Datalek Rituals: bedrijf waarschuwt klanten voor phishing

In het kort

• Cosmeticabedrijf Rituals meldt een datalek bij loyalty­programma ‘My Rituals’.
• Namen, adressen, e-mailadressen, telefoonnummers en geboortedata van leden zijn ingezien.
• Wachtwoorden en betaalgegevens zijn volgens het bedrijf níet getroffen.
• Rituals waarschuwt klanten zelf nadrukkelijk voor phishingmails na het lek.

Cosmeticabedrijf Rituals heeft op 22 april 2026 een datalek bevestigd waarbij persoonsgegevens van leden van het loyalty­programma ‘My Rituals’ onrechtmatig zijn gedownload. Het bedrijf waarschuwt klanten nadrukkelijk om alert te zijn op phishingmails, sms-berichten en verdachte telefoontjes die als gevolg van het lek kunnen volgen. De Autoriteit Persoonsgegevens is door Rituals geïnformeerd.

Welke gegevens zijn buitgemaakt

Volgens de eerste mededeling van Rituals zijn onder meer volledige namen, adressen, e-mailadressen, telefoonnummers, geboortedata en geslacht ingezien. Daarnaast zou ook informatie over het accounttype en de voorkeurswinkel zijn gelekt.

Wachtwoorden en betaalgegevens zijn volgens het bedrijf níet getroffen, omdat die separaat worden opgeslagen. De inbreuk raakt niet alleen Nederlandse klanten: ook accounts in andere Europese landen en het Verenigd Koninkrijk zijn getroffen.

Hoewel Rituals stelt dat de toegang inmiddels is geblokkeerd en de situatie ‘onder controle’ is, blijft de combinatie van naam, geboortedatum, woonadres en e-mailadres voor cybercriminelen bijzonder waardevol. Met die set kunnen zij geloofwaardige, persoonlijk gerichte phishingberichten maken — en dat is precies waar Rituals zelf voor waarschuwt.

Waarom een datalek vrijwel altijd phishing oplevert

Na ieder groot datalek zien fraudeonderzoekers binnen enkele dagen een toename van valse e-mails die de getroffen merknaam misbruiken. Aanvallers spelen in op de onrust onder klanten en sturen berichten met onderwerpen als ‘controleer uw account’ of ‘uw bestelling staat klaar’. Omdat de afzender vaak naam en adres correct vermeldt, lijkt het bericht overtuigender dan een willekeurige spamronde.

Wie wil weten hoe je een phishingmail herkent, vindt op Maq2.nl een uitleg met de signalen die steeds terugkomen. Het Rituals-incident staat namelijk niet op zichzelf: eerder dit jaar werden ook Odido, Basic-Fit en Booking.com getroffen door inbreuken waarbij klantdata in handen van criminelen kwamen.

Volgens onderzoek van Deloitte begint inmiddels 91 procent van alle cyberaanvallen met een phishingbericht — een trend die ook in Nederland zichtbaar is, zoals te lezen op de pagina over de groei van cybercrime in Nederland.

Wat klanten nu moeten doen — stap voor stap

Wie een My Rituals-account heeft, kan het risico op gevolgschade beperken door deze stappen direct te zetten:

1. Wijzig het wachtwoord van het My Rituals-account én van elk ander account waar hetzelfde wachtwoord werd gebruikt.
2. Activeer tweestapsverificatie waar dat mogelijk is.
3. Klik niet op links of knoppen in ongevraagde e-mails, sms- of WhatsApp-berichten die naar Rituals lijken te verwijzen.
4. Open de officiële website handmatig via de browser om accountstatus of bestellingen te controleren — niet via een link uit een bericht.
5. Meld verdachte berichten bij de Fraudehelpdesk.

Risico voor zakelijke ontvangers

Voor zakelijke ontvangers ligt er een tweede risico. Phishingmails die misbruik maken van een actueel datalek worden vaak ook naar werkadressen gestuurd, in de hoop een werknemer in een onbewaakt moment te raken. Een goed ingericht spamfilter vangt het overgrote deel van die berichten af voordat ze de inbox bereiken. Op Maq2.nl wordt uitgelegd hoe het Maq spamfilter zakelijke phishing afvangt en welke aanvullende bescherming een extern spamfilter voor bedrijven kan bieden.

Datalek melden en informatie volgen

De Autoriteit Persoonsgegevens houdt het verloop van het incident in de gaten. Voor algemene context over phishing-trends en preventie publiceert het Nationaal Cyber Security Centrum (NCSC) regelmatig updates. Rituals zelf zegt klanten direct te benaderen wanneer hun account aantoonbaar in het lek voorkomt — een mededeling die altijd via de officiële kanalen komt en nooit via een ongevraagde sms of WhatsApp.

Het incident onderstreept opnieuw hoe afhankelijk consumenten zijn van de digitale hygiëne van bedrijven waar zij klant zijn. Zolang persoonsgegevens centraal worden opgeslagen in loyalty­programma’s, blijft het risico bestaan dat één enkele inbreuk een lange staart aan phishingpogingen veroorzaakt.

Veelgestelde vragen

Welke gegevens zijn gelekt bij het Rituals-datalek?
Namen, adressen, e-mailadressen, telefoonnummers, geboortedata, geslacht, accounttype en voorkeurswinkel van leden van het loyaltyprogramma My Rituals. Wachtwoorden en betaalgegevens zijn volgens Rituals niet getroffen.

Wat moet ik doen na het Rituals-datalek?
Wijzig uw My Rituals-wachtwoord, activeer tweestapsverificatie, klik niet op links uit ongevraagde berichten en meld verdachte e-mails of sms-berichten bij de Fraudehelpdesk.

Krijg ik bericht van Rituals als mijn account in het lek voorkomt?
Rituals zegt getroffen klanten direct te informeren via de officiële kanalen. Een melding via een ongevraagde sms, WhatsApp of e-mail met een link is daarmee waarschijnlijk phishing.

Lees ook op Maq2.nl

Meer over phishing en spam voorkomen: tien tips om spam te voorkomen, zes tips voor online veiligheid voor ondernemers en alle berichten in onze nieuwsrubriek over cybercrime en phishing.