Andermans pakjes onderscheppen? Naam, adres en valse e-mail volstaan

Nadat bpost eind oktober de 'Niet thuis? Niet erg'-campagne opstartte, kregen alle Belgen een brief in de bus waarin het postbedrijf hen oproept hun leveringsvoorkeur te registreren via de website. "De buren, een pakjesautomaat, een tuinhuis of een afhaalpunt, je bepaalt voortaan zelf waar je alles laat leveren als je niet thuis bent", klonk het bij de lancering. "Door de registratie kunnen we beter inspelen op de flexibiliteit die men van ons eist als bezorger van meer dan 175.000 pakjes per dag." Intussen is het nieuwe systeem over bijna het hele land uitgerold. Uit verschillende tests van beveiligingsexpert Nico Cool en onze redactie blijkt echter dat de registratieprocedure met een gigantisch veiligheidslek kampt. Zo konden we in de regio rond Dendermonde zes keer een internetaankoop van vrienden op een ander adres laten afleveren. Simpelweg door ons onder hún naam te registreren bij bpost (zie filmpje hieronder).

"Het grote probleem is dat je identiteit niet gecontroleerd wordt tijdens het registratieproces", legt Cool uit. "Je moet je identiteitskaart niet laten uitlezen en er is ook geen verplichting om je telefoonnummer achter te laten. Zo kan je perfect ongemerkt iemands naam en adres kapen en op die manier zijn of haar bestellingen inpikken."

Dat zit zo: na een aankoop bij een onlineshop zoals pakweg Coolblue of Zalando draagt de verkoper het pakket over aan bpost. "Op dat ogenblik kijkt de post enkel op welk adres dat pakje geleverd moet worden. Als dat adres geregistreerd is in het nieuwe systeem, volgt het de instructies die dáár opgeslagen zijn", zegt de expert. "Bovendien koppelt bpost alle verdere communicatie aan het e-mailadres dat tijdens de registratie voor dat specifieke adres ingegeven werd. Zo kan alle informatie die je normaal als koper krijgt om de reisweg van je pakket te volgen en het vervolgens af te halen, bij een fraudeur belanden."

Waardevolle zendingen omleiden wordt zo een koud kunstje. "Via de informatie die de oplichter binnenkrijgt op het e-mailadres dat hij gebruikt heeft om een adres te kapen, weet hij vaak wie de verkoper van het pakket is. Op basis daarvan kan hij selecteren welke zendingen hij de moeite vindt. Een minder waardevol pakketje kan hij alsnog op het thuisadres van z'n slachtoffer laten bezorgen, in afwachting van een interessantere levering." Als de fraudeur gebruikgemaakt heeft van een vals e-mailadres, valt zijn identiteit bovendien niet (of amper) te achterhalen. Dus zelfs wanneer het slachtoffer aan de alarmbel trekt, gaat de dief wellicht vrijuit.

Opmerkelijk: het lukte Nico Cool zelfs om een pakket te onderscheppen van een kennis die zichzélf eerder al geregistreerd had op de website van bpost. Als eenzelfde naam en adres een tweede keer geregistreerd worden (bijvoorbeeld door een fraudeur) gaat bpost er schijnbaar achteloos van uit dat de tweede registratie de juiste is. En volgt het de instructies die bij die tweede registratie ingegeven werden.

Volgens bpost werd er nog geen misbruik gemaakt van het gebrek aan identiteitscontrole. Het veiligheidslek snel dichten, is niet evident volgens Cool. "De designfout zit al in de eerste stap, dus wat doe je met alle gebruikers die zich al geregistreerd hebben en alle pakjes die onderweg zijn? De enige optie lijkt mij om de afhalingen op locatie via dit nieuwe systeem voorlopig te staken. Om dan zo snel mogelijk een veiligheidsmechanisme in te bouwen voor toekomstige gebruikers, zoals het laten uitlezen van hun identiteitskaart of sms-verificatie (al valt ook dáármee te sjoemelen - maar in dat geval is de dader wel snel gevonden, red.). Wie al geregistreerd is, zou men kunnen verplichten ditzelfde proces te doorlopen binnen een beperkte termijn." Bpost maakte zich gisteravond sterk dat het lek wél snel te dichten was en beloofde er meteen werk van te maken.