Maak je gebruik van Thuisbezorgd én heb je jouw PayPal-account aan je Thuisbezorgd-account gekoppeld? Dan is het even opletten: er zijn signalen dat hackers op jouw kosten bestellingen plaatsen. Tegen de tijd dat je het doorhebt, zijn de hongerige oplichtertjes alweer gevlogen.
Gemak dient de mens, en het succes van Thuisbezorgd is daar een sprekend voorbeeld van. Geen zin om te koken? Plof neer op de bank, grijp naar je smartphone en binnen een mum van tijd is het slechts wachten op het kenmerkende geluid van het brommertje dat piepend voor jouw deur tot stilstand komt.
Wie gebruik maakt van de betaaldienst PayPal, kan bovendien nóg eenvoudiger bestellingen plaatsen via Thuisbezorgd. Thuisbezorgd biedt klanten namelijk de mogelijkheid om hun PayPal-account aan Thuisbezorgd te koppelen, zodat ze voortaan met één druk op de knop betalingen kunnen accorderen zonder de noodzaak om iedere betaling aanvullend te moeten verifiëren. Op zich een heel handige feature, maar qua beveiliging niet honderd waterdicht: helaas is gebleken dat dat systeem enigszins fraudegevoelig is.
Meldingen over oplichting
Op Tweakers maken meerdere gebruikers melding van het feit dat ze slachtoffer zijn geworden van ongeoorloofde bestellingen die via hun account zijn geplaatst. Eén gebruiker meldt het volgende: 'Ik ben ook slachtoffer. Ik had een uniek wachtwoord voor Thuisbezorgd, gekoppeld aan PayPal One Touch, dus afgelopen vrijdag is er een order op mijn account geplaatst à € 103,75 op naam van een bepaald persoon in Amsterdam.'
Een andere gebruiker meldt 'Ook slachtoffer hier. € 58 in totaal, dus gelukkig te overzien'. Ook Opgelicht?! kreeg onlangs een bericht over deze vorm van fraude, deze melder omschreef de zaak als volgt:
'Er worden momenteel veel Thuisbezorgd-accounts gehackt waarmee vervolgens eten wordt besteld. Dit betreft de accounts welke gekoppeld zijn aan PayPal. Je kunt namelijk bestellen en betalen via PayPal zonder een extra wachtwoord in te voeren. Dit is mij gisteravond gebeurd. Volgens Thuisbezorgd, waar ik telefonisch contact mee heb gehad, zijn er de afgelopen dagen flink wat meldingen van klanten over dit probleem binnengekomen.'
En ook op ons forum heeft iemand een topic aangemaakt over dit probleem: 'Ik kreeg op 1 mei 22:06 een mail binnen van 2 bestellingen van Thuisbezorgd.nl die ik niet heb geplaatst. Bestelling 1 was voor € 82,15 aan kip. Ik kreeg om 22:11 weer een mail met de melding dat er voor € 78,23 aan Hennessy-cognac is besteld.'
Hoe werkt het?
Zoals toegelicht gaat het hier om oplichters die zich toegang weten te verschaffen tot bestaande Thuisbezorgd-accounts. Er is pas potentie voor misbruik als aan dat Thuisbezorgd-account een PayPal-account is gekoppeld.
Wie voor een contante betaling kiest, zal immers toch echt met geld over de brug moeten komen om de transactie te kunnen voltooien, en ook bij betaling via iDeal en overige betaalwijzen is er sprake van een extra verificatie waar derden niet zomaar toegang toe hebben. Een woordvoerder van Thuisbezorgd bevestigt dit tegenover het AD: 'Bij betalingen via iDeal of een creditcard wordt er altijd om een extra verificatiecode gevraagd. Bij PayPal is dat niet het geval.'
Iedere bestelling die je plaatst, wordt per e-mail bevestigd. Als je op een zeker ogenblik een bestellingsbevestiging van Thuisbezorgd en/of een betalingsbevestiging van PayPal krijgt, zou je de schade enigszins kunnen beperken door direct contact op te nemen met het bezorgrestaurant om de bestelling te annuleren. Je moet echter wel net het geluk hebben dat je het meteen ziet, want als de bestelling eenmaal is afgeleverd of zelfs wordt klaargemaakt, ben je eigenlijk al te laat.
Niet locatiegebonden
Thuisbezorgd werkt doorgaans op basis van bekende of beschikbare locatiegegevens: afhankelijk van jouw locatie worden de bezorgrestaurants getoond die in jouw postcodegebied bezorgen. Het is echter mogelijk om deze geografische beperking handmatig te omzeilen: in de mobiele app én op de website van Thuisbezorgd kun je handmatig een gewenste postcode of gemeente invoeren en de corresponderende lijst restaurants verschijnt direct op je scherm. Het is dus geen vereiste dat de oplichters zich in jouw nabijheid bevinden, want via deze mogelijkheid kunnen ze in principe overal in Nederland bestellen.
Nu is het interessant om te benoemen dat iedere bestelling op een zeker ogenblik toch echt fysiek afgeleverd dient te worden. De oplichtertjes zullen ongetwijfeld niet zo dom zijn om bestellingen op hun eigen adres te laten bezorgen, dat maakt het immers wel heel eenvoudig om de hongerige belhamels later alsnog in de kraag te vatten zodra het spreekwoordelijke kwartje is gevallen. Degene die de melding op ons forum deed, gaf aan dat hij van het restaurant vernam dat een groepje jongeren de bestelling naar een hotel had laten sturen en dat de hongerige en dorstige rekels ter plekke voor de deur stonden te wachten op de kip en de cognac.
In dat opzicht leidt deze vorm van oplichting tot enigszins kolderieke situaties: wij stellen ons zo voor dat er ineens voor € 300,- aan peperdure sushi moet worden afgeleverd in een onguur, slecht verlicht portiekje of dat de drankkoerier 's avonds laat wordt verzocht om een bestelling af te leveren bij beruchte hangplekken in het park.
Veel bezorgrestaurants zullen uit veiligheidsoverwegingen weigeren om op 'afwijkende' locaties te bezorgen uit angst voor berovingen, maar niet elk restaurant is daarin even streng. Hoe dan ook, dit alles maakt het er voor de gedupeerde slachtoffers niet minder vervelend om.
Geen datalek, wel credential stuffing
Goed. Mensen weten zich dus ongeoorloofd toegang tot Thuisbezorgd-accounts te verschaffen, zoveel is duidelijk. Maar hoe kan dat? Thuisbezorgd ontkent dat er sprake is van een datalek en zoekt de oorzaak elders. Het bedrijf noemt het zogenaamde credential stuffing als waarschijnlijke oorzaak:
'Gebruikers hebben dan voor Thuisbezorgd hetzelfde wachtwoord als bij andere diensten. Als die gehackt worden, liggen die wachtwoorden op straat. Zulke wachtwoorden worden in bulk verkocht en geprobeerd op tientallen andere sites. Dat is niet alleen bij Thuisbezorgd het geval, maar bij heel veel websites', aldus een woordvoerder.
Ook Opgelicht?! zocht contact met Thuisbezorgd. Wij kregen het volgende te horen:
'Wij zijn inderdaad op de hoogte dat klanten zich hebben gemeld inzake misbruik van hun PayPal account. Dit betreft uitzonderlijke gevallen en een toename in de afgelopen periode is ons niet bekend. Allereerst wil ik benadrukken dat hier geen sprake van een hack bij Thuisbezorgd.nl is, maar dat dit over het algemeen te maken heeft met mensen die voor verschillende sites hetzelfde wachtwoord gebruiken. Het identieke wachtwoord is elders verkregen, dat vervolgens wordt geprobeerd bij een groot aantal bekende websites, waaronder Thuisbezorgd.nl.'
Thuisbezorgd doet geen algemene wachtwoordreset
Volgens het AD melden verschillende gebruikers op Tweakers en op Twitter echter dat ze voor Thuisbezorgd een uniek wachtwoord gebruiken, waardoor ze bovenstaande verklaring in twijfel trekken. Desalniettemin ontkent Thuisbezorgd met klem dat er sprake is van een datalek en gaan ze ook niet over tot het handmatig resetten van alle wachtwoorden, zo blijkt uit onderstaande tweet van CEO Jitse Groen:
Handel in gehackte accounts op Telegram
Tweakers sprak Rik van Duijn van beveiligingsbedrijf Zolder. Van Duijn constateert dat op internet wordt gehandeld in gehackte Thuisbezorgd-accounts, al is niet duidelijk of deze accounts gerelateerd zijn aan de meldingen die de laatste tijd de kop opsteken. Wel stelt Van Duijn dat er op Telegram accounts worden verhandeld waarmee het mogelijk is om zonder tweestapsverificatie te bestellen en dat accounts die veel spaarpunten hebben ook in trek zijn.
Wat kun je doen?
Het is opvallend dat dit probleem nu vaker voor lijkt te komen, maar Thuisbezorgd verklaart dat dit slechts een zeer klein deel van de 3,5 miljoen transacties betreft die het bedrijf maandelijks verwerkt.
Thuisbezorgd gaat wachtwoorden dus niet resetten, maar heeft op basis van de meldingen inmiddels wel de PayPal-koppeling uitgeschakeld. Een andere optie zou bijvoorbeeld zijn om Thuisbezorgd te voorzien van tweestapsverificatie, zodat een gebruiker een onbekende inlogpoging op een nieuw of voorheen niet gebruikt toestel per e-mail dient te verifiëren alvorens iemand het account daadwerkelijk kan benaderen.
Opgelicht?! heeft deze mogelijkheid voorgelegd aan Thuisbezorgd, en met succes: Thuisbezorgd geeft aan gehoor te geven aan dit verzoek. Inmiddels is tweefactorauthenticatie ingeschakeld.
Reactie Thuisbezorgd
'Sinds je telefoontje hebben wij extra maatregelen genomen om dergelijke praktijken in de toekomst te voorkomen. Nadat wij meerdere klachten hebben ontvangen hebben wij in de afgelopen dagen de 'herhaal'-betalingsmogelijkheid van PayPal uit voorzorg voor al onze gebruikers die deze hadden ingeschakeld uitgezet. Overigens is dit voor alle geautoriseerde sites bij PayPal zo en is dit niet iets dat specifiek alleen op Thuisbezorgd.nl van toepassing is. Dit zou ervoor moeten zorgen dat de PayPal-fraude niet meer mogelijk is. Helaas leidt dit wel tot een vermindering van het gebruiksgemak. We zullen de optie weer activeren zodra we deze vorm van fraude kunnen tegengaan.
Bedankt voor je suggestie om tweestapsverificatie in te schakelen voor Thuisbezorgd-accounts. Ik kan bevestigen dat Thuisbezorgd.nl nog deze week tweestapsverificatie invoert om dit soort praktijken onmogelijk te maken.'
De woordvoerder raadt gedupeerde gebruikers aan om aangifte te doen bij de politie en zich tot PayPal te wenden voor een mogelijke schadeloosstelling. Verder stelt Thuisbezorgd dat ze niet zelf de mogelijkheid hebben om daders op te sporen, maar dat de politie op basis van het fysieke aanleveradres wellicht aanknopingspunten kan vinden om de daders in de kraag te vatten.
Ben je er toch niet helemaal gerust op? In dat geval raden wij aan om uit voorzorgsoverwegingen je wachtwoord voor Thuisbezorgd te wijzigen. Heb jij PayPal gekoppeld aan je Thuisbezorgd-account? Dan loop je een (gering) risico en kun je tevens overwegen om de PayPal-koppeling zelf terug te draaien.
Daartoe biedt de app de mogelijkheid in de laatste stap voor het afronden van het bestelproces, waar je ook de tekst 'Gebruik opgeslagen PayPal-gegevens' met een schuifje ziet staan als je PayPal als betaalwijze selecteert. Volgens de informatie op de website van Thuisbezorgd gaat dat als volgt:
'Als je bent ingelogd op je klantaccount van Thuisbezorgd.nl, dan kun je ervoor kiezen om bij een betaling met PayPal de gegevens van je PayPal account te koppelen met je klantaccount van Thuisbezorgd.nl. Deze optie wordt aangeboden op de afrondpagina. Nadat je vervolgens succesvol hebt betaald met PayPal, hoef je de volgende keer (indien je ingelogd bent met je klantaccount van Thuisbezorgd.nl) niet meer je PayPal accountgegevens in te vullen. Je kunt direct, zonder extra verificatie, met je Paypal account betalen. Het ontkoppelen van je Paypal account is altijd mogelijk. Deze optie wordt aangeboden op de afrondpagina, wanneer je bent ingelogd op je klantaccount en je de PayPal betaalmethode hebt geselecteerd.'
Eet smakelijk!
Bron: AD.nl / Thuisbezorgd.nl / Tweakers.net