Andermans pakjes onderscheppen? Naam, adres en valse e-mail volstaan
De aanpak van bpost, waarbij het klanten vraagt om online door te geven waar hun pakjes geleverd moeten worden, blijkt zo lek als een zeef. De afgelopen weken kaapte uw krant moeiteloos enkele zendingen en liet ze bezorgen op een zelfgekozen locatie. Bpost belooft een snelle oplossing.
Nadat bpost eind oktober de 'Niet thuis? Niet erg'-campagne opstartte, kregen alle Belgen een brief in de bus waarin het postbedrijf hen oproept hun leveringsvoorkeur te registreren via de website. "De buren, een pakjesautomaat, een tuinhuis of een afhaalpunt, je bepaalt voortaan zelf waar je alles laat leveren als je niet thuis bent", klonk het bij de lancering. "Door de registratie kunnen we beter inspelen op de flexibiliteit die men van ons eist als bezorger van meer dan 175.000 pakjes per dag." Intussen is het nieuwe systeem over bijna het hele land uitgerold. Uit verschillende tests van beveiligingsexpert Nico Cool en onze redactie blijkt echter dat de registratieprocedure met een gigantisch veiligheidslek kampt. Zo konden we in de regio rond Dendermonde zes keer een internetaankoop van vrienden op een ander adres laten afleveren. Simpelweg door ons onder hún naam te registreren bij bpost (zie filmpje hieronder).
Ongemerkt
"Het grote probleem is dat je identiteit niet gecontroleerd wordt tijdens het registratieproces", legt Cool uit. "Je moet je identiteitskaart niet laten uitlezen en er is ook geen verplichting om je telefoonnummer achter te laten. Zo kan je perfect ongemerkt iemands naam en adres kapen en op die manier zijn of haar bestellingen inpikken."
Dat zit zo: na een aankoop bij een onlineshop zoals pakweg Coolblue of Zalando draagt de verkoper het pakket over aan bpost. "Op dat ogenblik kijkt de post enkel op welk adres dat pakje geleverd moet worden. Als dat adres geregistreerd is in het nieuwe systeem, volgt het de instructies die dáár opgeslagen zijn", zegt de expert. "Bovendien koppelt bpost alle verdere communicatie aan het e-mailadres dat tijdens de registratie voor dat specifieke adres ingegeven werd. Zo kan alle informatie die je normaal als koper krijgt om de reisweg van je pakket te volgen en het vervolgens af te halen, bij een fraudeur belanden."
Achteloos
Waardevolle zendingen omleiden wordt zo een koud kunstje. "Via de informatie die de oplichter binnenkrijgt op het e-mailadres dat hij gebruikt heeft om een adres te kapen, weet hij vaak wie de verkoper van het pakket is. Op basis daarvan kan hij selecteren welke zendingen hij de moeite vindt. Een minder waardevol pakketje kan hij alsnog op het thuisadres van z'n slachtoffer laten bezorgen, in afwachting van een interessantere levering." Als de fraudeur gebruikgemaakt heeft van een vals e-mailadres, valt zijn identiteit bovendien niet (of amper) te achterhalen. Dus zelfs wanneer het slachtoffer aan de alarmbel trekt, gaat de dief wellicht vrijuit.
Opmerkelijk: het lukte Nico Cool zelfs om een pakket te onderscheppen van een kennis die zichzélf eerder al geregistreerd had op de website van bpost. Als eenzelfde naam en adres een tweede keer geregistreerd worden (bijvoorbeeld door een fraudeur) gaat bpost er schijnbaar achteloos van uit dat de tweede registratie de juiste is. En volgt het de instructies die bij die tweede registratie ingegeven werden.
Designfout
Volgens bpost werd er nog geen misbruik gemaakt van het gebrek aan identiteitscontrole. Het veiligheidslek snel dichten, is niet evident volgens Cool. "De designfout zit al in de eerste stap, dus wat doe je met alle gebruikers die zich al geregistreerd hebben en alle pakjes die onderweg zijn? De enige optie lijkt mij om de afhalingen op locatie via dit nieuwe systeem voorlopig te staken. Om dan zo snel mogelijk een veiligheidsmechanisme in te bouwen voor toekomstige gebruikers, zoals het laten uitlezen van hun identiteitskaart of sms-verificatie (al valt ook dáármee te sjoemelen - maar in dat geval is de dader wel snel gevonden, red.). Wie al geregistreerd is, zou men kunnen verplichten ditzelfde proces te doorlopen binnen een beperkte termijn." Bpost maakte zich gisteravond sterk dat het lek wél snel te dichten was en beloofde er meteen werk van te maken.
Gratis onbeperkt toegang tot Showbytes? Dat kan!
Log in of maak een account aan en mis niks meer van de sterren.Lees Meer
-
227
OVERZICHT. Meer loon, meer pensioen, meer verlof én meer koopkracht: dit werd ons allemaal beloofd op 1 mei
-
En plots loopt Van Quickenborne halve marathon in Knokke-Heist … op kostuumschoenen: “Last-minute beslist mee te doen in plaats van campagne te voeren”
Knokke-Heist stond woensdag in het teken van de Engie Run. Tal van sportievelingen waagden zich aan diverse loopafstanden, maar dé opvallendste deelnemer? Dat was ongetwijfeld Vincent Van Quickenborne. De ex-minister en huidig burgemeester van Kortrijk kwam oorspronkelijk naar de kustgemeente om campagne te voeren op de lokale markt, tot hij plots de loopwedstrijd opmerkte.Knokke-Heist -
KIJK. Paralympische wielrenners uit Gaza rijden kwalificatiewedstrijd in Oostende: “Zelfs al vernielen ze de hele Gazastrook, wij fietsen door!”
Op bovenstaande beelden is te zien hoe de ‘Gaza Sunbirds’ rijden door vernielde steden in de Gazastrook. De paralympische wielrenners trainen er voor een belangrijke kwalificatiewedstrijd in... Oostende. Daar zullen ze deelnemen aan de wereldbekerwedstrijd paracycling in de hoop zich te plaatsen voor de Paralympische Spelen in Parijs. De atleten verloren een been tijdens eerdere protesten in Gaza. -
-
LEBBEKE
Postbode ziek: vijf dagen geen brieven
-
Independer
Autoschade door een onbekende? Dit dien je te ondernemen
Het gebeurt meer dan je denkt: je komt bij je geparkeerde voertuig en ziet dat er een ferme deuk of kras in zit. Maar van de automobilist, e-stepper of fietser die tegen je wagen reed, is geen enkel spoor. Dekt je verzekering die schade? En wat moet je allemaal doen om ‘klacht tegen onbekenden’ in te dienen? Independer.be legt het uit. -
Loos alarm in Antwerps postkantoor: wit poeder komt uit brandblusser
In Antwerpen is het kantoor van bpost in de Wilgenstraat vanmiddag een tijdje ontruimd nadat er een pakket met wit poeder was aangetroffen. Dat zegt de lokale politie. -
HLN Shop
Pollen in de lucht: deze toestellen voorkomen gesnotter
-
update
Opnieuw overleg tussen directie en vakbonden luchthaven Charleroi om staking morgen af te wenden
-
PREMIUM176
“Wij willen niet enkel 500 euro verschil voor werkenden”: Open Vld lanceert voorstel voor pensioenwijziging
Gisteren zei premier De Croo dat er minstens 500 euro verschil moet zijn tussen het pensioen van wie gewerkt heeft en wie niet gewerkt heeft. Daarmee schaart hij zich achter een voorstel dat Open Vld-Kamerlid Vincent Van Quickenborne recent heeft uitgewerkt om het minimumpensioen te verminderen. “Alleen wie twee jaar of minder werkloos was, mag nog het volledige bedrag van 1.738 euro krijgen”, vindt Van Quickenborne. Voor al wie langer werkloos was, moet het minder worden. -
Man (74) komt onder hefbrug terecht terwijl hij aan auto sleutelt en sterft ter plaatse
Een man van 74 is om het leven gekomen bij een tragisch ongeval in een loods langs de Sint-Jansstraat in Beveren-Leie. Hij raakte gekneld tussen een auto waaraan hij werkte en de hefbrug waarop het voertuig stond.Waregem -
KIJK. Eindelijk zon! Vlaanderen geniet met volle teugen van eerste zomerweer