Een tiental klanten van Edenred zagen hun maaltijdcheques het afgelopen jaar gestolen worden door hackers. Opvallend genoeg werd Edenred zelf niet gehackt.
Een tiental klanten van Edenred zijn hun maaltijdcheques het afgelopen jaar kwijtgespeeld nadat cybercriminelen ermee aan de haal gingen. Dat ontdekte het consumentenprogramma WinWin. Edenred zelf werd niet gehackt. De dieven konden naar alle waarschijnlijkheid gewoon inloggen op het account van hun slachtoffers met publiek beschikbare gegevens.
Goed wachtwoord
Het voorval illustreert zo het belang van een goede wachtwoordhygiëne. De slachtoffers zouden geen unieke combinatie van gebruikersnaam en wachtwoord gebruikt hebben. Hun wachtwoorden circuleerden al online rond in combinatie met een gelijkaardige gebruikersnaam na een hack van een andere dienst in het verleden. Aan datalekken is er geen gebrek, en lijsten met buitgemaakt gegevens circuleren op het darkweb waar ze voor een appel en een ei te koop zijn.
lees ook
Zo kies je het perfecte wachtwoord
Aspirant-dieven gaan met zo’n lijst aan de slag en proberen of ze nergens kunnen inloggen waar munt uit te slaan valt. Dat was het geval bij de Edenred-slachtoffers. Die zijn hun maaltijdcheques kwijt en de provider zal ze niet terugbetalen. Edenred redeneert immers dat het de verantwoordelijkheid van de klant is om zijn inloggegeven veilig te houden.
Dat klopt: het is geen geheim dat een lang, uniek en veilig wachtwoord essentieel is voor wie veilig wil blijven online. Helaas wordt die regel nog al te vaak niet gevolgd, soms omdat hij niet gekend is, vaak omdat een complex wachtwoord als ‘gedoe’ wordt bestempeld. Hoe dan ook kunnen de gevolgen groot zijn.
Geen MFA
Daar staat tegenover dat Edenred net als concurrenten Monizze en Pluxee er een best lakse inlogstrategie op nahoudt. Multifactor-authenticatie is bij geen enkele van de aanbieders de norm, ook al zou MFA criminelen in bovenstaand geval succesvol tegengehouden hebben. Edenred voorziet op geen enkel moment een vorm van MFA, zodat criminelen met gebruikersnaam en wachtwoord genoeg hebben om cheques te stelen.
Pluxee en Monizze beschermen accounts niet met MFA, maar werken wel met een bevestigingscode voor transacties. Dat volstaat om eenvoudige vormen van diefstal zoals bij Edenred nu tegen te gaan. Het euvel dat WinWin ontdekte, moet in eerste plaats een les zijn over het belang van een uniek en veilig wachtwoord, maar zal hopelijk ook Edenred en andere partijen wakker schudden om MFA mogelijk te maken, en idealiter zelfs te verplichten.