Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Thuisbezorgd-gebruikers melden ongeoorloofde bestellingen door accountinbraken

Een groeiend aantal gebruikers meldt dat via Thuisbezorgd bestellingen op hun naam en rekening worden gedaan zonder dat zij daarvan weten. Volgens Thuisbezorgd is er geen datalek, maar betreft het credential stuffing. Getroffen accounts worden inmiddels ook online verkocht.

De meldingen komen van meerdere tweakers, maar ook van Twitter. De betalingen zijn gedaan via PayPal. Dat bedrijf verwijst naar Thuisbezorgd, en andersom. Gebruikers melden dat er bestellingen zijn gedaan die met hun PayPal-account zijn afgerekend. Een woordvoerder van Thuisbezorgd bevestigt aan Tweakers dat dat kan. "Bij betalingen via iDeal of een creditcard wordt er altijd om een extra verificatiecode gevraagd. Bij PayPal is dat niet het geval." Bij Thuisbezorgd is het mogelijk een PayPal-account te koppelen als betaalmethode.

Thuisbezorgd ontkent dat er sprake is van een datalek. Het bedrijf noemt credential stuffing als waarschijnlijke oorzaak. "Gebruikers hebben dan voor Thuisbezorgd hetzelfde wachtwoord als bij andere diensten. Als die gehackt worden, liggen die wachtwoorden op straat. Zulke wachtwoorden worden in bulk verkocht en geprobeerd op tientallen andere sites. Dat is niet alleen bij Thuisbezorgd het geval, maar bij heel veel websites", zegt de woordvoerder. Wel zegt Thuisbezorgd-oprichter Jitse Groen dat er naast credential stuffing ook sprake is van brute-forcing van wachtwoorden.

Dat staat haaks op wat sommige gebruikers op Twitter en GoT zeggen. Daar stellen meerdere gebruikers een uniek wachtwoord te hebben gebruikt, al dan niet via een wachtwoordmanager. Wel geeft de topicstarter op GoT toe dat het gaat om een zwak wachtwoord. Thuisbezorgd 'ontkent met klem' dat er sprake is van een datalek bij de bestelsite voor eten.

Het is niet duidelijk hoeveel gebruikers van het platform precies getroffen zijn door het voorval. Thuisbezorgd zegt dat dergelijke aanvallen vaker voorkomen en dat er sinds vrijdag een iets grotere hoeveelheid dergelijke gevallen voorkomt, maar dat is 'een klein deel van de 3,5 miljoen transacties die we maandelijks verwerken'. Thuisbezorgd raadt klanten aan een uniek wachtwoord te gebruiken voor verschillende diensten. Ook zegt het bedrijf dat gebruikers op PayPal tweestapsverificatie moeten inschakelen.

Zelf gaat het bedrijf geen wachtwoordresets doen. "We kunnen niet miljoenen accounts gaan blokkeren omdat er wachtwoorden van een andere site zijn gelekt", zegt oprichter Groen op Twitter. Wel zouden inmiddels de terugkomende betalingen via PayPal zijn uitgeschakeld. "Daarnaast kunnen de gebruikers aangifte doen bij de politie", zegt de woordvoerder. "Wij hebben niet de mogelijkheid om de daders op te sporen, maar dat eten moet ergens fysiek op een adres bezorgd worden..."

Inmiddels worden er op internet ook al gehackte Thuisbezorgd-accounts verkocht. Dat gebeurt onder andere op Telegram, zegt Rik van Duijn van beveiligingsbedrijf Zolder tegen Tweakers. Het is niet duidelijk of de gehackte accounts direct gerelateerd zijn aan de credential stuffing-aanvallen. In de Telegram-kanalen worden accounts verkocht die bijvoorbeeld veel punten hebben en waarmee het mogelijk is zonder tweestapsverificatie eten te bestellen.

thuisbezorgd1

Door Tijs Hofmans

Redacteur privacy & security

06-05-2020 • 15:15

214 Linkedin

Reacties (214)

Wijzig sortering
Hoe groot is nu echt de groep die én paypal heeft gekoppeld als auto betaling én geen 2FA én blijkbaar hetzelfde wachtwoord elders gelekt gebruikt? Ik heb bv paypal wel eens gebruikt, maar nooit gekoppeld (heb ook een uniek wachtwoord en 2FA maargoed).

Zie meteen mensen de pek en veren pakken voor Paypal, maar het gaat hier om een _eigen_ actie om paypal te autoriseren voor automatische betalingen, zoals automatische incasso's of pinnen zonder pin, en blijkbaar ook nog eens mensen die dus letterlijk nooit op hun overzicht van geautoriseerde betalingen kijken op paypal.
(Epic doet dit bv standaard ook, elke keer daarna uitzetten :P)

[Reactie gewijzigd door SinergyX op 6 mei 2020 15:37]

Ik ben ook slachtoffer, had een uniek wachtwoord voor thuisbezorgd, gekoppeld aan paypal one touch, dus afgelopen vrijdag is er een order op mijn account geplaatst a 103,75 op naam van een bepaald persoon in Amsterdam.(dit bedrag heb ik ondertussen al teruggekregen van Paypal.)

Wat in mijn geval schrijnend van het restaurant was, dat ik er heen belde dat ik absoluut niets besteld had en mijn account gehackt was met bestel nummer, wat ik besteld heb etc. Die mevrouw zou een service nummer van thuisbezorgd bellen, maar liet niks weten. Toen ik zag dat de bestelling 2 uur later gewoon bezorgd was, werd ik echt pissig. Ook thuisbezorgd reageert alleen met:’doe aangifte’.

Ben benieuwd wat ze eventueel nog willen reclameren, maar dan zijn ze bij mij toch bij de verkeerde
Ook slachtoffer hier. € 58 in totaal, dus gelukkig te overzien. In mijn geval klinkt credential stuffing niet onlogisch (ja dom, ik weet het).

Heb je op de reguliere manier een claim ingediend (“ik heb deze betaling niet geautoriseerd”) of heb je iets anders gedaan? Ik lees hieronder immers ook gevallen waarbij men door PayPal is afgewezen.
Inderdaad met (“ik heb deze betaling niet geautoriseerd”).
Was snel goedgekeurd.
Ik kreeg een voorlopig tegoed op de rekening, maar nu krijg ik uitsluitsel (afwijzing) op de case:

Kwestie gesloten: transactie wordt niet gedekt
Kwestienummer: ............
Hartelijk dank voor het melden van deze kwestie. Na zorgvuldige controle van uw kwestie, hebben we vastgesteld dat de gemelde transacties niet ongeautoriseerd zijn en daarom niet worden gedekt door onze PayPal Aankoopbescherming.

Welke tekst heb jij gekregen?

Omdat het voor meer mensen relevant kan zijn, doe ik het even hier. Als je dat niet prettig vindt, dan hoor ik het wel. Het kan natuurlijk niet zo zijn dat er willekeur is bij Paypal omdat het bedrag lijkt op te lopen qua schade voor hun.
Geen probleem, dit staat er letterlijk bij mij "Hartelijk dank voor het melden van deze kwestie. We hebben terugbetalingen verwerkt voor bepaalde ongeautoriseerde transacties die door PayPal Aankoopbescherming zijn gedekt. "
Bij ons ook zelfde geval en paypal geeft ook niet thuis
Duurde ook lang voordat Thuisbezorgd reageerde en via Facebook geageerde ze wel snel maar ook je doet maar aangifte en zoek het uit. 67,54 kwijt op Koningsdag was dit bij ons het geval.
Ik heb net even gekeken welke bedrijven ik allemaal had gemachtigd op mijn PayPal. Ik had er geen idee van, maar blijkbaar heb ik dat in de afgelopen 10 jaar bij 8 bedrijven toegestaan. Daarvan waren 2 diensten die vroeger inderdaad werden afgeschreven via PayPal, maar die ik stop had gezet. Blijkbaar moet je dan op PayPal ook de machtiging handmatig intrekken. Van die anderen heb ik ook iets besteld en blijkbaar toen ingestemd met die voorwaarden.
De autorisatie van PayPal is blijkbaar niet altijd even transparant in beeld. Zowel met One Touch als gewoon met het handmatig koppelen. 2FA is in dit kader ook niet relevant. Als je deze koppeling reeds hebt met Thuisbezorgd kan je nog 1000FA aan zetten, door de koppeling wordt daar geen beroep meer op gedaan. Het is Thuisbezorgd zelf die dan met de Paypal API communiceert.
Ik krijg dat ding niet eens normaal 'gekoppeld', buiten 'deze site onthouden voor makkelijker inloggen', lukt het mij niet eens om een betaalovereenkomst te starten, zullen ze dit of sneaky snel hebben aangepast, of is dit juist een ding van het verleden waar het dus nu veel mis gaat?

Oooh heb het gevonden:
6. Paypal Reference Payment
Wanneer je bent ingelogd op je klantenaccount van Takeaway.com, kan je ervoor kiezen om bij een betaling via Paypal, de gegevens van je PayPal account te koppelen aan je Takeaway.com klantenaccount. Deze optie wordt je aangeboden op de slotpagina. Na een eerste succesvolle betaling via PayPal hoef je, wanneer je op je Takeaway.com klantenaccount bent ingelogd, nooit meer je PayPal accountgegevens in te vullen. Je kan onmiddelijk en zonder bijkomende controle een betaling uitvoeren. Wens je je PayPal account te ontkoppelen, dat kan dit via de optie aangeboden op de slotpagina, wanneer je bent ingelogd op je klantenaccount en je de betaalmethode Paypal hebt gekozen.
Dit is nu niet hetzelfde als een betaalovereenkomst waar anderen over spraken.
De Reccuring payments zijn, zoals je in het artikel kunt lezen, inderdaad uitgeschakeld momenteel. Het kan daarnaast ook zijn dat het om een koppeling ging die je momenteel niet meer kan maken. Tijden geleden dat ik PayPal gebruikte op Thuisbezorgd.
Ik denk dat je onderschat hoeveel mensen geen 2FA gebruiken en overal hetzelfde wachtwoord gebruiken, en auto betaling ook maar gewoon aangeklikt hebben, want lekker makkelijk allemaal. Meeste mensen willen gewoon iets wat makkelijk is, en denken pas na over hun veiligheid op het moment dat het te laat is.
Dat realiseer ik mij nu langzaam ook, helaas is gemak nog altijd de zwakte van veiligheid (beide kanten op), en dan speel je met een risico.. en nu een resultaat (al wordt trouwens wel alles vergoed zoals ik lees, dus echt dure les is het ook weer niet).
Ik call @Quazier en raise hem met de volgende stelling: 90% van NL heeft nog nooit gehoord van 2FA.

Je hebt verschillende niveau's aan PC gebruikers:

We hebben 1 miljoen digibeten in Nederland, die kunnen helemaal niets zonder hulp op een computer. Ik heb ervaring bij het helpen van deze doelgroep op een pc. Ze zelf een veilig wachtwoord laten verzinnen bij het aanmaken van een account is vrijwel onmogelijk. Hier komt de realiteit: Je hebt al heel erg veel bereikt als zij zelfstandig kunnen inloggen op een website terwijl zij de gebruikersnaam en het wachtwoord heel rustig en geconcentreerd overtypen van een a4tje. Je loopt hier namelijk vaak ook tegen laaggeletterdheid aan.

De categorie die net geen digibeet is maar naast de basis taken ook niet veel verder komen is nog gigantisch veel groter. We hebben het hier wellicht over meer dan de helft van Nederland. (ik heb geen cijfers of bronnen). Deze mensen vind je dus overal. Naast je op werk, in je familie OVERAL :D

Ik ben UX designer en ben regelmatig te vinden in een lab met eyetracking en de hele mikmak. We gebruiken ingehuurde respondenten om websites en applicaties aan voor te leggen. Ik ben mij er echter zeer bewust van dat de respondenten die wij ontvangen nooit digibeten zijn en meestal ook niet in de categorie daar net boven zitten. Bijna alleen mensen die zich comfortabel met een pc/smartphone/tablet voelen geven zich op om mee te doen aan onderzoek waarbij zij taken moeten uitvoeren op de mobiel/tablet/computer.

Ik vertel dit omdat ik zie dat deze groep aan gebruikers veelal al moeite heeft met inloggen of een account aan te maken ZONDER 2FA in een nieuwe omgeving. En vandaar ook mijn stelling. 90% van NL heeft nog nooit van 2FA gehoord.

[Reactie gewijzigd door jadatmag op 6 mei 2020 17:01]

Aantal jaren geleden support gegeven aan een gebruiker die “niet kon inloggen”. Stap voor stap begon ik met uitleggen:
- Klik rechtsboven op inloggen
- Vul in het vak E-mail het e-mail adres in waarmee u een account heeft aangemaakt.

“Wat is mijn e-mailadres dan?”

Het is echt bizar hoe weinig sommige mensen in deze tijd nog van technologie weten, en ze zijn echt niet allemaal bejaard!

[Reactie gewijzigd door Jaatoo op 6 mei 2020 19:36]

herkenbaar voor mij. Help weleens klanten met een wachtwoord reset en dan stap voor stap begeleiden met inloggen. Nadat ze hun nieuwe wachtwoord hebben opgeslagen vraag ik ze om in te loggen, zodat ze het gelijk kunnen zien dat het weer werkt. Al verschillende keren mee gemaakt dat zo iemand dan vraagt welk wachtwoord ze moeten invoeren. 'Diegene die u zojuist heeft opgeslagen'. En vervolgens kunnen ze het niet meer invoeren, want ze zijn het alweer vergeten wat ze precies hebben opgeslagen. En dan te bedenken dat ze het zelfs in tweevoud in hebben gevoerd.
Ik vind het zeer storend dat sommige sites die Paypal recurring paryments automatisch aanzetten zonder dat dit duidelijk is.
iBood, 2dehands, flickr om enkele te noemen.
In mijn ervaring stuurt paypal je met iedere aankoop in de richting van automatisch toestaan onder het mom van zo makkelijk mogelijk bestellen. Kan je mensen moeilijk de schuld van geven, je moet echt opletten als je paypal niet automatisch wilt laten inloggen e.d.
Ik doe betalingen bijna dagelijks via paypal, het is altijd een vinkje dat je moet aanzetten, niet uitzetten als je niet oplet. Het blijft gewoon een handmatige keuze, net als de 'onthoud mij' optie bij inloggen op websites.
Oh maar ze pushen wel hoor, net nog ingelogd op Paypal en kreeg weer tussen pagina met optie om te koppelen aan mijn Google account. Je moet eerst kiezen alvorens je kan inloggen, en "never ask again" staat er niet bij, enkel "not now".
2FA bij PP maakt niet uit. Van zodra je een service hebt geauthoriseerd om automatisch te betalen via PP krijg je in principe nooit nog een login venster te zien van PP, dat kan volledig in de achtergrond. Voor zover ik heb kunnen lezen ondersteund Thuisbezorgd zelf geen 2FA.
Zou grappig zijn om te kijken of er meerdere bestellingen zijn gedaan bij hetzelfde restaurant. In deze zware tijden voor de horeca zij het makkelijk zijn om een paar accounts te kopen, bestellingen te plaatsen bij jezelf en deze vervolgens niet te hoeven leveren...
Dat is een hele scherpe. Mag ik de aftrap geven?

24/7 pizza delivery - Dickenslaan 202
Amerikaans spareribs Line - Dickenslaan 200

En bij "eigen" adres staat ook Dickenslaan 202. Dat kan in theorie natuurlijk snel aangepast zijn na ontvangst van de bestelling.

[Reactie gewijzigd door Lekkerbek312 op 7 mei 2020 17:03]

Uit het artikel: " Wel zouden inmiddels de terugkomende betalingen via PayPal zijn uitgeschakeld "

Ik heb net eten besteld bij Thuisbezorgd. Paypalis jaren mijn betalingsvoorkeur daar is.
Nu is het zo dat ik opnieuw moest inloggen voor de betaling bij PP, dit omdat inderdaad de "terugkomende betalingen" - lees: een doorlopenede betalings overeenkomst geannuleerd is.

Maar 1 maal ingelogd bij Paypal, en na het bevestigen welke betalings middel die ik gekoppeld heb aan PP ik wou gebruiken werd opnieuw een betalings overeenkomst opgedragen. Ik quote:

" By clicking agree and pay i confirm that i want to use the xxxxx for my current AND FUTURE PURCHASES with Takeaway.com Payments B.V. to charge my Paypal account for such purhcases and I instruct PayPal to pay such amounts. I understand this lets me check out faster by not having to log in to PayPal to complete my purchase. " (let op: dit is niet hetzelfde als ONE TOUCH)

Na een paar zinnen: " The payments will be treated by Paypal as pre-approved payments as specified in the paypal user agreement"

m.a.w nu heb ik weer een lopende betaal overeenkomst afgesloten tussen Takeaway.com en mijn PayPal account. Dus ze zeggen wel dat het uitgeschakeld is, maar w.s. was dat een 1 malige flush, omdat ik dit opnieuw moest opbouwen. Uit voorzorg cancel ik de overeenkomst nu weer, en haal ik de PP informatie weg uit m`n Thuisbezorgd account en regel het voortaan wel via Ideal.

Voor de goede orde: Zelf heb ik op mijn PP 2FA staan en gebruik ik voor alle 68 login items in mijn 1password een 24 char randomized wachtwoord. Niks heeft hetzelfde wachtwoord, en ik gebruik nooit de functie "Save password" (in browser)

[Reactie gewijzigd door lithiumangel op 6 mei 2020 17:31]

Denk dat er ook even gekeken moet worden of er specifieke zaken zijn die onevenredig veel bestellingen hebben geleverd aan dit soort gehackte accounts.
Dit bevestigt nogmaals maar weer eens het grote belang van het gebruiken van een wachtwoordmanager en het inschakelen van two-factor-authentication (indien beschikbaar).
Sowieso op je PayPal account. Absurd dat 2fa daar standaard niet verplicht is. Als je je bankrekening er aan gekoppeld hebt, kan je volgens mij ongelimiteerd betalingen doen via het PayPal account.
Verstandig om je PayPal account daar mee te beveiligen. Maar in dit scenario met Thuisbezord helpt dat niet. Thuisbezorgd heeft een token waarmee ze van de PayPal kunnen afschrijven.

Voor de mensen die dat willen blokkeren: https://www.paypal.com/myaccount/security/ en kies dan "Verleende toestemmingen'.
Het gaat bij Thuisbezorgd om de Mijn vooraf goedgekeurde betalingen, niet om verleende toestemmingen.
Zat er net ook al te kijken. Bleek jaarlijks 200 euro aan abonnementen te betalen waarvan ik niet meer bewust was dat ik ze had. Gelijk geannuleerd, kan ik in 2023 toch weer lekker een terrasje van pakken!
Ik neem aan dat je die afschrijvingen toch altijd gelijk ziet, hetzij op je bankrekening of via paypal notificaties/emails? Ik loop altijd transacties op mijn CC/PayPal/bankrekening na met enige regelmaat.
Er is een reden dat een deel van de bevolking geldproblemen heeft; laksheid

Ik verdien niet verkeerd, maar als ik maandelijks €200,- betaal zal dat inderdaad wel opvallen...
OT: niet alleen laksheid. Maar ook door onoverzichtelijkheid. Ik moet op mijn werk in het bedrijfsrestaurant met bankpas betalen. Dat zijn al 20 regels, en zo zijn er heel veel van die kleine bedragen. Bij elkaar wordt dat een flinke hoeveelheid na te lopen regels, met bedragen van onder de EUR 5,-. En al die regels iedere maand nalopen vraagt veel discipline /OT

edt: kleine aanvulling

[Reactie gewijzigd door FJB op 6 mei 2020 18:00]

Vraagt dat echt veel discipline?
Je moet er natuurlijk tijd voor nemen maar als je door de lijst met transacties gaat dan zie je toch vanzelf wel wat gebruikelijk is (de lunch op het werk zal dagelijks rond 12:00 en van dezelfde partij zijn) en wat niet?
En als je dan pas iets hebt gekocht dan zal dat toch ook wel opvallen door o.a. bedrag en datum?
Er is een reden dat een deel van de bevolking geldproblemen heeft; laksheid
Vraag dan gewoon maandelijks papieren afschriften aan oid.
Wordt je tenminste nog getriggered om ze na te lopen.

(ennuh.. voor je eigen administratie is een papieren backup ook geen verkeerd idee. Belastingdienst gaat x jaren terug en als je bank ooit besluit om de afschrift-historie te trunceren ben je dat wellicht kwijt.)
Je kan je afschriften natuurlijk ook gewoon zelf regelmatig uitprinten. Komt op hetzelfde neer. Of de bank print het voor jou uit of jij print het uit voor jezelf. Het zal er gewoon hetzelfde uitzien.
Je kan je afschriften natuurlijk ook gewoon zelf regelmatig uitprinten. Komt op hetzelfde neer. Of de bank print het voor jou uit of jij print het uit voor jezelf. Het zal er gewoon hetzelfde uitzien.
Maar, dan moet je wel onthouden om dat te doen. En laat het puntje laksheid nou net zijn waar ik op reageerde. ;)

Overigens zijn zelf afgedrukte afschriften dus niet altijd hetzelfde. Bij Rabobank hebben de 'echte' papieren afschriften netjes volgnummers. Zelf afgedrukte afhschriften hebben die niet. En tot voor kort was het daar vziw ook niet mogelijk om een eigen periode te kiezen; maar zat je vast aan het start-eind maand model.
Dank je! Dit is nuttige info, en had zeker bij het artikel mogen staan.
Paypal heeft nogal moeite met 2fa en de smsen die ze verzenden. Ik heb ongebeer een half jaar geen toegnag gehad tot paypall omdat de smsjes niet aankwamen. Mijn telefoon provider wees naar paypal en paypal naar hen. Als je hierop googled kom je veel meer zaken hiervan tegen. Inmiddels doe ik nagenoeg niets meer met paypal. De smsen zijn nog steeds onbetrouwbaar 1 op de 5 ontvang ik nu ongeveer. Thuisbezorgd zou in deze ook gewoon 2fa moeten inbouwen of koppellen van betalings middel niet toepassen.
Klopt dit is anno vandaag nog steeds zo. Gelukkig hebben ze nu een officiële manier om in plaats van het middeleeuwse SMS, ook iets van een Token generator App te kunnen gebruiken
Sms werkt prima doorgaans. Dat iedereen vrolijk achter de volgende hippe messaging dienst aansjokt is prima.

Maar sms is hier prima geschikt voor en is niks middeleeuws aan.

Vernieuwen om het vernieuwen is onzin.
Zoals gezegd komt de PayPal-SMS bij 99% van de providers helemaal niet aan. Hier zijn al tig topics over. Een Authenticator app is voor velen dan een veel betere optie. Wat daar vernieuwen om het vernieuwen aan is ontgaat me compleet. Daarnaast is het SMS-protocol verre van veilig.
Ik gebruik het al jaren, kan me niet herinneren dat een SMS van Paypal ooit niet aangekomen is.
Vreemd, ik moet zeggen dat de smssen steeds heel snel toekomen. Het duurt nooit meer dan enkele seconden (Belgie, telenet en orange).
Als je google authenticator installeert, heb je altijd een alternatieve methode beschikbaar. Is dat geen optie?
Neem dan Authy, die kun je tenminste gebruiken op meerdere toestellen tegelijk, en ook back-uppen.
Maar je moet dan wel een zeer goed master paswoord nemen.
Goede tip, dank je, want die backup functie miste ik inderdaad al.
Dat klopt, zolang je PayPal geverifieerd is, kan je dat onbeperkt doen. Daarom heb ik 2FA. Maar zolang je identiteit niet is bevestigt, kan je per jaar €2500 overmaken en ontvangen dacht ik maar dat is al een hele tijd gelden dus weet niet of dat ondertussen is veranderd.
PayPal 2FA werkt blijkbaar ook niet altijd. Ik had dat ingeschakeld en alsnog kon iemand ergens in Mexico een betaling doen van 1300. Geen SMS ontvangen, niks. Navraag bij PayPal leverde ook niks op (verschrikkelijke klantenservice trouwens). Ze waren helemaal niet transparant over hoe het kon gebeuren.
Laten storneren?
Hmm ik checkte gelijk of ik 2fa aan heb staan bij paypal. En dat stond aan bij instellingen, maar bij het inloggen werd me er niet om gevraagd om een code in te vullen. |:(

Bij paypal staat:
Nadat u een wachtwoord heeft ingevoerd, wordt u gevraagd om iedere keer wanneer u inlogt een eenmalige code in te voeren.
'Inloggen in twee stappen' is AAN
Als je eenmaal ingelogd bent en je logt niet uit, dan blijf je ingelogd en wordt er dus ook geen 2FA gevraagd. Dit gebeurd als je bij inloggen het vinkje aan hebt gezet dat ie niet opnieuw vraagt op deze pc.

Zolang niemand op jouw PC kan komen, kunnen ze ook niet in het paypal account.

Als je safe wil, uitloggen na gebruik of het vinkje uit laten staan.

[Reactie gewijzigd door Fairy op 6 mei 2020 16:10]

Ik betaal m'n Steam games altijd met PayPal, maar ik log nooit automatisch in met PayPal, ondanks dat m'n Steam een uniek wachtwoord heeft en m'n pc met een unieke PIN.
Helaas wint het gemak van security.

Die drie seconden dat het mij meer kost om het wachtwoord in te typen dan dat er een keer de pleuris uitbreekt neem ik maar voor lief.
Dat is een risico dat je bewust neemt. Heel veel mensen nemen dat risico onbewust, omdat ze vaak niet weten dat het ook anders kan.

Ik heb vorige week acher elkaar dat mijn Twitter en Facebook, beiden met een ander wachtwoord ingelogd waren vanuit een bij mij onbekende locatie, waarvan één een Bangladesh was.

Ik heb mijn wachtwoorden direct gewijzigd, gelukkig werd ik door Twitter gewaarschuwd en had ik het binnen 10 minuten aangepast, maar nu heb ik ook dáár 2FA geactiveerd. Was even een wake up call dat het ook mij kan overkomen met toch een complex wachtwoord.

Heb geluk dat er in mijn geval geen misbruik is gemaakt van mijn account, maar dit had ook anders kunnen zijn, als ik niet vlot had gereageerd op de waarschuwingen.
Voor een terugkerende transactie werkt dat dus anders, en hoef je niet meer in te loggen. Dat is bedacht voor snelle conversie en het elimineren van twijfelende klanten. Voor losse aankopen moet je dan inderdaad inloggen middels 2FA.
Zoals je hier kan lezen:
Iemand deed Thuisbezorgd.nl bestelling via mijn PayPal

Heeft dat in dit geval geen effect. @Bolk geeft aan dat hij een ww manager gebruikt. Het issue is dat Paypal directe authorisatie heeft, mss via One Touch (laatste is een aanname)
Een wachtwoordmanager gebruiken zegt niet zoveel. Ook daar kun je prima een oud wachtwoord in hebben staan puur omdat je dat account al had voordat je je wachtwoordmanager ging gebruiken en je vergeten was om dat wachtwoord te resetten.

Daar heb ik genoeg ervaring mee. Enige tijd geleden heb ik hier op tweakers ook van bijna 50.000 mensen het wachtwoord gereset omdat die voorkwamen in een wachtwoorddump. Een aantal daarvan beweerden bij hoog en laag dat ze een volledig uniek wachtwoord gebruikten en dat Tweakers zelf gehacked moest zijn. Met hun goedkeuring heb ik toen hun wachtwoord dat ik uit de dumps had gehaald op een backup van de dag voor de resets geprobeerd, en wat bleek; dat wachtwoord was een match.

Ze hadden dus sinds ze de wachtwoordmanager gebruikten unieke wachtwoorden gemaakt voor nieuwe sites, maar voor hun tweakers account hadden ze gewoon de browser-wachtwoordmanager geimporteerd met daarin hun 'frank123' wachtwoord van 15 jaar geleden welke door andere sites was gelekt.

Dus mensen die roepen 'ik gebruik een wachtwoordmanager dus unieke wachtwoorden' die geloof ik niet zo snel.
Een van de fijne features van 1Password: die geeft meteen aan of een password nog op een andere site is gebruikt :) Geen idee of andere wachtwoordmanagers dat ook doen. Vast wel.
Ik gebruik 1Password ook en het is inderdaad een handige feature. Maar het moet wel mogelijk zijn om je wachtwoord te veranderen.

Ik heb twee jaar geleden voor een studieboek gekocht voor een schoolvak.
Bij dit boek hoort een online omgeving. Hiervoor heb ik een eenvoudig wachtwoord gebruikt die (destijds) ook bij andere diensten werd gebruik. Ik kan echter niet meer inloggen op die omgeving want dan krijg ik de volgende foutmelding:
De periode waarin deze website met dit account gebruikt kan worden is verlopen.
Mocht dit wachtwoord alsnog uitlekken, dan ben je alsnog de sjaak.
Ook bij twee andere diensten kan ik mijn wachtwoord niet wijzigen.
Goh, dat is wel slecht zeg. Toen ik 1Password ging gebruiken (inmiddels een jaar of 6 geleden) heb ik alles aangepast. En dat kon overal.

Contact opnemen met beheerder van de site(s)?
2FA op PayPal ook wel zo handig, als de gebruikers dat hadden dan kon men niet inbreken want je wordt zo ie zo gevraagd een SMS of authenticatie (Google or whichever) code in te voeren.
Een paar maanden geleden brak iemand in mijn PP account, ik had dus geen 2FA, die bestelde lekker een game op Steam met alle gevolgen vandien.

Uiteraard een case van gemaakt en gewonnen, geld terug en al.
Met andere woorden het is altijd makkelijker om de finger naar de ander te wijzen i.p.v. toegeven.
Helaas wordt 2FA niet ondersteund op thuisbezorgd.nl
Maar wel op Paypal.
Ja maar dat voegt hier niets toe want thuisbezorgd.nl is geautoriseerd om betalingen te doen zonder paypal authenticatie.
Alleen wanneer je daar voor kiest toch? Je kunt One touch gewoon uitzetten.
Maar wel op Paypal.
en dat heeft geen nut als thuisbezorgd een automatische incasso machtiging heeft bij Paypal..
Dit bevestigt nogmaals maar weer eens het grote belang van het gebruiken van een wachtwoordmanager en het inschakelen van two-factor-authentication (indien beschikbaar).
Als het lek in de website zelf zit gaat een passwordmanager niet werken. Two-factor kan wel helpen, mits de lek niet in de site zit. 2FA is een mogelijkheid maar is ook geen heilige.

Gewoon sites als thuisbezorgd geen automatische toegang geven tot je Paypal, dan ben je van heel dit soort gezeur af.
Bij mij is dit ook gebeurd, maar het verhaal is enorm gek.
Er is op mijn account een bestelling gedaan op mijn thuisbezorgd account en betaald met mijn PayPal.
Deze was blijkbaar gekoppeld aan mijn Thuisbezorgd account.

Het gekke van dit verhaal is dat ik 2FA heb ingeschakeld op mijn PayPal account maar dat dit blijkbaar voor de Thuisbezorgd bestellingen geen bal uitmaakt.

Ik heb na de bestelling direct contact opgenomen met de besteller (zijn 06 stond erbij) en daarna met het restaurant en Thuisbezorgd.
De bestelling is onmiddellijk geannuleerd en de betaling is teruggestort naar mij.

Mijn wachtwoord was volgens mij een sterk wachtwoord, en ik had dit ook echt niet verwacht...
Natuurlijk direct PayPal koppeling verwijderd en mijn wachtwoord overal aangepast.
Eén keer betalen met Paypal en er is automatisch een koppeling met je Thuisbezorgd-account. Ookal heb je 2FA geactiveerd op Paypal omdat die koppeling er is kan Thuisbezorgd zonder verificatie geld afboeken.
Ik kreeg het al mee inderdaad.
Dit heb ik mij nooit beseft eigenlijk... :)

Gelukkig ben ik er zonder “leergeld” vanaf gekomen.
direct contact opgenomen met de besteller
Had die nog wat interessants te melden ?
Nou... hij gaf aan niets besteld te hebben... en wist niet waar ik het over had.
Ik had in eerste instantie niet eens echt door dat iemand ECHT op mijn account had besteld.. had het idee dat ik door 2FA wel veilig zou zitten.
Had helaas niet door dat Thuisbezorgd hier dus omheen gaat.. dat kwam pas later na mijn contact met PayPal en Thuisbezorgd.

Nummer is inmiddels niet meer bereikbaar.. :)
Ik zag op het forum dat er meer mensen vanuit Rotterdam bestellingen gekregen hebben.. dus ben nog wel benieuwd of dit allemaal vanaf dezelfde personen zijn gekomen.
Accounts van Thuisbezorgd, Bol, Mediamarkt etc gaan al maanden via het darkweb en Telegram voor lage prijzen over de toonbank, dat is niet nieuw. Ik ben weken geleden in dat soort groepen terecht gekomen toen ik naar wat anders zocht, aangezien ze niet echt traditionele namen hebben.

Wat wel nieuw is dat het nu ineens bekend lijkt te worden in de Media. Dit probleem is echt al heel erg groot en beperkt zich niet tot thuisbezorgd alleen. Waarom dat zo weinig tot nooit de aandacht krijgt verbaast mij enorm.

[Reactie gewijzigd door Luchtbakker op 6 mei 2020 15:20]

Het is nu vooral interessant omdat er een duidelijke stijging in meldingen waar te nemen is.
Wat ook opvallend is dat niet alleen unieke wachtwoorden, maar ook unieke gebruikersnamen worden misbruikt. Dat neigt toch wel heel erg naar een data lek.
Precies dit, ook ik ben helaas getroffen hierdoor.
Zowel mijn paypal als thuisbezorgd heeft 2 totaal verschillende e-mail adressen en passwords.
Ook had ik gewoon 2FA aan staan maar doordat paypal geen 2FA vraagt bij thuisbezorgd hebben ze alsnog 80 euro bestelling kunnen doen.

Wat mij ook op viel, ze hebben ongemerkt mijn e-mail kunnen veranderen van mijn thuisbezorgd account.
Ik heb geen notificatie niks gehad dat iemand wat veranderd heeft.
Wel wat ze slim deden, zelfde e-mail "voornaam" alleen de "@gmail.com" hadden ze in "@dropjar.com" veranderd.
"Wel wat ze slim deden, zelfde e-mail "voornaam" alleen de "@gmail.com" hadden ze in "@dropjar.com" veranderd."
Wat is hier precies de truc?
Dat het legitiemer lijkt, omdat het lijkt dat de gebruiker gewoon van emaildomein is veranderd. Iets dat dagelijks voorkomt.

van jantjedevries@gmail.com naar jantjedevries@dropjar.com valt net ietsje minder op dan van jantjedevries@gmail.com naar snelleharry@sukablyat.ru
Dropjar is een tijdelijke e-mail, dat na 30 minuten deleted word.
En ook inderdaad dat het zo niet opvalt dat het veranderd is.
Waar lees je dat van die gebruikersnamen? Daar heb ik denk ik overheen gelezen...
Ik gebruik overal een unieke inlog voor en heb op dat account spam.. dus er is iets aan de hand.

[Reactie gewijzigd door DukeBox op 6 mei 2020 15:56]

Gekke bij mij is dat er geen bestellingen zijn gedaan vanuit mijn thuisbezorgd account maar er wel geld verrekend is op PayPal.
De klantenservice van thuisbezorgd zegt dat ze het ook niet snappen en dat ik het via PayPal moet doen. Maar zo te lezen ben ik niet de enige die in dit touwgevecht beland is.
Bedankt voor deze post, maar afgelopen zondag was het bij mij ook raak :/ €65 aan eten besteld.

PayPal account was gekoppeld aan thuisbezorgd, PayPal met keepass beveiligd. Thuisbezorgd niet :/..
Paypal zegt doodleuk ja het is niet ons probleem en thuisbezorgd ook. Heb het geld gestoneerd maar daar zal vast gezeik van komen.
Tip voor een ieder om dit z.s.m. na te gaan en op te schonen op de site van PayPal:

U kunt een abonnement met uw PayPal-rekening annuleren. De stappen:

Ga naar Instellingen.
Klik op Betalingen.
Klik naast Automatische betalingen beheren op Weergeven.
Selecteer met behulp van het filter de verkoper van wie u de overeenkomst wilt annuleren en klik op Annuleren.
Klik op Automatische betalingen annuleren om uw verzoek te bevestigen.
Bedankt hiervoor! Ik kan me niet herinneren dat ik Thuisbezorgd ooit heb gebruikt in combinatie met Paypal, maar kennelijk zit er nog een automatische koppeling in van lang geleden.
Begindatum: 4 september 2015
En tot nu toe kennelijk nog steeds actief. Gelijk geannuleerd.
Heb het geld gestoneerd maar daar zal vast gezeik van komen.
Vraag me af hoe, want als ze willen incasseren dan sturen ze dat incassobureau naar het adres waarop besteld is neem ik aan?
Als je de paypal transactie storneert stuurt paypal gewoon het incassobureau naar het bij hun bekende adres van de accounthouder.
Ah op die manier, ik dacht bij paypal teruggeroepen oid.
Ik heb precies hetzelfde probleem, er is voor 110 euro besteld.
Thuisbezorgd gaf aan dien een claim in, we zien dat jij het niet was.
Dit gedaan en vervolgens werd de claim afgewezen, zonder mogelijkheid om een nieuwe in te dienen.

Inmiddels aangifte gedaan en als ik geen reactie van Thuisbezorgd krijg, zal ik het ook via de bank moeten regelen.
Laat ff weten hoe en wat... ik ben wel met thuisbezorgd aan het mailen maar Paypal doet juist irri :)
Zojuist weer gebeld met Thuisbezorgd, ze hadden het intern al doorgezet naar het fraudeteam.
Een reactie op 1 van mijn mails is er nooit gekomen.

Misschien is het handig dat je even belt me ze, aangezien ze daar wel fatsoenlijk reageren.
De stijging is inderdaad sinds een paar dagen te zien ja, mij kwam het pas sinds gisteravond op de radar.
Bedankt voor het nieuwsbericht. Ik gebruik Thuisbezorgd heel vaak maar kijk nu wel uit om mijn Paypal account eraan te koppelen!
Waar je meer voor moet uitkijken is om niet hetzelfde wachtwoord te gebruiken.
Dat is hier juist niet relevant. Als je account uitlekt op specifiek deze website kunnen mensen dus op jouw kosten betalen omdat Paypal al als toegestaan betaalmiddel staat ingesteld.

Het beste is om:
  • Per website inderdaad andere wachtwoorden te gebruiken
  • 2FA aanzetten
  • De koppeling tussen dit soort platformen en paypal uit te zetten
dat eerste lijkt niet van toepassing, dat 2de is bij thuisbezorgd niet mogelijk en dat derde had sowieso nooit geïmplementeerd moeten worden zoals dat nu gedaan is als er geen 2FA is.

ik heb na berichtje op GoT gisteren ook de autorisatie (/doorlopende incasso) van takeaway bij paypal weggehaald

[Reactie gewijzigd door mschol op 6 mei 2020 15:47]

Dat sowieso, maar de claim van Thuisbezorgd wordt niet door getroffen gebruikers onderschreven. Ik durf er wel een kratje bier op te zetten dat er meer aan de hand is bij Thuisbezorgd dan wat ze nu vertellen.
Natuurlijk is dat zo, 2FA aanzetten is (dit geval) mosterd na de maaltijd, en blijkbaar (zoals twitter bericht) is brute forcing dus ook gewoon prima mogelijk. Begint langzaam gewoon beetje 'wiebelig' te worden bij de veiligheid van thuisbezorgd :P
Sowieso vraagt Paypal niet om een code indien thuisbezorg gekoppeld is aan Paypal.
Thuisbezorgd heeft volgens mij helemaal geen optie voor 2FA.
De kans op brute forcing is hier niet zo groot aangezien er meldingen zijn van mensen met een keepass wachtwoord dat 8 tekens is of langer.
Ik maak het er ook niet van, dat zegt de baas van Takeaway.
https://twitter.com/jitsegroen/status/1257766213708664836
Als ik iets betaal met Paypal krijg ik een verificatie code op mijn telefoon, deze code moet ik gebruiken om de betaling af te ronden. Deze tweetraps verificatie kun je gewoon zelf instellen.
Daar zit het ‘m net in, dat is bij Thuisbezorgd nou NET datgene wat niet het geval is en wat voor de zwakheid zorgt, namelijk dat je TB kan toevoegen als gekende/geauthoriseerde afnemer zoals bv. Spotify of Netflix zodat je betaling automatisch er af gaat zoals een automatische opdracht/Domiciliering.

Dat lijken heel wat mensen hier niet te snappen...
als ik iets met Paypal betaal, moet ik altijd nog inloggen bij Paypal (of in elk geval het betreffende apparaat als trusted devicevoor Paypal hebben ingesteld). Koppelen wil niet zeggen dat het ineens zonder inlog/trusted device te gebruiken is.
Er is betalen via PP, en er is een gepreauthoriseerde betaling opzetten bij PP. Die laatste wordt bv veel gebruikt bij abonnementen, maar is ook heel 'gebruiksvriendelijk' voor bedrijven als Thuisbezorgd zodat je makkelijk en snel je eten kunt regelen.

Als je gewoon telkens een losse betaling doet, niks aan de hand. De laatste is echter een probleem. Iedereen die toegang heeft tot het account wat bij die betaling hoort, kan opdrachten versturen.
Bij PayPal kun je een dienst autoriseren, bijv voor automatische betalingen zoals dit, maar ook bij bijv abonnementen, eigenlijk niet anders dan een automatische incasso van je bank.
Dus Thuisbezorgd heeft een datalek gehad en verzwijgt dit, of zij hebben een datalek gehad zonder dit te merken.

Dat gezegd is het feit dat paypal geen extra beveiliging heeft gewoon puur weg dom, het verbaasd me ook totaal niks dat ze weer eens naar een andere partij wijzen als hun service wordt misbruikt. Zelf ben ik ervarings deskundige hiervan en terwijl ik te dupe was van hun slechte beveiliging werd mijn bankrekening op de zwarte lijst bij hun gezet.
Thuisbezorgd kan er niets aan doen dat hun gebruikers wachtwoorden hergebruiken. Ze zouden eventueel nog wel moeilijkere wachtwoorden kunnen afdwingen en hun gebruikers kunnen verplichten om 2FA te gebruiken, maar het 100% afschuiven richting Thuisbezorgd lijkt me hier niet heel juist.
Nou... Ik weet niet. Ooit heeft pwgen een wachtwoord van 32 karakters verzonnen voor thuisbezorgd. Dat bewaard mijn computer ergens voor mij, en gebruik ik nergens anders. Tenzij pwgen een keer hetzelfde wachtwoord heeft gemaakt. Dat check ik niet, de kans is ook wel nul.
Neenee, dit was niet mijn flater.
Wel zegt Thuisbezorgd-oprichter Jitse Groen dat er naast credential stuffing ook sprake is van brute-forcing van wachtwoorden.
Dus het kan best zijn dat je een uniek wachtwoord hebt maar als dat gebruteforce wordt ben je helaas alsnog de sjaak.

[Reactie gewijzigd door cracking cloud op 6 mei 2020 16:59]

Als Thuisbezorgd het toelaat dat een 32 karakter wachtwoord word gebruutforced bij hun dan staat dat in mij ogen gelijk aan een lek bij Thuisbezorgd.
Dan ligt het probleem toch echt weer bij thuisbezorgd die zo slecht beveiligt zijn dat zij bruteforcen toelaten toch? Daarnaast is 32 karakters toch niet echt iets wat je zomaar zou bruteforcen voor een thuizbezorgd account. Alles duid gewoon op een lek
Wanneer meerdere mensen aangeven dat ze op die site een uniek wachtwoord gebruiken mag je dat ineens in twijfel gaan trekken. Credential stuffing is ineens een zeer leuk excuus geworden om te zeggen dat je het niet bent geweest.
Dat is het verhaal waar Thuisbezorgd nu mee komt, maar als je de berichten in het eerder aangehaalde topic leest, lijkt het er sterk op dat dat verhaal misschien niet helemaal waas is.
Het gaat dan ook niet om afschuiven, maar om verantwoordelijkheid nemen. Jij als bedrijf onthoudt dus betaalgegevens. Neem dan de verantwoordelijkheid om te zorgen dat daar geen misbruik van kan worden gemaakt en zorg dat ze 2FA gebruiken OF dat je ff checked by services of het wachtwoord op de bekende lijsten staat.
PP heeft wel degelijk zijn beveiliging op orde. Het zijn niet zij waar het misloopt. De eigenaar van het account heeft ooit (al dan niet onbedoelt) Thuisbezorgd toestemming gegeven om automatisch te incasseren bij Paypal. Vele services doen dit. Met als nadeel dat als die dienst gehacked wordt of je account op een andere manier gecompromiteerd wordt, er dus betalingen kunnen gebeuren.
Ja, dus komt het er weer op neer dat thuisbezorgd zijn zaken niet voor elkaar heeft en bijvoorbeeld geen 2FA aan biedt aan zijn accounthouders.
Ik gok erop dat als je er kan betalen met creditcard dat dezelfde problemen kunnen ontstaan omdat ze de creditcard gegevens onthouden.

Persoonlijk vind ik dat alle websites die ook maar iets van betalingsgegevens onthouden om het makkelijk te maken met '1-click' te bestellen na inloggen op het account altijd 2FA moeten hebben op hun accountpagina. Bol.com doet dat bv. ook niet.
Je onthoudt betalingsdata en vult die automatisch in. Neem je verantwoordelijkheid. Afschuiven bij de consument dat hij dan maar niet overal hetzelfde wachtwoord gebruikt is zo jaar 2000. Zorg er voor dat je OF controleert dat het wachtwoord van de gebruiker niet al op de bekende lijsten staan (haveibeenpawned biedt daar een API voor) OF dat je 2FA voor je gebruikers implementeert via Google Auth protocol zodat je een willekeurige authenticator kan gebruiken. Kleine moeite, bespaard aan alle kanten veel overlast.
Het is nog vreemder. Ik heb nooit mijn Paypal gekoppeld aan Thuisbezorgd, maar toch is er een bestelling gedaan en betaald via Paypal. Volgens Thuisbezorgd kan dat niet, maar het is wel gebeurd. Daarnaast is mijn Paypal wachtwoord en gebruikersnaam uniek en totaal niet gelijk aan die van Thuisbezorgd. Het is dan waarschijnlijk ook gebeurd via een ander Thuisbezorgd account dan de mijne.

[Reactie gewijzigd door Estel op 6 mei 2020 15:30]

Hier ook. Ik heb 29 april een bestelling gedaan, echt zelf, en vanaf die datum was mijn Paypal blijkbaar gekoppeld aan mijn Thuisbezorgd-account. Ik ga ervan uit dat ik ergens een vinkje heb gemist ofzo?

Hoe dan ook, een niet door mij gedane bestelling van 55 euro bij Domino's later... ik heb de transactie bij Paypal gevlagd en heb het bedrag weer teruggekregen.
Hoe heb je het uiteindelijk terug gekrgen?
Bij mij hebben ze een bestelling gedaan van bijna 80 euro maar paypal en thuisbezorgd vergoed niks en het enige nuttige dat ik krijg vanuit zowel paypal en thuisbezorgd is aangifte doen...

Maar ook aangifte doen krijg ik niet voor elkaar omdat het niet onder oplichting valt volgens de politie, omdat het "geautoriseerd" is door "mijn" account.
Ik heb de transactie geopend, daar stond ergens de optie "report". Even later werd mijn account gedeactiveerd en moest ik m'n ID opsturen. Een dag later was m'n account hersteld en werd het geld teruggestort.
Wat ik denk is dat @hoipimniet het heeft geflagged in zijn Paypal account. Net zoals met CC betalingen kan je afschrijvingen betwisten bij Paypal. Misschien even checken of je dit via Paypal alsnog kan doen?
Op dit moment kan ik niks meer met die betaling, want het "geschil" is afgewezen.
Als ik het nu weer probeer te flaggen krijg ik een melding dat het geschil al gesloten is en er niks meer mee kan helaas
Op dit moment kan ik niks meer met die betaling, want het "geschil" is afgewezen.
Als ik het nu weer probeer te flaggen krijg ik een melding dat het geschil al gesloten is en er niks meer mee kan helaas
En dat is paypal voor je :) Hun platform en hun zijn de baas. Als ze het onterecht afwijzen kan je zwaaien je na je geld. Altijd Credit card koppelen eraan dan luisteren ze wel :)
Ik heb een 2-tal jaar geleden ook met Paypal een dispuut gehad.
Ik wou betalen in vreemde munt en had dat zo gekozen, maar alsnog hadden zij zelf de conversie naar € gedaan en dat had mij 100€ gekost. Aangevochten bij Paypal, geen gelijk gehad.
Gelukkig was mijn PayPal gekoppeld aan mijn kredietkaart en niet aan de bank rechtstreeks.
Aangevochten bij de kredietkaartverstrekker en gewonnen.

Ik had screenshots als bewijs.
Ik heb precies hetzelfde gehad, 2 bestellingen via thuisbezorgd betaald met mijn paypal, ondanks geen koppeling, 2fa op paypal en allebei een ander wachtwoord van 20 letters/cijfers/leestekens.
Bij beide partijen ving ik bot ondanks allebei de betalingen te betwisten.
Paypal gooit het op een koop-overeenskomst en thuisbezorgd wijst naar paypal omdat mijn accounts nooit gekoppeld zouden zijn.
Ik kan fluiten naar een bestelling van €80 en 1 van €45.
Wel aangifte kunnen doen onder het kopje ID fraude, al zal hier verdomd weinig mee gedaan worden ben ik bang.
Nooit bewust gekoppeld oke. Maar ook nog nooit betaald met PayPal bij Thuisbezorgd? Dat laatste zorgt er dus soms voor dat je een langdurige koppeling aangaat, iets wat vanuit PayPal niet altijd even transparant wordt weergeven.
Nope, heel Paypal nageplozen en nooit eerder betaald bij Thuisbezorgd via Paypal.
Dat lijkt me echt heel (erg) sterk..

Kijk, dat er tig mensen zijn die ooit met Paypal betaald hebben bij Thuisbezorgd (mezelf incluis) en daarbij niet in de gaten gehad hebben dat er een koppeling gemaakt werd kan ik nog inkomen..

Maar jij zegt; Nooit met Paypal betaald bij Thuisbezorgd en toch een koppeling.. Ik denk toch dat je verder moet graven...
Echt nooit gedaan. Ik heb mijn hele transactiegeschiedenis op Paypal nageplozen en nooit eerder bij Thuisbezorgd/Takeaway betaald, op deze vreemde transactie na. Heb het nu gemeld bij Paypal en kijk wel waarmee ze komen. Moest meteen mijn wachtwoord uiteraard veranderen, maar dat is niet zo'n probleem natuurlijk.
Alle koppelingen met andere websites staan in PayPal zover ik kan zien onder instellingen>betalingen>"je automatische betalingen beheren".
De instelling voor betalingen zonder autorisatie staan onder: instellingen>Verleende toestemmingen

[Reactie gewijzigd door daanb14 op 6 mei 2020 16:30]

Ik snap je verhaal niet?
Het is niet via jouw thuisbezorgd account gedaan maar wel via jouw paypal account?
Dus dan is je paypal account gehackt of in ieder geval je login geraden van paypal.
Thuisbezorgd kan niet iets van jouw paypal afschrijven als ze jouw gegevens niet hebben toch?

[Reactie gewijzigd door Arjant2 op 6 mei 2020 15:49]

plus dat je op PP zelf de betaling moet bevestigen. Oftewel ze zitten in jouw PP account
Ook bij automatische betaling!

[Reactie gewijzigd door Kleintje_Pils op 6 mei 2020 16:12]

Met uniek email adres, uniek password en 2FA? Lijkt me sterk. Maar goed, ik heb het gemaild bij Paypal aangezien Takeaway al weken niet bereikbaar is of reageert op e-mail. Kijken waarmee zij komen.
iedereen kan bestellen bij takeaway met jouw PP account gegevens, die zijn namelijk niet uniek! Die gebruik je overal bij elke transactie.

De beveiliging van paypal is gewoon uitermate slecht. De 2FA is sinds de laatste maand een soort van wanhoopsoperatie van PP om daar wat meer controle over te krijgen.
Wij hebben ze kunnen bereiken via facebook en twitter. Een stuk sneller dan de telefoon, waar ik 15 minuten heb gewacht.
Ik kom niet eens in de wacht. Daarnaast zit ik niet op Facebook en Twitter... Je zou toch moeten verwachten dat ze ook gewoon een telefoon kunnen opnemen of een e-mail beantwoorden. Het enige wat ik vroeg was details van een bepaalde bestelling omdat wij die niet gedaan, maar wel betaald hebben blijkbaar.
Dat zou je denken ja. Of er is iets anders aan de hand, waarbij Thuisbezorgd ook zonder expliciete toestemming Paypal betalingen mag doen.
Het wachtwoord en user is uniek en gebruik ik nergens anders. Uitlekken is dan vrijwel onmogelijk... Daarnaast, dan zou ik wel wat anders kopen denk ik dan via Thuisbezorgd denk ik.
Weet niet of je 2FA heb geactiveerd op paypal, maar zou dat toch voor de zekerheid doen voor in het geval dat.
Yup, dat staat ook aan. Zoals ik zei, het is heel vreemd.
Dat is wel heel raar, je bent tot nu toe de enige waarover ik zoiets heb gelezen... Hou ik wel even in de gaten, als dit klopt zou het wel Een Dingetje zijn natuurlijk.
Nou ja het kan prima gebeuren... als je Paypal credentials op straat liggen en iemand het gebruikt om in thuisbezorgd te betalen. Dus ik hoop dat je die credentials al gewijzigd hebt. Password minimaal 16 karakters natuurlijk.
En maximaal 20 tekens, en geen hele vreemde tekens :(
De eisen van Paypal aan het wachtwoord zijn heel rottig.
Ik zie als ik inlog op thuisbezorgd geen optie om paypal te koppelen. Dus vraag ik mij af hoe je die kunt koppelen dan.
Gaat automatisch na betaling met PP.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True