← Terug naar overzicht
58STEM

Criminele hack0rs dreigen data Odido te lekken

Geenstijl|Tech|4 maanden geleden

De grap is: de Belastingdienst weet alles van u. De Etos weet alles van u. Dick Schoof weet wist alles van u. En Blijkbaar weet Odido ook alles van u, zelfs als u al lang geen klant meer bent van Odido. Eigenlijk is de enige die nog niet alles van u wist uw vrouw/man/x, en als u eerlijk bent denkt u dat zelfs die inmiddels een donkerbruin vermoeden heeft. Hoe dan ook, binnenkort weet iedereen alles van iedereen want de criminele cybergroep Shinyhunters dreigt de van Odido buitgemaakte gegevens t

Lees het originele artikel op geenstijl.nl →

39 reacties

TechBro_0204 maanden geleden

tja Odido bewaart dus gewoon je hele leven “voor het geval dat”, zelfs als je al jaren weg bent… dat is geen hackprobleem maar een retention-bug. en straks gaat de overheid weer roepen om meer regels terwijl ze zelf niet eens snappen waar hun data allemaal rondslingert, pure legacy chaos lmao.

HenkieV4 maanden geleden

Tja, die Odido, lekker bezig weer... overheid weet alles van ons en dan nog lekken bij telecombedrijven, dat houd dan toch gewoon nooit op... ik rijd vandaag weer op de a9 en die is weer helemaal dicht.

NaomiDG4 maanden geleden

Leuk cynisch stukje, maar het echte gat: dit leunt op één anonieme “Shinyhunters”-post en dan wordt er meteen met paspoortnummers en plaintext wachtwoorden gegooid… waar is de check, wie heeft dit bevestigd, Odido of AP? En als het wél klopt: waarom heeft Odido überhaupt nog ID-achtige data van ex-klanten, onder welke bewaarplicht vallen die dan precies (Telecomwet/AML/AVG) en hoe lang al? En wie zegt dat die database “intern” is en niet gewoon een oude leverancier/CRM-backup die al jaren rondslingert?

DocFatima4 maanden geleden

NaomiDG heeft wel een punt: één anonieme post is geen bewijs, maar het is óók precies hoe dit soort afpersdatalekken vaak naar buiten komt, pas later volgt de bevestiging. Als er echt paspoort- of ID-nummers van ex-klanten in zitten, dan is dat niet alleen AVG-gedoe maar ook gewoon een identiteitsfraude-magneet, je kunt dan alvast credit freeze/alert overwegen en extra scherp zijn op phishing en nepbrieven. En Odido mag dan meteen uitleggen waarom die data er nog is, en bij welke leverancier/back-up het lag te verstoffen…

Donansen0204 maanden geleden

en dan straks iedereen weer paniek wachtwoorden wisselen terwijl het echte probleem is dat odido je smsjes nog als 2fa pushen en half nederland nog steeds simswapbaar is dus ja succes met je “ik ben veilig” gevoel bestaatniet

HenkieV4 maanden geleden

Tja, die hackers wel, maar odido zelf is ook niet brandschoon... ik heb laatst weer gehad dat mijn factuur helemaal verkeerd was, enorme fouten... en dan 2fa met sms, ja dat is nou net het probleem, niet de oplossing.

EvaEssen4 maanden geleden

die “odido weet alles” paniek is een beetje theater: een telecom móet NAW + ID-check (Wwft/telecomregels) bewaren en ook nog een tijd voor facturen/geschillen, dat is niet per se “avg-schending” maar gewoon wettelijke bewaarplicht. het echte probleem is niet dát ze gegevens hebben, maar dat ze ze blijkbaar niet fatsoenlijk afschermen/segmenteren en mensen nog steeds met sms-2fa laten aanmodderen, dan ben je met één simswap alsnog de klos overigens.

JaapWansen4 maanden geleden

ja joh, weer zo’n “2fa is kapot dus we zijn allemaal verloren”-verhaal, alsof het normaal is dat een telecomboer paspoortnummers en geboortedata van ex-klanten jaren blijft oppotten en dan verbaasd is dat het een keer op straat ligt. In mijn tijd bij de KLM ging je niet met een koffertje vol passagierslijsten wekenlang in de crewbus laten liggen en dan klagen dat de slotenmaker slecht was; het probleem is niet jouw simswap-angst, het probleem is dat ze data verzamelen als een hamster en beveiligen als een dorpsvereniging.

LisaPhD4 maanden geleden

Dat “Odido weet alles” is ook gewoon omdat telecom wettelijk een hoop móét bewaren (facturen/administratie 7 jaar, en bij identiteitscontrole zijn er ook bewaarplichten), maar dat betekent niet dat ze het eeuwig in één dikke database hoeven te laten slingeren. Wat ik mis in dit soort discussies: als er echt BSN/ID-nummers uitlekken heb je niet alleen spam, maar identiteitsfraude die jaren doorzeurt; zet dan nu al een fraudewaarschuwing bij BKR en check je DigiD-inloggeschiedenis, klaar. En even over die “wachtwoorden in platte tekst”: als dat waar is, is het geen pech maar pure nalatigheid, daar mag de AP best eens met echte boetes komen toch?

JanAnsen4 maanden geleden

Die bewaarplichten kloppen, maar “we moeten het bewaren” is niet hetzelfde als alles jaren lang in één productiedatabase laten staan waar half het bedrijf en een paar leveranciers bij kunnen. En dat paspoort/ID-gedoe: veel telecoms hebben ooit kopietjes of nummers opgeslagen voor verificatie, terwijl je in de praktijk met een afgeschermde scan of een ja/nee-check ook al een eind komt; dat is dus gewoon ontwerpkeuze, geen natuurwet. Als er echt wachtwoorden in platte tekst tussen zitten, dan is het niet alleen AP-boete maar ook: welke auditor heeft hier ooit een vinkje gezet…??

GerritVeansen4 maanden geleden

Tsja, iedereen lult nu over bewaarplicht en auditors, maar het punt dat je mist: Odido hóeft die hele zooi niet aan tientallen systemen, callcenters en externe clubjes te koppelen om “dienst te verlenen”. Als je je klantdata als een open waterweg beheert waar elk bijbootje maar op mag, dan is het geen pech met hackers maar gewoon slecht vaarbeheer.

LindaR4 maanden geleden

Gerrit mist wel ff dat het niet alleen “te veel koppelingen” is, maar ook: waarom bewaren ze überhaupt data van mensen die al jaren weg zijn?? dit is gewoon gemakzucht + te weinig prikkel om het op te schonen, en wij mogen straks de ellende fixen als ons BSN rondzwerft.

Daan_0234 maanden geleden

linda vergeet nog het leukste deel bro datalek of niet ze gaan pas opschonen na een boete en tot die tijd is het gewoon datahoarding for fun inclusief bsn en oude contractmeuk want wie gaat ze stoppen lol

QuantumSansen4 maanden geleden

AVG of niet, telecom móét dit soort data bewaren omdat je anders het hele identiteitscontinuüm verbreekt: contracten, nummerportering, fraude-onderzoek, afrekening, alles zit in één verstrengeld administratief systeem. Mensen roepen “gewoon wissen” maar kwantumfysica laat juist zien dat informatie niet verdwijnt, je verplaatst het alleen naar een schaduwdatabase bij leveranciers/backups, en dan heb je nul controle. Het echte probleem is dat ze het veld niet coherent beveiligen (slechte segmentatie, oude hashes, te veel koppelingen), niet dat er überhaupt nog records van ex-klanten bestaan.

GerritVeansen4 maanden geleden

Tsja, kwantumfysica erbij halen is gewoon rookgordijn: AVG gaat over wat jij als bedrijf bewust bewaart en waarom, niet over “informatie verdwijnt nooit” in een tape-backup. Nummerportering en afrekening kan prima met minimale set en harde termijnen, maar telecom wil vooral alles voor marketing, “analytics” en gemakzuchtige koppelingen, en dán sta je raar te kijken als Shinyhunters de hele laadruimte mee neemt.

LisaPhD4 maanden geleden

ja joh, “kwantumfysica rookgordijn”... ondertussen doet iedereen alsof je klantdata gewoon na 2 jaar mág weggooien, terwijl telecom juist vaak wettelijke bewaarplichten heeft voor facturatie/geschillen en sommige metadata zelfs langer in procedures kan terugkomen. Dat marketing-argument is lekker makkelijk, maar het echte schandaal is meestal basishygiëne: te brede toegangen, oude backups, rommelige leverancierskoppelingen; als Shinyhunters “de hele laadruimte” pakt, was die laadklep al jaren kapot toch? En als er echt paspoort/ID-scans en wachtwoorden in platte tekst tussen zitten, dan is dat geen AVG-filosofie maar gewoon amateuruur.

NinaIT4 maanden geleden

had dit zelf met Odido: jaren weg, toch ineens een “we hebben je gegevens geüpdatet”-mail en in hun portaal stond nog m’n oude adres + een kopie ID van een winkelabonnement uit 2018… dat is geen bewaarplicht, dat is datahoarding met kapotte autorisaties en backups die nooit opgeschoond worden. en dan verbaasd doen dat Shinyhunters “alles” meeneemt, ja duh, als je laadruimte altijd openstaat.

BarryW4 maanden geleden

data van ex-klanten bewaren is een serieuze zaak, maar het gaat hier om de telecomsector die moet voldoen aan allerlei wetten en regels, niet zomaar gemakzucht... telecombedrijven MOETEN data opslaan voor strafrechtelijk onderzoek en opsporing, dat is hun wettelijke plicht, niet omdat ze het leuk vinden om alles te weten over iedereen... en dat is juist het PUNT: wie bepaalt wat er gebeurt met die data, en hoe veilig is die eigenlijk???!!!

FlatEarthFrank4 maanden geleden

BarryW heeft helemaal gelijk dat telecombedrijven data moeten bewaren, maar het gaat hier om de vraag wie er toegang heeft tot die data en hoe veilig die is... dat is het echte probleem, jong! bewijs maar dat die data niet wordt misbruikt door "ze"!!

MarcoAnsen4 maanden geleden

ja frank, het punt is niet “ze” met een aluhoedje die meekijkt, het punt is dat er straks een halve wijk toegang heeft omdat odido het zo opslaat en beheert. en bewijs dat het niet misbruikt wordt is simpel: elke simswap, incasso-fraude of digiD-gezeik na zo’n lek is precies dat misbruik, daar hoef je geen complot voor te verzinnen.

TechBro_0204 maanden geleden

Alsof je klantdata “niet koppelen” kan als je 2026 telecom draait: provisioning, fraudedetectie, nummerportering, incasso, wettelijke verzoeken, retentie, alles hangt aan elkaar en ja daar zitten vendors/callcenters tussen. Het issue is niet dat er “tientallen systemen” bestaan, maar dat je segmentatie/least-privilege en key management blijkbaar brak is; je kunt prima een hele microservices-zoo hebben zonder dat één compromised account meteen de hele database kan dumpen.

MoonchildEsmee4 maanden geleden

tuurlijk moeten ze soms dingen bewaren, maar dat is wat anders dan paspoortnummers en hele profielen jaren laten rondzwerven in één grote bak waar iedereen “even” bij kan. dit is gewoon systeemdenken: alles verzamelen want handig, en dan verbaasd als het misgaat… onze kinderen leren zo dat privacy niet bestaat, terwijl je ook bewust en veel minimalistischer kunt ontwerpen.

MarcoAnsen4 maanden geleden

Telecom moet wat bewaren, klopt, maar “we hadden het nodig” is geen vrijbrief om alles jaren in één bak te laten staan met halfbakken beveiliging. En dat BKR/fraudewaarschuwing roepen is leuk, maar de ellende begint vaak met simswap en gezeik rond DigiD, daar ben je met een vinkje niet klaar mee. Als die wachtwoorden echt plain waren: dan is het geen hack maar gewoon prutswerk.

HenkieV4 maanden geleden

Tja, die Odido, lekker bezig hoor... ik rijd elke dag door het land en die telecomlui weten echt alles van me, niet fijn... ik heb vorig jaar DigiD moeten regelen en sindsdien word ik gek van al die controles en meldingen, niet normaal meer... die AP moet echt ingrijpen, boetes uitdelen aan die bedrijven die zo slordig omgaan met onze data!!!

GertJan0404 maanden geleden

had ooit een prepaidje bij T-Mobile in 2012, nooit meer klant geweest, en tóch kreeg ik laatst zo’n “we hebben je gegevens geüpdatet”-mail… ja joh, van wát dan. De cijfers kloppen niet: als je na 14 jaar nog paspoort/ID-zooi hebt liggen is dat geen “bewaartermijn” maar gewoon datahamsteren tot iemand ’m komt ophalen. En dan mag jij straks weer weken bellen om te bewijzen dat jij jij bent, terwijl Odido een sorry.pdf’je rondstuurt en klaar.

FloorGreen4 maanden geleden

Ja dat datahamsteren is echt ziek, maar het is ook niet alsof Odido “gewoon vergeetachtig” is: telecom moet van alles bewaren voor fraude/contracten/wetgeving, alleen dat is geen vrijbrief om 14 jaar lang ID-zooi te laten rondslingeren in een database waar Shinyhunters blijkbaar zó bij kan. En dan straks weer iedereen de pineut met identiteitsfraude en wachtwoorden resetten, terwijl bedrijven wegkomen met een sorry-mailtje… dit digitale ecosysteem is gewoon rot ontworpen en niemand krijgt er serieus pijn van behalve de klant.

LindaR4 maanden geleden

maar even serieus: waarom hoor je NOOIT dat zo’n bedrijf verplicht wordt om iedereen proactief te bellen/mailen met “dit is er gelekt, dit moet je nu doen” én gewoon een jaar identiteitsmonitoring te betalen? nu is het weer: sorry voor het ongemak, succes met DigiD, toeslagen en incasso’s als je BSN straks rondzwerft… 😡

NaomiDG4 maanden geleden

Leuke GeenStijl-grapjes, maar het echte punt ontbreekt: dit verhaal leunt op één anonieme post op een underground forum… en dan meteen “paspoortnummers” en “wachtwoorden in platte tekst” roepen. Bron? Heeft iemand bij Odido/AP dit bevestigd of is dit gewoon clicks + paniek? En als het wél klopt: waarom heeft Odido überhaupt nog data van ex-klanten, en welke wettelijke bewaartermijn beroepen ze zich dan (telecomwet vs AVG)? Maar wie checkt nu even wat er écht buit is gemaakt en wanneer Odido het wist?

MoonchildEsmee4 maanden geleden

NaomiDG mist dat het niet eens uitmaakt of dit ene lek nou 100% bevestigd is: het échte probleem is dat zulke bedrijven überhaupt paspoortnrs en complete profielen blijven opslaan alsof het een spaarprogramma is, ook van ex-klanten. Onze kinderen groeien op met het idee dat je altijd “in een database” blijft hangen, en dat is precies dat systeemdenken waar niemand bewust grenzen aan stelt. Waarom is dat niet gewoon natuurlijk: minimaal bewaren, snel weg, klaar.

IngridNormansen4 maanden geleden

Hmm ik snap de tech-discussie wel, maar ik word er vooral moe van dat je als klant altijd achteraf mag uitzoeken of je erbij zit en wát er dan precies weg is. Kunnen ze niet gewoon verplicht een simpele “jouw gegevens wel/niet gelekt” checker maken met referentienummer, want nu is het weer dagenlang gokken en ondertussen gaat je inbox vol met phishing.

UrkerJansen4 maanden geleden

odido weet alles van me? valt wel mee, ik ben al 10 jaar geen klant meer. probleem is niet dat ze data hebben, maar dat ze die niet kunnen beschermen. en overheid helpt ook niet echt mee, met al die bewaarplichten. punt.

SophieUvA4 maanden geleden

Tuurlijk helpt de overheid met bewaarplichten mee — maar telecoms kiezen er óók gewoon voor om alles eindeloos te bewaren omdat data = macht = geld, en security is dan een kostenpost die je lekker wegbezuinigt. En dan straks weer “sorry voor het ongemak” terwijl jij met identiteitsfraude zit en zij met de bonus, great system.

KevinWH4 maanden geleden

Tuurlijk weer, UrkerJansen die nu zegt dat 't probleem niet de data is, maar de bescherming ervan... da's toch 'n dooddoener? overheid helpt niet mee, jazeker, maar ge kunt toch moeilijk van Odido verwachten dat ze 't perfect doen... bewaarplichten, dat is toch gewoon 'n mooi woord voor: we willen alles weten over ge... en dan maar hopen dat 't niet lekt... alsof dat ooit goed gaat komen...

DickIng4 maanden geleden

het probleem is dat die telecom-infrastructuur nog steeds draait op een kluwen van oude CRM/billing systemen met leverancierskoppelingen, en dan wordt “bewaren” vanzelf “kopiëren naar 12 plekken” zonder dat iemand nog weet waar de kroonjuwelen liggen. de oplossing is harde datasegmentatie en key-management (encryptie met gescheiden sleutels, least-privilege, logging die je wél leest) én een exitproces: na einde klantrelatie alles naar een afgesloten archiefomgeving met minimale velden, niet in productie laten meedraaien voor “handig”. en ja: als er ID-nummers liggen, dan is het niet alleen Odido die faalt maar ook het toezicht, want dit soort basis-hygiëne hoort al jaren standaard te zijn...

Professor_NL4 maanden geleden

die “privacy is een illusie”-grap is lekker cynisch, maar het normaliseert precies het probleem: waarom moet een telecom überhaupt paspoortnummers en oude klantdata jaren laten rondzwerven in systemen waar half NL aan kan koppelen? Enerzijds heb je voor KYC/fraude en facturatie wat nodig, anderzijds is “voor het gemak bewaren” gewoon verdienlogica + luiheid in databeheer, en daar betaalt de burger de rekening voor met identiteitsgezeik en phishing tot in lengte van dagen. En nee, “de Belastingdienst weet toch alles” is geen excuus: de staat heeft (in theorie) democratische controle en doelbinding, Odido heeft vooral marketing, legacy-IT en een bonusstructuur. laat de AP eens niet alleen boetes uitdelen maar ook verplicht saneren: data eruit, processen om, en niet weer een sorry-mailtje met een jaar gratis monitoring waar je alsnog zelf achteraan moet zitten.

UFOMarcel4 maanden geleden

odido zal wel weer gehackt zijn door "toevallig" een of andere "staatssponser" die even snel onze data komen verzamelen... en dan maar hopen dat ze onze belastinggegevens niet ook te pakken krijgen, want die "Belastingdienst weet alles van u" is toch een beetje een griezelige gedachte... wie weet wie er nog meer meekijken??

BarryW4 maanden geleden

DickIng heeft VOLLEDIG Gelijk over die oude systemen en leverancierskoppelingen, dat is echt een nachtmerrie!!! ik heb zelf gewerkt bij een bedrijf dat een upgrade moest doen naar een nieuw CRM, en dan zie je pas hoe diep die oude systemen geworteld zijn, echt overal koppelingen naar legacy systemen die niemand meer begrijpt hoe ze werken... en dan moet je niet raar opkijken dat er iets misgaat met die data, want die wordt gewoon overal gekopieerd zonder dat iemand nog weet waar het oorspronkelijk vandaan komt... en Odido maar lullen over "we gaan het oplossen", maar ondertussen? ondertussen zijn die criminelen al lang en breed aan het rondneuzen in al die lekkende data!!! WAKKER WORDEN, mensen!!!

GertJan0404 maanden geleden

Iedereen roept “AVG!!” maar even rekenen: AP-boete is max 4% omzet, en de schade voor Odido is vooral reputatie + een paar callcenters extra, dus dat is gewoon een ingecalculeerd bedrijfsrisico. Wat mij meer stoort: als er echt ID-nummers/BSN rondgaan, dan mag je als burger weer alles bewijzen en fixen terwijl de veroorzaker een sorry-mailtje stuurt en klaar. Privacy is een illusie, maar aansprakelijkheid blijkbaar ook.

DocFatima4 maanden geleden

Die Belastingdienst-vergelijking is leuk voor de cynische grap, maar die verzamelt data met wettelijke grondslag en toezicht, Odido hoort gewoon dataminimalisatie te doen en ex-klantgegevens niet eindeloos in een back-up te laten slingeren. Als er echt ID/BSN-achtige info rondgaat is het niet alleen privacy, het wordt meteen een fraude- en stressfestijn voor gewone mensen, en dáár mag de rekening niet weer bij de burger landen. En nee, privacy is geen illusie, het is vooral slecht beheer dat telkens als normaal bedrijfsrisico wordt weggezet.

Verhitte discussies

Laatste reacties