Duizenden euro's aan elektronische maaltijdcheques van Edenred-klanten gestolen na datalek bij andere platformen
Een tiental klanten van Edenred zijn het afgelopen jaar slachtoffer geworden van online criminelen. Dat kwam het consumentenprogramma 'WinWin' te weten. De criminelen kwamen - vermoedelijk na een eerder datalek of hacking bij andere bedrijven - in het bezit van het wachtwoord van de gebruikers. Ze gingen aan de haal met duizenden euro's aan elektronische maaltijd- of consumptiecheques. Eerder werden ook al klanten vanĀ Monizze, een andere uitgever van maaltijd- en ecocheques, op een gelijkaardige manier bestolen.
Xavier Taveirne is jouw consumentenman. Hij presenteert elke werkdag tussen 9 uur en 10 uur 'WinWin' op Radio2. Heb je een vraag, tip of probleem? Mail naarĀ winwin@radio2.be.
"Ik wil eerst en vooral benadrukken dat Edenred tot op heden nooit zelf het slachtoffer is geweest van een datalek. We zijn nog nooit klantengegevens uit onze systemen kwijtgespeeld. De beveiliging van onze systemen is voor ons een topprioriteit", reageert Olivier Bouquet, algemeen directeur bij Edenred.
Het bedrijf kreeg de afgelopen tijd te kampen met diefstal van onder andere elektronische maaltijd- of consumptiecheques. Maar het relatief kleine aantal slachtoffers bewijst dat de systemen veilig zijn, vindt Edenred. "Er zijn het afgelopen jaar een tiental gebruikers geweest van wie de data helaas via andere platformen is gelekt. Op het totale aantal van onze gebruikers is dat heel weinig, maar voor die mensen is dat natuurlijk heel belangrijk."Ā
Hoe zijn de criminelen binnengeraakt?
De criminelen kregen vermoedelijk toegang tot het account van de gebruikers door een hacking of datalek bij andere bedrijven. De gegevens van miljoenen gebruikers werden door hackers gestolen en te koop aangeboden aan andere criminelen. Wie hetzelfde e-mailadres en wachtwoord op het platform van zijn elektronische cheques gebruikt, geeft op die manier dus ook toegang zonder dat zelf te beseffen.
Op de websiteĀ 'Have I Been Pwned'Ā kan je nakijken of jouw gegevens ooit te grabbel zijn gegooid na een hack of datalek. Je ziet er welke platformen gehackt werden zodat je niet alleen dat wachtwoord, maar ook meteen dat op alle andere platformen waar je datzelfde wachtwoord zou gebruiken, kunt aanpassen.
"Wat ook kan, is dat sommige mensen op een phishingmail hebben gereageerd zonder dat ze het doorhadden," zegt Miguel De Bruycker, deĀ directeur-generaal van het Centrum voor Cybersecurity in BelgiĆ« (CCB). "Dan krijg je zogezegd een e-mail van de firma die jouw cheques uitgeeft en als je op een frauduleuze link in die e-mail klikt en inlogt, heb je eigenlijk je gegevens aan de criminelen gegeven."
Het is onverantwoord dat platformen waarop gevoelige financiƫle of medische informatie wordt gedeeld geen tweestapsverificatie aanbieden bij het aanmelden
Gedeelde verantwoordelijkheid of niet?
Edenred legt de verantwoordelijkheid voor de diefstal om die reden dan ook bij de gebruikers. "We informeren onze gebruikers over hoe ze best met hun gegevens omgaan. We verwachten dat iedereen een uniek en sterk wachtwoord kiest om deze vorm van oplichting te voorkomen."
Gebruikers die op deze manier slachtoffer worden van oplichters krijgen geen terugbetaling van Edenred.
Toch zijn er ook manieren waarop maaltijdchequebedrijven zelf de beveiliging van hun betaalsystemen beter kunnen optimaliseren.Ā EĆ©n van die manieren is tweestapsverificatie invoeren voor het inloggen. In ons land zijn er momenteel vier aanbieders van elektronische maaltijd- en andere cheques. De grootste en bekendste zijn Pluxee (het vroegere Sodexo), Edenred en Monizze. Geen enkele van die drie bedrijven voorziet een tweestapsverificiatie om toegang te krijgen tot je account.
"Het is onverantwoord dat platformen waarop gevoelige financiƫle of medische informatie wordt gedeeld geen tweestapsverificatie aanbieden bij het aanmelden op een account", vindt het CCB. "Jammer genoeg stellen we nog te vaak vast dat platformen dat niet doen."
Wat isĀ tweestapsverificatie ofĀ Two Factor Authentication (2FA)?
Om ervoor te zorgen dat iemand die je wachtwoord heeft gestolen nog steeds niet in je account geraakt, kan je best tweestapsverificatie inschakelen. Zo moet je na het invoeren van het wachtwoord nog op een tweede manier bewijzen dat jij de rechtmatige eigenaar bent van dat account. Dat kan bijvoorbeeld met een vingerafdruk op je smartphone, via gezichtsherkenning of met behulp van een eenmalige, unieke code die je krijgt toegestuurd via een sms.
Tweestapsverificatie is een eenvoudige en veilige manier om je online accounts te beschermen. Heel wat sociale mediakanalen, e-mailproviders of andere diensten bieden de optie aan. Je moet ze vaak wel nog zelf activeren. Sommige bedrijven verplichten zelfs tweestapsverificatie voor je toegang krijgt tot hun platform.
Oplichters die in het bezit zijn geraakt van je wachtwoord hebben dus meteen toegang tot je elektronische maaltijd- en andere cadeaucheques. Op die manier liep het bij verschillende klanten van Edenred, maar eerder ook bij klanten van Monizze, mis. Edenred voorziet op dit moment zelfs op geen enkel moment tweestapsverificatie. Ook niet voor betalingen of voor het linken van je cheque aan een andere betaaldienst. In tegenstelling tot andere uitgiftebedrijven van cheques.
Als je online een betaling wilt uitvoeren, moet je je identiteit eerst nog eens bevestigen via een code in een sms
Pluxee pakt de beveiliging van de betaaldiensten van zijn klanten anders aan. Hoewel je ook bij hen enkel een wachtwoord nodig hebt om toegang te krijgen tot een account, zal je eens binnen weinig kunnen doen. Zo worden online betalingen wƩl beveiligd met een tweestapsverificatie via sms.
"Als je online een betaling wilt uitvoeren, moet je je identiteit eerst nog eens bevestigen via een code in een sms die we jou sturen. Die sms zal de oplichter dus niet krijgen", legtĀ woordvoerder Michiel Daeleman van Pluxee uit.
Wat bij Pluxee dan weer wel slechter beveiligd is, zijn de sport- en cultuurcheques. Iemand die toegang heeft tot je account kan die wƩl gebruiken zonder extra veiligheidsdrempel, zowel online als offline. Al zal ook dat op korte termijn verleden tijd zijn. "Tot op vandaag hebben we nog nooit een probleem gehad met criminelen die de cheques van een van onze gebruikers op die manier hebben gebruikt."
Wij gaan binnenkort een verplichte tweestapsverificatie invoeren. Zowel om in te loggen als om betalingen uit te voeren
Monizze pakt het op een gelijkaardige manier aan. Het bedrijf kreeg in het verleden te maken met gelijkaardige vormen van oplichting, maar voerde begin 2022 tweestapsverificatie in voor betalingen en het aanpassen van gegevens. Zowel via e-mail als via sms. Sinds de invoering is het aantal online diefstallen op hun platform gedaald.
"Monizze gaat haar gebruikers in de toekomst vooral aanraden om zoveel mogelijk sms in te zetten bij verificatie. Ā Op die manier zouden de risicoās drastisch afnemen, wat in een omgeving met snelle technologische evolutie en creatieve oplichters alvast geen overbodige luxe blijkt", verteltĀ SĆ©bastien Couturiaux, Chief Technology & Innovation Officer bij Monizze.
Koppelen aan andere betaaldiensten
Elektronische maaltijdcheques van Edenred kan je - opnieuw zonder tweestapsverificatie - toevoegen aan de mobiele betaaldiensten Apple Pay of Google Pay. Dat maakt het voor oplichters eenvoudiger om de cheques uit te geven. De betaaldiensten maken het mogelijk om contactloos te betalen bij een handelaar. Dat gebeurde onder anderen bij Giovanni uit Kruibeke.
Monizze en Pluxee hebben geen samenwerking met de betaaldiensten van Apple en Google. "Wij bieden het niet aan om onze kaarten te linken aan deze soort van betaaldiensten. Net omdat we de veiligheid willen maximaliseren", aldus nog de woordvoerder van Pluxee.
Monizze denkt wel na over een mogelijke samenwerking.Ā "Maar alvorens de dienst te activeren, gaan we uiteraard eerst kijken naar een optimale beveiliging en de afscherming van de gebruikers", zegt Couturiaux.
Edenred voert binnenkort tweestapsverificatie in
Edenred laat weten dat ze hun systemen "vrij binnenkort" ook beter zullen beveiligen door tweestapsverificatie in te voeren. "Die tweestapsverificatie zal trouwens verplicht worden voor alle gebruikers, via sms of Itsme. Zowel om toegang te krijgen tot je accounts, als om betalingen uit te voeren of je kaart te linken aan andere betaaldiensten zoals Apple Pay of Google Pay", belooft directeur Bouquet bij 'WinWin'.
Hoe vermijd je dat je bestolen wordt?
Over Ć©Ć©n ding zijn alle bedrijven het eens: een belangrijk deel van online veiligheid ligt in handen van de gebruiker. Ze sensibiliseren klanten daar regelmatig over. Met deze tips maak je het hackers en andere criminelen een flink stuk moeilijker om je op te lichten of te bestelen.
- Gebruik een sterk wachtwoord. Maak een combinatie van kleine en grote letters, getallen en zelfs speciale tekens.
- Gebruik nooit hetzelfde wachtwoord voor verschillende platformen.
- Stel tweestapsverificatie in op de platformen die dat aanbieden.
- Kies voor tweestapsverificatie via sms als dat kan. Dat is in principe veiliger dan via e-mail. Als je mailbox ook gehackt is, heeft de crimineel immers nog steeds toegang tot die extra code.
- EenĀ authenticator app is een veilig alternatief voor tweestapsverificatie.
- Gebruik eventueel ook een wachtwoordkluis zoals Bitwarden, 1password of Dashlane.
- Verander op geregelde tijdstippen eens van wachtwoord.