Thuisbezorgd-klanten melden frauduleuze bestellingen via PayPal-koppeling
Een aantal Thuisbezorgd-klanten is slachtoffer geworden van fraude met bestellingen. Een ongeautoriseerde persoon heeft toegang gekregen tot hun accounts en op hun kosten bestellingen geplaatst, vertellen meerdere gedupeerden aan NU.nl na berichtgeving van Tweakers.
Het is niet duidelijk hoeveel klanten precies getroffen zijn. Volgens een woordvoerder van het platform gaat het om een "zeer beperkt aantal gevallen".
De woordvoerder benadrukt dat er geen sprake is van een datalek bij Thuisbezorgd zelf, maar dat cybercriminelen wachtwoorden hebben gebruikt die al eerder zijn buitgemaakt bij een hack op een andere website. De bestellingen zijn vervolgens met het PayPal-account van de klanten afgerekend. Anders dan bij iDEAL of bij creditcards wordt bij betalingen via PayPal niet altijd om een verificatiecode gevraagd.
"Thuisbezorgd had een koppeling met PayPal waardoor ze volledige toegang hadden tot mijn rekening. Deze is ooit eens in 2014 tot stand gekomen en schijnbaar nog steeds geldig. Daardoor kon iemand met toegang tot mijn account vrij bestellen op mijn rekening zonder tussenkomst van mij", aldus één van de gedupeerden.
'Geen dubbele bevestiging bij herhaalde betalingen'
Volgens de zegsman werden gebruikers die ooit toestemming hebben gegeven voor zogenoemde Recurring Payments (herhaaldelijke betalingen) niet om een dubbele bevestiging gevraagd. Ook al hadden de gebruikers wel tweestapsverificatie ingeschakeld voor hun PayPal-account. "Overigens is dit voor alle geautoriseerde sites bij PayPal zo en is dit niet iets wat specifiek alleen op Thuisbezorgd.nl van toepassing is."
Thuisbezorgd heeft de functie inmiddels voor alle gebruikers uitgeschakeld. "Dit leidt helaas wel tot een vermindering van het gebruiksgemak. We zullen de optie weer activeren zodra we deze vorm van fraude kunnen tegengaan."
Ook vertelt de woordvoerder dat Thuisbezorgd de opgelopen schade zal vergoeden, al raadt hij gedupeerden wel aan om eerst bij PayPal aan te kloppen. Thuisbezorgd roept ze daarnaast op om aangifte te doen.
Thuisbezorgd werkt aan tweestapsverificatie
De Thuisbezorgd-woordvoerder vertelt aan NU.nl dat het platform op dit moment werkt aan een extra beveiligingsslag bij Thuisbezorgd-accounts om dit soort incidenten te voorkomen. Het bedrijf wil zo snel mogelijk tweestapsverificatie mogelijk maken.
In welke vorm dit zal gaan gebeuren, via sms of een tweestapsverificatieapp, is nog niet duidelijk. "We zijn nu hard aan het werk om dit op te zetten en hopen het zeer binnenkort te kunnen uitzetten."