Beveiligingsprobleem op website van Bpost blootgelegd
Het zit onze nationale postmaatschappij niet echt mee de laatste tijd. De medewerkers van Bpost zijn nog voor de drukke eindejaarsperiode goed en wel moet beginnen al overbelast om de toename van online bestelde pakjes tijdig te kunnen leveren leveren. Gisterenavond bracht de redactie van VRT NWS een reportage die een pijnlijk beveiligingsprobleem op de website van Bpost blootlegde.
Wanneer je online een pakje verzendt of bestelt, dan zal je in de bevestigingsmail een barcode ontvangen. Die lange cijfercode kan je op de website van Bpost gebruiken, in combinatie met je postcode, om de status van je pakket te volgen via de Track & Trace-dienst. Zo kan je als ontvanger opvolgen wanneer je pakket aan je deur zou moeten geleverd worden.
Pakketjes ophalen
Een ICT-specialist ontdekte echter dat het door een generieke zoekopdracht mogelijk was om niet enkel de eigen pakketjes terug te vinden, maar ook die van andere mensen. Het ging dan wel om een beperkt aantal ontvangers, vooral in de particuliere markt, maar toch kon je via de zoekopdracht heel wat gegevens over die mensen terugvinden. Namen van de ontvangers, de adressen waarop de pakketten zouden geleverd worden, en ook de unieke cijfercode die zij ontvingen.
Dat laatste zorgt voor een bijkomend probleem. Als je in bezit bent van iemands cijfercode, kan je diens pakketjes ook gaan ophalen bij de afhaalpunten van Bpost. Aan een pakjesautomaat is het voorleggen van een identiteitskaart immers niet vereist. Je moet enkel de unieke cijfercode ingeven om aan te tonen dat jij de rechtmatige ontvanger bent.
Zoekopdracht stopgezet
Een woordvoerder van Bpost verklaarde aan VRT NWS dat de postmaatschappij het beveiligingsprobleem inmiddels zelf ook had ontdekt en aangepakt. Zo zal het niet langer mogelijk zijn om via de generieke zoekreferentie je pakket op te zoeken. Dat kan enkel nog via de unieke cijfercode die je na de bestelling krijgt.