Een groeiend aantal gebruikers meldt dat via 'Thuisbezorgd' bestellingen op hun naam en rekening worden gedaan zonder dat zij daarvan weten. Volgens Thuisbezorgd is er geen datalek, maar betreft het credential stuffing. Getroffen accounts worden inmiddels ook online verkocht.
Op Tweakers en Twitter
De meldingen komen van meerdere tweakers, maar ook van Twitter. De betalingen zijn gedaan via PayPal. Dat bedrijf verwijst naar Thuisbezorgd, en andersom. Gebruikers melden dat er bestellingen zijn gedaan die met hun PayPal-account zijn afgerekend. Een woordvoerder van Thuisbezorgd bevestigt aan Tweakers dat dat kan. "Bij betalingen via iDeal of een creditcard wordt er altijd om een extra verificatiecode gevraagd. Bij PayPal is dat niet het geval." Bij Thuisbezorgd is het mogelijk een PayPal-account te koppelen als betaalmethode.
Thuisbezorgd ontkent dat er sprake is van een datalek. Het bedrijf noemt credential stuffing als waarschijnlijke oorzaak. "Gebruikers hebben dan voor Thuisbezorgd hetzelfde wachtwoord als bij andere diensten. Als die gehackt worden, liggen die wachtwoorden op straat. Zulke wachtwoorden worden in bulk verkocht en geprobeerd op tientallen andere sites. Dat is niet alleen bij Thuisbezorgd het geval, maar bij heel veel websites", zegt de woordvoerder. Wel zegt Thuisbezorgd-oprichter Jitse Groen dat er naast credential stuffing ook sprake is van brute-forcing van wachtwoorden.
Dat staat haaks op wat sommige gebruikers op Twitter en GoT zeggen. Daar stellen meerdere gebruikers een uniek wachtwoord te hebben gebruikt, al dan niet via een wachtwoordmanager. Wel geeft de topicstarter op GoT toe dat het gaat om een zwak wachtwoord. Thuisbezorgd 'ontkent met klem' dat er sprake is van een datalek bij de bestelsite voor eten.
Het is niet duidelijk hoeveel gebruikers van het platform precies getroffen zijn door het voorval. Thuisbezorgd zegt dat "dergelijke aanvallen vaker voorkomen en dat er sinds vrijdag een iets grotere hoeveelheid dergelijke gevallen voorkomt, maar dat is 'een klein deel van de 3,5 miljoen transacties die we maandelijks verwerken". Thuisbezorgd raadt klanten aan een uniek wachtwoord te gebruiken voor verschillende diensten. Ook zegt het bedrijf dat gebruikers op PayPal tweestapsverificatie moeten inschakelen.
Opsporing
Zelf gaat het bedrijf geen wachtwoordresets doen. "We kunnen niet miljoenen accounts gaan blokkeren omdat er wachtwoorden van een andere site zijn gelekt", zegt oprichter Groen op Twitter. Wel zouden inmiddels de terugkomende betalingen via PayPal zijn uitgeschakeld. "Daarnaast kunnen de gebruikers aangifte doen bij de politie", zegt de woordvoerder. "Wij hebben niet de mogelijkheid om de daders op te sporen, maar dat eten moet ergens fysiek op een adres bezorgd worden..."
Gehackte Thuisbezorgd-accounts verkocht
Inmiddels worden er op internet ook al gehackte Thuisbezorgd-accounts verkocht. Dat gebeurt onder andere op Telegram, zegt Rik van Duijn van beveiligingsbedrijf Zolder tegen Tweakers. Het is niet duidelijk of de gehackte accounts direct gerelateerd zijn aan de credential stuffing-aanvallen. In de Telegram-kanalen worden accounts verkocht die bijvoorbeeld veel punten hebben en waarmee het mogelijk is zonder tweestapsverificatie eten te bestellen.
Bron: Tweakers
Schrijver: Tijs Hofmans