Thuisbezorgd-gebruikers melden ongeoorloofde bestellingen door accountinbraken

De meldingen komen van meerdere gebruikers van techsite Tweakers, maar ook van Twitter. De betalingen zijn gedaan via PayPal. Dat bedrijf verwijst naar Thuisbezorgd, en andersom. Gebruikers melden dat er bestellingen zijn gedaan die met hun PayPal-account zijn afgerekend. 

Een woordvoerder van Thuisbezorgd bevestigt dat dat kan. ,,Bij betalingen via iDeal of een creditcard wordt er altijd om een extra verificatiecode gevraagd. Bij PayPal is dat niet het geval.” Bij Thuisbezorgd is het mogelijk een PayPal-account te koppelen als betaalmethode.

Thuisbezorgd ontkent dat er sprake is van een datalek. Het bedrijf noemt credential stuffing als waarschijnlijke oorzaak. ,,Gebruikers hebben dan voor Thuisbezorgd hetzelfde wachtwoord als bij andere diensten. Als die gehackt worden, liggen die wachtwoorden op straat. Zulke wachtwoorden worden in bulk verkocht en geprobeerd op tientallen andere sites. Dat is niet alleen bij Thuisbezorgd het geval, maar bij heel veel websites”, zegt de woordvoerder.

Dat staat haaks op wat sommige gebruikers op Twitter en techsite Tweakers zeggen. Daar stellen meerdere gebruikers een uniek wachtwoord te hebben gebruikt, al dan niet via een wachtwoordmanager. Thuisbezorgd ‘ontkent met klem’ dat er sprake is van een datalek bij de bestelsite voor eten.

Het is niet duidelijk hoeveel gebruikers van het platform precies getroffen zijn door het voorval. Thuisbezorgd zegt dat dergelijke aanvallen vaker voorkomen en dat er sinds vrijdag een iets grotere hoeveelheid dergelijke gevallen voorkomt, maar dat is ‘een klein deel van de 3,5 miljoen transacties die we maandelijks verwerken’. Thuisbezorgd raadt klanten aan een uniek wachtwoord te gebruiken voor verschillende diensten. Ook zegt het bedrijf dat gebruikers op PayPal tweestapsverificatie moeten inschakelen.

Zelf gaat het bedrijf geen wachtwoordresets doen. ,,We kunnen niet miljoenen accounts gaan blokkeren omdat er wachtwoorden van een andere site zijn gelekt”, zegt oprichter Jitse Groen op Twitter. Ook zegt het bedrijf dat het de koppeling met PayPal niet uitschakelt. ,,Daarnaast kunnen de gebruikers aangifte doen bij de politie”, zegt de woordvoerder. ,,Wij hebben niet de mogelijkheid om de daders op te sporen, maar dat eten moet ergens fysiek op een adres bezorgd worden.”

Inmiddels worden er op internet ook al gehackte Thuisbezorgd-accounts verkocht. Dat gebeurt onder andere op Telegram, zegt Rik van Duijn van beveiligingsbedrijf Zolder tegen Tweakers. Het is niet duidelijk of de gehackte accounts direct gerelateerd zijn aan de credential stuffing-aanvallen. In de Telegram-kanalen worden accounts verkocht die bijvoorbeeld veel punten hebben en waarmee het mogelijk is zonder tweestapsverificatie eten te bestellen.