Waarom je je Odido-adres maar één keer kunt checken
Als je klant bent bij Odido of Ben, heb je vast iets gehoord over het grote datalek. Veel mensen zijn daarna naar Check je hack gegaan om te kijken of hun gegevens in die gestolen dataset zaten. En dan valt meteen iets op: je kunt je e-mailadres maar één keer controleren.
Dat voelt gek, zeker als je twijfelt of de mail wel is aangekomen of als de tekst in de mail later wordt aangepast. Je vraagt je misschien af of de politie jouw e-mailadres ergens bewaart, of dat je iets fout hebt gedaan. Laten we rustig langs hoe Check je hack werkt, waarom je maar één kans krijgt en wat dat betekent voor jouw privacy.
Belangrijk om in je achterhoofd te houden: Check je hack is gemaakt als hulpmiddel voor jou, niet als extra databron voor de politie. De tool is expres zo simpel en beperkt mogelijk opgezet, juist om misbruik en onnodige opslag van gegevens te voorkomen.
Wat Check je hack precies voor je doet
Check je hack is een online tool van de politie waarmee je kunt zien of jouw e-mailadres voorkomt in een gestolen dataset, zoals die van het Odido-datalek. Je vult je e-mailadres in, drukt op verzenden en daarna gebeurt er één van twee dingen: of je krijgt een mail, of je hoort helemaal niets.
Je krijgt alleen een mail als jouw e-mailadres daadwerkelijk in de dataset staat. Staat je adres er niet in, dan blijft het stil. Dat is niet heel gebruiksvriendelijk, maar wel bewust zo gekozen, zodat er zo min mogelijk informatie wordt prijsgegeven over wat er precies in die dataset zit.
In de mail staat alleen dát je e-mailadres in het lek voorkomt, met wat uitleg en tips. Je krijgt niet te zien welke andere gegevens erbij horen. Dat komt doordat die gestolen datasets vaak rommelig zijn opgebouwd. Gegevens van één persoon kunnen verspreid staan, dubbel zijn of niet netjes aan één adres gekoppeld zijn.
Zelf de gestolen Odido-data downloaden om te kijken of je ertussen staat, is strafbaar. Ook sommige andere sites die datalekken checken, zitten juridisch in een grijs gebied. Check je hack is daarom een soort veilige tussenweg: jij kunt controleren of je geraakt bent, zonder dat je zelf met illegale data hoeft te rommelen.
Waarom je e-mailadres maar één keer werkt
Veel mensen merken dat hun e-mailadres maar één keer werkt in Check je hack. De eerste keer krijg je, als je in de dataset staat, een mail. De tweede keer gebeurt er niets meer, ook niet als je adres gewoon in dat lek zit. Dat voelt alsof er iets stuk is, maar dat is het niet.
De politie heeft dit expres zo ingericht om misbruik te voorkomen. Zonder beperking zou iemand een script kunnen schrijven dat duizenden keren hetzelfde adres invoert. Dan kun je mensen platspammen met zogenaamd belangrijke meldingen over datalekken. Dat is precies wat je niet wilt met een dienst die juist bedoeld is om slachtoffers te helpen.
Die keuze heeft een nadeel: als er iets misgaat met de mail, ben je klaar. Denk aan een typfout in je adres, een spamfilter dat de mail weggooit of een tekst in de mail die later wordt aangepast. De tool ziet alleen: dit adres is al genotificeerd, dus we sturen niets meer. Er is geen knop om een nieuwe versie te krijgen.
Dat is frustrerend als je twijfelt of je alles goed hebt gelezen of als je achteraf hoort dat de tekst in de mail is veranderd. Maar vanuit beveiliging en misbruikpreventie is het logisch: hoe minder er opnieuw verstuurd kan worden, hoe kleiner de kans dat iemand het systeem misbruikt.
Wat de politie wel en niet van je ziet
Dan de grote vraag: als de tool weet dat jouw e-mailadres al een keer is gebruikt, betekent dat dan dat de politie jouw adres bewaart? Volgens de politie niet in leesbare vorm. Medewerkers kunnen niet gewoon in een lijst kijken met alle e-mailadressen die ooit zijn ingevoerd.
Wat er wel gebeurt, is dat jouw e-mailadres wordt omgezet in een soort vingerafdruk. Dat is een lange, onleesbare reeks tekens. De politie werkt alleen met die vingerafdrukken, niet met de echte adressen. Ze zien dus geen lijst met “jan@example.com” of “piet@provider.nl”.
Die opzet staat ook zo in de voorwaarden van de tool. Het idee is juist dat de politie niet ineens een extra adressenbestand in handen krijgt. Ze willen alleen kunnen controleren: komt dit adres in een lek voor, en zo ja, is er al een melding verstuurd. Meer niet.
Dat betekent ook dat ze uit Check je hack zelf geen nette lijst met slachtoffers kunnen halen. Voor hun eigen onderzoek gebruiken ze andere bronnen en methodes. De tool is vooral bedoeld voor jou als burger, zodat je zelf kunt checken of je geraakt bent.
Hoe hashing jouw adres onherkenbaar maakt
De techniek achter die vingerafdrukken heet hashing. Hashing zet gegevens om naar een vaste, onherkenbare reeks tekens. Het werkt één kant op: je kunt wel van e-mailadres naar hash, maar niet andersom. Met dezelfde input krijg je altijd dezelfde hash.
De politie slaat alleen gehashte e-mailadressen op die in de gestolen dataset voorkomen. Ze hebben dus geen gewone lijst met adressen, maar een lijst met vingerafdrukken. Voor mensen zeggen die niets. Voor een computer zijn ze wel te vergelijken.
Als jij je e-mailadres invult, wordt dat eerst gehasht. Daarna wordt die hash vergeleken met de hashes in de dataset. Is er een match, dan weet het systeem dat jouw adres in het lek zit. Jij krijgt dan een mail, maar niemand bij de politie ziet jouw echte adres in een leesbare lijst verschijnen.
Hashing wordt op veel plekken gebruikt, bijvoorbeeld bij het opslaan van wachtwoorden. Het idee is steeds hetzelfde: als iemand een database steelt, moet die er niet zomaar echte gegevens uit kunnen halen. De hash is dan een soort slot op de inhoud.
Salt en pepper als extra beveiligingslaag
Alleen hashen is tegenwoordig niet meer genoeg. Met genoeg rekenkracht en slimme trucjes kun je sommige hashes alsnog proberen terug te rekenen. Daarom gebruikt de politie extra beveiliging in de vorm van een salt en een pepper.
Een salt is een extra stukje data dat aan je e-mailadres wordt toegevoegd voordat het gehasht wordt. Daardoor leveren twee identieke adressen toch verschillende hashes op als ze in verschillende contexten worden opgeslagen. Dat maakt het veel lastiger om standaardaanvallen uit te voeren of patronen te herkennen.
Een pepper is een geheime, vaste waarde die niet in dezelfde database staat als de hashes. Die wordt apart en extra beveiligd opgeslagen. Zelfs als iemand de database met hashes zou stelen, mist die nog steeds dat geheime stukje. Zonder die pepper is het praktisch niet te doen om de hashes terug te rekenen naar echte adressen.
Door hashing, salt en pepper te combineren, wordt het risico dat iemand jouw e-mailadres uit de tool peutert, heel klein. Dat is precies de bedoeling: de politie wil jouw adres alleen gebruiken om jou één keer te kunnen mailen, niet om er later nog iets anders mee te doen.
Hoe de tool onthoudt dat jij al een mail hebt gehad
Toch moet het systeem ergens bijhouden dat jouw adres al een keer is genotificeerd. Dat gebeurt niet door je e-mailadres zelf op te slaan, maar door een markering bij de hash die bij jouw adres hoort. Zie het als een simpel vlaggetje in de database: deze hash is al behandeld.
Als je je e-mailadres nog een keer invoert, wordt het opnieuw gehasht met dezelfde geheime pepper. De tool kijkt dan: staat deze hash in de dataset, en zo ja, staat het vlaggetje op “al genotificeerd”. Is dat zo, dan gebeurt er niets meer. Geen nieuwe mail, geen foutmelding, gewoon stilte.
Voor medewerkers van de politie is het niet terug te draaien naar: welke hash hoort bij welk echt adres. Ze zien alleen dat er een aantal hashes op “al genotificeerd” staan. Dat is genoeg om dubbele meldingen te voorkomen, maar niet genoeg om een lijst met concrete e-mailadressen te maken.
Dat verklaart ook waarom er geen “reset”-knop is. Er is geen makkelijke manier om jouw specifieke adres eruit te vissen en het vlaggetje terug te zetten. Het systeem is daar simpelweg niet voor gebouwd.
Bescherming tegen spam en misbruik
De keuze om maar één mail per e-mailadres te sturen, draait vooral om bescherming tegen misbruik. Zonder die beperking zou iemand met slechte bedoelingen de tool kunnen gebruiken als spamkanon. Een script dat duizenden keren hetzelfde adres invoert, is zo geschreven.
Daarnaast stuurt de politie bewust geen volledige inhoud van de gestolen gegevens mee in de mail. Je krijgt geen lijstje met gelekte adressen, telefoonnummers of andere details. Alleen de melding dat je getroffen bent, plus uitleg wat je zelf kunt doen.
Dat voorkomt dat iemand jouw e-mailadres invoert, de mail onderschept en via de inhoud van die mail nog meer over jou te weten komt. De tool is echt bedoeld als eenrichtingsverkeer: jij vraagt, de tool checkt, en je krijgt één keer antwoord. Daarna is het klaar.
Ook voor de criminelen achter het lek zelf is er zo weinig mogelijk te halen uit Check je hack. De dataset is gehasht, de antwoorden zijn beperkt en er is geen manier om er grootschalig informatie uit te trekken. Dat houdt de schade enigszins binnen de perken.
Wat er misging bij de eerste Odido-mail
Rond het Odido-datalek ging er iets mis met de eerste versie van de mail die via Check je hack werd verstuurd. In die mail stond dat er wachtwoorden van klanten waren gelekt, terwijl Odido dat niet zo had bevestigd. Dat zorgde voor veel onrust en vragen.
Na kritiek is de tekst aangepast. In de nieuwe versie staat dat er geen wachtwoorden van de Odido-website zijn gelekt, maar wel een klantcontactveld waarin sommige mensen misschien toch hun wachtwoord hebben ingevuld. Dat is een belangrijk verschil in risico en in hoe je het als klant moet inschatten.
Het probleem: mensen die de eerste, foutieve mail al kregen, kunnen via Check je hack geen gecorrigeerde versie meer ontvangen. Hun e-mailadres is al één keer genotificeerd, dus de tool stuurt niets nieuws. Dat is precies het gevolg van die keuze om ieder adres maar één keer te mailen.
In de praktijk hebben veel klanten daarnaast ook rechtstreeks bericht gehad van Odido of Ben. Ook diensten als Have I Been Pwned geven extra context over datalekken, al werken die weer met hun eigen regels en datasets. Het blijft dus puzzelen als je precies wilt weten wat er over jou op straat ligt.
Wat je nu zelf het beste kunt doen
Heb je Check je hack al gebruikt voor het Odido-datalek en een mail gekregen, dan kun je er in principe van uitgaan dat die check klopt. Verwacht geen tweede mail via dezelfde tool, ook niet als de tekst later nog wordt aangepast. De techniek achter de tool laat dat bewust niet toe.
Heb je geen mail gehad, dan zijn er grofweg twee opties. Of je adres staat niet in de dataset, of de mail is ergens blijven hangen. Kijk daarom even goed in je spammap en andere mappen rond de periode dat je de check hebt gedaan. Vind je niets en twijfel je, dan kun je je adres nog een keer invoeren, maar als je al genotificeerd bent, verandert dat niets.
Los van Check je hack zijn er een paar dingen die je sowieso kunt doen na zo’n datalek. Denk aan het aanpassen van wachtwoorden, vooral als je die op meerdere plekken gebruikt. En zet waar mogelijk tweestapsverificatie aan, zodat een wachtwoord alleen niet genoeg is om in te loggen.
- Gebruik voor elke belangrijke dienst een uniek wachtwoord.
- Bewaar je wachtwoorden in een wachtwoordmanager in plaats van in je hoofd of op papier.
- Controleer of tweestapsverificatie beschikbaar is en zet die aan bij je mail, bank en sociale media.
- Let extra op verdachte mails en sms’jes die verwijzen naar Odido, Ben of het datalek.
- Klik niet zomaar op links in berichten die je niet vertrouwt, ook niet als ze echt lijken.
Hoe je met datalekken omgaat in het dagelijks leven
Datalekken zijn helaas niet meer bijzonder. Grote bedrijven, webshops, zorginstellingen, bijna iedereen krijgt er vroeg of laat mee te maken. Het is dus slim om er niet pas over na te denken als jouw naam in een lek opduikt, maar er standaard rekening mee te houden.
Zie je gegevens een beetje als een setje sleutels. Hoe vaker je dezelfde sleutel gebruikt, hoe groter de kans dat iemand er een kopie van maakt. Gebruik je overal hetzelfde wachtwoord, dan is één lek genoeg om veel deuren tegelijk open te zetten.
Probeer daarom je digitale leven zo in te richten dat één datalek niet meteen alles onderuit haalt. Dat betekent niet dat je overal paranoïde over moet zijn, maar wel dat je een paar basisregels volgt. Daarmee haal je al een groot deel van het risico weg.
- Gebruik verschillende e-mailadressen voor verschillende soorten diensten, bijvoorbeeld één voor belangrijke zaken en één voor nieuwsbrieven.
- Schrijf nooit wachtwoorden of gevoelige gegevens in vrije tekstvelden zoals opmerkingen of notities bij formulieren.
- Controleer af en toe of je accounts nog kloppen en verwijder oude accounts die je niet meer gebruikt.
- Stel meldingen in bij je bank en belangrijke diensten, zodat je snel ziet als er iets geks gebeurt.
- Praat met huisgenoten of familie over dit soort dingen, zodat niet alleen jij oplet.
Als je zo naar datalekken kijkt, wordt Check je hack een handig hulpmiddel in plaats van een magische oplossing. Het vertelt je of jouw e-mailadres in een specifieke dataset zit, meer niet. De echte bescherming zit in hoe jij je accounts, wachtwoorden en apparaten inricht.
Wat Check je hack wel en niet voor je oplost
Het is goed om je verwachtingen van Check je hack scherp te hebben. De tool vertelt je alleen of jouw e-mailadres in een bepaalde gestolen dataset voorkomt. Hij repareert niets voor je, blokkeert geen accounts en haalt je gegevens niet uit die dataset.
Ook laat de tool je niet zien welke andere gegevens er precies bij jouw adres horen. Geen adres, geen telefoonnummer, geen geboortedatum. Dat is bewust, om te voorkomen dat de tool zelf een soort zoekmachine voor gelekte data wordt.
Wat Check je hack wél doet, is jou een seintje geven zodat je zelf in actie kunt komen. Wachtwoorden aanpassen, tweestapsverificatie aanzetten, extra opletten op phishing en rare berichten. Zie het als een rookmelder: die blust de brand niet, maar zorgt er wel voor dat jij op tijd wakker wordt.