Hey {{first_name}} 👋,
Vorige week werd Odido gehackt. Gegevens van 6,2 miljoen accounts op straat. Namen, adressen, telefoonnummers, IBAN-nummers, mogelijk zelfs nummers van identiteitsbewijzen. Niet fijn.
Maar eerlijk? Dit is niet de eerste keer en het is ook niet de laatste. Vorig jaar waren het webshops, daarvoor zorgverzekeraars, en nu een telecomprovider. De kans dat jouw gegevens ergens rondzwerven is ondertussen behoorlijk groot.
Wat doe je dan? Ik zocht het uit en zet het op een rij.
Duik er maar in 👇
🤝 Even tussendoor
Deze nieuwsbrief is gratis en blijft dat ook. Maar het kost tijd: research, testen, schrijven, twee keer per week.
Als je Nozie waardevol vindt, kun je het steunen vanaf € 5 per maand. Je krijgt dezelfde nieuwsbrief zonder reclame, en je doet automatisch mee met maandelijkse weggeefacties.
Even kort: wat is er bij Odido gebeurd?
Criminelen kregen toegang tot een database met klantgegevens. Het gaat om huidige en oud-klanten van Odido, T-Mobile, Tele2 en Ben (vallen allemaal onder Odido). Gelekt: namen, adressen, telefoonnummers, e-mailadressen, IBAN-nummers en mogelijk ID-documentnummers. Niet gelekt: wachtwoorden, belgegevens en sms-berichten.
Extra pijnlijk: Odido bleek gegevens veel langer te bewaren dan beloofd. Oud-klanten die al vijf of tien jaar weg waren, kregen ook een waarschuwingsmail.
Ben je (oud-)klant? Check je inbox. Geen mail na 48 uur? Dan is er volgens Odido geen aanwijzing dat jouw gegevens erbij zitten.
Waar zit het echte risico bij een datalek?
Dit geldt niet alleen voor Odido, maar voor elk datalek. Het is goed om te begrijpen wat criminelen wel en niet kunnen met gelekte gegevens.
Met alleen je naam, adres en IBAN kan een crimineel niet zomaar geld van je rekening halen. Ze kunnen ook niet zomaar een lening of abonnement op jouw naam afsluiten. Daar zijn extra controles voor nodig, zoals een fysiek ID-bewijs, DigiD of bankinloggegevens.
Het echte gevaar zit in gerichte phishing. Niet die standaard "u heeft een pakketje" sms die je meteen doorziet. Maar een mail met: "Beste [je echte naam], wij zien dat u klant bent bij [bedrijf X] op [je echte adres]." Dat klinkt ineens een stuk geloofwaardiger.
Het tweede risico: criminelen combineren data uit meerdere datalekken. Elk lek levert een puzzelstukje op. Hoe meer stukjes, hoe makkelijker het wordt om zich voor te doen als jou. Je naam uit het ene lek, je IBAN uit het andere, je e-mail uit weer een ander. Samen wordt dat een behoorlijk compleet profiel.
Wat je moet doen na een datalek
Deze stappen gelden voor elk datalek, niet alleen voor Odido.
Zet tweestapsverificatie (2FA) aan op je belangrijkste accounts. Begin met je e-mail, want wie toegang heeft tot je mail, heeft toegang tot bijna alles. Daarna je andere belangrijke accounts. Dit kost je tien minuten en is veruit de beste bescherming die er is.
Wees extra alert op phishing. Krijg je een mail of sms van een bedrijf dat gehackt is, je bank of een overheidsinstantie? Klik niet op links. Ga zelf naar de officiële website en log daar in. Altijd.
Houd je bankrekening in de gaten. Onbekende afschrijvingen? Direct terugboeken via je bank.
Wijzig je wachtwoord bij het getroffen bedrijf. En als je datzelfde wachtwoord ergens anders gebruikt (doe dat niet, maar het gebeurt): wijzig het daar ook.
Wat je niet hoeft te doen
Hier gaat het bij elk datalek mis. De paniek levert meer schade op dan het lek zelf.
Geen nieuw paspoort nodig. De Rijksoverheid bevestigt dit na het Odido-lek expliciet. Met alleen een documentnummer kan een crimineel geen identiteitsfraude plegen.
Geen nieuw IBAN nodig. Enorm gedoe (alle incasso's aanpassen, werkgever informeren) en met alleen een rekeningnummer kan niemand geld van je rekening halen.
Niet klikken op "schadeclaim" mails. Na elk groot datalek duiken er phishing-mails op die inspelen op het lek zelf. "Claim hier uw compensatie." Dat is precies het soort aanval waar je alert op moet zijn.
Jezelf structureel beter beschermen
Je kunt datalekken niet voorkomen. Je kunt er wel voor zorgen dat de schade beperkt blijft als het gebeurt.
Wachtwoord manager. Nog steeds de beste investering in je digitale veiligheid. Eén sterk wachtwoord voor je kluis, unieke wachtwoorden voor al het andere. Bitwarden is gratis en werkt prima, 1Password is een goed betaald alternatief. Het punt: als één wachtwoord lekt, zijn niet meteen al je accounts kwetsbaar.
De Gmail-truc. Bij Gmail kun je een + toevoegen aan je e-mailadres. Registreer je je bij Odido? Gebruik [email protected]. Alle mail komt gewoon aan op [email protected]. Maar duikt dat specifieke adres op in een datalek? Dan weet je precies waar het vandaan komt. Proton Mail ondersteunt dit ook.
Tweestapsverificatie overal. Niet alleen bij je bank. Ook bij je e-mail, social media en webshops waar je betaalgegevens hebt opgeslagen. Een extra stap bij het inloggen, maar het maakt het voor criminelen vrijwel onmogelijk om in je account te komen, zelfs als ze je wachtwoord hebben.
Check of je gegevens al gelekt zijn. Op haveibeenpwned.com kun je met je e-mailadres checken bij welke datalekken je gegevens zijn opgedoken. Gratis en betrouwbaar. Grote kans dat je schrikt van het aantal.
Tot slot
Datalekken zijn vervelend, maar geen reden voor paniek. De belangrijkste stappen kosten je een kwartiertje: tweestapsverificatie aanzetten op je e-mail en bank, en een wachtwoordmanager installeren. Dat beschermt je niet alleen tegen dit lek, maar tegen alles wat nog komt.
Want het komt. De vraag is niet of je gegevens ergens lekken, maar wanneer. Zorg dat je er klaar voor bent.
