Wat is het grootste datalek uit de geschiedenis?

De Yahoo-inbreuk van 2013-2014 blijft de grootste en treft alle 3 miljard gebruikersaccounts. Het werd pas in 2017 volledig bekendgemaakt.

← Terug naar blog

De grootste datalekken in de geschiedenis: een tijdlijn van digitale rampen

Q: Wat moet ik doen als er sprake is van een inbreuk op mijn gegevens?

Wijzig onmiddellijk de wachtwoorden voor de betreffende service en voor alle accounts die hetzelfde wachtwoord gebruiken. Schakel 2FA in, controleer financiële overzichten en overweeg een kredietbevriezing.

Q: Hoe controleer ik of mijn gegevens zijn gelekt?

Gebruik diensten zoals Have I Been Pwned (haveibeenpwned.com) om te controleren of uw e-mail voorkomt bij bekende inbreuken.

Q: Worden datalekken erger?

Ja. Zowel de frequentie als de omvang van inbreuken blijven toenemen als gevolg van de groeiende aanvalsoppervlakken, cloudmigratie en steeds geavanceerdere bedreigingsactoren.

Cyberbeveiliging 27 februari 2026 · 12 minuten lezen

Timeline of the biggest data breaches in history

16.7B+Records openbaar gemaakt sinds 2013

$4,88 miljoenGemiddelde kosten voor inbreuken (2025)

277 dagenGemiddelde detectietijd

Waarom datalekken steeds erger worden

Elk jaar vestigt een nieuw record. Het aanvalsoppervlak wordt groter naarmate bedrijven naar de cloud migreren, IoT-apparaten adopteren en tientallen jaren aan gebruikersgegevens verzamelen. Ondertussen zijn aanvallers beter gefinancierd, beter georganiseerd en maken ze steeds meer gebruik van AI. Het resultaat: inbreuken zijn groter, duurder en moeilijker te detecteren dan ooit tevoren.

De gemiddelde organisatie heeft 277 dagen nodig om een inbreuk te identificeren en te beperken. Dat zijn negen maanden waarin aanvallers stilletjes gegevens exfiltreren voordat iemand het merkt.

📅 Tijdlijn van 15 grote inbreuken

Yahoo2013–2014

3 Miljard accounts

Aanval: door de staat gesponsorde hacking, vervalste cookies

💡 Yahoo heeft de inbreuk al drie jaar niet ontdekt. De doofpotoperatie kostte hen $350 miljoen in hun Verizon-overnameovereenkomst. Les: Investeer in het detecteren van inbreuken, niet alleen in preventie.

Eerste Amerikaanse financiële 2019

885 Miljoen records

Aanval: authenticatiefout (IDOR)

💡 Gevoelige documenten (bankafschriften, burgerservicenummers) waren toegankelijk door simpelweg het URL-nummer te wijzigen. Les: Implementeer altijd de juiste toegangscontroles.

Facebook (Meta)2019

533 Miljoen gebruikers

Aanval: API-scraping-kwetsbaarheid

💡 Telefoonnummers en persoonlijke gegevens van 533 miljoen gebruikers uit 106 landen werden gratis geschraapt en gelekt op een hackforum. Les: API-toegang beperken en monitoren.

Marriott International2014–2018

500 miljoen gasten

Aanval: aanhoudende netwerkinbraak

💡 Aanvallers zaten vier jaar in het Starwood-reserveringssysteem voordat Marriott het verwierf – en niemand controleerde het. Les: Beveiligingsaudits vóór fusies en overnames zijn van cruciaal belang.

LinkedIn2021

700 Miljoen profielen

Aanval: API-scraping

💡 Gegevens van 93% van de LinkedIn-gebruikers werden verzameld en verkocht. LinkedIn voerde aan dat het geen ‘inbreuk’ was, omdat er geen toegang was tot privégegevens. Les: Openbare gegevens op grote schaal worden een bedreiging voor de privacy.

Adobe2013

153 Miljoen accounts

Aanval: netwerkinbraak, slechte codering

💡 Wachtwoorden zijn gecodeerd met 3DES (niet gehasht), waardoor ze eenvoudig te kraken zijn. Ook de broncode voor Photoshop en Acrobat werd gestolen. Les: Hash wachtwoorden altijd, versleutel ze nooit.

Equifax2017

147 Miljoen mensen

Aanval: niet-gepatchte Apache Struts-kwetsbaarheid

💡 Burgerservicenummers, geboortedata en adressen van de helft van de Amerikaanse bevolking werden openbaar gemaakt omdat een bekende kwetsbaarheid twee maanden lang niet was gepatcht. Les: Patchbeheer redt imperiums.

Hoofdwaarde Eén2019

106 Miljoen klanten

Aanval: verkeerd geconfigureerde WAF, SSRF

💡 Een voormalige AWS-medewerker maakte misbruik van een verkeerd geconfigureerde firewall om toegang te krijgen tot creditcardapplicaties die zijn opgeslagen op S3. Les: Misconfiguraties in de cloud zijn de nieuwe open deuren.

T-Mobile2021

77 Miljoen klanten

Aanval: brute kracht via onbeveiligde router

💡 Een onbeschermde router vormde het eerste toegangspunt. T-Mobile is sinds 2018 meer dan 8 keer gehackt. Les: Herhaalde inbreuken wijzen op tekortkomingen in de systemische veiligheidscultuur.

Zonnewind2020

18.000 organisaties

Aanval: compromis in de toeleveringsketen

💡 Russische staatshackers hebben een achterdeur in de Orion-update van SolarWinds geplaatst, waardoor Amerikaanse overheidsinstanties en Fortune 500-bedrijven in gevaar zijn gebracht. Les: Je toeleveringsketen is je aanvalsoppervlak.

Koloniale pijplijn2021

Ransomware — $ 4,4 miljoen betaald

Aanval: gecompromitteerd VPN-wachtwoord (geen 2FA)

💡 Eén gelekt VPN-wachtwoord zonder meervoudige authenticatie sloot de brandstoftoevoer naar de oostkust van de VS af. Les: Schakel 2FA in op elk extern toegangspunt.

Laatste Pass2022

25 kluizen van miljoen gebruikers

Aanval: compromittering van ontwikkelaarsmachine

💡 Aanvallers hebben de thuiscomputer van een ontwikkelaar gehackt en vervolgens gestolen inloggegevens gebruikt om toegang te krijgen tot gecodeerde wachtwoordkluizen. Les: Zelfs beveiligingsbedrijven zijn niet immuun. Gebruik sterke hoofdwachtwoorden.

23enIk2023

6,9 miljoen gebruikers

Aanval: inloggegevens opvullen

💡 Hergebruikte wachtwoorden gaven aanvallers toegang tot accounts, waardoor genetische gegevens van miljoenen mensen openbaar werden gemaakt via de functie 'DNA-verwanten'. Les: Gebruik wachtwoorden nooit opnieuw, vooral niet op sites met gevoelige persoonlijke gegevens.

MOVEit2023

2.700+ organisaties

Aanval: Zero-day SQL-injectie

💡 De Cl0p-ransomwarebende maakte misbruik van een zero-day in de MOVEit-bestandsoverdrachtstool van Progress Software, waardoor luchtvaartmaatschappijen, banken en overheidsinstanties over de hele wereld werden getroffen. Les: Minimaliseer de zichtbaarheid van services voor bestandsoverdracht.

Nationale openbare gegevens2024

2,9 miljard records

Aanval: onbeschermde databaseblootstelling

💡 Burgerservicenummers, namen en adressen van bijna elke Amerikaan werden openbaar gemaakt door een antecedentenonderzoekbedrijf met vrijwel geen beveiliging. Les: Datamakelaars vormen een enorm, ongereguleerd risico.

Uitsplitsing van aanvalsmethoden

Welke technieken leidden tot de grootste inbreuken? Hier is het patroon:

🔓 Credential-aanvallen

Credential stuffing, brute kracht, gestolen wachtwoorden. Achter Colonial Pipeline, 23andMe en nog veel meer. Fix: Unieke wachtwoorden + 2FA.

🐛 Niet-gepatchte kwetsbaarheden

Bekende CVE's bleven weken of maanden ongepatcht. Equifax en MOVEit zijn schoolvoorbeelden. Oplossing: Geautomatiseerde patches en scannen op kwetsbaarheden.

⚙️ Verkeerde configuraties

Open databases, openbare S3-buckets, zichtbare API's. First American en Capital One vielen op deze manier. Opgelost: Beheer van cloudbeveiliging.

🔗 Toeleveringsketen

Het compromitteren van vertrouwde software-updates of tools van derden. SolarWinds en MOVEit exploiteerden vertrouwensketens. Oplossing: Software stuklijst en leveranciersaudits.

Wat er met uw gegevens gebeurt na een inbreuk

Zodra uw gegevens zijn gestolen, volgen deze een voorspelbaar pad:

Eerste verkoop: De hacker verkoopt de dataset binnen enkele uren tot dagen op dark web-markten
Credential stuffing: Geautomatiseerde bots proberen uw e-mail/wachtwoord-combinatie op honderden andere sites
Identiteitsfraude: Volledige identiteitsgegevens (SSN, geboortedatum, adres) worden gebruikt voor leningsaanvragen en belastingfraude
Phishingcampagnes: Uw persoonlijke gegevens maken gerichte phishing-e-mails zeer overtuigend
Permanente circulatie: Gehackte gegevens verdwijnen nooit: ze worden opnieuw verpakt en jarenlang doorverkocht

Hoe u uzelf kunt beschermen

🔐 Gebruik unieke wachtwoorden — Een wachtwoordgenerator maakt sterke, willekeurige wachtwoorden voor elk account

🛡️ Schakel 2FA overal in — Lees onze volledige 2FA-gids

🔍 Bewaak uw blootstelling — Controleer regelmatig haveibeenpwned.com

❄️ Bevries uw tegoed — Voorkomt dat frauduleuze accounts worden geopend op uw naam

📧 Gebruik e-mailaliassen — Geef elke service een uniek e-mailadres om de explosieradius te beperken

Veelgestelde vragen

Wat is het grootste datalek in de geschiedenis?

De Yahoo-inbraak (2013-2014) trof alle 3 miljard accounts en was daarmee qua aantal gebruikers de grootste. Bij de inbreuk op de nationale openbare gegevens in 2024 zijn 2,9 miljard records blootgelegd, inclusief burgerservicenummers.

Hoeveel kost een datalek een bedrijf?

Volgens het IBM-rapport uit 2025 bedragen de gemiddelde kosten $4,88 miljoen. De gezondheidszorg overschrijdt gemiddeld $10,93 miljoen – het hoogste van alle sectoren gedurende 14 opeenvolgende jaren.

Wat moet ik doen als er sprake is van een inbreuk op mijn gegevens?

Wijzig wachtwoorden onmiddellijk, schakel 2FA in, controleer financiële overzichten op ongeoorloofde activiteiten en overweeg om uw tegoed bij alle drie de bureaus te bevriezen.

Hoe controleer ik of mijn gegevens zijn gelekt?

Gebruik Gebruik Ben ik gepwnd om te controleren of uw e-mail voorkomt bij bekende inbreuken. Meld u aan voor waarschuwingen om op de hoogte te worden gehouden van toekomstige inbreuken.

>Ben ik gepwnd om te controleren of uw e-mail verschijnt bij bekende inbreuken. Meld u aan voor waarschuwingen om op de hoogte te worden gehouden van toekomstige inbreuken.

Worden datalekken erger?

Ja. Zowel de frequentie als de schaal blijven toenemen. In 2023 was het aantal inbreuken met 72% toegenomen ten opzichte van het vorige record van 2021, en in de periode 2024-2025 werd deze trend voortgezet.

Gerelateerde tools

🔑 Genereer een sterk wachtwoord →

📱 Two-Factor Authenticatie instellen

🔒 Hoe u een sterk wachtwoord maakt in 2026