Beste MyPup‑gebruiker en klant,

​

Onlangs is er online een melding verschenen over een mogelijke nieuwe datalek bij MyPup. We willen je graag een volledige update geven en de speculaties adresseren.

​​​​

MyPup | My Pick Up Point

​

🆕 Update 2 maart 2026 🆕

Als reactie op een aantal recente vragen van gebruikers.​

​

“Onderhandelen jullie met de hacker?”

Nee, we zijn niet in onderhandeling met de hacker.

​

“Bevatte het datalek niet ook e‑mailadressen?”

In de oorspronkelijke communicatie hebben we aangegeven dat “(Een gedeelte van) het e-mailadres” waren gelekt. In de tabel verderop werd echter alleen een gedeeltelijk e‑mailadres vermeld. Een aantal gebruikers wees ons erop dat dit inconsistent was. De tabel is inmiddels aangepast om dit te corrigeren.

​

In juli waren er aanwijzingen dat alleen telefoonnummers waren blootgesteld via een brute‑force‑enumeratieaanval. Hoewel er geen bewijs was dat dezelfde methode was gebruikt om e‑mailadressen te verkrijgen, kon de mogelijkheid dat volledige, gedeeltelijke of geanonimiseerde adressen waren blootgesteld niet worden uitgesloten. Daarom werd de impact in de oorspronkelijke e‑mailcommunicatie (zie hieronder) omschreven als “(Een gedeelte van) het e-mailadres”.

​

​

🆕 Update 26 februari 2026 🆕

​​​​

“Is er een nieuw datalek?”

Nee, er is geen nieuw datalek. Het online bericht verwijst naar het eerder gemelde datalek van juli 2025.

​

Het bericht geeft een verkeerde voorstelling van zaken op meerdere belangrijke punten: het toont een volledig gebruikersrecord met naam, e‑mailadres en andere gegevens die niet aanwezig waren in de bestanden die de aanvaller zelf als bewijs aanleverde, en die bovendien gedetailleerder zijn dan wat ons systeem ooit heeft teruggegeven. De site bevat onjuiste beweringen over klanten die hun contract zouden hebben opgezegd en presenteert de situatie alsof deze nog gaande is, terwijl de onderliggende kwetsbaarheid al in juli 2025 is verholpen.

​

Het online bericht heeft één doel: angst zaaien onder gebruikers en klanten, MyPup commercieel schade toebrengen en onze klanten en hun huurders als drukmiddel gebruiken.

​

“Wat beweert deze site?”

We ontdekten de site op 24 februari. De website beweert dat MyPup geen verantwoordelijkheid neemt voor beveiliging en privacy, en kondigt aan dat informatie uit het beveiligingsincident van 2025 openbaar zal worden gemaakt.

​

“Hoe zit het met mijn gegevens?”

Als je in 2025 van ons een e‑mail hebt ontvangen over het datalek, dan kan het zijn dat jouw gegevens onderdeel waren van deze dataset.

Als je géén bericht hebt ontvangen, dan maak je geen deel uit van deze dataset. Door aanvullende beveiligingsmaatregelen kunnen we helaas niet via de klantenservice bevestigen of ontkennen of jouw account onderdeel is van deze dataset, dit zou op zichzelf al een beveiligingsrisico vormen.

​

We hebben juridische stappen gezet om publicatie van persoonsgegevens te voorkomen, en we hebben vertrouwen in dat proces. Het publiceren van persoonsgegevens zonder toestemming is verboden onder de Nederlandse en Europese wetgeving.

​

In juli 2025 heeft een individu misbruik gemaakt van een zoekfunctie op het MyPup‑platform om telefoonnummers te verzamelen van circa 59.066 gebruikersaccounts. Deze zoekfunctie gaf gemaskeerde gegevens terug van namen en telefoonnummers (bijvoorbeeld J*****n V*****s en +31612****78).

​

Over de data zelf: op 1 december 2025 leverde de aanvaller zijn daadwerkelijke geëxtraheerde bestanden aan als vermeend bewijs van de omvang van het incident. Deze bestanden bevatten telefoonnummers, bezorgcodes, gehashte account‑ID’s en pick‑up point‑informatie. Andere data bevatte uitsluitend geanonimiseerde gegevens zoals Jn VS, en valt daardoor technisch gezien niet onder “persoonsgegevens”.

​

Mocht er een data extract worden gublicieerd met volledige naam, email adres en extra details, betekent dit dat die gegevens zijn verrijkt met data uit externe bronnen of tools,  bijvoorbeeld op basis van het telefoonnummer. Dit betekent niet dat de data rechtstreeks uit ons systeem afkomstig is.

​

De records die nu op zijn website worden getoond bevatten een compleet profiel met volledige naam, e‑mailadres en andere details. Dat detailniveau zat niet in zijn eigen bewijsbestanden en is niet iets wat ons systeem ooit heeft teruggegeven.

​

“Wat hebben jullie gedaan om de beveiliging te verbeteren?”

We hebben tal van wijzigingen doorgevoerd om risico’s te mitigeren — destijds, nu en in de toekomst. Deze verbeteringen gaan verder dan technische aanpassingen; ze omvatten ook veranderingen in onze interne processen en in hoe we omgaan met gevoelige verzoeken.

​

De misbruikte functie in juli 2025 is direct na ontdekking verholpen. Je kunt niet langer zoeken op basis van (gedeeltelijke) telefoonnummers of e‑mailadressen.
Daarnaast moet je expliciet bevestigen dat je op deze manier “vindbaar” wilt zijn.

​

“Is deze persoon een legitieme security researcher?”

Een security researcher of ethisch hacker meldt een kwetsbaarheid zodat die kan worden opgelost.

​

Deze persoon eiste bijna €90.000 in Bitcoin. Hij verzon een donatieconstructie met de naam van Bits of Freedom, een organisatie die bij navraag heeft bevestigd géén betrokkenheid te hebben en ook geen bitcoins kan ontvangen.

​

De dag nadat zijn betalingsdeadline verstreek, bouwde hij infrastructuur om  inlogfunctionaliteit voor MyPup en andere klanten te saboteren. Hij heeft zich ook onrechtmatig voorgedaan als MyPup‑gebruikers om toegang te krijgen tot accounts van derden via onze Customer Support. Nu dreigt hij gebruikersgegevens te publiceren die gedetailleerder zijn dan wat ons systeem ooit heeft teruggegeven en gedetailleerder zijn dan zijn eigen bewijsbestanden. Tot slot verspreidt hij onjuiste claims over contractopzeggingen om commerciële druk te creëren.

​

Dit zijn niet de handelingen van een onderzoeker. Dit is chantage, en wordt als zodanig behandeld door de Nederlandse politie.

​​

"Welke gegevens zijn er kenbaar gemaakt?"

De volgende persoonsgegevens van ongeveer 59.066 MyPup‑gebruikers kunnen tijdens de aanval van juli 2025 door de aanvaller zijn ingezien:

​

• Telefoonnr.: Accessed

• Pick up point naam en locatie: Accessed

• E-mail adres (geheel of gedeeltelijk/geanonimiseerd)*: Accessed

• Name (gedeeltelijk/geanonimiseerd): Accessed

• Account wachtwoorden: Not accessed

• Betalingsinformatie: Not accessed

• Pakketinformatie: Not accessed

• Volledige account toegang: Not accessed

​

* In juli waren er slechts aanwijzingen dat alleen telefoonnummers waren blootgesteld via een brute‑force‑enumeratieaanval. Hoewel er geen bewijs was dat dezelfde methode was gebruikt om e‑mailadressen te verkrijgen, kon de mogelijkheid dat volledige, gedeeltelijke of geanonimiseerde adressen waren blootgesteld niet worden uitgesloten. Daarom werd in de e-mailcommunicatie gesproken over “(Een deel van) het e-mailadres”. De bovenstaande tabel bevatte tot 2 maart een fout en is inmiddels gecorrigeerd.

​

“Heeft een klant het contract beëindigd om deze reden?”

Claims over specifieke klanten die hun contract zouden hebben opgezegd, zijn onjuist. Deze worden verspreid als onderdeel van een drukcampagne die de indruk wil wekken dat er sprake is van een massale uitstroom.

​

Het beëindigen van een samenwerking herstelt of beschermt geen gegevens die al zijn ingezien. Het is geen beveiligingsmaatregel. De suggestie om contracten op te zeggen komt rechtstreeks uit de chantagecampagne en is bedoeld om commerciële druk op MyPup te zetten.

​

We hopen dat jouw keuze om met ons te blijven werken gebaseerd is op onze servicekwaliteit en transparantie, en we lichten die graag tot in detail toe.

​

“Ik wil mijn account verwijderen”

Log in op je account, ga naar je contactgegevens en klik op ‘opzeggen’. Na ontvangst van een bevestigingslink wordt je account inclusief bijbehorende gegevens verwijderd.

​

Door aanvullende beveiligingsmaatregelen kunnen we dit proces niet voor je uitvoeren via de klanten service.

​

“Waarom zaten er oude gegevens in deze dataset?”

Een deel van de accounts in de dataset hoorde, volgens ons privacybeleid, al verwijderd te zijn. Belangrijk hierbij: niet alle MyPup‑accounts vallen onder dezelfde verantwoordelijke partij. Afhankelijk van hoe je account is aangemaakt, ligt de verantwoordelijkheid voor beheer en verwijdering bij MyPup óf bij de organisatie (bijv. je werkgever of gebouwbeheerder) die het account heeft uitgegeven. Dit bepaalt of je account in ons geautomatiseerde verwijderingsproces valt. Voor accounts waarvoor wij verantwoordelijk zijn, was ons verwijderingsproces ingesteld op het verwijderen van slechts 10 verlopen accounts per dag. Dit was logisch toen we in 2014 begonnen, maar is nooit opgeschaald met onze groei. Er was absoluut geen sprake van kwade opzet; de limiet was simpelweg verouderd. We hebben dit inmiddels opgeschaald en gecorrigeerd. Het spijt ons dat dit niet eerder is gebeurd.

​

“Hoe zit het met het social‑engineering gedeelte?”

Eind 2025 heeft een hacker gebruikgemaakt van social‑engineeringtechnieken om onze klantenondersteuningsprocessen te misbruiken. Door zich voor te doen als legitieme gebruikers, wist deze persoon contact op te nemen met ons supportteam en ongeautoriseerde toegang te verkrijgen tot een klein aantal accounts van derden.

​

Dit incident bracht zwakke punten in onze verificatieprocedures bij de klantenservice aan het licht, teneinde onze gebruikters op een fijne manier te kunnen helpen. Deze zwakke punten zijn inmiddels geïdentificeerd en volledig opgelost. De getroffen gebruikers zijn op 2 december persoonlijk geïnformeerd en een melding is diezelfde dag gedaan bij de Autoriteit Persoonsgegevens.

​​

“Wat kan ik nu doen?”

Nu hackers steeds vaker AI gebruiken om persoonlijke gegevens te achterhalen, raden we aan altijd voorzichtig te zijn met onverwachte sms‑berichten, telefoontjes of links, zelfs als ze afkomstig lijken van een vertrouwde bron.

​​​

​​