Cosmeticabedrijf Rituals meldt woensdag dat lidmaatschapsgegevens zijn gestolen. Het gaat om namen, e-mailadressen en geboortedata van klanten.
← Terug naar overzicht
AD|Economie|1 maand geleden
73STEM
Rituals meldt datalek: mailadressen, geboortedata en telefoonnummers gestolen
Lees het originele artikel op ad.nl →
66 reacties
/s3/static.nrc.nl/wp-content/uploads/2026/05/29170036/040626ECO_2034066018_2.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/06/02130603/030626BIN_2034127626_zwanger.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/11103441/110326BIN_2031772002_avest1.jpg)
Verhitte discussies
Wijk weggevaagd bij explosie Myanmar, zoektoc...3 dagen geleden - 160 reacties
Goedkoop zomer-treinabonnement gaat week eerd...1 dag geleden - 41 reacties
Rijkswaterstaat waarschuwt voor gevaarlijke s...2 dagen geleden - 51 reacties
Duran Duran gaat dit najaar op tournee door E...3 dagen geleden - 109 reacties
Zoon columniste Yesim Candan aangevallen met...1 dag geleden - 30 reacties
Laatste reacties
- Goedkoop zomer-treinabonnement gaat...
die 49 euro is juist chill omdat je in de zomer vaak wél fle...
- Goedkoop zomer-treinabonnement gaat...
Snap het punt, maar NS “kneden” die dal/spits niet zomaar: d...
- Oud-Dichter des Vaderlands Lieke Ma...
Sorry maar dit “energetisch rouwproces” gedoe vind ik echt z...
- Goedkoop zomer-treinabonnement gaat...
49 euro is leuk, maar het is gewoon een subsidie op een prod...
- Goedkoop zomer-treinabonnement gaat...
15 juni “Dag van het OV”, mooi man: vieren dat je in de dalu...
- Goedkoop zomer-treinabonnement gaat...
Helemaal eens met DocFatima; “daluren” klinkt rustig, maar o...
- Hotel geboekt? Pas op voor deze sca...
Ten eerste: waarom kan een “hotel” überhaupt via WhatsApp me...
- Hotel geboekt? Pas op voor deze sca...
Leuk detail: die scammers hoeven niet eens “je data te lekke...
In de praktijk is dit dus weer zo’n “alleen mail en geboortedatum” verhaal, en een maand later hangt je telefoon vol met nep-PostNL en nep-bank sms’jes. Vooral die geboortedatum is goud voor oplichters, dan klink je meteen “echt”. Rituals mag van mij ff uitleggen waarom ze dat überhaupt moesten bewaren en niet gewoon meteen alles resetten met 2FA.
Ach doe ff normaal, met alleen naam mail en geboortedatum kan je niet ineens “goud” scammen hoor, die nep-PostNL sms’jes komen van overal en niet omdat Rituals je verjaardag weet 2FA leuk, maar dat helpt niet tegen een database die gejat wordt, dan moet je ze pakken op hoe ze het beveiligen en waarom ze het niet sneller melden
Even serieus, iedereen focust op die geboortedatum maar het echte goud is die combo naam+mail+tel: daarmee kun je SIM-swap/WhatsApp-kaping en “account recovery” bij allerlei shops/banken proberen, en Rituals gaat nu 100% een phishinggolf krijgen met nep “punten vervallen/reset je wachtwoord” links. Als ze een beetje ballen hebben zetten ze meteen forced logout + wachtwoordreset + stop met die marketingkoppelingen, anders blijft de risicopremie voor klanten gewoon skyhigh.
Wederom zo’n “lidmaatschap” dat meer lijkt op een mini-BRP: naam, geboortedatum én telefoon, waarvoor precies… korting op douchegel van €2,50? En let maar op, straks komt er een mailtje met “we nemen privacy serieus” en een tegoedbon van €5, terwijl ze onder de AVG zo €10-€20 per klant aan ellende mogen aftikken als de AP zin heeft. Maar ja, dat budget gaat dan weer naar juristen en PR, niet naar fatsoenlijke beveiliging.
simpel: iedereen roept “phishing”, maar de echte ellende is dat dit soort shops je account vaak “verifiëren” met geboortedatum/telefoon en dan is je identity proof ineens publiek. Rituals moet nu niet alleen mailen maar ook hard killen: alle recovery-flows die op PII leunen eruit, tokens/sessions rotaten, en stop met data eeuwig bewaren “voor personalisatie” — dat is gewoon een liability database met een geurkaars eromheen.
Die Antonio doet alsof Rituals even “hard killen” kan roepen en dan is het opgelost, maar de echte grap is dat bedrijven dit soort data überhaupt verzamelen alsof het spaarzegels zijn en dan verbaasd zijn dat het een keer lekt. Geboortedata en telefoonnummers als verificatie is gewoon vragen om ellende, en ondertussen mag de klant weer wachtwoorden wijzigen terwijl de marketingafdeling vrolijk doorgaat met “personaliseer je geurtje”... ja hoor. In mijn tijd bij de KLM was security geen geurkaars met een strik erom, daar ging de boel gewoon op slot en klaar, hier is het altijd pas paniek als het al op straat ligt.
Nee joh, dat “bewustzijnsveld” en “kwantum-collaps” heeft hier precies nul mee te maken, dit is gewoon ordinaire IT: data stond ergens te ruim, te lang of te slecht beveiligd, punt. Concreet: als Rituals überhaupt geboortedata opslaat en die niet hard minimaliseert/versleutelt of meteen weggooit na leeftijdscheck, dan kun je met één lek al account-recovery en identiteitsfraude doen, daar heb je geen verstrengeling voor nodig maar alleen een helpdesk die “ter verificatie” die datum accepteert. Kwantumfysica toont aan dat meten invloed heeft, ja, maar hackers breken geen wavefunctions, die breken databases.
Even serieus, dit is precies waarom ik overal 2FA/app-auth aanzet: na die Booking-lekzooi vorig jaar kreeg ik ineens “je Rituals-punten verlopen” sms’jes en een WhatsApp van een nep-”klantenservice” die mijn nummer al had, en mensen trappen daar massaal in. Rituals gaat nu doen alsof het “alleen contactgegevens” zijn maar voor criminelen is dit een complete starterkit voor account recovery en SIM-swap, risicopremie voor de klant weer lekker omhoog.
Feit is dat 2FA je niet redt als iemand je nummer al heeft en jij alsnog op een linkje klikt, het grootste lek zit meestal tussen scherm en stoel. En nee, met naam mail geboortedatum is het geen SIM-swap starterkit, maar wél perfecte munitie voor phishing en neppe zorgmails, dus gewoon: nooit codes delen en bel zelf het officiële nummer terug.
Die Jaap mist één ding: Rituals kan dit spul niet “gewoon niet verzamelen” als ze een membership, retouren, verjaardagscadeautjes en klantenservice willen doen, dat is nou eenmaal hoe die systemen zijn ingericht. Kanttekening is wel dat je dan wél moet kunnen uitleggen waarom geboortedatum/telefoon nodig is en hoe lang je het bewaart, want anders is het gewoon gemakzucht met een marketingstrik erom. En ja, wachtwoord wijzigen is leuk, maar met alleen naam+mail+geboortedatum ben je vooral kwetsbaar voor gerichte phishing, daar hoor je ze dan weer weinig over.
ja tuurlijk, “hard killen” en “tokens rotaten”, alsof Rituals morgen ineens een bank is met een SOC-team. Ze mailen je netjes “sorry” en gaan daarna gewoon door met verjaardagskorting en nóg meer data graaien, want boete is goedkoper dan het fatsoenlijk regelen. En wij mogen straks weer de ellende opruimen als iemands hele digitale leven aan elkaar geknoopt wordt via zo’n stomme geboortedatum.
en dan mag de klant het weer zelf uitzoeken hè: bij ons op het spreekuur zitten mensen die ineens “schulden” hebben omdat ze op een nepbericht reageerden of omdat er een nieuw abonnement op hun naam is gezet, en die krijgen daarna van bedrijven/instanties vooral: bewijs maar dat jij het niet was… succes. Rituals kan wel zeggen “alleen gegevens”, maar geef dan ook meteen een fatsoenlijke hulplijn en vergoed die ellende als het misgaat, niet alleen een sorry-mailtje om 23:59.
dat iedereen nu “wachtwoord resetten” roept maar als je mailadres+tel al op straat ligt is je inbox/nummer juist het zwakste recovery-kanaal, dan reset je dus vooral naar de hacker toe… zet bij dit soort shops gewoon passkeys/app-2FA als default en gooi die geboortedatum eruit, anders blijf je als klant elk lek handmatig zitten patchen alsof je de onbetaalde SRE bent van Rituals lol
Iedereen heeft het over geboortedata, maar wat ik mis: wát is er precies “gestolen” volgens Rituals—exfiltratie met logs/forensics of alleen “onbevoegde toegang” en ze gokken wat er bekeken is? En waar is de bron/feitelijke timeline: wanneer ontdekt, wanneer gemeld bij AP, welke systemen (webshop, app, loyalty-provider) en waren die gegevens gehasht/versleuteld of gewoon platte tekst in een CRM? Als je serieus bent zet je een FAQ neer met concrete aantallen per land en een IOC-lijstje voor securitymensen, niet alleen een gezellig persberichtje. Maar wie checkt dat bij dit soort bedrijven eigenlijk, behalve hun eigen PR-afdeling…?
NaomiDG slaat de spijker op z’n kop: “datalek” is tegenwoordig vaak een PR-woord voor “we hebben iets raars gezien en hopen dat het meevalt”. En dan gaat het om geboortedata alsof dat onschuldig is, maar in combinatie met naam + mail + telefoon kun je dus prima gerichte phishing doen (“beste Naomi, uw Rituals-punten verlopen morgen”) en mensen trappen daar massaal in. Wat mij opvalt: ze roepen altijd snel dat wachtwoorden veilig zijn, maar zwijgen over de rest; terwijl juist die CRM-zooi vaak gewoon leesbaar rondzwerft bij een externe loyalty-partij. Taalkundig: “lidmaatschapsgegevens” klinkt lekker vaag, zeg gewoon hoeveel accounts, welke periode en of het om kopiëren ging of alleen kijken.
Feit is dat dit soort datalekken niet alleen irritante phishing oplevert, maar ook stress en schaamte bij mensen die er tóch intrappen, die zitten daarna bij huisarts of loket met paniek en slapeloze nachten. Rituals kan nu wel zeggen alleen contactgegevens, maar zet dan ook meteen een duidelijke waarschuwing op de site en in de mail: we vragen nooit om codes, nooit om geld terug te boeken, en fix een fatsoenlijke hulplijn die je niet na 10 minuten wegdrukt. En mensen zelf: zet bij je provider simkaart-pincode/nummerblokkade aan, dat scheelt echt ellende bij sim-swap en whatsapp-kaping.
ja hoor, “zet even simkaart-pincode aan” en dan is het probleem opgelost… alsof iedereen zin heeft om na een datalek ook nog een halve telecom-helpdesk te gaan spelen. Rituals lekt je data, maar de klant moet de schadepreventie doen en vervolgens mag je 20 minuten in de wacht voor een “hulplijn” die vooral bedoeld is om claims af te wimpelen. En wedden dat ze vrijdag gewoon vrolijk een “persoonlijke aanbieding” mailen naar dezelfde adressen?
Precies dit, en die schaamte is zó echt… ik had pas een vaste klant in de stoel die na zo’n “je punten verlopen, betaal 1 cent” sms van Rituals-naam ineens geen WhatsApp meer had omdat ze d’r nummer kwijt was, zat hier letterlijk te trillen. En Rituals kan wel roepen “alleen gegevens”, maar met geboortedatum + tel nr ga je zó hard de phishingmolen in, zet dan meteen bovenaan de site een dikke waarschuwing en een hulplijn die je niet wegdrukt na 10 minuten, man man.
ja hoor, “alleen lidmaatschapsgegevens” en ondertussen kunnen ze met naam + geboortedatum + tel nr je hele week volspammen. had laatst in lijn 5 zo’n mevrouw die ineens niet meer durfde op te nemen omdat er “rituals klantenservice” belde en ze al een keer dr bankapp kwijt was na zo’n linkje, zat helemaal over de rooie. zet dan meteen een knalrode waarschuwing op de site en stuur een duidelijke mail wat je NIET moet doen, want die phishingjongens zijn sneller dan hun excuusmailtje.
DocFatima heeft gelijk, dit is niet “alleen wat mailadressen”, met geboortedata en telefoonnummers kunnen ze je straks heel geloofwaardig bellen alsof ze van Rituals of je bank zijn en dan gaan mensen onder druk toch rare dingen doen. In mijn tijd bij de KLM werd je op security elke maand weer wakker geschud, hier lijkt het alsof marketing belangrijker is dan fatsoenlijke bescherming en een 24/7 noodlijn; en ja, zet die sim-pin aan maar Rituals mag ook gewoon verplicht worden om uit te leggen wát er is buitgemaakt en hoe je je account meteen dichttimmert, niet zo’n halfslachtige PR-mail. En kom op, waarom moet een zeepwinkel überhaupt m’n geboortedatum hebben, dat is vragen om ellende.
Wat moet je, met alleen naam/mail/geboortedatum gaan ze echt niet “je bank” spelen hoor, daar trappen mensen eerder in door domme sms’jes dan door een zeepwinkel-lek. En die geboortedatum is meestal gewoon voor verjaardagskorting of leeftijdscheck, niet meteen doen alsof Rituals een soort KLM-securityteam moet hebben.
Rituals: “alleen contactgegevens” ja joh, alsof je met naam+mail+geboortedatum+telefoon niks kunt, dat is zeg maar het starterspakket voor iemands digitale identiteit. En die “fatsoenlijke hulplijn” komt vast na het geurkaars-abonnement: 3 uur in de wacht, maar wél met gratis zen-muziek.
ja het is niet “alleen contactgegevens”, maar doen alsof je met alleen naam+mail+telefoon meteen iemands hele leven kunt overnemen is ook wat kort door de bocht, toch?? het echte probleem is: waarom liggen dit soort data überhaupt op straat en waarom pas NA het lek “we nemen het serieus”?? En dan mag ik straks wéér spam/whatsapp-fraude wegklikken omdat Rituals z’n zaakjes niet op orde heeft, en zij komen weg met een excuusmailtje en een geurkaarsje korting??!! En dan?? Moet ik dat maar pikken??!!
ach ja, met naam mail en geboortedatum kunnen ze je prima een “rituals”-appje sturen en je zo het geld uit je zak kletsen, en jij mag het straks weer uitzoeken terwijl zij doen alsof een sorrymail en 10% korting alles goedmaakt...
ja en met mail plus tel plus geboortedatum kun je gewoon simswap doen en daarna “wachtwoord vergeten” op half internet dus rituals kan straks ook cadeaubonnen gaan uitdelen aan de scammer bro
ja en dan straks krijg je “lieve member, je verjaardagscadeau staat klaar, klik hier” en iedereen trapt d’r weer in omdat Rituals dat dus écht doet met die punten en cadeautjes… ik zeg altijd tegen m’n klanten: ga zélf naar de app/site en klik nooit vanuit zo’n mail/sms, want ik hoorde van een klant dat ze na zo’n ‘cadeau’-link ineens 3 abonnementen had lopen, succes ermee 😑
Debbie mist één ding: het gaat niet alleen om “klik nooit op een link”, maar om het feit dat met naam + mail + geboortedatum je al half door allerlei klantenservices heen bent; dan is een sim-swap of accountreset ineens geen sciencefiction meer. Rituals kan wel doen alsof het “alleen lidmaatschapsgegevens” zijn, maar dit zijn precies de gegevens waarmee oplichters geloofwaardig worden. En ja, die drie abonnementen komen meestal niet door één klik, maar omdat mensen daarna óók nog codes doorgeven of hun bank/app laten koppelen; daar moet je ze voor waarschuwen.
Joa en dan krijg je straks weer zo’n mailtje met “klik hier om je punten veilig te stellen” en de helft van NL trapt erin omdat ’t precies past bij Rituals-spam die je toch al gewend bent… bedrijven moeten na zo’n lek gewoon ALLE marketingmails pauzeren en alleen nog via de app/inloggen communiceren, anders maak je ’t de oplichters wel héél sjön makkelijk.
Wat mij vooral stoort: je hoort altijd “we hebben het ontdekt en gemeld”, echter nooit concreet wanneer die data precies is buitgemaakt en hoe lang criminelen er al mee rondlopen. En als je dan tóch geboortedata bewaart, geef klanten dan meteen de optie om die te verwijderen en zet marketing/loyalty even op pauze totdat de basis op orde is, daarentegen blijft het nu vaak bij een sorry-mail en mag de klant weer extra alert zijn.
nou ben ik vooral benieuwd hoe lang die troep al rondzwerft voordat ze “woensdag” ineens wakker worden… en gok maar dat je straks aan de balie weer mag uitleggen dat die nep-rituals sms niet van jou was, terwijl zij vrolijk blijven vragen om je tel.nr “voor de service” ja hoor.
had dit zelf vorig jaar met een andere webshop: ineens “pakketje vast, betaal 0,36” sms’jes en mailtjes met m’n voornaam erin, precies genoeg om mensen te laten happen. Rituals roept nu “namen/mail/geboortedata” maar klantenservice vroeg bij mij altijd óók om tel.nr voor “bezorgupdates” — zit dat er nou wél of niet bij, en hoeveel accounts precies? en wanneer is dit ontdekt vs wanneer zijn klanten ingelicht, want “woensdag gemeld” zegt nul over hoe lang die data al op Telegram rondgaan… bron/forensisch rapport ergens?
Kijk, dat “het ligt al op Telegram” gedoe is vooral bangmakerij: 9 van de 10 keer wordt zo’n dump gewoon doorverkocht aan phishers en callcenters, niet als gratis stickerpack rondgestuurd. En tel.nr “vroeg klantenservice wel” betekent niet dat het in die buit zit; bedrijven hebben vaak losse systemen (marketing/bezorging/klantenservice), dus kan prima alleen membership zijn geraakt. Die timing ook: ze melden het zodra ze genoeg zeker weten om juridisch te durven, anders ga je als bedrijf short op je eigen geloofwaardigheid met halve info en krijg je nóg meer ellende.
altijd dat “loyalty”-gedoe: je levert een halve identiteit in voor wat punten en een verjaardagscadeautje, en zij monetizen die data tot het lekt — en dan is het ineens “jammer” en mag jij de schade dragen, classic. waar is de AP met echte boetes per record en verplicht data-minimalisatie, niet weer een PR-mail met lavendelgeur eroverheen? oh ja want dat zou winst kosten…
Dat loyalty-gedoe is inderdaad een dataslurper, maar dit is ook gewoon basis-hygiëne: je hoort mail/telefoon en zeker geboortedata niet in één bak te hebben zonder stevige segmentatie en logging, anders is één lek meteen een complete identiteitsset voor phishing. AP kan boetes uitdelen, maar “per record” roepen klinkt lekker tot je beseft dat je dan óf elke mkb’er kapot procedeert óf het juridisch weer jaren duurt; effectiever is keihard afdwingen van data-minimalisatie en bewaartermijnen, en dan ook echt audits die pijn doen. En ja, reken maar dat je nu een golf “Rituals support” sms’jes krijgt, dus zet 2FA aan waar het kan en trap niet in reset-links.
wacht ff iedereen doet alsof dit “alleen” phishing is maar met mail tel geboortedatum kan je ook gewoon bij random webshops achteraf betalen accounts aanmaken en dan mag jij daarna met klarna/afterpay gaan discussiëren dat jij die geurkaars nooit besteld hebt bruh
Daan_023 mist nog de echte ellende: met naam+mail+geboortedatum+tel kun je ook gewoon “identiteit” resetten bij half internet en je bestaande accounts kapen via sms/mail recovery, niet alleen nieuwe Klarna-troep aanmaken. simpel: dit is account-takeover fuel, en dan ben je weken kwijt aan chargebacks, klantenservice-limbo en je eigen providers die zeggen “u heeft zelf ingelogd”. Rituals kan leuk “alleen lidmaatschapsdata” roepen, maar dit is precies de combo die fraudeurs willen.
snap wat je bedoelt hoor, dit soort combi-data is gewoon goud voor phishers en “reset je account” trucjes, dus Rituals moet echt niet doen alsof het alleen een nieuwsbrief-lijstje is. maar ook weer niet alsof je met naam+geboortedatum meteen iemands hele digitale leven kunt overnemen; als je 2FA/app-auth hebt en je mail niet te kapen is, lopen ze vaak alsnog stuk. alleen… de energie is wel vies nu: mensen gaan wekenlang rare sms’jes en nephelpdesks krijgen, en daar word je zo moe van.
Luister, ik zie nu al in de taxi van die “Rituals klantenservice” belletjes op speaker bij mensen, en dan gaan ze braaf hun code oplezen omdat het zo netjes klinkt. Tip van jansen: als een bedrijf je belt over “punten” of “beveiliging”, meteen ophangen en zélf via de echte site/app inloggen, anders ben je zo je WhatsApp en je bank ook kwijt.
Ach iedereen focust op die mail en geboortedatum, maar het echte gezeik komt straks met die nep-sms’jes “pakketje gemist” en “reset je wachtwoord” op je 06, en dan klikt half NL alsnog door alsof het de PostNL-app is hoor
ja die sms’jes komen sowieso, maar je mist het grotere gezeik: met naam + geboortedatum gaan ze straks ook “klantenservice” spelen en je identiteit aan elkaar praten bij allerlei clubs. Rituals mag dan wel even zeggen hoeveel mensen het zijn en wat ze nu echt dichtzetten, want sorry hoor, dit is geen klein foutje meer.
ja joh “geen klein foutje meer”... alsof Rituals even een kraantje dichtdraait en dan is de energie weer schoon. straks krijg je een sorry-mail met 10% korting en mag jij de komende jaren de rommel opruimen met sms’jes en nep-klantenservice, lekker geregeld hoor.
Ze mist nog het belangrijkste: dit is geen “oepsie”, dit is het verdienmodel van dat hele loyaliteits- en klantkaartjesgedoe, overal je naam, geboortedatum en telefoon achterlaten voor een beetje punten. En dan straks weer janken dat burgers “slordig met hun data” zijn, terwijl bedrijven alles opslurpen en de overheid het prima vindt zolang het maar digitaal en koppelbaar is… ik was zelf ook zo makkelijk vroeger, tot je ziet hoe vaak dit gebeurt en niemand echt pijn voelt behalve jij.
Nou Wilma, “verdienmodel” klinkt lekker spannend, maar meestal is het gewoon gemakzucht en marketing hoor: iedereen wil korting en dan geef je je verjaardag er gratis bij. En als het misgaat mogen wij weer wachtwoorden veranderen en spam wegklikken, top geregeld toch?
Tsja, al dat “membership” gedoe is gewoon een lokkertje om je gegevens te vissen voor marketing, en dan staan ze raar te kijken als het lekt. Zet die accounts maar opheffen-knop en neem voortaan gewoon een bonnetje mee, op een schip lukt dat al honderd jaar zonder geboortedatum.
Die geboortedatum is ook zo’n marketingding: “verjaardagscadeautje” of extra punten, en wat veel mensen niet weten is dat die datum + naam vaak al genoeg is om bij andere partijen je “identiteitsvragen” te raden. Overigens: zet bij Rituals (en je mail) meteen een alias/plus-adres aan en check je inboxregels, want na zo’n lek gaan scammers niet alleen phishing sturen maar ook stilletjes doorsturen/filters misbruiken zodat je de echte waarschuwingen niet eens ziet.
Geboortedatum is idd zo’n “leuk voor punten”-veld, maar voor identiteitsvragen is het meestal pas gevaarlijk als er óók adres/klantnummer of laatste 4 cijfers van iets bij zitten — staat dat nou in het lek of niet? Rituals zegt “namen, mail, geboortedata” maar in de titel duikt ineens telefoonnummer op… bron, en hoeveel accounts gaat dit over? En los van plus-adressen: waar is hun uitleg over hashing/salting van wachtwoorden en of er 2FA op accounts zit, of moeten we dat weer raden?
Geboortedatum + naam + mail is al genoeg om bij heel veel klantenservices “even” door de identiteitscheck te glippen, zeker als je telefoonnummer er óók bij blijkt te zitten. En dat Rituals nu weer met zo’n vaag lijstje komt zonder aantallen, zonder tijdlijn, zonder “wachtwoorden wel/niet geraakt” en zonder standaard 2FA is gewoon slechte UX: je laat klanten zelf maar gokken wat ze moeten doen.
Nina heeft wel een punt dat naam+dob+mail/telefoon genoeg is voor “helpdesk social engineering”, maar het is niet automatisch game over voor je identiteit; het wordt pas echt nasty als er ook adressen, bestelgeschiedenis of wachtwoord-hashes bij zitten. Rituals moet gewoon meteen met aantallen/tijdlijn en wat wél/niet geraakt is komen, anders zit iedereen z’n accounts te patchen op gevoel terwijl zij in stilte hun PR aan het deployen zijn.
geboortedatum is irritant ja, maar “naam + datum is genoeg om identiteitsvragen te raden” is ook weer zo’n internetbangmakerij. de meeste ellende na zo’n lek is gewoon domme phishing en simswap-pogingen, niet dat iemand ineens jouw bank in komt omdat ie weet dat je op 12 mei jarig bent.
het probleem is niet dat je met alleen naam+geboortedatum “je bank binnenwandelt”, maar dat zo’n dataset precies genoeg is om geloofwaardige phishing te personaliseren en bij helpdesks/telecom de zwakke schakels te vinden (reset-links, “verifieer even uw gegevens”, simswap met wat social engineering). de oplossing is dat Rituals die lidmaatschaps-infrastructuur eindelijk dataminimaliseert (waarom überhaupt geboortedatum?) en dat mensen nu alvast mail/telefoon extra afschermen met MFA en een sim-pin, want daar gaat de ellende zitten, niet bij een identiteitsquizje.
Klopt dat dit goud is voor phishing, maar we moeten ook niet doen alsof Rituals de enige schurk is: het hele “lidmaatschap”-circus is gebouwd op het idee dat jij jezelf inruilt voor een puntje korting, en dan is geboortedatum ineens “handig” voor marketing. En ja, MFA en sim-pin helpen, maar de echte zwakke plek blijft de mens aan de andere kant van de lijn die op basis van drie weetjes denkt dat jij “echt jij” bent. Paradoxaal eigenlijk: we willen gemak en personalisatie, en zijn dan verbaasd dat criminelen precies datzelfde script gebruiken op vrijdagochtend.
die geboortedatum is echt niet de magische sleutel waar iedereen ineens je “identiteitsvragen” mee kraakt, de meeste helpdesks vragen al lang om klantnummer, IBAN of een code en niet om “wanneer ben je jarig”. plus-adressen en inboxregels gaan oma met een iPhone echt niet redden; scammers winnen juist omdat we alles in mail proppen en doen alsof mail een kluis is. het paradoxale is dat we privacy behandelen als een hobbyprojectje met trucjes, terwijl de kernvraag blijft: waarom laten bedrijven überhaupt geboortedata en telefoonnummers rondslingeren voor een puntje korting??
Ja jong, allemaal leuk met “phishing” maar ge gaat het pas voelen bij die klantenservice: straks belt er iemand met jouw naam en geboortedatum en dan doet zo’n medewerker tóch een adreswijziging of cadeaubon “opnieuw sturen”. Bedrijven moeten eens kappen met dingen regelen op basis van praatjes aan de telefoon, maak da alleen via inloggen met extra check en klaar.
In de praktijk krijg je dan weer zo’n mail met “verander je wachtwoord” en klaar, maar niemand zegt wat je moet doen als je nummer straks ineens voor sms-verificatie gebruikt wordt bij andere clubs. zou fijn zijn als Rituals ook even meldt hoelang die data daar al lag en of je je account gewoon kunt laten verwijderen zonder gedoe, want ik zit niet te wachten op nóg een “ledenprogramma” dat mijn verjaardag nodig heeft voor een bodylotionkorting.
Precies dit: met mail + geboortedatum kunnen ze je al prima “verifiëren” bij helpdesks en dan ben je zo door je 2FA heen via sim-swap of sms-spam, dat is echt niet alleen een irritante nieuwsbrief meer. wat veel mensen niet weten: geboortedatum is voor veel bedrijven nog steeds een soort mini-wachtwoord, dus Rituals moet gewoon zeggen of het gehasht/versleuteld was en een simpele delete-knop geven, niet via 3 formuliertjes en een klantenservice-chat. overigens: zet meteen een SIM-pincode aan en knal je nummer uit openbare profielen, scheelt al een hoop gezeik.
Leuk dat iedereen het over phishing heeft, maar het echte schandaal is dat Rituals dit soort rommel waarschijnlijk gewoon jarenlang bewaart “voor marketing” terwijl de AVG zegt: dataminimalisatie en bewaartermijnen, klaar. Ten eerste wil ik weten of die data ook bij hun externe mail/SMS/loyalty-partners lag (en dus nóg een lekroute), ten tweede: als ze geen concrete bewaartermijn + vernietigingsbeleid kunnen laten zien, mag de AP van mij best even wakker worden, maar ok dat wordt dan weer een “we nemen maatregelen”-pdfje.
Nou ja, die AVG is mooi op papier, maar als je zelf een account maakt en je verjaardag invult voor korting, dan ligt dat dus ergens, en dat is niet meteen “schandaal” maar gewoon hoe zo’n spaarsysteem werkt hoor. En die AP “even wakker maken”, tja, die komen maanden later met een boete en dan zijn die mailadressen al lang rondgestuurd, pak liever die criminelen aan, toch.
AVG zegt inderdaad: minder bewaren, maar je wil ook gewoon dat je spaarsaldo klopt en dat ze je kunnen bereiken als er écht iets mis is, dus helemaal “alles weg” is ook niet realistisch. waar ik wél kriebelig van word: waarom is een geboortedatum nodig voor een potje douchegel-korting, en wie had er allemaal toegang bij die externe mail/SMS clubs... daar gaat het meestal mis. en dan krijg je weer zo’n mailtje met “we nemen privacy serieus” terwijl de klant het risico draagt.
Dus Rituals verzamelt geboortedata en telefoonnummers “voor het lidmaatschap” en dan lekt het, en wie mag midden in de nacht z’n inbox en sms weer gaan wantrouwen??? Waar is de compensatie voor de TIJD en stress, en waarom niet standaard gratis credit/identiteitsmonitoring als jullie zo nodig een halve persoonskaart willen opslaan?!?! En dan straks weer zo’n mailtje met “we hebben extra maatregelen genomen” en 10% korting op een bodylotion, en dan?? moet ik dat maar goed vinden??!!
Nou ja, wat mij altijd opvalt, je krijgt dan wéér zo’n mailtje “pas op voor phishing”, maar je hoort nooit of je je puntenkaart/clubkaart ook gewoon kunt opzeggen en dat ze álles echt wissen, zonder gedoe en zonder dat je eerst weer moet inloggen met precies die gestolen gegevens hoor, toch. en ondertussen blijven ze je sms’jes sturen met aanbiedingen, ja joh, lekker handig als je nummer al rondzwerft...
Geboortedatum of niet, het probleem is dat mensen straks op zo’n nep-“Rituals klantenservice” gaan zitten bellen en dan zelf nog even adres/IBAN/ID-gegevens erbij kletsen omdat ze al “kloppen” op naam en mail. En ja, bel je bank/telecom dan maar eens op tijd om dat recht te trekken, dan ben je zo drie middagen verder.
Ik merk dat dit een beetje doemdenken is hoor: de meeste mensen gaan echt niet “even” hun IBAN en ID doorgeven omdat iemand hun geboortedatum weet, zo werkt gezond verstand nog wel. Het echte lek is dat Rituals dit soort data überhaupt opslaat en dat ze nu weer met een sorry-mailtje komen terwijl je als klant de rommel mag opruimen in je inbox en telefoon, dat voelt gewoon scheef qua energie.
nou ik zal je zeggen, ik heb hier in de salon al 2 klanten gehad die na zo’n “onschuldig” lek ineens van die verjaardag-deals en “punten bijna verlopen” appjes kregen, precies met hun naam erbij, en dan denken ze echt dat het van Rituals is… en Rituals maar janken dat ’t alleen lidmaatschapsdata is, ja mooi, maar zet dan meteen ff in je mail: we bellen NOOIT en we vragen NOOIT om codes, scheelt weer een hoop ellende voor mensen die niet elke dag met IT bezig zijn.
Debbie raakt het phishingstuk, maar ze mist dat dit niet alleen “mensen die niet IT’en” treft: met naam + geboortedatum + telefoon kunnen ze ook gewoon je identiteit energetisch gezien kapen en je in stress/overlevingsstand duwen, en dan klik je sneller of geef je tóch info. Rituals moet niet alleen roepen “we bellen nooit”, maar ook stoppen met die datahonger en eindeloos sparen/ledenprogramma’s; dat is westerse symptoombestrijding in marketingvorm, terwijl echte balans is: zo min mogelijk data bewaren, en snel alles resetten.
Ach en dan straks krijg je weer zo’n mail “klik hier om je gegevens te checken” en de helft trapt erin, Rituals moet gewoon op de site knallen: we mailen NOOIT links, punt en zet desnoods ff dat hele programma uit tot het dicht is toch
Men vergeet gemakkelijk dat dit soort “lidmaatschappen” vaak aan een externe marketingclub hangen; dan lekt het niet eens bij Rituals zelf, maar ergens in de keten waar niemand meer zicht op heeft. En ja, geboortedatum is vervelend, maar het echte schandaal is dat bedrijven nog steeds denken dat je identiteit een paar losse feitjes is die je overal kunt kopiëren. Benieuwd of ze ook even zeggen hoe lang die data al rondzwerft en wie er allemaal bij kon, of krijgen we weer een vaag mailtje met warme woorden en koude feiten.