image

Delhaize-klanten via hergebruikte wachtwoorden bestolen van kortingsbonnen

donderdag 22 april 2021, 13:34 door Redactie, 3 reacties

Criminelen hebben door middel van hergebruikte wachtwoorden kunnen inloggen op de accounts van vijftienhonderd klanten van supermarktketen Delhaize om vervolgens met de kortingsbonnen van deze klanten er vandoor te gaan. Delhaize biedt klanten het SuperPlus-loyaliteitsprogramma. Klanten maken een account aan en kunnen vervolgens met elke aankoop punten sparen. Die punten zijn weer in te ruilen voor producten, vijf euro korting of korting bij bol.com.

Met e-mailadressen en wachtwoorden die bij andere websites zijn gestolen probeerden aanvallers op deze accounts in te loggen. Op deze manier kregen de aanvallers toegang tot vijftienhonderd accounts. "Eens ze prijs hadden, konden ze via de app inloggen, de punten verzilveren in digitale kortingsbonnen van 5 euro en zo gaan shoppen", zegt Delhaize-woordvoerder Roel De Kelver tegenover Het Nieuwsblad.

In totaal zijn er tweehonderd kortingsbonnen gestolen. Gedupeerde klanten hebben van de supermarkt hun punten teruggekregen. Tevens werd klanten verzocht om een nieuw wachtwoord in te stellen. Delhaize heeft aangifte bij de politie gedaan en de Belgische privacytoezichthouder ingelicht. "We roepen klanten op om regelmatig hun paswoord te veranderen en verschillende paswoorden te gebruiken voor verschillende websites", zegt Dekelver. "Dit is een wake-upcall voor iedereen om voorzichtig te zijn."

Reacties (3)
22-04-2021, 13:52 door Briolet
Ook bij Delhaize klopt er iets niet met de beveiliging. Als men van 1500 accounts de correcte (hergebruikte) wachtwoorden had, moet een veelvoud van dat aantal een mislukte inlog gegeven hebben. En deze mislukte pogingen zullen vanaf een beperkt aantal IP adressen gebeurd zijn en had gedetecteerd moeten worden.

Maar goed, het zijn natuurlijk kleine criminelen. Bij 200 van de 1500 accounts hadden de klanten die 5 euro korting bij elkaar gespaard.
22-04-2021, 15:05 door Anoniem
Door Briolet: Ook bij Delhaize klopt er iets niet met de beveiliging. Als men van 1500 accounts de correcte (hergebruikte) wachtwoorden had, moet een veelvoud van dat aantal een mislukte inlog gegeven hebben. En deze mislukte pogingen zullen vanaf een beperkt aantal IP adressen gebeurd zijn en had gedetecteerd moeten worden.

Maar goed, het zijn natuurlijk kleine criminelen. Bij 200 van de 1500 accounts hadden de klanten die 5 euro korting bij elkaar gespaard.

Zelfs met throttling kom je nog niet al te ver ver. 3k public proxies en je kan gemakkelijk een paar accounts per seconde checken zelfs met een throttle van een minuut. En throttling werkt ook tegen legitieme gebruikers die hun wachtwoord vergeten zijn en het aan het raden zijn, en zo zijn er wel wat.
22-04-2021, 16:30 door Anoniem
Door Anoniem:
Door Briolet: Ook bij Delhaize klopt er iets niet met de beveiliging. Als men van 1500 accounts de correcte (hergebruikte) wachtwoorden had, moet een veelvoud van dat aantal een mislukte inlog gegeven hebben. En deze mislukte pogingen zullen vanaf een beperkt aantal IP adressen gebeurd zijn en had gedetecteerd moeten worden.

Maar goed, het zijn natuurlijk kleine criminelen. Bij 200 van de 1500 accounts hadden de klanten die 5 euro korting bij elkaar gespaard.

Zelfs met throttling kom je nog niet al te ver ver. 3k public proxies en je kan gemakkelijk een paar accounts per seconde checken zelfs met een throttle van een minuut. En throttling werkt ook tegen legitieme gebruikers die hun wachtwoord vergeten zijn en het aan het raden zijn, en zo zijn er wel wat.

Een van de problemen is dat vrijwel elke site een e-mailadres als inlognaam gebruikt.
En omdat de meeste mensen maar één e-mailadres hebben en vaak wachtwoorden hergebruiken is o.a. deze aanval mogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.