Twinkle | Digital Commerce

ReplaceDirect geeft klanten nieuw wachtwoord na hack

2017-11-11
256256
  • 2:04

ReplaceDirect is het slachtoffer geworden van een aanval door hackers, die toegang kregen tot namen, e-mailadressen, gebruikersnamen en mogelijk wachtwoorden. Verschillende klanten ontvingen phishing-mails. ReplaceDirect heeft al zijn klanten een nieuw wachtwoord gestuurd.

ICT-journalist Brenno de Winter schreef gisteren op de site van HP/De Tijd over de diefstal van klantgegevens. Hij noemt het ‘dom en onfatsoenlijk’ dat ReplaceDirect de zaak lange tijd stil heeft gehouden; een tipgever van De Winter ontving al in februari phising-mails uit naam van PayPal. Omdat hij een apart e-mailadres voor orders bij ReplaceDirect gebruikte, wist hij dat de gegevens daar vandaan kwamen.

Excuus
In zijn communicatie met klanten excuseert ReplaceDirect zich als volgt: 'De precieze problemen en oorzaken van deze inbraak waren tot vanmorgen (gisteren, red.) niet precies bekend bij ons. Hierdoor heeft het naar onze eigen mening te lang geduurd, voordat wij u hiervan op de hoogte konden stellen. Ook heeft de media moeten wachten op antwoord, omdat wij vinden dat het publiekelijk melden van een mogelijk lek in de juiste volgorde en volledigheid plaats moet vinden om meer schade te voorkomen.'

De webwinkel zegt inmiddels technische voorzieningen te hebben getroffen om server-inbraken in de toekomst te voorkomen.

Toegang en nep-mails
Veel mensen gebruiken dezelfde gebruikersnamen en wachtwoorden bij verschillende accounts. Hackers die een database kraken, zoals eerder gebeurde bij Baby-dump.nl, kunnen zich zo toegang verschaffen tot andere sites en daar bijvoorbeeld aankopen doen uit naam van een ander. Ze kunnen de gestolen klantinformatie ook gebruiken om nep-mails uit te sturen, zoals met de gegevens van ReplaceDirect is gebeurd.

Nieuwe combinatie
ReplaceDirect, onderdeel van MyMicro Group, waarschuwt klanten voor phising-mails. Ook hebben alle klanten gisteren in een separate e-mail een nieuw wachtwoord ontvangen; ReplaceDirect zegt niet te kunnen garanderen dat combinaties van gebruikersnamen en wachtwoorden onbekend zijn gebleven. ‘Hoewel de kans klein is op eventueel misbruik, willen wij u wel adviseren elke bron op het internet waar u deze zelfde combinatie gebruikt, te voorzien van een nieuwe combinatie door uw wachtwoord daar opnieuw in te stellen.’

Thuiswinkel.org
ReplaceDirect is lid van Thuiswinkel.org, dat de veiligheid van klantgegevens bij leden hoog op de agenda zette na soortgelijke gevallen in het verleden. Toch is veiligheid ('Wat doet Thuiswinkel.org?') volgens de belangenvereniging primair de verantwoordelijkheid van de webwinkeliers zelf.

Meldplicht voor datalekken
Als het aan de Europese Commissie ligt komt er een meldplicht voor bedrijven bij datalekken. Webwinkeliers moeten het straks zelf laten weten wanneer klantgegevens door welke oorzaak dan ook op straat zijn beland. De boetes die bedrijven kunnen krijgen bij schending van de Europese privacyregels kan oplopen tot 1 procent van hun omzet.