Beveiligingsprobleem bij website Bpost blootgelegd: pakjes van anderen kon je terugvinden (mét cijfercode) en ophalen
De website van Bpost heeft een tijdlang een groot privacy- en beveiligingsprobleem gehad. Dat heeft onze redactie blootgelegd. Je kon er niet enkel de gegevens van jouw eigen pakje vinden dat onderweg is, maar ook die van sommige anderen. Zo kon je de ontvanger, het product en de code zien en was het mogelijk om een pakje dat niet voor jou bestemd is, op te halen op een postpunt of een pakjesautomaat. Bpost heeft het probleem intussen opgelost.
Wanneer je een pakje bij Bpost bestelt, krijg je een specifieke cijfercode toegestuurd. Als je deze trackingcode ingeeft op de website van het Belgische postkantoor, samen met je postcode, kan je volgen welke weg jouw pakje aflegt. Zo kan je bekijken waar het pakje zich bevindt en waar en wanneer het toekomt.
Een strikt persoonlijke code zou je denken, waar niemand anders toegang tot heeft. Maar dat blijkt niet te kloppen. Een ICT'er die onze redactie contacteerde, stootte toevallig op een lijst van verschillende andere pakjes, toen hij zijn eigen zending opzocht.
Cijfercode, ontvanger en adres postpunt
Via een zoekopdracht was het mogelijk om niet enkel je eigen pakketjes te volgen, ook die van sommige anderen. Zo zag je niet enkel de ontvanger van het product, maar ook de plek waar het geleverd ging worden en de unieke cijfercode. Belangrijk: het ging niet over een volledige lijst van alle pakjes van Bpost, maar slechts om een beperkte hoeveelheid, voornamelijk van particulieren die iets opstuurden.
Dat is niet enkel een schending van de privacyregels, het zorgde er ook voor dat het mogelijk was om een postpakket dat niet voor jou bestemd is, toch op te halen aan de hand van deze specifieke cijfercode. In een postpunt wordt soms nog gevraagd naar een identiteitskaart - vaak ook niet in deze drukke tijden -, maar aan een onbemande pakjesautomaat moet je enkel de referentiecode ingeven.
Onze redactie deed zelf de test. We belden Saartje op, een vrouw die volgens de website een pakje verwachtte, en vroegen haar om haar toestemming om louter met de gegevens op de website haar pakketje op te pikken.
Bekijk hieronder hoe VRT NWS het pakje van Saartje kon bemachtigen:
Bpost heeft intussen weet van het probleem en heeft het opgelost. "We hebben de manier om pakjes op te zoeken via die generieke referentie meteen stopgezet, zodat mensen alleen nog via de unieke code hun pakje kunnen zoeken. Uiteraard zullen alle pakjes bezorgd worden."
We hebben de manier om pakjes op te zoeken via die generieke referentie meteen stopgezet