Pakjesprocedure van bpost ‘zo lek als een zeef’
Een pakje van je buurman onderscheppen zonder dat iemand het merkt? ‘Kinderspel’, volgens een test van HLN in samenwerking met beveiligingsexpert Nico Cool. Het nieuwe online registratiesysteem van bpost zou eender wie de mogelijkheid geven om andersmans pakjes te stelen.
Niet thuis? Niet erg
Sinds oktober vorig jaar kan je online aangeven waar je je pakjes wilt ontvangen wanneer je niet thuis bent. Het initiatief kaderde in de ‘Niet thuis? Niet erg’-campagne van bpost. Opdat minder pakjes zouden worden teruggestuurd naar het postkantoor, werd de Belg aangemoedigd om online aan te geven waar hij zijn pakjes wilt laten leveren als hij het huis uit is. Zo kan je ervoor kiezen om je pakje bij de buren te droppen, of een veilige plaats, zoals onder een carport, of in een pakjesautomaat. Bij het online registreren en het doorgeven van die voorkeur is er echter geen identiteitscontrole, wat het kapen van pakjes wel erg makkelijk maakt.
Bijvoorbeeld kan je het adres van je buurman registreren, gekoppeld aan jouw e-mailadres. Wanneer bpost een pakje levert, kijkt het welke voorkeuren zijn bewaard voor dat adres: de voorkeur die jij hebt ingegeven, en niet je buurman. Het is dan een koud kunstje om het pakje op te halen in bijvoorbeeld een pakjesautomaat.
Je buurman is zich van geen kwaad bewust, aangezien ook alle communicatie rond het pakje verloopt via het geregistreerde e-mailadres. De herkomst van het pakje, de reisweg en de bezorgbevestiging worden rechtstreeks naar dat adres gestuurd.
Extra beveiliging
Volgens beveiligingsexpert Cool is het onwaarschijnlijk dat het probleem snel wordt verholpen. “De designfout zit al in de eerste stap, dus wat doe je met alle gebruikers die zich al geregistreerd hebben en alle pakjes die onderweg zijn?” zegt hij op HLN.be. Ook degenen die zich al eerder hebben geregistreerd bij bpost, lopen immers gevaar. Wanneer een adres voor een tweede keer wordt ingegeven met een ander e-mailadres, geldt de laatste registratie als de enige juiste. Een bijkomende verificatiemethode, zoals een sms of een identiteitskaartcontrole, zou de registratie wel veilig kunnen maken – maar dan moeten ook alle eerdere geregistreerden het beveiligingsproces opnieuw doorlopen.
Uit een reactie van bpost blijkt dat er inmiddels een extra beveiligingsmaatregel is getroffen. Het geregistreerde e-mailadres wordt nu vergeleken met het e-mailadres waarmee de bestelling werd geplaatst. “Enkel wanneer het e-mailadres bij de webshop overeenkomt met het e-mailadres in onze database zal een klant nog kunnen kiezen waar het wordt geleverd,” zegt een woordvoerder in De Morgen. Voorheen was dat niet noodzakelijk: als een webshop het e-mailadres niet deelde, dan werden automatisch de gegevens uit bposts nieuwe databank gebruikt. Er wordt gewerkt aan een structurele oplossing, klinkt het.