Hackers kraken webwinkel, die zwijgt

foto: anp | hacker

Hackers stalen klantgegevens bij elektronica-webwinkel ReplaceDirect.nl. Die besloot de zaak stil te houden. Dat is dom en onfatsoenlijk.

Vaak wordt in Nederland lacherig gedaan als er kleine datalekken zijn, waarbij niet veel meer uitlekt dan iemands naam en e-mailadres. Maar met die gegevens kun je al een misleidende mailing maken, die volledig correct is geadresseerd. Omdat de gegevens kloppen gaan alarmbellen niet zo snel af en is het slachtoffer dus eerder geneigd in de val te trappen. Als het misgaat is het vervolgens maar helemaal de vraag hoe en waar de gegevens zijn gelekt.

Slimme burgers
Met dank aan sommige oplettende burgers komt dit soort zaken soms wel naar boven. Toen Erik Jan Koedijk namelijk een mail van Paypal kreeg met de mededeling dat zijn account was geblokkeerd, leken de gegevens wel erg authentiek. De mail bleek erop gericht om mensen te bedonderen: phishing heet dat. Omdat Koedijk een eigen domein heeft, gebruikt hij overal een ander e-mailadres en was het meteen duidelijk waar de data die de oplichters gebruiken vandaan komt. Dat blijkt elektronica-webwinkel ReplaceDirect. Erg handig en slim van Koedijk.

Maar vreemd genoeg heeft ReplaceDirect Koedijk nooit geïnformeerd dat ze waren gehacked of dat de data was gestolen. Als hij verhaal haalt, erkent het bedrijf in bedekte woorden het probleem. “Het is ons bekend dat in februari enkele klanten last hebben ondervonden van phishingmail. Deze phisingmail werd inderdaad verzonden uit naam van PayPal”, schrijft de onderneming. “Inmiddels laten wij door een extern beveiligingsbedrijf actief onze servers scannen en testen. Hieruit zijn een aantal punten naar voren gekomen die door onze IT afdeling zijn opgelost.”

Diginotartje
MyMicro Group B.V., de onderneming waar ReplaceDirect onder valt, wist dus dat gegevens misbruikt werden (worden?) en informeerde de klanten niet. Het bedrijf geeft geen antwoord op herhaalde vragen van mijn kant en dus blijft het onduidelijk wat er precies is gebeurd. Maar wie klant is laat in ieder geval voorletters, tussenvoegsel, achternaam, adres, woonplaats, e-mailadres en telefoonnummer achter. Bij betaling kan dat meer zijn, bijvoorbeeld een creditcard- en/of bankrekeningnummer.

Met het niet informeren miskent de onderneming de eigen klanten. Zij zijn immers het slachtoffer. Het doet allemaal erg denken aan de zaak-Diginotar. Na de inbraak daar was er eveneens hard bewijs dat gegevens werden misbruikt. Ook de certificaatautoriteit hield haar mond en deed er richting de media het zwijgen toe. ReplaceDirect flikt dus ook een Diginotartje.

In de beveiligingsindustrie is het gebruikelijk klanten juist wel te informeren om zo het risico te beperken. Binnenkort zal een meldplicht in de wet worden opgenomen en in de toekomst zal dit soort bedrijven dus wel melding aan de klanten moeten doen. Nu is het vooral dom en onfatsoenlijk van de onderneming. Helemaal omdat Koedijk ze heeft geprobeerd te overtuigen het goede te doen.

Maar nu het bekend is, zal ik honneurs voor ReplaceDirect waarnemen:

Geachte klant, 

Ergens in februari is ingebroken bij ReplaceDirect. Hierdoor zijn uw klantgegevens in handen van oplichters gevallen. Ons is bekend dat deze criminelen ook proberen via zogenaamde phishingmails klanten te benaderen en te bedonderen. Reageer niet op dit soort mails en wees erg voorzichtig. Voor wachtwoorden geldt het advies overal een ander wachtwoord te gebruiken en deze bij ReplaceDirect meteen te veranderen.
Natuurlijk zijn we bij HP/de Site erg geschrokken en zijn we meteen een onderzoek gestart. We hebben de verantwoordelijk gegevensverwerker, MicroGroup, om opheldering gevraagd. Ook hebben we de zaak natuurlijk gemeld bij het Openbaar Ministerie, dat nu overweegt op eigen gezag een strafrechtelijk onderzoek te starten. Dat is wel het minste dat u van ons als verantwoordelijke partij mag verwachten. De ontstane situatie vinden we erg vervelend voor u.

Met vriendelijke groet, 

Brenno de Winter
Columnist HP/de Site

Deze zaak is slecht voor het vertrouwen in online winkelen en strekt niet tot eer van het Thuiswinkel Waarborg. Het vertrouwen waar ReplaceDirect over spreekt op zijn site is echt wel geschonden. Wat moet u met zo’n club? Ik zeg: haal inspiratie uit hun naam!


  • Bernard Weiss

    Graag gedaan!

  • Rick

    Ik krijg net een email van replacedirect waarin ze toegeven dat ze gehacked zijn. Wanneer was dit al bekend dan?

    • Jelmer

      Als ik het artikel goed begrijp in Februari al (er natuurlijk van uitgaande dat het bedrijf vrij snel na de phishingaanval er van klanten over hoorde):

      “Het is ons bekend dat in februari enkele klanten last hebben ondervonden van phishingmail.”

  • Jacques van de Vall

    Op 28 mei schrijft replacedirect.nl
    Geachte klant,

    Wij willen u middels deze e-mail op de hoogte brengen van een inbraak in één van onze servers. Wij voelen ons verantwoordelijk om u als klant hierover zo goed mogelijk te informeren.
    We hebben samen met specialisten de noodzakelijke technische voorzieningen getroffen om dit soort inbraken door hackers te voorkomen. De precieze problemen en oorzaken van deze inbraak waren tot vanmorgen niet precies bekend bij ons. Hierdoor heeft het naar onze eigen mening te lang geduurd, voordat wij u hiervan op de hoogte konden stellen. Ook heeft de media moeten wachten op antwoord, omdat wij vinden dat het publiekelijk melden van een mogelijk lek in de juiste volgorde en volledigheid plaats moet vinden om meer schade te voorkomen.

    Wat is er gebeurd?
    Onbekende hackers hebben toegang verworven tot een aantal gebruikersgegevens in onze webwinkel. Het betreft hier naam, e-mailadres, gebruikersnaam en wachtwoord. Wij willen u er met klem op wijzen dat er geen betaalgegevens zijn verworven, omdat deze nergens door ons opgeslagen worden.
    Desalniettemin zien wij natuurlijk de ernst van de inbraak onder ogen en hebben we als replacedirect.nl zijnde van alle bestaande gebruikersaccounts – ongeacht of hier wel of geen gegevens van zijn gehackt – het wachtwoord gereset. Dit nieuwe wachtwoord ontvangt u in een separate e-mail. Ook hebben we uit voorzorg deze e-mail verstuurd naar al onze klanten.

    Phishing e-mail
    Mogelijk heeft u de informatieve berichtgeving omtrent phishingmail op de Nederlandse televisie en via andere kanalen al diverse keren voorbij zien komen. Onderstaande link toont u in het kort wat phishing inhoudt en op welke wijze u zich hiervoor kunt behoeden.

    http://www.youtube.com/watch?v=VcbHo0EOtkA

    In ons specifieke geval weten we dat de phishingmail zich bij een aantal van onze klanten richt op berichtgeving alsof het afkomstig is van betalingsprovider Paypal.
    Via deze link vindt u hoe deze phishing e-mail eruit zag (met als onderwerp “Beste [uw naam], Uw rekening is tijdelijk beperkt”).

    Wat dient u zelf in de gaten te houden?
    Ondanks dat uw wachtwoord bij ons versleuteld wordt opgeslagen – wat inhoudt dat er eerst beveiligingscodes gekraakt moeten worden alvorens de hacker deze daadwerkelijk kan inzien – kunnen wij niet garanderen dat de combinatie gebruikersnaam en wachtwoord onbekend is gebleven.
    Hoewel de kans klein is op eventueel misbruik, willen wij u wel adviseren elke bron op het internet waar u deze zelfde combinatie gebruikt, te voorzien van een nieuwe combinatie door uw wachtwoord daar opnieuw in te stellen.

    Meer informatie
    Uiteraard was onze eerste prioriteit om volledige mankracht in te zetten op het onschadelijk maken van de acties van de hacker, het offline laten halen van de phishing websites (met succes), alsmede het uitvoeren van een volledige risicoanalyse om toekomstige beveiligingsrisico’s geheel in te perken.
    Mocht u naar aanleiding van dit bericht vragen hebben, kunt u zowel telefonisch als per e-mail contact met ons opnemen. Wij staan op werkdagen voor u klaar tussen 09.00 en 22.00 uur. Bent u inmiddels de dupe geworden van phishing, dan raden wij u aan zo snel mogelijk aangifte te doen bij de politie en ons daar ook over in te lichten.

    Met vriendelijke groet,

    Maikel Verstegen en Erwin Verstegen
    Directeur
    ReplaceDirect.nl

    http://www.replacedirect.nl

    • Hakim Tam

      Ik heb de email die Jacques van de Vall aanhaalt ook ontvangen. Maar wanneer ik met mijn cursor over htpp://www.replacedirect.nl ga krijg ik dit te zien:

      http://myclang.com/1/3fde840b7331e43602736592477592664307f3d587d077576320d6a1d1f605570641b2d666f

      Dus is deze email ook scam!

    • Ik

      MyClang.com doet E-mail marketing software. Ze gebruiken die partner dus om mailingen te versturen. Wel gebruikelijk, maar in dit geval niet heel erg handig als er toch al argwaan is. Dat zie je aan bovenstaande reactie wel…

    • Pietje Puk

      MyClang.com is “email marketing”, ofwel: de toko die hun mailings verzorgt. Heel gebruikelijk, maar niet heel erg handig om in een dergelijke mail te gebruiken wanneer er toch al sprake is van argwaan…

  • Mark Bakker

    Ik kreeg de email ook vandaag en had hun vorige week al om opheldering gevraagd omtrent de email van PayPal. Op 7 Mei kreeg ik de eerste mail omtrent het account op PayPal, waar ik niet eens een account heb ;)
    Erg leuk als je inderdaad een eigen domein hebt en voor elke winkel een apart email adres !
    Hiermee zie je direct wie wel en niet goed omgaat met de gegevens.

    Maar ik vind het ook niet helemaal netjes om je klant al niet te informeren dat er iets is gebeurt.

    ReplaceDirect zal niet snel meer een bestelling krijgen …. tijd om het emailadres weg te gooien.

  • Peter

    Inderdaad slecht voor het imago van Thuiswinkel Waarborg: Veilig en betrouwbaar online kopen bij gecertificeerde webwinkels.

  • Hans de Jong

    Ik heb ook zo’n email van Replace Direct gekregen. Echter, omdat alle links daarin (naar replacedirect.nl, youtube.com etc.) niet rechtstreeks naar die sites verwijzen maar verwijzen naar myclang.com, leek het mij dat deze email zelf spam was. Waarom anders niet direkt de goede links erin gezet? En waarom geen melding op hun website op de home page?
    Ik het de email daarom doorgestuurd naar Replace Direct en ben toen gaan zoeken en vond dit artikel.

    Ook ik gebruik al jaren het systeem om voor elke leverancier een apart emailadres te gebruiken (een ander adres op mijn eigen domein), en uiteraard ook een apart password. Helaas wel een hele administratie. Het gratis programma Keepass helpt daarbij (en nu maar hopen dat dat wel te vertrouwen is …).
    Ik denk dat het me zo’n 5 keer heeft geholpen om te constateren welk email adres uitlekt en daarom ook door wie. Maar tot zover heeft klagen bij de websites telkens de reaktie opgeleverd dat er bij hen niets mis was. En ik moet toegeven dat het me aan de energie heeft ontbroken om het tot de bodem uit te zoeken. Heeft iemend een goede suggestie hoe leveranciers in beweging te krijgen?

    Een apart email adres voor elke leverancier geeft wel meer spam, maar die is ook makkelijke te detekteren. Vaak krijg ik dezelfde spam op elk van de gehackte adressen. En dan is het overduidelijk. Soms ook krijg ik spam zogenaamd uit naam van instanties / bedrijven die niet via het gebruikte email adres kunnen communiceren, omdat ik het nooit voor die instantie / bedrif heb gebruikt.

  • Harry

    Zojuist nog zonder problemen ingelogd op de site van replace direct. Wat een blunders maken ze daar! Ik ben benieuwd hoe lang het duurt voordat ze de accounts blokkeren. Voor de zekerheid wel mijn wachtwoord gewijzigd. Blijkt overigens dat je geen bijzondere tekens kunt gebruiken in het wachtwoord! Replace direct graag direct actie!

  • Michiel.

    Bij zowel de Duitse als Nederlandse versie van replace direct al wat besteld gehad (<6 maanden geleden), en van geen van beiden heb ik dergelijke mails ontvangen.

  • Harrie van der Meijden

    Verrek. Ik heb ook ooit iets gekocht bi ReplaceDirect. En ik heb begin van het jaar ook bedrieglijk echt ogende mailtjes gehad van PayPal. Maar het slapgelulmailtje van Maikel en Erwin Verstegen heb ik nog NIET gehad. Zouden ze m’n gegevens ineens kwijt zijn?

  • Walther Ploos van Amstel

    Het Thuiswinkel Waarborg kan helaas nooit een garantie tegen hackers zijn. De organisatie voor webwinkeliers verwacht van haar leden een maximale inspanningsverplichting om te zorgen voor veilig transport, veilige verwerking en veilige opslag van persoonsgegevens.
    In inspanningsverplichtingen alleen geloof ik niet. Het moet echt fundamenteel anders en consumentvriendelijker. De oplossing is openID. Dat biedt wel veiligheid en comfort. Maar, dan moet je die openID veilig maken.
    Bestelongemak
    Nu wij thuis hyperwebshoppen stoort het me steeds vaker dat er geen openID is, een eenvoudige en veilige voordeursleutel voor alle webwinkels. Je moet nu eindeloos in- en uitloggen, je gegevens bijwerken, je afleverinformatie invoeren en even zoveel keer betalen. Je bent uren bezig voordat je alles hebt besteld.
    Er hangt een whiteboard in de keuken met alle gebruikersnamen en wachtwoorden. Dit is alles behalve comfortabel en al helemaal niet veilig. Op hoeveel voordeuren is dan wel niet beter hang- en sluitwerk nodig? Dan blijf je dweilen met kraan open.
    En, elke order wordt keurig bevestigd. Die bevestigingen hangen ook allemaal op het whiteboard. Om de ordervoortgang te volgen moet je ook weer eindeloos inloggen en zoeken. Waarom kan ik al die informatie niet op een overzichtelijk schema krijgen? Wat hebben we waar besteld, wat is de ordervoortgang en wat is de financiële informatie?
    Tenslotte wil ik van de stapels nieuwsbrieven af van alle webwinkels waar ik ooit eens iets heb besteld. Als ik wat zoek, dan vind ik u echt wel.
    Een online identiteit
    OpenID is één online identiteit die voor meerdere websites gebruikt kan worden. OpenID koppelt nu nog vooral social-mediaprofielen aan websites waar de consument in kan loggen met openID. Zo worden naam en adresgegevens, leeftijd en andere informatie doorgegeven aan de website. Leuk bedacht, gemakkelijk, maar nog verre van veilig.
    Ideal
    Ik wil een openID met de veiligheid van de Zwitserse banken. Mijn bankrekeningnummer wordt mijn openID voordeursleutel. Hierachter zet iDeal, met veel gevoel voor privacy, mijn persoonlijke bestel- en afleverinformatie. Wat wint de webwinkel erbij? Een eenvoudiger, en gegarandeerd, betalingsverkeer. Ze mogen mijn idee morgen zo invoeren.
    Thuiswinkel,org moet niet inzetten op enkel beter hang- en sluitwerk, maar op het verminderen van het aantal onnodig openstaande voordeuren bij webwinkels.

    http://www.nuzakelijk.nl/column-walther-ploos-van-amstel/2814200/lekkende-webwinkels.html

  • Bram

    Een MAAND geleden heb ik ze al gewaarschuwd, ik kreeg een Phishing mail met daarin de zelfde typo als in mijn account op replacedirect. NOOIT een reactie gehad. Gelukkig reageerden Paypal en de provider waar het Phishing script draaiden wel netjes door eea de zelfde middag nog offline te halen. Gisteren weer gemailed maar replacedirect hult zich in stilte.

  • Jason

    Ongelooflijk dat dit soort webshops gewoon kan blijven bestaan. Hadden ze direct al hun klanten geïnformeerd dan had men zelf voorzorgsmaatregelen kunnen treffen. Door deze informatie bewust geheim te houden, bang dat ze imagoschade oplopen, kan dit een hoop ellende opleveren voor veel (ex) klanten. Daarnaast komt dit het vertrouwen van consumenten in online kopen niet ten goede, waarvoor dank… Ik hoop dat Thuiswinkel.org in ieder geval een duidelijk statement maakt en deze shop direct uit haar bestand knikkert!

  • luuk

    test

  • Imar

    Is ook bekend of de wachtwoorden wel versleuteld waren opgeslagen bij replacedirect?