Cadeaukaarten onveilig door lek

Voor de feestdagen of voor een verjaardag is een cadeaukaart een handig presentje om te geven. Er zijn dan ook tientallen verschillende cadeaukaarten te koop in de winkel, die je vervolgens weer op allerlei plekken kunt besteden. Je koopt de kaart in de winkel, laat er bij de kassa geld op zetten, en de persoon die hem krijgt kan zelf een cadeau uitkiezen. Ideaal, zou je denken. Maar Kassa ontdekte een lek in de beveiliging bij een aantal bekende cadeaukaarten. Hierdoor bleek het kinderlijk eenvoudig om met het saldo van een cadeaukaart van iemand anders aankopen te doen in de winkel….

Kassa ging naar aanleiding van een tip over een beveiligingslek bij cadeaukaarten op onderzoek uit. Kassa onderzocht 12 bekende landelijke cadeaukaarten die in de winkel te koop en te besteden zijn. Bij 11 van de 12 cadeaukaarten bleek het mogelijk om te betalen met het saldo van de cadeaukaart van iemand anders. Dit bleek mogelijk door een lek in de beveiliging van de kaarten. Door gebruik te maken van de informatie die je op de cadeaukaart in de winkel kunt aflezen, zonder dat je de kaart daadwerkelijk hoeft te kopen, kon vervolgens met een simpele truc met de smartphone worden betaald aan de kassa. Door deze truc wordt er als het ware een ‘kopie’ van de barcode gemaakt die van het telefoonscherm gescand wordt, zonder dat de eigenaar van de kaart hiervan op de hoogte is. Die raakt zijn saldo op de originele cadeaukaart kwijt.

Het lukte Kassa om op deze manier te betalen met 11 bekende cadeaukaarten: De ‘VVV Cadeaukaart’, ‘Boekenbon’, ‘HEMA cadeaukaart’, ‘Nationale Bioscoopbon’, ‘Fashioncheque’, ‘YourGift Card’, ‘RestaurantCadeau’, ‘Beauty & Parfum cadeau’, ‘Prénatal cadeaukaart’, ‘Intertoys cadeaukaart’ en ‘Huis& Tuin cadeau’. Alleen met de H&M cadeaukaart kon niet op deze manier bij de kassa worden betaald, omdat bij die cadeaukaart een extra pincode gevraagd werd door de caissière. Bij de andere kaarten werd de extra pincode niet gevraagd aan de kassa. In geen van de 12 gevallen hoefde de originele cadeaukaart getoond te worden om te kunnen betalen. 

Tamar de Leeuw, bestuurslid bij de Branchevereniging Cadeaukaarten Nederland (BVCNL), waar de meeste cadeaukaart aanbieders die hier genoemd worden bij zijn aangesloten, reageert in de uitzending. De branchevereniging liet Kassa eerder deze week al weten dat zij al langer op de hoogte zijn van het lek, maar dat fraude weinig voorkomt. Kassa heeft alle de betrokken bedrijven op tijd ingelicht om voor de uitzending de maatregelen te treffen die nodig zijn, en hen op het hart gedrukt om bij winkelpersoneel te benadrukken enkel originele cadeaukaarten aan te nemen bij betaling, zodat dit niet meer kan gebeuren. De branchevereniging stelt dat de cadeaukaart-bedrijven met terechte klachten coulant omgaan.

Bart Jacobs, hoogleraar Digital Security aan de Radboud Universiteit Nijmegen, reageert in de reportage op het onderzoek van Kassa. Jacobs noemt het “nalatig” van de branchevereniging dat zij van het lek op de hoogte was maar het niet heeft aangepakt. “Daarmee laten ze bewust klanten risico’s lopen en dit ondermijnt het product”, zo stelt hij. Volgens Jacobs is het “hun zorgplicht om dit zo snel mogelijk op te lossen”.

Ook met de Intertoys cadeaukaart en HEMA cadeaukaart konden we betalen door de barcode van de kaart van iemand anders via de telefoon te laten scannen. Intertoys liet ons weten de uitkomsten van het onderzoek van Kassa zeer serieus te nemen, en dat bij winkelpersoneel wordt benadrukt dat de cadeaukaarten slechts verzilverd kunnen worden door de fysieke kaart te tonen. De complete reactie lees je hier . HEMA zegt in een reactie op de hoogte te zijn van de geschetste situatie, maar dat er geen fraudegevallen bekend zijn. HEMA gaat de cadeaukaarten in de toekomst een andere verpakking geven. De volledige reactie van HEMA lees je hier .