Criminelen stalen creditcardgegevens door inbraak op site Intratuin

Criminelen hebben de creditcardgegevens van Nederlandse Intratuin-klanten gestolen door een hack bij de webshop van de winkelketen. De aanvallers vervingen de normale betaalpagina voor klanten die met een creditcard wilden afrekenen door een eigen pagina.

Intratuin, september 2022: betalen niet mogelijk met creditcard — Intratuin: betalen niet mogelijk met creditcard

Intratuin heeft getroffen klanten via mail op de hoogte gesteld en creditcardmaatschappijen hebben ook al actie ondernomen naar aanleiding van de hack. Omdat het een pagina was om af te rekenen, kregen de aanvallers gegevens in handen zoals het creditcardnummer, naam, verloopdatum en ccv. Dat is genoeg om creditcards bij frauduleze betalingen elders op het internet te kunnen inzetten.

De aanvallers kwamen niet binnen via systemen van Intratuin zelf, zo zegt de winkel in de mail aan klanten. "Criminelen hebben, via onze automatiseringspartners, onrechtmatig toegang gehad tot onze webserver." Om welke partners het gaat, zegt de winkelketen niet. Intratuin bevestigt de hack tegenover Tweakers. Er is tot nu toe niets bekend van schade die klanten hebben geleden.

Het bedrijf heeft Autoriteit Persoonsgegevens op de hoogte gesteld van het datalek. Bij ontdekking zijn creditcardbetalingen op de webshop meteen uitgezet, terwijl er stappen zijn gezet om herhaling te voorkomen. Betalen met creditcard is momenteel niet mogelijk bij de webshop van de winkelketen.

Reacties (83)

Luchtbakker 8 september 2022 15:05

Wat ik nooit heb begrepen is waarom niet alle creditcard maatschappijen gebruik maken van 2 traps betaling. Bij mijn Rabobank rekening moet ik de 1e (en vaak overige ) betaling aan een onbekende altijd autoriseren via de app. Daarmee wordt het stelen van gegevens feitelijk nutteloos.

Waarom is dit niet standaard zo?

-DarkShadow- @Luchtbakker • 8 september 2022 16:11

Er bestaat een autorisatie standaard voor credit cards. Dit heet 3D secure (3DS). In de praktijk komt dit neer op 2 traps authenticatie voor de betaler.

Als merchant (webshop) kun je kiezen hoe je hier mee omgaat:
- Enkel 3DS betalingen accepteren. Geen uitzonderingen.
- Enkel 3DS betalingen accepteren wanneer de credit card van de klant dit ondersteunt.
- 3DS voor bepaalde landen verplicht stellen
- Niet om 3DS vragen (in bepaalde landen)

3DS is conversie verlagend, dus sommige shops zullen om die reden er voor kiezen om 3DS niet in te zetten. Andere shops hebben andere fraudepreventiemiddelen (algoritmes vooral).

Dan0sz @-DarkShadow- • 8 september 2022 23:32

Ter aanvulling: ik gebruik Mollie als payment provider in mijn webshop en ik heb daar geen keuze in. Heb in het verleden Stripe gebruikt, die daar ook geen keuze in gaf.

Het is dus niet zo dat de merchant daar altijd een keuze in heeft.

Voor zover ik weet werkt Mollie in zones. In bepaalde zones is 3DS verplicht en in andere niet, of alleen in bepaalde situaties.

jordynegen11 @Dan0sz • 9 september 2022 06:27

Ik heb bij Stripe gewoon de optie om 3DS te forceren in alle of bepaalde landen, alleen forceren indien ondersteund of helemaal niet forceren. Het is wel een beetje zoeken.

Dan0sz @jordynegen11 • 9 september 2022 07:48

Aha, ok. Het is voor mij ruim 2 jaar geleden dat ik Stripe gebruikte. Wellicht zat die oltie er toen niet in? Heb het toen niet kunnen vinden, iig. :-)

Sando @Dan0sz • 9 september 2022 02:42

Ik meen dat 3DS verplicht is binnen Europa onder PSD2 voor Europese credit cards sinds vorig jaar.

edit:

Blijkbaar is SCA (Strong Customer Authentication) verplicht vanaf 2021, en 3DS-2 is een vorm van SCA, en mag de oude 3DS gebruikt worden voor oude kaarten tot ze verlopen.

[Reactie gewijzigd door Sando op 22 juli 2024 13:45]

xgaming @Dan0sz • 9 september 2022 07:58

Beetje jammer dat Mollie dit een beetje "verstopt" maar je kunt 3DS verplicht stellen door Mollie een e-mail te sturen. Zij zetten dit aan de achterkant aan voor jou. Ook als merchant moet niet willen verkopen zonder 3DS in mijn optiek. Zover ik weet ben je jouw opgestuurde product gewoon kwijt als achteraf blijkt dat er betaald is met een geskimde CC en de rechtmatige eigenaar hier melding over doet.

Dan0sz @xgaming • 9 september 2022 08:10

Ok! Bedankt voor de tip. Ik was in de veronderstelling dat dit standaard aan stond, o.i.d.

Zal ze even mailen.

Hans_Feuerfrei @xgaming • 9 september 2022 14:36

Dus met 3DS aan geen chargebacks meer? Chargebacks zijn de reden dat ik geen CC accepteer. Ook accepteer ik geen paypal, maar dat komt omdat het paypal is.

xgaming @Hans_Feuerfrei • 9 september 2022 14:40

zo werkt het helaas niet, chargebacks blijven altijd mogelijk. Je verkleind echter de kans op een chargeback wel aanzienlijk.

Hans_Feuerfrei @xgaming • 9 september 2022 14:44

Dan is het dus een waardeloos middel om te accepteren als verkoper. Bedankt.

Hoezo eigenlijk een verkleinde kans?

xgaming @Hans_Feuerfrei • 9 september 2022 15:45

Door 3DS is er veel minder kans dat je te maken krijgt met een geskimde CC. Daarmee verklein je de kans van een chargeback.

Trekfolie @-DarkShadow- • 8 september 2022 19:48

Klopt. In het bedrijf waar ik voor werk kiezen we aan de hand van bepaalde factoren zoals het land, maar bijvoorbeeld ook het bedrag of we 3DS toepassen.

Waarom niet altijd? Omdat dit conversieverlagend werkt.

pmeter

@Trekfolie • 9 september 2022 00:29

Wat betekent conversieverlagend in deze context? Minder verkopen door een drempel op te werpen?

Azara @pmeter • 9 september 2022 02:22

Ja, inderdaad. Het gaat om het bezoek aan de website om te zetten in een verkoop.

mattie2013 @pmeter • 9 september 2022 13:17

De definitie van conversie zal zijn het deel van de bezoekers dat tot een gewenste actie (aankoop) leid.

ATS @-DarkShadow- • 9 september 2022 10:36

Probleem is wat mij betreft dat dit een keuze van de payment provider is (of de verkoper die dat platform gebruikt), en niet van de kaarthouder. Ik zou als kaarthouder zélf moeten kunnen kiezen wanneer ik 2FA moet gebruiken en wanneer niet, gewoon in te stellen via mijn bank-app.

Freeaqingme @Luchtbakker • 8 september 2022 15:11

Ik denk in ieder geval voor een deel omdat dit mogelijk afbreuk doet aan de conversie. Je weegt het risico van diefstal van een CC af tegen het aantal bezoekers wat alsnog op het laatste moment z'n betaling afbreekt.

Op diezelfde manier hadden veel Credit Cards in de VS tot voor kort geen pincode. Ik meen dat dat nu langzaamaan een klein beetje verbeterd. Maar de gemiddelde Amerikaan heeft >1 CreditCards op zak, en iedere aanbieder is bang dat als zij de eerste zijn die een pincode/EMV-chip verplichten, dat hun klanten dan vanwege het verminderde gebruiksgemak enkel nog de kaarten van de concurrent gebruikt. Ook al liggen de fraudecijfers torenhoog (die worden toch wel weer afgewenteld op de verkopers).

TD-er

@Freeaqingme • 8 september 2022 16:12

[...] Ook al liggen de fraudecijfers torenhoog (die worden toch wel weer afgewenteld op de verkopers).

Precies.
Ik weet van een computerzaak waarbij de CC transactie werd goedgekeurd via de betaalautomaat en later bleek dat er toch iets niet goed zat (waarschijnlijk als gestolen opgegeven).
De winkelier was dat bedrag dus mooi kwijt en helaas was het een serieus bedrag.
Daarna werden credit cards dan ook niet meer geaccepteerd.

Eigenlijk best wel van den zotte, dat je sowieso al een serieus bedrag kwijt bent aan transactiekosten en dan ook nog eens het risico draagt.
Ik zou als ik een winkel zou hebben, nooit CC als betalingen accepteren en eerlijk gezegd zou dat in NL ook amper omzet schelen volgens mij.

Ronald @TD-er • 8 september 2022 17:17

Eigenlijk best wel van den zotte, dat je sowieso al een serieus bedrag kwijt bent aan transactiekosten en dan ook nog eens het risico draagt.

Wellicht is het afhankelijk van de betaaldienst, maar als je om 2-factor vraagt aan het payment portal (Barclays Bank in het VK, Adyen in licentie) val je in een heel ander risico profiel. Dit heeft ook (veel) invloed op hoeveel risico je als ondernemer draagt.

Het is vervolgens ook aan de kaarthouder om 2-factor aan te hebben, maar als jij als ondernemer vraagt om 2 factor, dan ben je ingedekt)

(Ik heb de ombouw van de betaalmodule gedaan naar 2-factor bij een maatwerk-klant van voormalige werkgever om deze reden)

[Reactie gewijzigd door Ronald op 22 juli 2024 13:45]

TD-er

@Ronald • 8 september 2022 22:24

Hoe lang bestaat deze 2-factor voor CC's ?
En wat mij het meest verbaasd heeft is dat je dus via een normale pin terminal de betaling laat gaan, die dus contact legt met een bank of betaaldienst. Deze geeft een goedkeuring en dan toch kan een CC-maatschappij kennelijk achteraf de betaling intrekken.
Dat is toch te idioot voor woorden?

Ronald @TD-er • 8 september 2022 22:36

Dat was 4-5 jaar terug ;-)

Hans_Feuerfrei @Ronald • 9 september 2022 14:38

maar als jij als ondernemer vraagt om 2 factor, dan ben je ingedekt)

M.a.w. geen chargebacks meer? Dat zou wat zijn.

Ronald @Hans_Feuerfrei • 9 september 2022 19:07

In elk geval een veel lager risico. Ook met betrekking tot fraude claims.

YopY @TD-er • 8 september 2022 16:32

Wel meer in toeristische gebieden denk ik. Maar ook in NL zijn er nog genoeg plekken die geen PIN accepteren, omdat ook daar weer een investing + vaste transactiekosten aan op gaan.

djwice

@YopY • 8 september 2022 17:32

Dat is niet altijd de motivatie hoor, sommige personen houden graag een grijze boekhouding. Een deel van de transacties wordt dan bijvoorbeeld niet opgenomen in de belastingaangifte.

Dat geeft een extra potje 'inkomen' (geen btw, geen inkomsten belasting, etc.). Uiteraard is dat strafbaar, dus niet aan te raden om te doen.

Een Pin kassa heb je al voor €35,- en €0,15 transactiekosten.

[Reactie gewijzigd door djwice op 22 juli 2024 13:45]

SkyStreaker @YopY • 9 september 2022 05:04

Via de pin gaat alles meteen naar de belasting. Kijk maar eens naar alle sketchy telefoon reparatie winkels. Altijd contant 😋

ATS @SkyStreaker • 9 september 2022 10:38

Ja, en mijn glazenwasser weigert ook halsstarrig pin te accepteren.

RRRobert @TD-er • 8 september 2022 16:33

[...]

Ik zou als ik een winkel zou hebben, nooit CC als betalingen accepteren en eerlijk gezegd zou dat in NL ook amper omzet schelen volgens mij.

Ik denk dat je je daar wel eens in kunt vergissen, en dat het aandeel in cc betalingen sterk afhankelijk is van de producten die je aanbiedt en het soort clientèle die je met je producten trekt.

Ik heb al twintig jaar een creditcard en voorheen gebruikte ik die eigenlijk alleen op vakantie en voor (internationale) internetbestellingen, maar gebruik dit nu steeds vaker in Nederland, omdat de garantievoorwaarden en verzekering op de aankoop gewoon veel beter is gedekt dan via een iDeal transactie (moet je alleen wel opletten, want sommige Nederlandse banken hanteren een eigen risico van 100 euro per transactie...)

TD-er

@RRRobert • 8 september 2022 22:29

Ik heb een aantal jaren bij een computerwinkel gewerkt (niet die winkel waar dat voorval plaats heeft gevonden), vandaar ook mijn username

Maar goed, als ik bekijk hoe weinig CC-betalingen (alleen Visa werd geaccepteerd) er gedaan werden en ook dat men er eigenlijk nooit een probleem van maakte als je aangaf dat je geen Master Card accepteerde, dan zie ik persoonlijk echt niet het voordeel van een credit card voor een winkel.

Ik heb zelf ook een CC en deze heb ik eigenlijk ook al wel ruim 22 jaar. Maar gebruik 'm zelden. Eigenlijk alleen maar soms online of in 't buitenland omdat hotels liever zien dat je dingen via CC doet. (of cash, om overduidelijk andere redenen)

YangWenli @TD-er • 9 september 2022 13:32

Creditcards zijn oude technologie die in Amerika al eind jaren 70 geïntroduceerd werd.
De pin pas zoals wij die kennen kwam veel later. Wet van de remmende voorsprong.

litebyte @Freeaqingme • 8 september 2022 15:17

Exact. mogelijk is Japan nog wel meer creditcard land bij uitstek. Nu bezit ik zelf geen Japanse creditcards maar mijn vrouw wel, die heeft er zeker 3 of 4 (dat is niet ongewoon). Overigens zonder pin afrekenen

LongTimeAgo @Luchtbakker • 8 september 2022 15:13

Ja ik vind het ook vreemd. Destijds voor de zaak had ik ook een creditcard (zat vrijwel onbeperkt limiet op, dat dan wel), daar moest ik via een app een goedkeurings verificatie ontvangen alvorens ik er mee een online betaling kon doen. Alleen fysieke betalingen konden zonder deze app goedkeuring.

Maar met mijn privé ING creditcard is geen van dat alles nodig. CC nummer, verloopdatum en CVC is voldoende om een betaling te doen. Ongeacht of dit online of fysiek is. Daarom heb ik mijn creditcard op 1000 euro maximaal gezet en mocht ik daar overheen gaan, dan kan ik dat in de app zelf verhogen of afbetalen waardoor er weer ruimte over is. Wellicht als ik hem lager zet is dat ook weer een manier van 2-staps, maar dan kan je niet in 1 klap een grote betaling doen.

Jimster @LongTimeAgo • 8 september 2022 15:19

Bij mij ING privé creditcard moet ik wel in de app bevestigen. Dus vreemd dat het bij jou niet zo is.

henkjobse @Jimster • 8 september 2022 15:47

Hier kan een webshop zelf voor kiezen bij de meeste acquirers. Dit gebeurt obv gepercipieerd risico.

LongTimeAgo @Jimster • 8 september 2022 16:52

Raar! Nu moet ik wel toegeven dat ik bizar weinig met m'n Creditcard betaal, dus het kan zijn dat ik het zelf nog niet tegen gekomen ben. Zeker de laatste 2 jaar is dat echt minimaal omdat ik deze meer voor vakanties in het buitenland gebruik waar normaal pinnen soms nog onmogelijk is.

oef! @LongTimeAgo • 8 september 2022 17:51

Het ligt aan de verkopende partij. Bij Amazon hoef ik helemaal niets te bevestigen als ik een cc aankoop doe, tenzij ik vanuit een ander land bestel, dan keert de cvc check terug.

Bij Microsoft en de meeste andere grote partijen moet ik wel via een app authoriseren.

Hans_Feuerfrei @Jimster • 9 september 2022 14:39

Jaren ING CC gehad, nooit hoeven te bevestigen.

GEi @LongTimeAgo • 8 september 2022 15:44

OT. Wanneer ik buitenshuis ben en (privé) via internet wat wil betalen met mijn credit card van de Rabobank, moet ik vrijwel altijd de random reader gebruiken. Ik vind dit zo onhandig! iDeal betalingen daarentegen gaan snel en makkelijk in combinatie met mijn telefoon en de daarop geïnstalleerde app. Waarom dat niet met een credit card betaling kan? Ik snap het niet en vind het erg onhandig en niet klantvriendelijk.

gaskabouter @GEi • 8 september 2022 20:01

? Ik kan gewoon autoriseren in de app. Ook Rabobank. Bij sommige winkels hoef ik helemaal niets en soms via de app. Ook weer niet altijd nodig. Lijkt ook wel steekproefsgewijs....

GEi @gaskabouter • 8 september 2022 20:39

Tot op heden heb ik de betaling altijd kunnen doen wanneer ik thuis kwam. Maar bv op vakantie neem ik toch maar de random reader mee. Moet eigenlijk niet nodig zijn.

SinergyX @Luchtbakker • 8 september 2022 15:32

Gebruikersgemak, de kern van de hele CC. Wij zijn absoluut geen creditcard land, dus voor het gros is het 'raar en bizar', maar creditcards (al is het recent wat meer nu met pincodes) zijn wereldwijd enorm populair voor gewoon 'afrekenen en gaan'.

De zwakheid heeft daar altijd gezeten, vroeger de bekende 'slip kopie', de handtekening, de CVC, tweetraps maakt niets veiliger als de bron zelf is aangepast. De betaalportaal van een ideal betaling, betaalverzoek, overschrijving, alles is ergens wel 'minder veilig'.

Bij rabo hekel ik me mateloos aan het 'dubbelgebruik' nu bij creditcard, de hele reden dat ik er eentje heb is vanwege het betaalgemak. Zeker wanneer iets plat gaat (zoals rabobank nog wel regelmatig heeft met z'n app) of je hebt simpelweg je reader niet bij je, was CC altijd mijn uitkomst.

En eerlijk, ik heb al 15 jaar een creditcard en in de jaren duizenden en duizenden euro's betaald online en buitenland, slechts 1x misbruik gehad.. ironisch in Frankrijk.

croc @SinergyX • 8 september 2022 16:21

Toen ik een 5-tal jaar geleden in de US was, was het compleet normaal om tijdens het tanken je CC achter te laten en ze nadien terug op te halen. Dan was alles reeds geregeld. Of je CC op restaurant mee te geven met de rekening.

litebyte @Luchtbakker • 8 september 2022 15:13

Een van de voordelen van een creditcard is juist het 'gemak'

Aardwolf

@litebyte • 8 september 2022 21:38

Hoeveel 'gemak' geeft het om bij online betalingen al die gegevens telkens overal in te vullen?
Of zit gemak ook in het aspect verzekering, makkelijker/goedkoper roodstaan, gunstiger limieten?
Misschien zijn mijn opmerkingen heel dom, want wellicht vul het je maar 1x in? Ik heb zelf geen CC's.

[Reactie gewijzigd door Aardwolf op 22 juli 2024 13:45]

litebyte @Aardwolf • 9 september 2022 01:34

Bij online betalingen is het vooral het crediet gemak. In fysieke winkels is het een ander verhaal

Valhallaviking @Luchtbakker • 8 september 2022 15:19

Dat is bij de ING ook want heb ik zo'n separate scanner waarmee ik de betaling moet autoriseren door een kleuren QR code te scannen, mijn pin in te geven en vervolgens de unieke TAN in te voeren voor akkoord. Op het scherm van de scanner zie ik ook het bedrag en naar wie de betaling gaat, als extra controle.
Voor kleinere bedragen soms heel erg irritant maar aan de andere kant geeft het wel een stuk zekerheid.

Dennisdn @Luchtbakker • 8 september 2022 15:21

Bij ICS moet je een nieuwe webshop altijd bevestigen via de app. Daarna is het at random en ik heb het vermoeden dat er een soort ranking is van betrouwbaarheid van de sites. Als Intratuin goed te boek staat en bij eerdere aankopen kunnen er een hoop doorheen glippen.

Zyphlan @Luchtbakker • 8 september 2022 15:23

De tech bestaat wel al en geen app nodig.

How Does Dynamic CVV Protection Work?
Instead of having a static three- or four-digit code on the back or front of the card, dynamic CVV technology creates a new code periodically. There are a couple of different types of this technology:

https://blog.clover.com/what-is-a-dynamic-cvv/

Dan heb je dus een soort van OTP op je creditcard. Ik gok dat het een kosten/baten kwestie is waar de fraude niet opweegt tegen de duurdere prijs van de kaarten.

Madshark

@Luchtbakker • 8 september 2022 15:34

Bij N26 (prepaid Mastercard) krijg je een push melding van de app om een betaling met een pincode, wachtwoord of fingerprint goed te keuren, hier heb je 5 minuten de tijd voor, en anders annuleert de boel zich gewoon.
Als extra veiligheid kun je ook (onbeperkt) je CC blokkeren en deblokkeren, dat werkt instant. Dan zet je doorgaans de blokkade aan, en pas als je iets wilt gaan betalen, deblokkeer je het even voor een moment.
Tevens handig om te zien welke winkels/bedrijven zich buiten je deblokkade window proberen geld af te schrijven van je rekening, want daar krijg je nog wel een melding van.

[Reactie gewijzigd door Madshark op 22 juli 2024 13:45]

DLSS @Luchtbakker • 8 september 2022 16:39

Ik gok dat je kaart van ICS is, niet van Rabobank zelf. (Dat zie je namelijk bij erg veel banken)

Ik heb ook een ICS kaart en ik moet inderdaad betalingen autoriseren. Maar dit verschilt per webwinkel, soms wordt het gewoon afgeschreven zonder verdere verificatie (meestal bij Amerikaanse webwinkels).

[Reactie gewijzigd door DLSS op 22 juli 2024 13:45]

Pozn @Luchtbakker • 8 september 2022 16:47

Binnen de EU is dit ook verplicht, vanaf 1 jan 2021 is SCA, strong customer authentication, verplicht als de winkelier en de klant zich beiden in de EU bevinden.
Dit geldt echter (nog) niet voor de rest van de wereld, dus de cards kunnen worden gebruikt bijv in de US.
De eigenaar van de gestolen card-gegevens kan dit aanvechten (chargeback/betwisting) bij de card uitgever, en zal normaalgesproken de chargeback winnen.
Er geldt namelijk wel een wereldwijde regel dat als een winkelier geen SCA gebruikt, de winkelier het risico op zich neemt igv een chargeback.
SCA voor credit/debit cards wordt via 3DS2 afgehandeld, zie https://www.emvco.com/emv-technologies/3d-secure/

Bulkzooi @Luchtbakker • 8 september 2022 15:45

Wat ik nooit heb begrepen is waarom niet alle creditcard maatschappijen gebruik maken van 2 traps betaling. Bij mijn Rabobank rekening moet ik de 1e (en vaak overige ) betaling aan een onbekende altijd autoriseren via de app. Daarmee wordt het stelen van gegevens feitelijk nutteloos.

Waarom is dit niet standaard zo?

De gehele wereld vraagt zich dit al sinds de introductie af.

Misschien omdat het gezien werd als opvolger van cheques?

Maar de verzekeringsmaatschappijen doen niet zo moeilijk met schadeloosstelling en zo.

Ook heb ik jááren met mijn vaders creditcard betaald, zonder dat een winkelier ook maar één vraag stelde.

Overigens, ING heeft ook altijd van die rare beveiliging gehad. Die random reader van de Rabo werkt idd al jaren het fijnste.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 13:45]

SunnieNL

@Luchtbakker • 8 september 2022 15:46

Creditcard (visa) online is bij Rabobank altijd met approval via de app bij mij. Alleen in fysieke locaties hoeft dat niet ivm de pincode die er dan op zit. Volgens mij kan ik bij de rabobank niet instellen dat voor bepaalde websites die extra goedkeuring in de app niet nodig is.
Amex gebruikt ook een extra authenticatie, tenzij het is op een site waar ik van heb aangegeven dat deze de extra stap niet hoeft te maken.

R4gnax @SunnieNL • 8 september 2022 16:13

Creditcard (visa) online is bij Rabobank altijd met approval via de app bij mij. Alleen in fysieke locaties hoeft dat niet ivm de pincode die er dan op zit. Volgens mij kan ik bij de rabobank niet instellen dat voor bepaalde websites die extra goedkeuring in de app niet nodig is.

Die extra goedkeuring is een vereiste vanuit de PSD2 richtlijn van de EU. Payment providers en creditcardaanbieders die bij online betalingen geen gebruik maken van de authorisatiemogelijkheden van de CC, overtreden vziw die richtlijn.

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:45]

Blokker_1999

E-commerce
Hack
Beveiliging en antivirus
Nederland

@R4gnax • 8 september 2022 16:17

Dat is niet de PSD2 richtlijn, die gaat ergens anders over, maar weet even niet maar hoe ze wel noemt.

R4gnax @Blokker_1999 • 8 september 2022 16:28

Dat is niet de PSD2 richtlijn, die gaat ergens anders over, maar weet even niet maar hoe ze wel noemt.

Dat is wel de PSD2 richtlijn. Als onderdeel van die richtlijn geldt dat payment services providers aan zgn. strong customer authentication moeten doen. Er zijn periodiek vernieuwbare implementatie-verordeningen vanuit de EU die vervolgens aan dat begrip invulling geven.

De huidige implementatie-verordening stelt dat er gebruik gemaakt moet worden van een tweede-factor controle.

Het.Draakje @Luchtbakker • 8 september 2022 15:47

Eerlijk gezegd, dat lijkt mij een ramp. Ik heb nagenoeg nooit mobiel internet bij het winkelen. Iets met slechte infrastructuur, slecht bereik (binnen gebouwen) en een voorkeur van shoppingmalls voor 'gratis' internet (uiteraard volledig open, dus onveilig als de .....).

SpoekGTi @Luchtbakker • 8 september 2022 15:48

Bij de ing moet ik elke MC betaling ook autoriseren via de app. Is eerder een ding van de bank dan van de betalingspartner

Steefph @Luchtbakker • 8 september 2022 15:50

Bij AmEx is dit standaard en moet je specifiek per bedrijf het uitzetten. Je krijgt een code via SMS of E-mail.

Lt.Mitchell @Luchtbakker • 8 september 2022 15:56

Is het niet ook zo dat het relatief eenvoudig is voor de CC maatschappij om bij een melding de fraudeur te identificeren? In BE moet je voor het verkrijgen van een terminal om betalingen te ontvangen al redelijk wat papierwerk indienen en is gekoppeld aan je rekening...

bilbob @Luchtbakker • 8 september 2022 17:44

Creditcards bestaan bij de gratie van een heel goede schadeverzekering (waar alle creditcardhouders aan meebetalen).

Zackito @Luchtbakker • 8 september 2022 18:20

Dit is bij ICS creditcards ook gewoon zo en daar de standaard.

Corrigan @Luchtbakker • 8 september 2022 18:40

Eens. Vast en zeker omdat het extra geld kost om voor iedereen aan te bieden of uit pure gemakzucht.

Terwijl een gratis bank als N26 het gewoon allemaal wel kan aanbieden. De mobiele app geeft een seintje of de betaling wel akkoord is met de volledige betaal gegevens ter controle.

TheZenMeister @Luchtbakker • 9 september 2022 08:03

Bij Revolut is er ook een optie om een eenmalige virtuele kaart aan te vragen. Als je betaling hebt verricht word de kaart "vernietigd" en vervangen.

Niemand_Anders @Luchtbakker • 9 september 2022 10:33

Bunq heeft ook de mogelijkheid tot roterende CCV codes. Elke 5 minuten heb je dan een nieuwe CCV code. Als je deze optie uitzet, kun je zelf bepalen wanneer je een nieuwe CCV code wilt.

Als gebruik wordt gemaakt van 3DS, moet je de transactie accepteren in de app vergelijkbaar met een incasso opdracht. Ik heb een 'black hole' account aangemaakt waar in principe geen geld op staat. Aan deze rekening heb ik een virtuele creditcard gekoppeld en als ik iets wil aanschaffen, dat boek ik wat geld over en gebruik de virtuele creditcard.

Ik kan mij eigenlijk niet voorstellen dat er heel veel Nederlanders bij Intratuin afrekenen met een creditcard...

Upsilon 8 september 2022 15:12

De aanvallers kwamen niet binnen via systemen van Intratuin zelf, zo zegt de winkel in de mail aan klanten.

Waardeloze tekst als je dat als getroffene te lezen krijgt. Het maakt werkelijk niets uit hoe de aanvallers binnen gekomen zijn en het doet zo een beetje overkomen alsof Intratuin zich wil ontdoen van de nodige schuld terwijl ze wel gewoon verantwoorlijk zijn.

Ben wel benieuwd welke toegang die partner had tot de webserver(s) van Intratuin en welke bedrijven nog meer op eenzelfde manier gebruik maken van die partner.

broit1975 @Upsilon • 8 september 2022 15:49

Ik ga er vanuit dat je ook google kent en kunt zoeken op Intratuin IT partner?

Upsilon @broit1975 • 8 september 2022 15:59

Zeker, dan krijg ik op de eerste pagina al zeker vier bedrijven te zien die je als partner zou kunnen beschouwen, maar dat had je zelf ongetwijfeld ook al gezien

Intratuin (AK) @Upsilon • 8 september 2022 16:06

[...]
Waardeloze tekst als je dat als getroffene te lezen krijgt.

Ben je zelf getroffen, @Upsilon ? Neem dan contact op met incident@intratuin.nl.

We nemen ons verantwoordelijkheid zeer ernst. Daarbij hoort een diepgaand intern en extern onderzoek over het incident en het zorgvuldige informeren van onze klanten.

Ik hoop op je begrip dat we details over onze partner niet publiek delen.

Upsilon @Intratuin (AK) • 8 september 2022 19:30

Dank voor deze reactie. Ik ben zelf niet getroffen voor zo ver ik weet. Succes met de RCA, oplossen en voorkomen van het incident

Ergens begrijp ik dat jullie de details over de partner niet publiek delen, anderzijds ook geheel niet. De toegang tot de webserver zal relatief geruime tijd beschikbaar zijn geweest, gezien de vervangen pagina in de kassa plus interface naar buiten. Het is dus niet ondenkbaar dat vanuit die partner meerdere bedrijven, en dus klanten van die bedrijven, getroffen zijn door eenzelfde soort hack.
Het is inderdaad aan die partner om het bekend te maken, maar aan de andere kant mag Intratuin ook verwachten dat na een dergelijk lek + imagoschade + evt andere gevolgschade, de partner met de billen bloot gaat en de nodige klappen zelf in ontvangst neemt nadat ze de nodige maatregelen getroffen hebben.

Verwijderd @Upsilon • 8 september 2022 17:07

Precies. Intratuin is verantwoordelijk voor de verwerking van de gegevens, met inbegrip van wat de onderaannemers ermee doen. In hun privacy-verklaring proberen ze die verantwoordelijkheid van de hand te wijzen, wat pertinente onzin is en simpelweg onwettig. Als zij beroep doen op Peppi & Kokki Databeheer, en daar wordt ingebroken, dan is Intratuin nog steeds verantwoordelijk. Zij kunnen op hun beurt de onderaannemer in gebreke stellen, maar hun eerste plicht bestaat erin dat ze hun klanten persoonlijk 1 voor 1 informeren en schadeloos stellen.

kodak

Hack
Beveiliging en antivirus
Nederland
E-commerce

@Upsilon • 8 september 2022 19:10

Je stelt volgens mij precies de vraag waardoor blijkt dat het juist wel uit kan maken hoe de aanvallers binnen zijn gekomen.

Als die partner namelijk meer bedrijven als klant heeft, dan kan de manier van binnen komen ook gevolgen hebben voor tal van andere bedrijven en hun klanten. En aangezien het me niet redelijk lijkt om je als getroffen klant daar geen zorgen om te maken, lijkt het me redelijker om te stellen dat het dus juist wel uit maakt hoe ze zijn binnengekomen en of er dus meer problemen uit te sluiten zijn.

DDX 8 september 2022 15:02

Die laatste actie van uitzetten van creditcardbetalingen is nou verder niet heel nuttig.
Want dat deel was dus al soort van uitgezet door de 'hacker'.

ashlinv @DDX • 8 september 2022 15:12

De hacker heeft creditcardbetalingen (waarschijnlijk) niet 'uitgezet' maar gewoon doorgezet naar de daadwerkelijke payment provider (man in the middle.)

Verwijderd 8 september 2022 16:11

Zoals hierboven velen melden dat je een betaling moet autoriseren, als Intratuin van bijv Stripe, PayPal of wie dan ook gebruik maakt. Dan kan ik een stripe account aanmaken met de naam Intratuin payment services. Als ik dan op de server de api key van Intratuin aanpas naar mijn eigen, dan krijgt de klant een melding in een app als "xx bedrag aan Intratuin payment services, autoriseren?" En dan klikt vrijwel iedereen op ok

Groningerkoek @Verwijderd • 8 september 2022 19:13

Dat kan, maar zodra jij elders dingen wil kopen met die kaartgegevens gaat het wel heel erg opvallen dat er autorisatieverzoeken binnenkomen terwijl er door de originele kaarteigenaar geen bestelling is verricht.

Tevens is in jouw voorbeeld de kaarteigenaar niet een slachtoffer met financiële schade want elders kun je geen geld uitgeven en Intratuin zal moeten leveren omdat het hun fout en probleem is dat het geld naar elders is gegaan.

Verwijderd 8 september 2022 16:01

Even de privacy-verklaring van Intratuin erbij genomen, en die is zoals bij de meeste bedrijven erg vaag, onvolledig en hier en daar onwettig. Ze wijzen b.v. uitdrukkelijk de verantwoordelijkheid af voor wat er fout loopt met de privacy bij derden waarop zij beroep doen. Dat is uiteraard een aanfluiting van de wetgeving. Intratuin blijft de databeheerder, ook al doen ze beroep op externe dataverwerkers. De eindverantwoordelijkheid blijft bij Intratuin.

LooneyBinJim 8 september 2022 16:02

Bij mijn Visa creditcard moet ik de betaling altijd authoriseren in de app... Behalve bij pinnen....

kodak

Hack
Beveiliging en antivirus
Nederland
E-commerce

8 september 2022 18:11

Is er ook uitleg gegeven hoe lang (of kort) dit probleem bestond? Want dat lijkt me nogal wat uit kunnen maken hoeveel klanten gedupeerd zijn.

Verder lijkt de omschrijving overeen te komen met dit soort criminaliteit:
nieuws: Interpol pakt drie Indonesiërs op voor verspreiden van Magecart-skimm...

[Reactie gewijzigd door kodak op 22 juli 2024 13:45]

dasiro 8 september 2022 15:19

Enkel Nederland of België ook, want de sites zien er identiek uit

Calypso @dasiro • 8 september 2022 15:49

Beiden verwijzen naar prod.magentocloud.map.fastly.net - en die doen DNS roundrobin (op een creatieve manier) naar een 4-tal IP adressen.

Ik verwacht dus dat het zomaar om beiden zou kunnen gaan, want waarom zou je compleet gescheiden sites opzetten als dat met Magento ook in 1 kan...

Badderbeest 10 september 2022 14:51

De creditcard, toch wel het meest achterlijke betaalsysteem sinds de schelpjes. Helaas kunnen we blijkbaar niet altijd zonder, voor die gevallen kan ik Revolut aanbevelen. Gratis en voor niets kun je dan een digitale wegwerp CC gebruiken voor online betalingen. Mocht die gestolen worden hief je daar alvast niet wakker van te liggen.

Op dit item kan niet meer gereageerd worden.

Criminelen stalen creditcardgegevens door inbraak op site Intratuin

Lees meer

Reacties (83)

Sorteer op:

Weergave: