Achtergrond - Waarom 'Check je hack' slechts 1 keer je e-mailadres opzoekt in de Odido-dataset

vrijdag, 13 maart 2026 (10:00) - Tweakers

In dit artikel:

Tijdens de nasleep van het veelbesproken Odido-datalek onderzocht nieuwsplatform Tweakers de werking van de politietool Check je hack nadat lezers een fout in het oorspronkelijke waarschuwingsmailtje hadden gemeld. De politie blijkt te registreren of een e-mailadres al eerder via de tool is ingevoerd, maar dat gebeurt niet in leesbare vorm: zowel de gestolen dataset als de ingevoerde adressen worden gehasht en met een geheime sleutel (een pepper) versterkt. Daardoor kan de politie volgens eigen zeggen niet zien welke concrete e‑mailadressen in de dataset staan of welke adressen gebruikers hebben ingevoerd.

Technisch werkt het zo: bij invoer wordt het e-mailadres gehasht met de pepper en vergeleken met de gehashte dataset. Als er een match is, stuurt de politie éénmalig een e-mail naar het betreffende adres en markeert het bijbehorende gehashte record als “genotificeerd”. Nieuwe invoeradressen worden volgens de politie niet gelogd of bewaard. Deze werkwijze is bedoeld om de privacy van betrokkenen te beschermen en te voorkomen dat kwaadwillenden de tool misbruiken om slachtoffers met spam- of phishingmails te bestoken.

Het systeem heeft echter een nadeel dat recent zichtbaar werd: begin maart voegde de politie gegevens uit het Odido-datalek toe; het eerste waarschuwingsbericht noemde ten onrechte dat wachtwoorden gelekt waren. Na signalen van Tweakers werd de tekst aangepast om duidelijk te maken dat er geen wachtwoorden van de Odido-website waren gelekt, maar dat klanten mogelijk hun wachtwoord in een contactveld hadden opgegeven. Omdat Check je hack adressen slechts éénmaal notificieert, kunnen gebruikers die reeds de foutieve e-mail ontvingen de gecorrigeerde uitleg niet automatisch alsnog krijgen via de tool. Veel betrokkenen zijn waarschijnlijk ook rechtstreeks door Odido of Ben geïnformeerd en kunnen bovendien informatie raadplegen via diensten als Have I Been Pwned.

Kort samengevat: de politie gebruikt hashing en een pepper om privacy te waarborgen en misbruik tegen te gaan, maar die keuze zorgt er ook voor dat fouten in vroege waarschuwingen niet eenvoudig kunnen worden rechtgezet naar alle eerder gecontacteerde slachtoffers.