Andermans pakjes onderscheppen? Naam, adres en valse e-mail volstaan
De aanpak van bpost, waarbij het klanten vraagt om online door te geven waar hun pakjes geleverd moeten worden, blijkt zo lek als een zeef. De afgelopen weken kaapte uw krant moeiteloos enkele zendingen en liet ze bezorgen op een zelfgekozen locatie. Bpost belooft een snelle oplossing.
Nadat bpost eind oktober de 'Niet thuis? Niet erg'-campagne opstartte, kregen alle Belgen een brief in de bus waarin het postbedrijf hen oproept hun leveringsvoorkeur te registreren via de website. "De buren, een pakjesautomaat, een tuinhuis of een afhaalpunt, je bepaalt voortaan zelf waar je alles laat leveren als je niet thuis bent", klonk het bij de lancering. "Door de registratie kunnen we beter inspelen op de flexibiliteit die men van ons eist als bezorger van meer dan 175.000 pakjes per dag." Intussen is het nieuwe systeem over bijna het hele land uitgerold. Uit verschillende tests van beveiligingsexpert Nico Cool en onze redactie blijkt echter dat de registratieprocedure met een gigantisch veiligheidslek kampt. Zo konden we in de regio rond Dendermonde zes keer een internetaankoop van vrienden op een ander adres laten afleveren. Simpelweg door ons onder hún naam te registreren bij bpost (zie filmpje hieronder).
Ongemerkt
"Het grote probleem is dat je identiteit niet gecontroleerd wordt tijdens het registratieproces", legt Cool uit. "Je moet je identiteitskaart niet laten uitlezen en er is ook geen verplichting om je telefoonnummer achter te laten. Zo kan je perfect ongemerkt iemands naam en adres kapen en op die manier zijn of haar bestellingen inpikken."
Dat zit zo: na een aankoop bij een onlineshop zoals pakweg Coolblue of Zalando draagt de verkoper het pakket over aan bpost. "Op dat ogenblik kijkt de post enkel op welk adres dat pakje geleverd moet worden. Als dat adres geregistreerd is in het nieuwe systeem, volgt het de instructies die dáár opgeslagen zijn", zegt de expert. "Bovendien koppelt bpost alle verdere communicatie aan het e-mailadres dat tijdens de registratie voor dat specifieke adres ingegeven werd. Zo kan alle informatie die je normaal als koper krijgt om de reisweg van je pakket te volgen en het vervolgens af te halen, bij een fraudeur belanden."
Achteloos
Waardevolle zendingen omleiden wordt zo een koud kunstje. "Via de informatie die de oplichter binnenkrijgt op het e-mailadres dat hij gebruikt heeft om een adres te kapen, weet hij vaak wie de verkoper van het pakket is. Op basis daarvan kan hij selecteren welke zendingen hij de moeite vindt. Een minder waardevol pakketje kan hij alsnog op het thuisadres van z'n slachtoffer laten bezorgen, in afwachting van een interessantere levering." Als de fraudeur gebruikgemaakt heeft van een vals e-mailadres, valt zijn identiteit bovendien niet (of amper) te achterhalen. Dus zelfs wanneer het slachtoffer aan de alarmbel trekt, gaat de dief wellicht vrijuit.
Opmerkelijk: het lukte Nico Cool zelfs om een pakket te onderscheppen van een kennis die zichzélf eerder al geregistreerd had op de website van bpost. Als eenzelfde naam en adres een tweede keer geregistreerd worden (bijvoorbeeld door een fraudeur) gaat bpost er schijnbaar achteloos van uit dat de tweede registratie de juiste is. En volgt het de instructies die bij die tweede registratie ingegeven werden.
Designfout
Volgens bpost werd er nog geen misbruik gemaakt van het gebrek aan identiteitscontrole. Het veiligheidslek snel dichten, is niet evident volgens Cool. "De designfout zit al in de eerste stap, dus wat doe je met alle gebruikers die zich al geregistreerd hebben en alle pakjes die onderweg zijn? De enige optie lijkt mij om de afhalingen op locatie via dit nieuwe systeem voorlopig te staken. Om dan zo snel mogelijk een veiligheidsmechanisme in te bouwen voor toekomstige gebruikers, zoals het laten uitlezen van hun identiteitskaart of sms-verificatie (al valt ook dáármee te sjoemelen - maar in dat geval is de dader wel snel gevonden, red.). Wie al geregistreerd is, zou men kunnen verplichten ditzelfde proces te doorlopen binnen een beperkte termijn." Bpost maakte zich gisteravond sterk dat het lek wél snel te dichten was en beloofde er meteen werk van te maken.
Gratis onbeperkt toegang tot Showbytes? Dat kan!
Log in of maak een account aan en mis niks meer van de sterren.Lees Meer
-
Ontsnapte Belgische koeien belanden in Nederlands dorp: “Plots stonden er drie koeien voor het raam”
-
114
CD&V lanceert eigen ‘70-puntenplan’ en wil alternatief zijn voor Vlaams Belang
CD&V claimt dé volkspartij van Vlaanderen te zijn. Om dat op 9 juni ook effectief te worden, komen de christendemocraten met een eigen ‘70-puntenplan’. Niet toevallig een knipoog naar het beruchte pamflet van het Vlaams Blok uit 1992. Want CD&V wil – u raadt het al – zich als ‘het enige geloofwaardige alternatief voor Vlaams Belang’ in de markt zetten. -
Update
Vader (37) in levensgevaar nadat overvallers hem thuis neerschieten in Halle: “Ze zijn nog op de vlucht”
In de Beertsestraat in Halle is donderdagnacht een man (37) levensgevaarlijk gewond geraakt bij een gewapende overval. Dat bevestigt het parket Halle-Vilvoorde. De vader werd neergeschoten in zijn woning. Hij werd overgebracht naar het ziekenhuis. De twee daders zijn op de vlucht.Halle -
-
PREMIUMDE STEM VAN VLAANDEREN
EXCLUSIEVE PEILING. Driekwart van de Vlamingen wil voedselprijzen in supermarkt bevriezen, maar kan dat zomaar?
-
LEBBEKE
Postbode ziek: vijf dagen geen brieven
Inwoners uit Lebbeke klagen de manke postbedeling in hun dorp aan. Bewoners van de Brusselsesteenweg, uitgerekend een straat met veel handelaars, moesten het dagenlang zonder post stellen. "Een verwittiging over de problemen had minstens op zijn plaats geweest", klinkt het. -
PREMIUM3
RUSTHUISMOORDEN. DNA-onderzoek naar alle medewerkers woonzorgcentrum Oostrozebeke: “Na al die tijd?”
Het gerecht in Kortrijk zet alles op alles om drie moorden en zes moordpogingen in het woonzorgcentrum De Rozenberg in Oostrozebeke alsnog op te helderen. Alle medewerkers –mannen en vrouwen – wordt gevraagd om vrijwillig hun DNA af te staan in een ultieme poging om de dader te ontmaskeren. Nabestaanden reageren lauw: “Gaan ze na al die tijd nog iets vinden?”, vraagt Lindsay, wier grootmoeder één van de dodelijke slachtoffers is, zich af. Misdaadjournalist bij HLN Faroek Özgünes analyseert. -
Loos alarm in Antwerps postkantoor: wit poeder komt uit brandblusser
-
PREMIUM
Brengt boze buurman paardenevents in Waregem in gedrang? "Als het aan ons ligt, worden alle wedstrijden met elektronische muziek hier afgeblazen”
Waregem -
HLN Shop
Op reis met alleen maar handbagage: zo krijg je alles in je koffer zonder te moeten proppen
Outfits meenemen voor een chique diner, een sportieve wandeling én het strand, terwijl je enkel handbagage hebt voorzien: geeft de gedachte je al stress voordat je zelfs maar vertrekt? Niet nodig, want met deze praktische tips van HLN Shop zorg je ervoor dat je het maximale uit je handbagage haalt en met een gerust hart op het vliegtuig kan stappen. -
Livios
Zo heb je geen last van ratten of muizen, op een verantwoorde manier: “Vergif is géén oplossing op lange termijn”
Leuven kampt al maanden met een serieuze muizenplaag. Herkenbaar? Zie jij ook regelmatig knaagdieren door je tuin rennen? Of is er geknaagd aan voedselverpakkingen in je kelder of tuinhuis? Bouwsite Livios vroeg aan Dirk Criel van Natuurpunt hoe je op een duurzame én diervriendelijke manier muizen en ratten weert – of hoe je voorkomt dat je er überhaupt ooit last van hebt. -
Jobat
Hoeveel euro gaat er van je loon, indien je rijdt met een bedrijfswagen? “Er bestaat geen echt plafond op het VAA”