Bij Addi gaat het niet alleen om adressen, maar om data die aan kredietprofielen kan raken.
Addi werd op 18 mei 2026 geregistreerd als datalek met 34 miljoen e-mailadressen en kredietgerelateerde gegevens. De naam van Addi was eerder deze maand genoemd bij ShinyHunters, terwijl 29 procent van de adressen al in Have I Been Pwned stond.
New breach: Addi was named as a ShinyHunters victim earlier this month and data containing 34M email addresses allegedly obtained from the platform were published. Credit-related data points were also included. 29% were already in @haveibeenpwned. More: https://t.co/UhZdZ9z4hg
— Have I Been Pwned (@haveibeenpwned) May 18, 2026
De waarde van dit lek zit niet alleen in de omvang. E-mailadressen komen vaak voor in oude databanken, maar kredietgerelateerde velden geven een andere lading aan een profiel. Het blijft nog onduidelijk welke kredietpunten precies zijn gepubliceerd, hoe actueel de dataset is en hoe de gegevens uit het platform zouden zijn verkregen.
Kredietsporen maken dit gevoeliger
Een e-mailadres met een link naar kredietdata vertelt meer dan alleen hoe iemand bereikbaar is. Het kan wijzen op een relatie met een dienst rond betalen, lenen of kredietbeoordeling, zolang de data inderdaad van Addi afkomstig is. Juist die financiële context maakt de publicatie gevoeliger dan een lijst met alleen contactadressen.
De bron noemt geen wachtwoorden, identiteitsbewijzen of betaalkaartnummers. Dat beperkt een deel van het directe risico. Tegelijk is de term kredietgerelateerd breed genoeg om vragen op te roepen over dataminimalisatie: welke velden had het platform nodig, hoe lang werden die bewaard en waarom zaten ze samen met tientallen miljoenen adressen in één gepubliceerde dataset?
Veel adressen waren nog nieuw
Dat 29 procent van de e-mailadressen al in Have I Been Pwned stond, betekent dat een groot deel daar nog niet eerder voorkwam. Voor die groep is dit dus geen herhaling van oude spamdata, maar een nieuwe koppeling aan een dataset met financiële context. Dat maakt controle door gebruikers minder eenvoudig: het gaat niet alleen om herkennen van een bekend oud lek.
De publicatie zegt nog niet hoe de gegevens zijn buitgemaakt. Ook is niet duidelijk of Addi zelf de herkomst heeft bevestigd, welke landen of klantgroepen geraakt zijn en of de dataset volledig of bewerkt is. De belangrijkste vraag is nu welke kredietvelden precies op straat liggen, want pas dat bepaalt wat gebruikers en toezichthouders hierna kunnen doen.
