens terug.
Toch lullig als iemand met gegevens uit een datalek op jouw naam een auto huurt, vervolgens allerlei boetes rijdt en jij niks anders kan doen dan het betalen van de boetes. (en dan zijn verkeersovetredingen nog lichte vergrijpen in Nederland)

Om mezelf te quoten:

En voor andere dingen als je wil dat er wat veranderd, zorg dan dat zaken zo worden gedaan dat diefstal van die dingen minder impact heeft.

Ik ga uiteraard geen hele aflevering terug kijken, maar klinkt alsof daar iig wat mis is gegaan (immers bij ophalen controleren ze normaal of jij degene bent die geboekt heeft), en daarnaast voer dan wat in wat een betrouwbare manier is om te controleren wie er boekt. Je adres, e-mail adres (die ze uberhaupt hier niet gebruikt kunnen hebben natuurlijk), telefoonnummer, etc, zijn simpelweg geen geheime zaken waarmee je kan bewijzen wie je bent.

Sissors schreef op zondag 19 april 2026 @ 21:54:
En zo kan je met de meeste dingen behalve spammen nou niet zoveel. En dat is natuurlijk vervelend, maar mijn e-mail adres is nooit geheim geweest.

En toch... staat er in jouw Tweakers.net verdraaid weinig aan persoonlijke gegevens zoals bijv. je e-mail adres. Ofwel, je hebt blijkbaar toch een behoefte om gegevens enigszins geheim te houden.

En uiteindelijk is het waar dat de gegevens die gelekt zijn op zich niet voldoende zouden moeten zijn om misbruik mee te plegen, maar ik vermoed dat het in de praktijk nog best mogelijk is. Hoeveel baliemedewerkers doen zorgvuldig controleren of je ID-bewijs gegevens overeenkomen met wat je opgeeft, bijvoorbeeld. En dan kan ik mij voorstellen dat je een hoop misbruik kan aanvechten, maar je hebt er dan toch een hoop overlast van.

Ik denk dat het goed zou zijn als bedrijven zorgvuldiger met gegevens om gaan. Een hack zal altijd mogelijk zijn, maar wat het voor hackers rendabel maakt is dat vaak met een hack idioot veel gegevens kunnen worden buitgemaakt. Odido bijvoorbeeld - dat er zo'n 90GB aan data wordt buitgemaakt moet gewoon niet kunnen, als een account met database-toegang zoveel data opvraagt moeten er alarmbellen afgaan, automatische blokkades in werking treden. Als bedrijven dat soort blokkades toevoegen aan hun systemen, dan wordt het hacken minder interessant.

Maar hoe dat voor elkaar krijgen? Regelgeving gecombineerd met veel meer controle. Dus niet een Autoriteit Persoonsgegevens een mager budget geven waarmee ze net staande blijven, maar voldoende budget om de wet ook te kunnen handhaven.

Dan gaat stap 1 echter wel zijn: politieke partijen die hier een standpunt over innemen, burgers die vervolgens daar ook voor kiezen. En dat zie ik somber in, want we kiezen toch keer-op-keer voor partijen die het bedrijfsleven een warm hart toedragen.

Zolang het hebben van slechte beveiliging goedkoper is dan het goed op orde hebben gaat er niets gebeuren om hier iets aan te doen. Mijn programma's gebruiken encryptie voor persoonsgegevens in de database, Bcrypt(13) en ik doe mijn best om alles zo veilig mogelijk op te slaan. Echter merk ik gewoon dat veel anderen dat niet doen. Dat is jammer.

Ik gebruik al jaren een eigen domein met een catch-all adres, waarbij ik voor ieder bedrijf / website een apart emailadres gebruik. Krijg ik spam of hoor ik dat een email gelekt kan zijn koppel ik dat emailadres aan een geblokkeerd emailadres, waardoor die gebounced worden.
Indien nodig gebruik ik dan een nieuw adres voor die waardeloze club.

Als je een eigen domein hebt kan je die aanmelden bij haveibeenpwned.
https://haveibeenpwned.com/
Je krijgt dan een mailtje als een van je emailadressen opduikt in een lek.

Ik vind dit maar moeilijk. Je kan denk ik moeilijk van een sportschool verwachten dat ze een hackproof systeem kunnen opzetten. Dat kost ook weer x euro abonnementsgeld per jaar. En als je het wel van een sportschool kan verwachten dan niet van de kapper, de bakker of de voetbalclub.

Ergens vind ik het ook de schuld van de AVG, wat blijk gaf van een slechte prioritering met gegevensovereenkomsten (papieren tijgers) en aanklachten tegen de tennisbond.

Minder gegevens delen lijkt een verstandige keuze, maar Bol.com zal toch echt jouw adres, naam, emailadres en bankrekeningnummer nodig hebben. Ik vrees dat het een kwestie van tijd is dat al onze gegevens gejat zijn.

Datalekken blijven bestaan. Code word geschreven door een mens en een mens maakt fouten. En deze worden dan misbruikt om dat te stelen. Het is nu eenmaal hoe het is. Er is wel steeds meer tools op de markt om het beter te doen. Maar toch blijft het lastig.

FredvZ schreef op zondag 19 april 2026 @ 21:49:
[...]

Als consument kan je eigenlijk maar een ding doen: per direct stoppen met het afnemen van diensten en goederen van de lekkende partij.

Dit is het enige dat werkt. Zodra je een dienst of goederen afneemt van een partij hebben die nu eenmaal gegevens nodig. En gegevens zijn simpelweg nooit 100% veilig.

En waar je een mail-adres nog kunt aanpassen met aliassen, werkt dat met de meeste andere gegevens een stuk lastiger.

Ik vind het ook wel fijn om te lezen dat mensen denken nog enigerlei privacy hebben terwijl ze een apparaat op zak hebben die elke beweging registreert, en elke vraag interpreteert als een zoekopdracht. En er vervolgens nog raar van staan te kijken ook dat het allemaal gebeurd. Je kunt mij een hoop vertellen, maar er is niks meer privé zolang we zelf willen consumeren.

SpaceCrunk schreef op zondag 19 april 2026 @ 20:52:
Wat doen jullie? Dienen mensen hier klachten in bij de Autoriteit Persoonsgegevens? Sturen jullie formele mails naar de bedrijven zelf? Is er draagvlak voor een collectieve actie?

Groet!

Ik hoop niet dat je te veel rekent op steun van de "autoriteit persoonsgegevens" want dat is een tandeloze tijger waar de honden geen brood van lusten. Die kwamen zelfs niet in beweging toen ik een melding maakte dat de curator van het failliete "Co Med" aan het handelen wat met de patientendossiers. Daarna hierover een klacht ingediend bij de ombudsman, maar ook daar doen ze buiten koffiedrinken en vergaderen verrekte weinig voor de consument.

Ik maak me er niet zo druk over.

Het is een gevolg van hoe bedrijven data opslaan. Vroegâh had die sportschool alles alleen op papier, toen kregen ze een computer en stond het daarin, toen gingen ze over op een centraal systeem, in eigen beheer of ingekocht.

Het is wat het is.

Arjan_25 schreef op maandag 20 april 2026 @ 09:09:
Ik vind het ook wel fijn om te lezen dat mensen denken nog enigerlei privacy hebben terwijl ze een apparaat op zak hebben die elke beweging registreert, en elke vraag interpreteert als een zoekopdracht. En er vervolgens nog raar van staan te kijken ook dat het allemaal gebeurd. Je kunt mij een hoop vertellen, maar er is niks meer privé zolang we zelf willen consumeren.

Dingen zijn niet zwart-wit. Ik vind het prima dat Apple dingen van mij weet (iPhone bezitter), minder fijn dat Google veel van mij weet (al probeer ik te minderen wat Google-gebruik betreft) maar zeker niet fijn dat hackers dingen van mij weten die ze zeker weten niet in mijn belang willen gebruiken.

Als consument kies ik er voor om dingen met Apple, Google of bijvoorbeeld Odido te delen. Ja, daarmee geef ik een beetje privacy op. Maar ik kies er niet voor om de boel daarna met ShinyHunters ofzo te delen en ik mag verwachten dat de bedrijven waar ik gegevens mee deel er zorgvuldig mee om gaan.

Ik zeg ook niet dat ze zwart-wit zijn, alleen dat er een hoop informatie over wat je doet, waar je bent, waar je interesses liggen, wat je zoekt, allemaal netjes verkocht wordt. Hoe groot acht jij dan de kans dat er nog iets als privacy bestaat? Wat ook al eerder in het topic aangegeven is. Data is helaas nergens veilig. (Het is geld waard) De vraag is niet of maar wanneer het op straat komt te liggen. En zolang we met elkaar willen consumeren zal dit altijd een risico blijven. Was het bijv. niet bij Odido gebeurt was het misschien wel bij KPN of Vodafone/Ziggo.

Sissors schreef op zondag 19 april 2026 @ 22:52:
Ik ga uiteraard geen hele aflevering terug kijken, maar klinkt alsof daar iig wat mis is gegaan (immers bij ophalen controleren ze normaal of jij degene bent die geboekt heeft), en daarnaast voer dan wat in wat een betrouwbare manier is om te controleren wie er boekt. Je adres, e-mail adres (die ze uberhaupt hier niet gebruikt kunnen hebben natuurlijk), telefoonnummer, etc, zijn simpelweg geen geheime zaken waarmee je kan bewijzen wie je bent.

Dat soort processen zijn ook ingevoerd. Hiervoor wordt het rijbewijsnummer vaak voor genoteerd.

Dat is waterdicht tot het moment dat er allerlei datalekken ontstaan bij bedrijven zoals Odido en criminelen voldoende informatie van je hebben om je rijbewijs na te maken met jouw gegevens en de foto van de crimineel.

Arjan_25 schreef op maandag 20 april 2026 @ 11:26:
Hoe groot acht jij dan de kans dat er nog iets als privacy bestaat?

Die kans acht ik 100%.
"iets als privacy" is ook nogal een loze kreet zonder definitie. Er is hier niemand die weet waar ik een uurtje geleden naartoe geweest ben, hoe ik daar gekomen ben en waarom ik daar naartoe geweest ben. Apple weet hier een deel van, maar verder zou ik dit toch wel als 'privacy' willen noemen: die is er.

Wat ook al eerder in het topic aangegeven is. Data is helaas nergens veilig. (Het is geld waard) De vraag is niet of maar wanneer het op straat komt te liggen. En zolang we met elkaar willen consumeren zal dit altijd een risico blijven. Was het bijv. niet bij Odido gebeurt was het misschien wel bij KPN of Vodafone/Ziggo.

Het risico zal er altijd zijn. Maar ook hier, het is niet zwart-wit: we kunnen er wel voor zorgen dat dat risico kleiner wordt. Aan de ene kant door zelf bewust met gegevens om te gaan en aan de andere kant door bedrijven te dwingen zorgvuldig(er) met gegevens om te gaan.

Het standpunt "datalekken gebeuren toch", of "privacy bestaat niet" - tja, dan hoor je denk ik niet bij de doelgroep van dit topic en zit je hier misschien verkeerd.

Het is echt bizar hoeveel datalekken er zijn. Wat ik zelf doe - al jaren - om de impact een beetje in te perken:

• Gebruik van unieke, complexe wachtwoorden, door middel van een wachtwoord manager. Standaard heb ik 'm op een wachtwoord van 120 tekens staan, ik schroef dit alleen naar beneden toe als een site niet overweg kan met die lengte.
• Zo min mogelijk data elders laten rondzwerven - selfhost alles wat maar mogelijk is. Mail, opslag, adresboek, agenda, etc etc.
• Werken met e-mailaliassen, die uniek zijn. Ik gebruik hiervoor een selfhosted Addy. De aliassen zijn op geen enkele manier terug te leiden naar het daadwerkelijke e-mailadres.
• Minimaal twee mobiele nummers - en een nummerblokje via VoIP. Als er ergens een mobiel nummer ingevuld moet worden gebruik ik daarvoor het tweede nummer. Anders een van de nummers uit het blokje. Die laat ik maar sporadisch doorschakelen.
  
  Oh en "anonieme" oproepen heb ik in mijn telefoon geblokkeerd.
• Ik heb een bunq account "als proxy" - omdat je daar makkelijk rekeningnummers kunt aanmaken zonder dat het extra kost bovenop de kosten van het account. Die vul ik in als een partij echt een rekeningnummer nodig heeft, of als ik iets wil aftikken via iDeal.
• Waar een geboortedatum echt keihard nodig is, vul ik een neppe - maar unieke in en registreer die in mijn wachtwoord manager, zodat ik alleen al aan de geboortedatum kan zien waar 'ie vandaan komt als er een datalek van onbekende bron is.
• Een kopie legitimatie alleen waar strict noodzakelijk en dan gewatermerkt (via de KopieID app). Ik overhandig mijn legitimatie niet voor andere doeleinden. Plus: telefoon koop ik zelf, voor SIM only een partij die niet om kopie legitimatie vraagt.
• Als een partij zoals de bank belt: ik geef altijd aan dat ik druk ben en dat ik hun later terugbel. Dan wacht ik een uurtje en bel ze terug via het nummer die ik heb - dit om spoofing tegen te gaan.

Ik ben mij er geheel bewust van dat ik vrij ver ga hierin. Is niet voor iedereen weggelegd en heeft ook zeker een leercurve om het net zo makkelijk te maken als zonder deze maatregelen.

Inderdaad de impact beperken door zo weinig mogelijk gegevens achter te laten. Adresgegevens zijn niet te vervalsen (anders komen je pakketten niet meer aan), maar geboortedatum, telefoonnummer en e-mailadres wel degelijk. En creditcardinformatie tegenwoordig ook. Bij Revolut kun je een tijdelijke creditcard nemen en die weer opheffen als je betaling is gedaan.

Leidt af en toe wel tot hilarische situaties. Achterlijke helpdesk die vraagt om mijn geboortedatum ter controle: U weet uw geboortedatum niet??? Jawel, ik weet m'n geboortedatum wel, maar ik weet niet welke 'geboortedatum' ik uw bedrijf op de mouw heb gespeld...

PhilipsFan schreef op maandag 20 april 2026 @ 18:41:
Inderdaad de impact beperken door zo weinig mogelijk gegevens achter te laten. Adresgegevens zijn niet te vervalsen (anders komen je pakketten niet meer aan), maar geboortedatum, telefoonnummer en e-mailadres wel degelijk. En creditcardinformatie tegenwoordig ook. Bij Revolut kun je een tijdelijke creditcard nemen en die weer opheffen als je betaling is gedaan.

Leidt af en toe wel tot hilarische situaties. Achterlijke helpdesk die vraagt om mijn geboortedatum ter controle: U weet uw geboortedatum niet??? Jawel, ik weet m'n geboortedatum wel, maar ik weet niet welke 'geboortedatum' ik uw bedrijf op de mouw heb gespeld...

En daarom noem jij een helpdesk "achterlijk"?

Plus het klinkt vooral als een jouw-probleem, waar je dan een probleem voor dat bedrijf van aan het maken bent.

Sissors schreef op dinsdag 21 april 2026 @ 08:18:
[...]

En daarom noem jij een helpdesk "achterlijk"?

Plus het klinkt vooral als een jouw-probleem, waar je dan een probleem voor dat bedrijf van aan het maken bent.

Ja. Een bedrijf dat mijn geboortedatum gebruikt om te verifieren dat ik ben wie ik zeg dat ik ben, noem ik achterlijk. Want iedereen weet mijn geboortedatum, daar is helemaal niks geheims aan. Laat ze vragen naar mijn klantnummer, polisnummer oid, dat weet tenminste niet de halve wereld. Maar beter verstuur je een code naar mijn e-mail of 06-nummer, zo doet Vodafone het aan de telefoon.

Een van de grootste problemen die ik tegenwoordig zie is dat:
- bedrijven veelal in de cloud draaien op standaard systemen
- beveilig wordt gedaan middels reguliere mfa methodes en phishing resistant mfa (passkey) blijft achter
- phishing aanvallen snowballing zijn. Van infected bedrijf naar nieuw bedrijf. Mails zijn lastig te herkennen, het mail adres klopt alleen de url wijkt af.

Als aanvaller kun je ivm de standaard apps een bekende login url relatief makkelijk breed phishen dmv een session hijack proxy. Reguliere mfa werkt hier niet tegen.

Tel daarbij op dat dit type malifide sign ins lastig te detecteren zijn en blijven lang onopgemerkt.

Deze cocktails is ongeveer in 2024 echt begonnen en gaat nu steeds harder en harder.

Tegelijk zie ik te weinig bedrijven echt gas geven phishing resistant mfa te upgraden, ze zetten liever in op awareness (maar we weten allemaal hoe effectief dat is)

De enige oplossing is om persoonsgegevens waardeloos te maken door een dynamisch alternatief te bieden voor identificatie.

stel je voor je verliest een ongebruikt OTP (one time password). Ja die is van jou en is uniek en krachtig. Maar door een nieuwe te genereren is de verloren versie ongeldig geworden.

PhilipsFan schreef op dinsdag 21 april 2026 @ 13:39:
[...]

Ja. Een bedrijf dat mijn geboortedatum gebruikt om te verifieren dat ik ben wie ik zeg dat ik ben, noem ik achterlijk. Want iedereen weet mijn geboortedatum, daar is helemaal niks geheims aan. Laat ze vragen naar mijn klantnummer, polisnummer oid, dat weet tenminste niet de halve wereld. Maar beter verstuur je een code naar mijn e-mail of 06-nummer, zo doet Vodafone het aan de telefoon.

Dan moet je natuurlijk wel van al je klanten een up-to-date telefoonnummer hebben om die code naar te versturen. Bij Vodafone heb je die garantie wel, maar veel andere bedrijven kunnen daar niet vanuit gaan.

bw_van_manen schreef op donderdag 23 april 2026 @ 10:07:
[...]

Dan moet je natuurlijk wel van al je klanten een up-to-date telefoonnummer hebben om die code naar te versturen. Bij Vodafone heb je die garantie wel, maar veel andere bedrijven kunnen daar niet vanuit gaan.

Plus dat is nou net hetgeen wat mensen ook niet willen dat een bedrijf heeft van ze...

PhilipsFan schreef op dinsdag 21 april 2026 @ 13:39:
[...]

Ja. Een bedrijf dat mijn geboortedatum gebruikt om te verifieren dat ik ben wie ik zeg dat ik ben, noem ik achterlijk. Want iedereen weet mijn geboortedatum, daar is helemaal niks geheims aan. Laat ze vragen naar mijn klantnummer, polisnummer oid, dat weet tenminste niet de halve wereld. Maar beter verstuur je een code naar mijn e-mail of 06-nummer, zo doet Vodafone het aan de telefoon.

Ik ben het eens dat het niet de sterkste methode is. Hell dat is ook mijn hele punt van veel van de andere gelekte dingen, het zijn nou niet echt topgeheimen. Maar alsnog is het achterlijk om een helpdesk achterlijk te noemen omdat jij niet je geboortedatum kent (die je hebt ingevuld).

Sissors schreef op donderdag 23 april 2026 @ 10:34:
[...]

Plus dat is nou net hetgeen wat mensen ook niet willen dat een bedrijf heeft van ze...


[...]

Ik ben het eens dat het niet de sterkste methode is. Hell dat is ook mijn hele punt van veel van de andere gelekte dingen, het zijn nou niet echt topgeheimen. Maar alsnog is het achterlijk om een helpdesk achterlijk te noemen omdat jij niet je geboortedatum kent (die je hebt ingevuld).

Ik noem de helpdesk achterlijk omdat ze geboortedatum als verificatie gebruiken.

Het is zo makkelijk. Bij alle bedrijven heb je een klantnummer, dat is al zoveel unieker en 'geheimer' dan een geboortedatum. Je kunt ook een code per e-mail sturen voor mensen die hun telefoonnummer liever niet geven.

Wat ik mis (als consument) is een dienst waarbij je een wegwerptelefoonnummer kunt gebruiken. Iets als hide-my-email maar dan voor telefoonnummers. Dat is wel lastig omdat er veel minder beschikbare nummers zijn, maar het zou wel ideaal zijn om je te beschermen tegen overijverige bedrijven.

Oh boy. Daar is de volgende alweer. https://nos.nl/artikel/26...-gestolen-bij-cyberaanval

En het erge: een soort van goedpraterij dat het waarschijnlijk niet op dark web beland.

De gegevens zijn volgens de gemeente tot nu toe niet op het darkweb verschenen. "Experts zeggen dat cybercriminelen van datasheets houden met contactgegevens in één bestand", zegt burgemeester Horn. "Dat hebben ze niet buitgemaakt. We hebben zulke lijsten niet. De contactgegevens die zijn gestolen staan in losse bestanden."

Want nee criminelen kunnen niets met losse bestanden. Eeeuh, pipelines anyone?

marapuru schreef op donderdag 23 april 2026 @ 11:35:
Oh boy. Daar is de volgende alweer. https://nos.nl/artikel/26...-gestolen-bij-cyberaanval

En het erge: een soort van goedpraterij dat het waarschijnlijk niet op dark web beland.


[...]


Want nee criminelen kunnen niets met losse bestanden. Eeeuh, pipelines anyone?

Het meest verontrustende is nog dat volgens de burgemeesters experts dat hebben gezegd. Dan vraag ik mij af wat voor experts dat zijn geweest. Of dat de burgemeester het verkeerd heeft begrepen. Het heeft in ieder geval geen relatie met het wel of niet verschijnen op het darkweb.

Het echte probleem van al deze incidenten is imho de pakkans van de criminelen.
Zolang die zo laag is, moet de beveiliging aan de andere kant perfect zijn. En perfecte security dat bestaat niet.

In de fysieke wereld heeft mijn huis ook niet het perfecte slot maar er is iig een pakkans als een dief daar staat met zijn breekijzer.

De oplossing om die pakkans te vergroten door bv een nieuw soort internet is niet eenvoudig, bijna onmogelijk.
Maar ik denk minder onmogelijk dan perfecte security

[ Voor 3% gewijzigd door laurens0619 op 23-04-2026 13:10 ]

Het beste is om persoonsgegevens niet te geven. Althans, geen echte, tenzij het noodzakelijk is.
Als je gegevens wel geeft, dan is het de vraag of ze na afloop worden verwijderd. Je kunt hiervoor dit recht gebruiken: https://www.autoriteitper...t-op-gegevens-verwijderen.

Veel meer kan je helaas niet doen. Niet geven is het beste, maar dat principe is tegenwoordig lastig te hanteren. Het hangt er vanaf hoe principieel je bent

MallePietje schreef op donderdag 23 april 2026 @ 16:56:
Het beste is om persoonsgegevens niet te geven. Althans, geen echte, tenzij het noodzakelijk is.
Als je gegevens wel geeft, dan is het de vraag of ze na afloop worden verwijderd. Je kunt hiervoor dit recht gebruiken: https://www.autoriteitper...t-op-gegevens-verwijderen.

Veel meer kan je helaas niet doen. Niet geven is het beste, maar dat principe is tegenwoordig lastig te hanteren. Het hangt er vanaf hoe principieel je bent

Sowieso altijd na afloop van een abonnement of iets anders relationeels met een bedrijf een verzoek om verwijdering sturen en het antwoord hierop bewaren. Het is overigens geen garantie dat data dan niet meer gelekt wordt. Alleen als er gelekt wordt, hebben ze onrechtmatige data in handen.

Als je je hier nu al zo druk over maakt, vrees ik dat het tijd wordt om preventief vast wat pilletjes te gaan slikken: er zijn nu al 2 AI (bijvoorbeeld Mythos ) die aangetoond hebben nagenoeg alles te kunnen kraken. Ze beweren de code voorlopig onder de pet te houden, maar als dat loskomt dan reken er maar op dat er dagelijks berichten gaan komen over software, firewalls, routers, servers, noem maar op gehackt zijn.

Datalek op datalek - We zijn het zat! Wat kunnen we doen?

Vrij simpel: verwijder de honeypot.

Persoonsgegevens zoals NAW: Is nooit een issue geweest in het verleden hence de telefoongids.
E-mail: Wil iemand mij vertellen waarom we dit archaïsch systeem nog gebruiken? Het is lekker dan lek.
BSN: Iedere ID heeft een NFC. Wat is dan de meerwaarde nog? De fiscus? Die kunnen vast iets anders bedenken
IBAN: Zou geen issue zijn als het bij de bron beter beveiligd en/of te managen is.
Identificatie: We hebben IDIN dus waarom documentnummers opslaan?

Nee de honeypot is ontstaan vanwege gemak en het is niet raar dat daar uiteindelijk misbruik van gemaakt wordt.

liberque schreef op donderdag 23 april 2026 @ 19:13:
Datalek op datalek - We zijn het zat! Wat kunnen we doen?

Vrij simpel: verwijder de honeypot.

Persoonsgegevens zoals NAW: Is nooit een issue geweest in het verleden hence de telefoongids.
E-mail: Wil iemand mij vertellen waarom we dit archaïsch systeem nog gebruiken? Het is lekker dan lek.
BSN: Iedere ID heeft een NFC. Wat is dan de meerwaarde nog? De fiscus? Die kunnen vast iets anders bedenken
IBAN: Zou geen issue zijn als het bij de bron beter beveiligd en/of te managen is.
Identificatie: We hebben IDIN dus waarom documentnummers opslaan?

Nee de honeypot is ontstaan vanwege gemak en het is niet raar dat daar uiteindelijk misbruik van gemaakt wordt.

Je hebt meer data dan je BSN en je documentnummer. Die wrat op je kont, die ingegroeide teennagel, die moeilijke jeugd, dat akkefietje met de buurman, je cijferlijst, DNA profiel, kappersafspraak, je bankgegevens, er zijn zoveel dingen die ook mee uitlekken met al die datalekken en hacks dat je gewoon geen enkele vorm van privacy hebt en je identiteit eenvoudig gestolen kan worden.

Problemen worden groter doordat overheden die het nodig vinden om tools als Palantir tegen hun inwoners te gaan gebruiken gewoon gaan voeden met die informatie en opsporing gaan doen met je voordeurbel. Tot jij het volgende doelwit bent. Tis niet alleen Rusland, China et al, die dit doen, maar je kan ook slachtoffer van je eigen 'regime' worden zo weten we heel goed.

Allemaal erg distopisch. En allemaal erg actueel en gaande, helaas.

Dus: ik denk dat we na deze realisatie weer moeten ontkoppelen. De EU van het internet als zodanig af en wij als mensen ook beperken wat we in de cloud, met de cloud van de cloud gebruiken, delen, krijgen. We verliezen momenteel de strijd om de data en privacy enorm, de daders zijn georganiseerd, full time betaald en hebben maar 1 doel - samenleving ontregelen, data stelen en misbruiken wanneer mogelijk. Geld is bijzaak, maar niet onbelangrijk.

Ik vind de security sector inmiddels naïef: de ergste distributie aanvallen vonden plaats via die tools die ons veilig moesten houden en uiteindelijk hebben al die maatregelen, standaarden, etc ons nauwelijks weten te beschermen. Probleem is immers: als 1 Odido medewerker per abuis toegang geeft aan een crimineel is alle data al publiek. En als die het niet per abuis geeft bieden ze geld, stelen ze de diepste geheimen en chanteren ze, er is altijd een weg om alle maatregelen heen - zolang alle data op 1 plek staat gaat het gestolen worden, dat is inmiddels wel duidelijk hoop ik.

Het moet eerst misgaan voordat er echte verbetering komt. Blijkbaar is het nog niet vaak genoeg mis gegaan en is de schade als gevolg van gevallen waarin het wel misging relatief beperkt.

Modbreak:

Een AI-gegenereerde post om een topic mee te beginnen is natuurlijk niet de bedoeling, als de TS vervolgens niet meer deelneemt aan de discussie dan voegt dat niet veel toe, deze gaat dan ook op slot.

Mocht er behoefte bestaan aan een algemeen datalek-topic, buiten wat al in de bestaande topics besproken wordt, dan kan dat natuurlijk maar wel op basis van een degelijkere topicstart.