Sinds 24 februari 2026 is er een website gepubliceerd door een individu dat de naam “Eelke” gebruikt. Op deze website wordt beweerd dat MyPup geen verantwoordelijkheid neemt voor veiligheid en privacy. Er wordt ook gesteld dat om deze reden informatie uit het beveiligingsincident van 2025 openbaar zal worden gemaakt. We willen duidelijk maken dat de suggestie dat MyPup geen actie heeft ondernomen of niet transparant is geweest, onjuist is. Gedurende het hele proces hebben we open gecommuniceerd en elke vereiste stap snel en zorgvuldig uitgevoerd. Het datalek vond plaats in 2025 en is opgelost. Het is belangrijk te benadrukken dat de details die op deze website worden gepubliceerd geen nieuw datalek betreffen. Alle informatie verwijst uitsluitend naar het incident dat in 2025 heeft plaatsgevonden. Zoals hieronder vermeld, hebben we destijds direct gehandeld en uitgebreide maatregelen geïmplementeerd om incidenten van deze aard toen, nu en in de toekomst te voorkomen.

Er is geen nieuw datalek. Het online bericht verwijst naar het eerder gerapporteerde datalek van juli 2025. Het online bericht geeft het incident op verschillende belangrijke punten verkeerd weer: het toont een volledig gebruikersrecord met naam, e‑mailadres en andere gegevens die niet aanwezig waren in de bewijsbestanden van de aanvaller en die bovendien veel gedetailleerder zijn dan wat ons systeem ooit heeft teruggegeven. De site bevat onjuiste claims over klanten die hun contracten beëindigen en doet voorkomen alsof de situatie nog steeds gaande is, terwijl de onderliggende kwetsbaarheid al in juli 2025 is verholpen. Het online bericht heeft één enkel doel: angst zaaien bij gebruikers en klanten, MyPup schade toebrengen en onze klanten en hun huurders als pressiemiddel gebruiken.

De site beweert dat we aan het onderhandelen zijn: nee, we zijn niet in onderhandeling met de hacker.

De site beweert alle gegevens op 9 maart 2025 om 00:00 op het dark web te publiceren. Wanneer je in 2025 een e‑mail van ons hebt ontvangen over het datalek, is de kans groot dat jouw gegevens onderdeel zijn van deze dataset. Als je die e-mail niet hebt ontvangen, dan maak je waarschijnlijk geen deel uit van deze dataset. Het kan echter zijn dat de mail destijds in je spamfolder terecht is gekomen. Als je tot 28 juli 2025 een MyPup‑account had gekoppeld aan een Pick Up Point zonder beperkingen (zoals een join‑code of abonnement), dan is het waarschijnlijk dat jouw gegevens in deze dataset zitten. Helaas kunnen we, vanwege aanvullende beveiligingsmaatregelen, niet bevestigen of ontkennen of jouw account in deze dataset voorkomt. Dit zou op zichzelf een beveiligingsrisico vormen. We hebben juridische stappen ondernomen om de publicatie van persoonsgegevens te voorkomen, en we hebben vertrouwen in dat proces. Het publiceren van persoonsgegevens zonder toestemming is verboden onder de Nederlandse en Europese wetgeving. In juli 2025 misbruikte een individu een zoekfunctie op het MyPup‑platform om telefoonnummers en e‑mailadressen te enumereren van ongeveer 60.000 gebruikersaccounts. Deze zoekfunctie gaf gemaskeerde gegevens terug voor namen en telefoonnummers (bijvoorbeeld: J****n V****S en +31612****78). Op 1 december 2025 stuurde de aanvaller ons een dataset die bedoeld was als bewijs van het datalek. Deze bestanden bevatten telefoonnummers, afhaalcodes, gehashte account‑ID’s en pick‑up‑point‑ID’s. Omdat dit geen extra persoonsgegevens bevatte buiten wat eerder al gemeld was, was verdere communicatie niet nodig. Op 3 maart 2026 publiceerde de aanvaller een gedeeltelijke datadump. Dit bestand bevatte meer gegevens dan eerder aangegeven. Hoewel we niet kunnen uitsluiten dat de gegevens in de tussentijd zijn verrijkt met tools van derden, moeten we aannemen dat de gegevens afkomstig zijn uit de misbruikte functie “zoek buur of collega” die in juli 2025 is misbruikt.

De volgende persoonsgegevens van bijna 60.000 MyPup‑gebruikers zijn mogelijk ingezien door de aanvaller tijdens de aanval in juli 2025: Contactgegevens • Telefoonnummer: Ingezien • E‑mailadres*: Ingezien • Naam (gedeeltelijk/geanonimiseerd): Ingezien * In sommige gevallen kan een naam worden gereconstrueerd op basis van het e‑mailadres en de eerste 3 tekens van de afhaalcode (vooral bij een korte naam). Gegevens met betrekking tot het Pick Up Point • Naam van het Pick Up Point: Ingezien • Locatie van het Pick U Point: Ingezien • Voor kantoorlocaties: Adres of adresblok • Voor appartementencomplexen: Adresblok of bereik Wat niet is ingezien • Accountwachtwoorden: Niet ingezien • Betaalinformatie: Niet ingezien • Pakketinformatie: Niet ingezien • Volledige accounttoegang: Niet ingezien *Bijgewerkt op 3 maart 2026. In juli gaven aanwijzingen aan dat alleen telefoonnummers waren blootgesteld via een brute‑force‑enumeratieaanval. Hoewel er geen bewijs was dat dezelfde methode is gebruikt om e‑mailadressen te verkrijgen, kon de mogelijkheid dat volledige, gedeeltelijke of geanonimiseerde adressen waren blootgesteld niet worden uitgesloten. Om die reden werd in de e‑mailcommunicatie gesproken over “(Een deel van) e‑mailadres(sen)”. De bovenstaande tabel bevatte tot 2 maart een fout en is sindsdien gecorrigeerd.

In de oorspronkelijke communicatie gaven we aan dat “(Een deel van) e‑mailadressen” was gelekt. In eerdere communicatie op deze site vermeldden we echter alleen een gedeeltelijk e‑mailadres. We werden erop gewezen dat dit inconsistent was. De tabel hieronder is nu bijgewerkt om dit consistenter te maken. In juli gaven aanwijzingen aan dat alleen telefoonnummers waren blootgesteld via een brute‑force‑enumeratieaanval. Hoewel er geen bewijs was dat dezelfde methode is gebruikt om e‑mailadressen te verkrijgen, kon de mogelijkheid dat volledige, gedeeltelijke of geanonimiseerde adressen waren blootgesteld niet worden uitgesloten. Om die reden werd de impact in de oorspronkelijke e‑mailcommunicatie (zie hieronder) beschreven als “(Een deel van) e‑mailadres(sen)”.

We hebben tal van wijzigingen doorgevoerd om de beveiligingsrisico’s van toen, nu en in de toekomst te beperken. Allereerst is de misbruikte functie “zoek buur of collega” in juli 2025 direct na ontdekking opgelost. Het is niet langer mogelijk om te zoeken op gedeeltelijke telefoonnummers of e‑mailadressen. Daarnaast moeten gebruikers eerst bevestigen dat zij op deze manier überhaupt vindbaar willen zijn. Verder hebben we onze firewall versterkt, rate‑limiting geïmplementeerd, intrusion detection ingeschakeld en onze systemen voor waarschuwingen en notificaties verbeterd om toekomstige inbreuken te detecteren. Ook hebben we de samenwerking met een professioneel extern cybersecuritybedrijf geïntensiveerd. De veranderingen gaan verder dan alleen technische aanpassingen; ze hebben ook betrekking op hoe ons team werkt en omgaat met gevoelige verzoeken.

Er is een brute‑force‑enumeratieaanval uitgevoerd, waarbij willekeurige telefoonnummers of e‑mailadressen werden getest om te zien welke bestonden. Je kunt dit vergelijken met het proberen van verschillende combinaties op een cijferslot totdat de juiste is gevonden. We hebben de aanval op 27 juli 2025 geïdentificeerd, de kwetsbaarheid direct gesloten en aanvullende beveiligingsmaatregelen geïmplementeerd.

Een deel van de accounts in de gelekte dataset behoorde tot gebruikers van wie de gegevens volgens ons eigen privacybeleid verwijderd hadden moeten worden. Een belangrijke nuance hierbij is dat niet alle MyPup‑accounts gelijk zijn wat betreft eigenaarschap van gegevens: afhankelijk van hoe een account is aangemaakt, kan de verantwoordelijkheid voor het beheren en verwijderen van die gegevens bij MyPup liggen, of bij de organisatie (zoals een werkgever of gebouwbeheerder) die het account heeft ingericht. Dit bepaalt welke accounts onder ons automatische verwijderproces vallen. Voor de accounts waarvoor wij direct verantwoordelijk zijn, was ons verwijderproces zo ingesteld dat slechts 10 verlopen accounts per dag werden verwijderd. Deze limiet was redelijk toen we in 2014 begonnen, maar was niet meer passend gezien onze groei sindsdien. Er was absoluut geen sprake van kwade intentie om oude gegevens te bewaren. We hebben deze limiet inmiddels verhoogd en het proces gecorrigeerd. Het spijt ons dat dit niet eerder is aangepakt.

Wanneer je inlogt op je account, ga je naar je contactgegevens en klik je op ‘beëindigen’. Nadat je een bevestigingslink hebt ontvangen, worden je account en bijbehorende gegevens verwijderd.

• Wees extra voorzichtig met onverwachte e‑mails of sms‑berichten die beweren van MyPup afkomstig te zijn. Wij zullen nooit zomaar vragen om persoonlijke informatie, wachtwoorden of bezorgcodes via e‑mail of sms. • Het is mogelijk dat de aanvaller ervoor kiest om de gestolen gegevens te publiceren. Door de aard van de gelekte informatie kan deze ook worden gebruikt om MyPup te imiteren. Helaas mogen wij geen gebruik maken van gegevens die op het dark web verschijnen en kunnen we gebruikers daarom niet informeren over of deze daadwerkelijk in een (toekomstig) gepubliceerd bestand aanwezig zijn. Wanneer je in november de melding hebt ontvangen, is de kans groot dat jouw accountgegevens onderdeel zijn van een mogelijke toekomstige publicatie van gestolen data. • Je kunt ook controleren of je e‑mailadres betrokken is geweest bij een ander datalek via haveibeenpwned.com.(http://haveibeenpwned.com) Gebruik in ieder geval de volgende best practices voor elk online account: • Schakel waar mogelijk Multi‑Factor Authenticatie (MFA) in. • Gebruik sterke en unieke wachtwoorden en maak gebruik van een password manager. • Gebruik waar mogelijk veilige inlogmethoden: passkeys of inloggen via derden (zoals Microsoft, Google, Apple). • Wees alert op phishing: ontvang je een verdacht bericht, klik dan niet op links. Helaas komt het steeds vaker voor dat persoonlijke gegevens op het internet terechtkomen, omdat hackers in toenemende mate AI gebruiken om persoonlijke data te bemachtigen. Wees altijd voorzichtig en alert wanneer je online bent en berichten ontvangt.

Een beveiligingsonderzoeker of ethisch hacker meldt een kwetsbaarheid zodat deze kan worden opgelost. Deze persoon eiste echter bijna €90.000 in Bitcoin. Hij verzon een liefdadigheidsschema door de naam van Bits of Freedom te gebruiken—een organisatie die heeft bevestigd dat zij geen enkele betrokkenheid hadden. De dag nadat zijn betalingsdeadline was verstreken, bouwde hij infrastructuur om de inlogfunctionaliteit van MyPup en andere klanten te saboteren. Ook heeft hij zich onrechtmatig voorgedaan als MyPup‑gebruikers om via onze Customer Support‑afdeling toegang te krijgen tot accounts van derden. En nu dreigt hij gebruikersgegevens op zijn website te publiceren die gedetailleerder zijn dan wat ons systeem ooit heeft teruggegeven, en gedetailleerder dan zijn eigen bewijsmateriaal. Tot slot verspreidt hij onjuiste beweringen over klantopzeggingen om commerciële druk op te voeren. Dit zijn niet de acties van een onderzoeker. Dit is afpersing en wordt door de Nederlandse wetshandhaving ook als zodanig behandeld.

Claims over specifieke klanten die contracten beëindigen zijn onjuist. Deze worden verspreid als onderdeel van de drukcampagne om de indruk te wekken van een massale uitstroom. Het beëindigen van een zakelijke relatie herstelt of beschermt geen gegevens die al zijn ingezien. Dit is geen beveiligingsmaatregel. De suggestie om contracten te beëindigen komt rechtstreeks voort uit de afpersingscampagne en is bedoeld om commerciële druk op MyPup uit te oefenen. We hopen dat uw beslissing om met ons samen te blijven werken gebaseerd is op onze servicekwaliteit en transparantie, en we gaan dit graag in zoveel detail met u door als u nodig heeft.

Aan het einde van 2025 gebruikte een hacker social‑engineeringtechnieken om onze klantenondersteuningsprocessen te misbruiken. Door zich voor te doen als legitieme gebruikers nam deze persoon contact op met ons supportteam en wist zo ongeautoriseerde toegang te krijgen tot een klein aantal accounts bij derden. Dit incident bracht zwaktes aan het licht in onze verificatieprocedures binnen Customer Support. Deze zwaktes zijn inmiddels vastgesteld en volledig verholpen. De betrokken gebruikers zijn op 2 december persoonlijk geïnformeerd, en op dezelfde dag is een melding gedaan bij de Autoriteit Persoonsgegevens.

Zie hieronder de oorspronkelijke melding die op 28 november 2025 is verstuurd: Belangrijke update over een beveiligingsincident bij MyPup. In juli 2025 heeft zich een cyberincident voorgedaan binnen onze organisatie. Hierdoor zijn getroffen gebruikers geïnformeerd. Tijdens een poging tot ongeautoriseerde toegang zijn gegevens van ongeveer 60.000 MyPup‑gebruikers ingezien. We betreuren het zeer dat dit incident heeft plaatsgevonden en begrijpen dat dit zorgen kan veroorzaken. We nemen de bescherming van persoonsgegevens uiterst serieus en vinden het belangrijk om iedereen volledig en transparant te informeren. Wat is er gebeurd? Er is een brute‑force‑enumeratieaanval uitgevoerd, waarbij willekeurige telefoonnummers of e‑mailadressen werden getest om te zien welke bestonden. Je kunt dit vergelijken met het proberen van verschillende combinaties op een cijferslot totdat de juiste is gevonden. We hebben de aanval op 27 juli 2025 geïdentificeerd, de kwetsbaarheid direct gesloten en aanvullende beveiligingsmaatregelen geïmplementeerd. Na dit incident werd MyPup anoniem geïnformeerd dat er sprake was van een nog grotere hack van ongeveer 60.000 gebruikers. We hebben vervolgens alle getroffen accounts direct op 28 november 2025 geïnformeerd. Welke gegevens zijn ongeautoriseerd ingezien? • Telefoonnummer • (Een deel van) het e‑mailadres • Naam van het Pick Up Point • Een deel van de naam Belangrijk om te weten: • Er is geen toegang verkregen tot gebruikersaccounts. • Het incident is op 27 juli geïdentificeerd en gestopt. • Personen van wie gegevens zijn ingezien, zijn destijds geïnformeerd. • We hebben het incident direct gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. • Sindsdien hebben we diverse beveiligingsmaatregelen genomen, interne processen aangescherpt en onze beveiliging verder verbeterd in samenwerking met een extern cybersecuritybedrijf. Blijf alert Een deel van de blootgestelde informatie kan mogelijk worden misbruikt voor phishing of andere frauduleuze activiteiten. Heb je een MyPup‑account? Blijf alert op verdachte berichten, telefoontjes of links. MyPup mailt je uitsluitend via de domeinen my‑pup.com of mypup.nl.(http://mypup.nl) Telefoonnummers worden nooit gebruikt om persoonlijke informatie op te vragen. Twijfel je, neem dan altijd contact op via infosecurity@my-pup.com.(mailto:infosecurity@my-pup.com) We betreuren het ongemak dat dit incident mogelijk heeft veroorzaakt en doen er alles aan om privacy te waarborgen en jouw vertrouwen te behouden. Als je vragen of zorgen hebt, neem dan gerust contact op met ons securityteam via infosecurity@my-pup.com.(mailto:infosecurity@my-pup.com)