Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)' laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.
Datalek nieuws
Miljoenen wachtwoorden en privégegevens op straat door hack webshop Allekabels.nl
De privégegevens en wachtwoorden van miljoenen Nederlanders liggen op straat na een hack bij de populaire webshop Allekabels. Volgens experts is dit het grootste datalek met wachtwoorden in Nederland ooit. De gestolen gegevens worden misbruikt door criminelen. Lees verder
Datalek bij telemarketingbedrijf Global Marketing Bridge: wat betekent dat voor jou?
De Autoriteit Persoonsgegevens (AP) heeft voor Radar een paar belangrijke zaken op een rijtje gezet en geeft antwoord op de de meest gestelde vragen over datalekken. Dat doet de autoriteit naar aanleiding van berichtgeving van Radar over een datalek bij Global Marketing Bridge.
Datalek in verkeerscontrolesysteem in Westbroek: kentekens en tijdstip van passeren op straat
In een verkeerscontrolesysteem in Westbroek is een datalek ontdekt, meldt de gemeente De Bilt. Volgens de gemeente zijn veiligheids- en privacyvoorschriften en afspraken over de bewaartermijnen door een externe partij geschonden. Bron
Privégegevens van Clubhouse gebruikers door datalek op straat
Clubhouse vindt het prima dat andere partijen of individuen zijn database met de gegevens van gebruikers leegtrekken. Bron
Datalek: harde schijf met persoonsgegevens van 30.000 mensen gestolen bij belastingpand Amsterdam
In het pand van de gemeentelijke dienst Belastingen Amsterdam is een harde schijf gestolen uit een computer die wordt gebruikt voor het scannen van inkomende poststukken. Dat schrijft wethouder Victor Everhardt (Financiën) in een brief aan de gemeenteraad. De schijf bevat scans van documenten die in de periode juli 2020 tot en met maart 2021 per post zijn verstuurd door circa 30.000 belastingplichtigen. Bron
Datalek Stichtse Vecht opgelost: gemeente verstuurt weer nieuwsbrieven
De gemeente Stichtse Vecht is weer gestart met het versturen van de nieuwsbrief, nadat er in februari een datalek werd ontdekt. Een inwoner die zich probeerde aan te melden voor de gemeentelijke nieuwsbrief, kreeg toen toegang tot het systeem en zag de e-mailadressen van andere abonnees. Bron
Bitcoin bedrijf Paxful over datalek: 'Privacy van gebruikers niet in gevaar'
Deze week verscheen er op Raidforums een post waar Paxful gebruikers in eerste instantie niet vrolijk van werden. Raidforums is een marktplaats voor het kopen en verkopen van gestolen informatie, waarop in een post werd geclaimd dat de persoonsgegevens van miljoenen Paxful gebruikers op straat lagen. Bron
Zaanstad gehackt? Of slordig met data?
Een verdacht mailtje waarin gevraagd wordt om het wachtwoord van de creditkaart zette een inwoner van Zaanstad aan het denken: het mailadres waaraan het verzoek was gericht, was alleen gebruikt om een mail aan de gemeente Zaanstad te sturen. Hoe kwamen criminelen aan dit adres? Bron
Gegevens 21 miljoen gebruikers ParkMobile aangeboden op internet
Persoonlijke gegevens van 21 miljoen gebruikers van parkeer-app ParkMobile, zoals kentekennummer, e-mailadres, telefoonnummer en geboortedatum, worden te koop aangeboden op internet. ParkMobile meldde op 26 maart dat het te maken had gekregen met een "cybersecurity-incident" veroorzaakt door een kwetsbaarheid in een programma waar het bedrijf gebruik van maakt. Bron
Ierland start onderzoek naar Facebook-datalek
De Ierse privacywaakhond DPC gaat het Facebook-incident waarbij data van een half miljard gebruikers online verschenen onderzoeken. Volgens de privacywaakhond zijn er één of meer delen van de GDPR en de Data Protection Act 2018 overtreden. Mogelijk zijn die overtredingen nog steeds gaande. Lees verder
Boete voor Booking.com wegens datalek: wat is er precies gebeurd?
De Autoriteit Persoonsgegevens legde online boekingplatform Booking.com een boete van bijna een half miljoen euro op wegens een datalek. De boete wordt niet zo zeer opgelegd vanwege het datalek, maar aangezien het bedrijf dit lek te laat heeft gemeld. In een blogpost zet Paul Ducklin, Senior Technologist bij Sophos, uiteen wat er precies is gebeurd, welk risico dit met zich meebrengt en hoe jij kunt voorkomen dat je te laat melding maakt van datalekken. Bron
Datalek NAM betrof ook gevoelige informatie van slachtoffers aardbevingsschade
Bij de aanval op de Nederlandse Aardolie Maatschappij (NAM) is ook gevoelige persoonsinformatie buitgemaakt van mensen die zijn gedupeerd door aardbevingsschade, zo heeft demissionair minister Van 't Wout van Economische Zaken laten weten op Kamervragen van het CDA.
Minister Grapperhaus: Datalek in NL Alert-app had eerder gemeld moeten worden
Het ministerie van Justitie en Veiligheid had een datalek in de NL Alert-app die vorig jaar werd ontdekt eerder moeten melden bij de Autoriteit Persoonsgegevens.
Boete voor ziekenhuis vanwege overtreden AVG
De rechtbank Den Haag heeft op 31 maart 2021 uitspraak gedaan in een zaak over een boete die de Autoriteit Persoonsgegevens (AP) heeft opgelegd aan een Haags ziekenhuis. Het ziekenhuis kreeg de boete vanwege het overtreden van de AVG, persoonsgegevens van patiënten werden namelijk niet voldoende beschermd. De AP had een boete opgelegd van 460.0000 euro maar die heeft de rechtbank teruggebracht naar 350.000 euro. Bron
Meer weekoverzichten
Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt
Op 1 maart publiceerde de hackersgroep ShinyHunters de volledige dataset van Odido op het darkweb. Gegevens van 6,5 miljoen personen en 600.000 bedrijven liggen nu open en bloot op internet. Namen, adressen, IBAN nummers, geboortedatums, paspoortnummers en zelfs BSN nummers van zzp'ers. Maar het echte gevaar van dit datalek zit niet in wat er gestolen is. Het zit in wat criminelen er straks mee gaan doen.
Datalek nieuws en overzicht week 07-2022
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Datalek nieuws en overzicht week 06-2022
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Datalek nieuws en overzicht week 05-2022
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Datalek nieuws en overzicht week 04-2022
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Datalek nieuws en overzicht week 03-2022
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Wat is een Datalek?
Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.
Gebruikersnaam en wachtwoord
Bij zo'n lek liggen vaak ook de gebruikersnamen (username) en wachtwoorden op straat. Gebruik dus nooit dezelfde wachtwoorden want bij zo'n lek proberen cybercriminelen of je ook voor andere accounts toevallig dezelfde username en wachtwoorden gebruikt, bijvoorbeeld bij Bol.com, Zolando, Google, Outlook, iCloud, Facebook, Instagram, LinkedIn, Netflix, PayPal en ga zo maar door. Als ze kunnen inloggen met deze datalek gegevens, passen ze het wachtwoord aan en kun jij er niet meer in, je kunt je voorstellen dat dit hele vervelende consequenties kan hebben, want nu hebben ze jou identiteit voor deze gestolen accounts.
Advies
Om te voorkomen dat bij z'n datalek jouw gegevens zijn buitgemaakt en je slachtoffer wordt, zorg dan voor de volgende maatregelen.
1. Gebruik een complex wachtwoord minstens 16 tekens
2. Schakel altijd twee stappen verificatie in waar mogelijk
3. Om te weten of je gegevens gelekt zijn en op straat liggen, check dan je email adres in
Gevaar van een datalek
Een van de gevaren van een datalek is 'Doxware'.
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails.
Enkele voorbeelden:
New York Pizza slachtoffer van doxwaring
New York Pizza is het slachtoffer geworden van doxware. Een onbekende dader is er in geslaagd om een groot aantal klantgegevens te bemachtigen. Hij dreigt deze gegevens openbaar te maken of te verkopen. De pizza keten adviseert klanten om het wachtwoord van hun account te veranderen.
Cybercriminelen publiceren tientallen gigabytes aan interne gegevens van LG en Xerox
De cybercriminelen van de Maze-ransomware hebben gisteren tientallen GB interne gegevens van de netwerken van de zakelijke reuzen 'LG' en 'Xerox' gepubliceerd na twee mislukte afpersingspogingen.
LG Electronics slachtoffer van Doxware
De cybercriminelen achter de Maze-ransomware claimt systemen van elektronicagigant 'LG Electronics' te hebben geïnfecteerd, waarbij ook door het bedrijf ontwikkelde broncode is buitgemaakt. Als LG het gevraagde losgeld niet betaalt zullen de criminelen de gestolen data openbaar maken.
Het gebruik van persoonlijke informatie met het doel om te intimideren wordt strafbaar gesteld (doxing)
De foto's zijn gecreëerd met AI; de afgebeelde personen bestaan niet echt.
Wees je bewust van de gevaren en risico's van doxing
Het aanleggen van een dossier over welke internetgebruiker dan ook is vandaag de dag makkelijker dan u wellicht denkt. Leer meer over doxers en hun methodes.
Doxing toenemend probleem voor samenleving
In het nieuws hebben we laatst kunnen lezen dat er een grote hack heeft plaats gevonden bij MGM hotels in de Verenigde Staten.
Datalek nieuws
ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
Wat veel Odido klanten vreesden, is vandaag werkelijkheid geworden. De hackersgroep ShinyHunters heeft de eerste lading gestolen klantgegevens gepubliceerd op het darkweb. Op hun eigen website verscheen vandaag een map met de naam "pay_or_leak" waarin een bestand met de titel "Information.txt" en een map "day1" staan. De boodschap van de criminelen is even kort als dreigend: Odido heeft geweigerd te betalen, dus nu betalen de klanten de prijs.
Lovense, het speeltje dat terugkijkt
Reading in another language
AP: Datadiefstal door cybercriminelen verdubbeld, wat nu?
Reading in another language
Connected cars en uw privacy: belangrijke inzichten en beschermingsmaatregelen
Reading in another language
Datalek bij de Politie: wat moet je weten en hoe bescherm je jezelf?
Reading in 🇬🇧 or another language
Datalekken in beeld: Een overzicht van cyberveiligheid in Nederland 2023
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Alle het nieuws
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.