Anoniem pakjes van Bpost stelen lukt perfect

Sinds de lancering van de 'Niet thuis? Niet erg'-campagne van Bpost eind oktober, kreeg elke Belg een brief in de bus waarin Bpost oproept om zijn leveringsvoorkeur via de website van het postbedrijf te registreren. "De buren, een pakjesautomaat, een tuinhuis of een afhaalpunt, je bepaalt voortaan zelf waar je alles laat leveren als je niet thuis bent", klonk het zes maanden geleden bij Bpost. "Door de registratie kunnen we beter inspelen op de flexibiliteit die men van ons als bezorger van meer dan 175.000 pakjes per dag eist."

Intussen is het nieuwe systeem over bijna heel België uitgerold, maar uit verschillende tests van beveiligingsexpert Nico Cool en Het Laatste Nieuws blijkt dat die registratieprocedure met een gigantisch veiligheidslek kampt. Zo kon de krant in de regio rond Dendermonde zes keer een internetaankoop van vrienden op een ander adres laten afleveren. Simpelweg door zich onder hun naam te registreren bij Bpost.

"Het grote probleem ligt bij het ontbreken van een identiteitscontrole tijdens het registratieproces", zegt Cool. "Er wordt geen identiteitskaart ingelezen en er is ook geen verplichting om je telefoonnummer achter te laten. Je kunt perfect ongemerkt iemands identiteit en adres kapen en zo zijn bestellingen inpikken."

Nog geen gevallen gerapporteerd

Want na een bestelling bij een onlineshop zoals bijvoorbeeld Coolblue of Zalando draagt die verkoper het pakket over aan Bpost. "Op dat ogenblik bekijkt het intern systeem van Bpost enkel op welk adres dat pakje moet worden geleverd", vertelt Cool. "Als dat adres geregistreerd is in hun nieuwe systeem, volgt het de instructies die daar werden opgeslagen en koppelt het alle verdere communicatie aan het e-mailadres dat bij Bpost tijdens de registratie voor dat specifieke adres werd bewaard. Zo kan alle informatie die je normaal als koper krijgt om de reisweg van je pakket te volgen en af te halen, bij fraudeurs belanden."

Waardevolle zendingen omleiden wordt zo een koud kunstje. "Aan de informatie die je via je valse e-mailadres binnenkrijgt, weet je vaak wie de verkoper is en kun je op basis daarvan selecteren welke pakjes je inpikt", klinkt het. "Een crimineel kan dus zelfs kiezen om je minder waardevolle pakje wel te laten aankomen."

Of er al misbruik is gemaakt van het totale gebrek aan identiteitscontrole is onduidelijk, maar snel een oplossing bedenken voor het veiligheidslek wordt complex, volgens Cool. "De designfout zit al in de eerste stap, dus wat doe je met alle gebruikers die al zijn geregistreerd en alle pakjes die nog onderweg zijn? De enige optie lijkt mij om de afhalingen op locatie via dit nieuwe systeem voorlopig te staken, om dan zo snel mogelijk een veiligheidsmechanisme in te bouwen zoals het inlezen van de elektronische identiteitskaart of sms-verificatie voor toekomstige gebruikers. Wie al is geregistreerd, zou men kunnen verplichten ditzelfde protocol te doorlopen binnen een beperkte termijn. Gebeurt dat niet, dan zie ik als enige optie dat Bpost die eerdere registraties verwijdert uit zijn database."

Bpost heeft inmiddels een bijkomende beveiligingsmaatregel toegevoegd aan zijn registratieprocedure. Het geeft toe dat het registratiesysteem maandenlang te omzeilen was. "Normaliter matcht ons systeem het e-mailadres waarmee de bestelling gebeurde met het e-mailadres dat werd opgegeven tijdens de registratie. Als de webshop het e-mailadres niet doorgeeft, controleert ons systeem of de naam en het adres van de besteller overeenstemmen met de gegevens in onze nieuwe databank.

"Nu blijkt dat die secundaire controlemanier kan worden misbruikt door fraudeurs, wordt die uit het systeem gehaald. Enkel wanneer het e-mailadres bij de webshop overeenkomt met het e-mailadres in onze database zal een klant nog kunnen kiezen waar het wordt geleverd. Na deze eerste aanpassing vannacht gaan we de komende dagen aan een structurele oplossing werken om de identificatie in onze voorkeurstool nog secuurder te laten verlopen." Volgens Bpost zijn er voorlopig nog geen fraudegevallen gerapporteerd of aan het licht gekomen die kunnen worden gelinkt aan het veiligheidslek.