Dus omdat het hier om hardstikke betrouwbare criminelen gaat moet je maar betalen.

Serieus??

Artikel in het FD: Criminelen hebben jouw gegevens niet meer nodig
Dit geeft een behoorlijk relativerend beeld van de belangrijkheid van deze hack.

Interessant artikel inderdaad. We mogen blij zijn dat die nieuwe methodes (video, voice) die in het artikel genoemd worden nog niet veelvuldig ingezet worden en dat men in de financiële wereld hard bezig is om automatische detecties hiervoor in te bouwen.

Dus omdat het hier om hardstikke betrouwbare criminelen gaat moet je maar betalen.

Ik denk dat als je als bedrijf zoveel fouten hebt gemaakt en al eerdere waarschuwingen hebt gehad, ja

Mensen kunnen het best stemmen met hun voeten en hun zaakje oppakken en een andere aanbieder kiezen. 't Is niet zo ingewikkeld (als bijv. van bank veranderen) en misschien gaat er een signaal naar andere bedrijven van uit die data verzamelen van hun klanten.
Maar ik heb niet het idee dat er iets groots gaande is; de meesten halen hun schouders op.

Mensen kunnen het best stemmen met hun voeten en hun zaakje oppakken en een andere aanbieder kiezen.

Als je een 1- of 2-jarig contract heb kun je zonder kosten niet weg, volgens de Consumentenbond.

BTW Ze hebben vandaag weer 1 miljoen regels aan data vrijgegeven. Ik heb het gelekte e-mailadres opgegeven aan Have I Been Pwned, krijg een e-mail wanneer mijn gegevens op het Dark Web zijn verschenen.
https://haveibeenpwned.com/Breach/Odido

Artikel in het FD: Criminelen hebben jouw gegevens niet meer nodig
Dit geeft een behoorlijk relativerend beeld van de belangrijkheid van deze hack.

Ik heb met mijn zoons recent een woord afgesproken dat we zullen gebruiken als er sprake is van een situatie waarin er sprake zou kunnen zijn van AI-oplichting.

Denk aan de WhatsApp berichtjes waarin een kind zogenaamd aan een ouder vraagt om even geld voor te schieten om een net gestolen telefoon te vervangen. Als AI de stem van je kind perfect kan nadoen trap ke er mogelijk eerder in, maar het een vooraf afgesproken woord maak je dit onmogelijk.

Ik weet dat we er vroeg bij zijn, maar beter te vroeg dan te laat...

Volgens een deskundige in “het Oog” is de toezichthouder ook niet brandschoon in deze.
Volgens haar zijn er voorschriften op het gebied van veiligheid niet gecontroleerd.
Er schijnen acht referentiepunten te zijn waarop klanten gecheckt worden.
Odido bewaarde die allemaal bijelkaar wat verboden is maar wat al jaren zo was.
Ook was er oude klantinformatie die weggegooid had moeten worden maar dat niet was.
Nou vraag ik me af: kun jij als klant die gegevens inzien zoals bijv bij Apple of is dat niet mogelijk. Bij de overheid kan ik zelf heel veel aanpassen maar is dat wetteijk verplicht bij commerciële partijen en waar je maar gegevens hebt achtergelaten?

Maar ik heb niet het idee dat er iets groots gaande is; de meesten halen hun schouders op.

Schouders ophalen zou ik niet doen.
Maar zo bijzonder is dit ook weer niet. Hoeveel datalekken hebben we al gehad? Bv van de zomer (2025) de hack bij Bevolkingsonderzoek Nederland (zijn medische en persoonlijke gegevens van naar schatting 850.000 (vrouwen) buitgemaakt, waaronder BSN-nummers en uitslagen) en zo nog wel meer. Plus de lekken die niet in de openbaarheid zijn gekomen; ik ben bang dat die ook wel bestaan.

Het is inmiddels bekend dat Odido de beveiliging helemaal niet op orde had. I.p.v. de klanten voor de schade op te laten draaien, zal Odido daarvoor moeten opdraaien. In dit geval: betalen aan de hackers. Nood breekt wetten.

Als die klanten nu nog geen maatregelen hebben genomen zou ik ze dom of onkundig noemen zoder dat ik daarmee een waardeoordeel wil geven.
Al geef ik onmiddellijk toe dat ik makkelijk praten heb.
Trouwens erg veel schade kan er nog niet zijn behalve emotionele schade natuurlijk

Nog geen waarschuwing van Odido gehad maar volgens "Have I been Pwnd" ben ik inderdaad gepwnd
 

Als die klanten nu nog geen maatregelen hebben genomen zou ik ze dom of onkundig noemen ..

Wat bedoel je precies? Ik kan hier als klant toch niks aan doen en ook geen maatregelen nemen om identiteitsfraude met mijn gegevens te voorkomen? Ja, goed opletten komende tijd: duhh. Maar dan kan het al te laat zijn.

Volgens een artikel op Tweakers wil een ethische hacker geld inzamelen om te voorkomen dat nog meer gegevens lekken.

“Ethisch hacker Sijmen Ruwhof is een crowdfundingactie gestart waarmee hij geld hoopt op te halen om het losgeld te betalen aan de hackers die Odido-data publiceren. Ruwhof wil 250.000 euro ophalen op een eigen bankrekening, in de hoop daarmee verdere datadumps te voorkomen.”

https://tweakers.net/nieuws/245194/ethisch-hacker-wil-losgeld-voor-odido-hack-zelf-bij-elkaar-crowdfunden.html

Als die klanten nu nog geen maatregelen hebben genomen zou ik ze dom of onkundig noemen zoder dat ik daarmee een waardeoordeel wil geven.
Al geef ik onmiddellijk toe dat ik makkelijk praten heb.
Trouwens erg veel schade kan er nog niet zijn behalve emotionele schade natuurlijk

Ik zou dit een kortzichtige stupide reactie willen noemen, zonder dat ik daarmee een waardeoordeel wil geven.
Al geef ik onmiddelijk toe dat ik makkelijk praten heb! 

@boiing en backspin: ik reageerde op de post direct boven die jullie citeren, die van bacon met in mijn achterhoofd de woorden van een deskundige die ik hoorde in “het Oog” en waar ik naar verwijs in mijn reactie #31.
Met maatregelen nemen bedoel ik bijv emailadres en telefoonnummer veranderen. Ik vroeg me af of daar bij marktpartijen mogelijkheden voor zijn. Hier wel in ieder geval.
Ik probeerde ook om duidelijk te maken dat ik snap dat het allemaal niet veel is wat iemand nu nog kan doen en tevens ben ik benieuwd of er regels zijn waar bedrijven zich aan moeten houden op dit vlak.

Ik snap dat het bot klinkt wat ik zei over die klanten, maar ik vroeg het me enkel af.
En ik hoop dat backspin voldoening gevonden heeft door zijn reactie. 
Ik vond het niet veel toevoegen eerlijk gezegd. Maar dat snap je denk ik zelf ook wel. 

Het is inmiddels bekend dat Odido de beveiliging helemaal niet op orde had. I.p.v. de klanten voor de schade op te laten draaien, zal Odido daarvoor moeten opdraaien. In dit geval: betalen aan de hackers. Nood breekt wetten.

Overal waar het 'lekt' is de beveiliging niet op orde! Als dat op orde is, is er geen lek (mogelijk).

Maar het zal niet om die half miljoen gaan. De reputatieschade -o.a. door niet te betalen- zal veel groter zijn. Het gaat natuurlijk om een principiële afweging.

Met maatregelen nemen bedoel ik bijv emailadres en telefoonnummer veranderen.

En dus vind je mensen die dat nu nog niet gedaan hebben 'dom en onkundig' (maar zonder waardeoordeel ..). Het zijn jouw woorden, maar: serieus?! Het is voor mij in ieder geval geen optie om zomaar even mijn  e-mail adres en telefoonnummer aan te gaan passen, dat zou een mega-klus zijn. Paspoort ook maar meteen een nieuwe?! En dan nog voorkomt dat geen fraude, die gegevens blijven bij allerlei bedrijven nog aanwezig in de systemen. Ga dat maar eens regelen allemaal..

Omgekeerde wereld ouwemac. De klant is het slachtoffer en die kan daar voorlopig heel weinig aan doen. Odido had er wel iets aan kunnen doen, zowel voor als na de hack.

En ook bij de Fransen problemen: Patiëntgegevens miljoenen Fransen op straat na cyberaanval

Nog even op een rijtje, waar Odido op het gebied van veiligheid behoorlijk slordig is geweest:

-Phishing en zwakke inlogprocedures: Hackers wisten toegang te krijgen tot de systemen van Odido door in te loggen op accounts van klantenservicemedewerkers, vermoedelijk verkregen via phishing.

-Onvoldoende Multifactor Authenticatie (MFA): Hoewel er beveiligingsmaatregelen waren, bleek de gebruikte authenticatie niet opgewassen tegen de aanval. Aanvallers maakten gebruik van "MFA-fatigue", waarbij herhaaldelijk goedkeuringsverzoeken naar medewerkers worden gestuurd totdat deze er per ongeluk een goedkeuren.

-CRM-zwakte (Privilege Management): Het datalek vond plaats in een CRM-systeem (klantcontactdatabase). Het lijkt erop dat via één gecompromitteerd account te veel data toegankelijk was, wat wijst op onvoldoende toepassing van het "least privilege"-principe (werknemers moeten alleen toegang hebben tot de data die ze strikt nodig hebben).

-Monitoring en detectie: Experts gaven aan dat de beveiligingssystemen niet op tijd ingrepen toen de data werd gestolen, wat wijst op een tekortkoming in de real-time monitoring.

Ik denk dat de top al zit te broeden op hoe ze hún bonussen voor dit jaar toch kunnen verantwoorden. Wordt nog een hele puzzel.

Omgekeerde wereld ouwemac. De klant is het slachtoffer en die kan daar voorlopig heel weinig aan doen. Odido had er wel iets aan kunnen doen, zowel voor als na de hack.

Dat zeg ik dus ook.
Verder vroeg en vraag ik mij af hoeveel invloed en inzicht de klant heeft op de gebruikte inlogmethodes en manier waarop gegevens bewaard worden bij de diverse bedrijven waar men accounts heeft.
Misschien moeten daar wel richtlijnen voor komen welke dingen men mag vragen. Maar dan heb ik het over de toekomst.
Wat mijn kwalificaties van odido klanten betreft geef ik toe dat ik die beter anders had moeten en kunnen omschrijven. Al was het alleen al omdat ikzelf ook zonder al teveel nadenken dergelijke gegevens verstrek als men die vraagt en maar zelden stilsta bij de manier waarop die gegevens bewaard worden.
Ik betwijfel of deze gebeurtenis veel gaat veranderen in het systeem maar voor mijzelf wel, bijvoorbeeld door me af te vragen of ik echt dat bepaalde account nodig heb.
Ik hoop dat er goed nagedacht gaat worden over hoe zoiets anders en beter kan.

Ik hoop dat er goed nagedacht gaat worden over hoe zoiets anders en beter kan.

Dat hoop ik ook.

Door wie moet er nagedacht worden? De bedrijven, de overheid, de klanten of door iedereen?
Bij veel van de reacties in dit draadje wordt de schuld 100% bij Odido gelegd. Bij sommige lees ik zelfs een emotionele uitbarsting.

Dat vind ik niet terecht.

Uiteraard had men bij Odido de zaakjes meer op orde moeten hebben, maar welke mate van bescherming mogen we van ze verwachten of verlangen.

Kijk eens naar de uitermate veilige branche van banken. Veiligheid zit in hun DNA. Toch worden heel wat van hun klanten opgelicht. Dat heeft geleid tot veel aanpassingen in beleid, apps en hele reclame campagnes om de klanten bewust te maken van de gevaren.

De schade voor de banken is daardoor afgenomen. Toch trappen nog veel klanten in de praatjes van oplichters.

Had Odido de beveiliging op het niveau van de banken moeten brengen? Een fijne gedachte maar niet realistisch. Denk aan de extra kosten voor jou als klant en daarmee de concurrentiepositie van Odido.

In een wereld waarin hacks en digitale oplichting aan de orde van de dag zijn is het als klant noodzakelijk om weerbaar te zijn. Niet vertrouwen op overheid of bedrijven maar ook zelf goed over de veiligheid van je gegevens nadenken en daar waar dat kan maatregelen nemen.

Deze hack is niet uniek en er zullen er nog diverse volgen. Het bedrijfsleven, de overheid en ook wijzelf kunnen er van leren.

Het is ook 100 % de schuld van Odido.

Oh dear, brace for impact...

Deze hack is niet uniek en er zullen er nog diverse volgen. Het bedrijfsleven, de overheid en ook wijzelf kunnen er van leren.

Odido vind ik de hoofdschuldige, maar daaromheen lopen er nog vele 'instanties' (nu) met boter op hun hoofd, waaronder de Autoriteit Persoonsgegevens (AP). Als je alleen 'op papier' handhaaft en geen audits uitvoert of men niet controleert of er inderdaad 'een schone onderbroek' is aangetrokken... dan zullen er nog velen volgen.

Tot het fout gaat, kan men maar aanrommelen.