Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen

De Noord-Hollandse bouwmarktketen Groenhart is vrijdag het slachtoffer geworden van een ransomwareaanval. Daarbij zijn de gegevens van een onbekend aantal klanten gestolen. Het is nog niet bekend wie achter de aanval zit.

Op het moment van schrijven is de site van Groenhart offline. De keten zegt in een mail aan klanten, die door Tweakers is ingezien, dat er zakelijke e-mailadressen en kopieën van facturen zijn buitgemaakt. Groenhart schrijft dat er nog een onderzoek gaande is naar de aanval, maar dat het klanten alvast informeert op basis van de huidige kennis.

Er lijken vooralsnog geen ordergegevens verloren te zijn gegaan, omdat Groenhart een back-up van die gegevens heeft. De keten zegt het incident te hebben gemeld bij de Autoriteit Persoonsgegevens. Groenhart adviseert klanten om extra alert te zijn op phishing, verdachte post of telefoontjes.

IT-banen

Reacties (95)

Ruw ER 24 december 2024 14:08

Wie gebruikt zijn echte naam om dingen te bestellen of te registreren op een website? Ik ben overal iemand anders. Bob, Freek, Anne, Paula, Roderick, ik ben iedereen al geweest. Heb een mailadres die ik enkel voor dit soort zaken gebruik. Enige wat ze wel hebben natuurlijk is een adres (in geval van thuisbezorgen) en rekeningnummer.
Telefoonnummer is altijd een random reeks getallen. En al het andere dat ze willen weten ook.

[Reactie gewijzigd door Ruw ER op 24 december 2024 14:08]

CAPSLOCK2000

Nederland
Datalek
Economie en maatschappij
Ransomware

@Ruw ER • 24 december 2024 14:34

Wie gebruikt zijn echte naam om dingen te bestellen of te registreren op een website? Ik ben overal iemand anders.

Dat doe ik waar mogelijk maar als je je pakket bij het postkantoor moet ophalen willen ze daar je ID zien en anders krijg je het pakket niet mee. Ik heb ook wel eens gedoe gehad omdat mijn naam niet overeen kwam met mijn credit card. Soms heb ik dat risico er voor over, soms niet.
In het kader van criminalitiet bestrijden is dat vast een goed idee, maar het maakt het lastig om je privacy te beschermen.

[Reactie gewijzigd door CAPSLOCK2000 op 24 december 2024 14:37]

xxs @CAPSLOCK2000 • 24 december 2024 14:52

Op je ID bewijs staat/staan je voornaam/voornamen, niet je roepnaam. De meeste mensen zullen bij een bestelling bij Voornaam hun roepnaam invullen en dat wordt op een afhaalpunt nooit gecontroleerd.

Ik vul bij Voornaam altijd een naam in die te herleiden is naar de shop waar ik de bestelling plaats en heb nog nooit problemen gehad met afhalen.

Super_Fred @CAPSLOCK2000 • 24 december 2024 19:27

Wanneer je je ID laat zien, hoeft de naam niet overeen te komen met de naam op het pakket. Er wordt enkel geregistreerd dat jij het pakket hebt opgehaald zodat ze je weten te vinden als iets niet klopt. Ik haal altijd zonder problemen pakketten op voor mijn vrouw die steevast haar meisjesnaam gebruikt.

[Reactie gewijzigd door Super_Fred op 25 december 2024 13:31]

Het.Draakje @CAPSLOCK2000 • 24 december 2024 19:42

Weet niet wat voor ..... je bij het postkantoor tegenkomt maar je hebt een x-aantal dagen om je bestelling op te halen. Geef die .... vervolgens de keuze: (luid genoeg zodat de collega's mee kunnen luisteren)

Optie 1) ik ben een huisgenoot van de geadresseerde, zoon (dochter) of partner.

Optie 2) Wacht dat aantal dagen, dan kan je het terugsturen. En krijg ik mijn geld sowieso terug. Ondertussen bestel ik het gewoon opnieuw.

Jouw collega kan dan een aantal keren voor Jan-met-de-korte-naam naar mijn huis gaan en jij kan dan een aantal keren die terugstuur procedure doorlopen.

Mij maakt het niet uit of het in één keer uitgeleverd wordt of dat ik daar 10 keer een afhaalbewijs /herinnering voor bestelling voor mag ontvangen. Dit is mijn telefoonnummer, bel me maar als je genoeg hebt van die overbodige zendingen.

Kan me niet voorstellen dat men zo dom is om dan nog een exacte naam / geadresseerde controle uit te willen voeren.

TechSupreme @CAPSLOCK2000 • 29 december 2024 01:25

Enige wat ze mogen noteren is het documentnr van je ID, voor de rest maakt het niks uit of er nou Fred of Kees of Peter staat op je ID en iets totaal anders op je pakketje. De mensen van het afhaalpunt zijn geen poortwachters (alhoewel ze vaak het idee hebben van wel). Als er spraken is van fraude dan is dat een kwestie voor de politie en niet voor die mensen.

Ik laat standaard alleen de achterkant van mijn rijbewijs zien, zodat ze alleen de QR-code hoeven te scannen voor het documentnr. Voor de rest hebben zij helemaal niks met de voorkant te maken en hoeven zij hem ook niet in handen te nemen. Als ze dat wel willen dan zeg ik dat ik smetvrees heb en begin ik keihard te schreeuwen, een trucje wat ik tijdens de coronapandemie heb geleerd.

Ik heb die discussie vaak genoeg gehad met die mensen, vooral als er een Boomer Karin achter de balie staat die denkt dat ze poortwachter is van fraude, zonder haar zou de fraude hell losbreken. Dat is ze niet, het enige wat ze moet doen is het pakketje pakken waarvan ik de T&T code heb en het documentnr van mijn ID noteren. Voor de rest hoeft en mag ze niet op mijn ID kijken en heeft ze ook helemaal niks te maken met de gegevens die erop staan.

Met een beetje moeite heb ik alle PostNL punten in de omgeving netjes afgericht wat ze behoren te doen. De uitbater van het DHL punt kent mij persoonlijk, dus dat is geen probleem voor mij. Op je strepen gaan staan, netjes blijven en op een passief agressieve manier die mensen op hun plaats zetten dan leren ze het wel.

De pakketdiensten gaan er naartoe dat er helemaal geen naam of adresgegevens op de pakketjes staan, alleen een barcode. PostNL en DHL hebben dit al in beperkte scenario's ingevoerd.

Thuisbezorgd heeft dit ook al ingevoerd, het adres staat niet meer op de afleverbon van de bezorger, alleen een QR code. De bezorger moet die QR code met een app scannen en dan ziet hij/zij het adres en voor de rest worden die gegevens nergens getoond of verwerkt.

Wel even een sidenote, dit is alleen van toepassing als als standaard pakket is verstuurd. Als iets aangetekend (verzekerde pakketjes zijn automatisch aangetekend en meeste webshops sturen dingen van waarde meestal verzekerd) is het echt gericht aan 1 persoon en moet die persoon ook teken voor ontvangst. Dus zodra iets aangetekend is gaat dit hele verhaal niet meer op.

[Reactie gewijzigd door TechSupreme op 29 december 2024 01:43]

frankhan @Ruw ER • 24 december 2024 14:19

Je hebt dus geen recht op claimen als het echt fout gaat. Ik vraag mij zelfs af of dit mag met een financieele overeenkomst? Hoe betaal je iets? Heb je ook een valse naam voor je bankrekening?

B0KIT0 @frankhan • 24 december 2024 18:09

Ik vraag mij zelfs af of dit mag met een financieele overeenkomst?

Of dit mag? Een financiële overeenkomst? Iets bestellen is toch gewoon iets kopen..

Oftewel: geld ruilen voor een product of dienst.

Oftewel: Hier, neem deze muntjes. Ik neem dan deze kaas mee.

Daar hoeven toch helemaal geen persoonsgegevens bij te komen kijken

[Reactie gewijzigd door B0KIT0 op 24 december 2024 18:10]

Het.Draakje @B0KIT0 • 24 december 2024 19:23

Om je rechten te claimen (zoals garantie, dead-on-arrival, etc) zal het voor de verkoper aannemelijk moeten zijn dat jij inderdaad de koper bent. Als in jouw paspoort staat dat je Johannes Sebastiaan Claesen heeft lijkt het me voldoende als het door J. Claesen besteld is.

Een naam als Het.Draakje is wat minder aannemelijk, maar aangezien de betaling vanaf de rekening van "J.S. Claesen e/o" gebeurd lijkt met dat ook hier de juiste koper geïdentificeerd kan worden. Ik heb in al die jaren maar één keer meegemaakt dat men een probleem had om het aan Het.Draakje te versturen. Men wou met alle geweld een exacte naam hebben, volgens hun vanwege juridisch/belastingtechnische reden. (Ik heb dat boek vervolgens gewoon in een andere winkel gehaald).

Bezorgdiensten, inclusief PostNL malen niet om een naam. Heb het ook nooit meegemaakt dat ik, als ik in het bezit ben van een afhaalbewijs (door PostNL in de bus gegooid vanwege niet thuis zijn) aan de balie kom krijg ik het altijd mee, zonder me te legitimeren. Lijkt me ook logisch want het kan wel een pakket voor mij zijn, maar ik kan het door mijn partner laten afhalen.

Mijn dochter maakt gebruik van een ontvangstdienst. Die ontvangt het pakket, op hun adres maar met een reeksen van letters en cijfers als naam, en levert het af in een kluis in haar flatgebouw. Vervolgens krijgt zij per email een eenmalige code toegestuurd waarmee zij de kluis kan openen.

Kortom, je kunt in principe laten bezorgen op elke naam, maar het bedrijf moet wel op de een of andere manier jou als koper kunnen identificeren.

Die kaas, daar heb je geen garantie op, want de verkoper "kent" jou niet. Tenzij je een kassabon hebt. (En dan nog is het een lastig geval). Die wasmachine echter, die zou ik sowieso niet contact afrekenen en zeker niet onder een valse naam doen.

turbojet80s @Het.Draakje • 25 december 2024 08:56

Ik heb een koptelefoon gekocht in een fysieke winkel. Ik heb die koptelefoon later en binnen de garantieperiode verkocht met bonnetje. Met het bonnetje heeft diegene die hem van mij heeft overgekocht recht op garantie zonder dat de winkel mijn naam kent of die van de nieuwe eigenaar.

Dekar @turbojet80s • 25 december 2024 09:49

Precies! Dit is wettelijk geregeld. Laat je niks wijsmaken

Het.Draakje @turbojet80s • 25 december 2024 13:38

Ja, maar zoals we allemaal (zouden moeten) weten is er wel degelijk een verschil tussen kopen in een winkel en kopen op het internet. Dingen zoals 14 dagen op zicht gelden in een winkel niet. En in de winkel krijg je een kassabon (op het internet niet) wat de winkelier dan weer kan koppelen aan het 'aannemelijk dat jij degene bent die het product, al dan niet indirect (zoals een cadeau), van hem gekocht hebt.

https://blog.iusmentis.co...als-ik-online-wat-bestel/

Maar zonder kassabon kom je dan meestal niet ver, bewijs maar eens dat die pinbetaling van 129,95 voor die hoofdtelefoon was en niet voor een stofzuiger die ze bij de Hema toevallig ook hebben.

Dekar @Het.Draakje • 25 december 2024 20:57

Een beetje respectabele winkel kan gewoon in het systeem zoeken en jouw betaling terugvinden.
Tevens is een pintransactie in principe voldoende voor garantie.

Dus ga altijd langs, en anders bel je rechtsbijstandverzekering.

SilentLucidity @Het.Draakje • 24 december 2024 20:53

Ik vind wat je zegt interessant, nog nooit over nagedacht. Dat gezegd hebbende, ik heb nog nooit het pakketje bij mijn primera meegekregen zonder legitimatie. Ze kijken hier echter niet naar of de naam op het identiteitsbewijs dezelfde is als de ontvanger, want ik kan hem wel met de id kaart ophalen van mijn partner.

Thijsmans @Het.Draakje • 25 december 2024 06:49

Heb jij werkelijk ooit je paspoort getoond voor garantie? Bij mij is een mailtje of telefoontje tot zover altijd genoeg geweest... lekker belangrijk welke naam aan een order gekoppeld is, garantie is overdraagbaar

Dekar @Het.Draakje • 25 december 2024 09:43

Garantie is gewoon overdraagbaar. Je factuur of bewijs van betaling zoals pintransactie is voldoende bewijsmateriaal.

Anders zou je ook nooit wat kado kunnen geven. Want dan heb je opeens geen garantie meer.

[Reactie gewijzigd door Dekar op 25 december 2024 09:48]

TechSupreme @Dekar • 29 december 2024 02:17

Wat je zegt klopt niet. Het staat niet expliciet in het artikel, maar als je tussen de regels leest dan kan je het eruit halen.

Garantie is niet overdraagbaar, garantie is gebonden aan het fysieke object. Dat object kan je overdragen aan een andere en dan verhuizen de: "bijbehorende rechten en plichten van die aankoop".

Het zou ook raar zijn als garantie overdraagbaar is, want dat zou inhouden dat je garantie ook kunt verkopen aan een andere.

TechSupreme @Het.Draakje • 29 december 2024 02:03

Een bon uit de kassa staat geen NAW gegevens op. Een aankoopbon is meer als genoeg om garantie te claimen. Als de winkelier fraude uit wil sluiten dan kan hij/zij ervoor kiezen om het serienr op de bon te zetten. Aan de hand van een factuurnr of een bonnr kan je in de kassaopzoeken kan je de bon verifieren.

Allemaal zaken waar geen NAW gegevens aan te pas komen.

Garantie is een garantstelling van de fabrikant dat een apparaat minimaal tot 2 jaar na aankoop naar behoren blijft werken. Dat heeft dus ook helemaal niks met een persoon te maken, maar met het apparaat. Het maakt dus ook helemaal niks uit of Jan, Piet, Kees of Gerda de claim indient zolang het apparaat binnen die 2 jaar zit.

Vele zeggen dan ook dat garantie overdraagbaar is, maar dat klopt niet. Het fysieke object is overdraagbaar en het garantietermijn verhuist dan met het object mee.

[Reactie gewijzigd door TechSupreme op 29 december 2024 02:07]

Het.Draakje @TechSupreme • 29 december 2024 03:37

Zoals ik eerder al zei: er is een verschil tussen digitaal en in een winkel aankopen. Met andere regels.

Online moet het artikel bezorgd worden, waar gewoon een NAW en/of een email adres bij hoort. En een ordernummer. Wellicht een factuur, maar zeker geen kassabon. En een van die dingen heb je dan nodig om aannemelijk te maken dat jij het recht op garantie hebt.

In de winkel heb je te maken met een kassabon en is de rest nooit nodig om garantie te claimen. En doe je meestal niets zonder kassabon.

Een kleine winkel zal misschien nog na willen kijken of er een pin-betaling is geweest (als alternatief "bewijs") bij een bedrijf als de Hema of Mediamarkt wordt je meewarig aangekeken als je daarom vraagt.

TechSupreme @Het.Draakje • 29 december 2024 12:56

De bezorging is alleen en exclusief een kwestie voor de pakketdienst, daarna is er nergens een noodzaak voor NAW gegevens.

Zoals ik hierboven al had uitgelegd:
TechSupreme in 'Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen'

De NAW gegevens op het pakketjes hoeven niet een te kloppen als je het laat bezorgen bij een afhaalpunt.

Als in de winkel een anonieme kassabon goed genoeg is, waarom is dat online dan ineens niet het geval?

[Reactie gewijzigd door TechSupreme op 29 december 2024 12:58]

Het.Draakje @TechSupreme • 29 december 2024 14:39

Zoals eerder gezegd:

https://blog.iusmentis.co...als-ik-online-wat-bestel/

TechSupreme @Het.Draakje • 29 december 2024 16:18

Je spreekt jezelf nu tegen:

Om je rechten te claimen (zoals garantie, dead-on-arrival, etc) zal het voor de verkoper aannemelijk moeten zijn dat jij inderdaad de koper bent. Als in jouw paspoort staat dat je Johannes Sebastiaan Claesen heeft lijkt het me voldoende als het door J. Claesen besteld is.

Een naam als Het.Draakje is wat minder aannemelijk, maar aangezien de betaling vanaf de rekening van "J.S. Claesen e/o" gebeurd lijkt met dat ook hier de juiste koper geïdentificeerd kan worden. Ik heb in al die jaren maar één keer meegemaakt dat men een probleem had om het aan Het.Draakje te versturen. Men wou met alle geweld een exacte naam hebben, volgens hun vanwege juridisch/belastingtechnische reden. (Ik heb dat boek vervolgens gewoon in een andere winkel gehaald).

Een ordernummer of factuurnummer is meer als genoeg, NAW gegevens doen er niet toe, dat staat ook in het artikel waar jij naar linkt. De shop zal een kopie van diezelfde factuur in zijn boekhouding hebben dus is het makkelijk voor hem om te verifiëren dat de factuur authentiek is. Een kassabon in de winkel staan ook geen NAW gegevens op, garantie en belasting zijn dan ook geen probleem. De fiscus kijkt ook niet aan wie een detailhandel heeft verkocht, maar wat hij heeft verkocht. Dat wil zeggen de inkoop en verkoop moeten kloppen. Als je 100 4090'jes hebt gekocht en je hebt er 200 verkocht dan klopt er iets niet.

Met het oog op AVG zullen dat soort gegevens ook steeds meer verdwijnen uit de systemen van veel ondernemers.

Zoals ik hierboven heb genoemd, Thuisbezorgd zet geen NAW gegevens op de bon, alleen een QR code. DHL en PostNL zijn begonnen met verzendlabels waar alleen een barcode op staat.

Theo @frankhan • 25 december 2024 10:46

Het recht op garantie heeft betrekking op de factuur. Dus wanneer 'Pieter Pannekoek' een wasmachine besteld met telefoonnummer 0906123456 (beide compleet willekeurige data),en als annoniem emaildres een protonmailadres gebruikt (bijv 123456@proton) dan krijgt deze persoon z'n factuur via de email. Dat is dan voldoende voor de garantieafhandeling. Ook wanneer deze wasmachine contant wordt betaald aan de bezorgers, of wanneer er via Bitcoin wordt betaald is er gewoon garantie voor wanneer het fout gaat.
Belangrijk is dat in dit geval het emailadres en het postadres correct is; daar wordt immers de papieren data en de wasmachie naar toe gestuurd.

En ook wanneer er iets fout gaat met/voor het bezorgen. Dan heb je gewoon een ordernummer en een bezorgadres die belangrijk zijn en die voor het bedrijf gebruikt worden om je order te kunnen vinden en een probleem op te lossen.

Voor kleinere bestellingen (geen wasmachine) die je naar een afhaalpunt laat bezorgen geldt hetzelfde'; zolang het bezorgadres bestaand is en je de emails ontvangt op het mailadres maken de rest van de gegevens niks uit.

Quintiemero @Ruw ER • 24 december 2024 14:10

@Ruw ER ik hoop dat je kan bedenken dat ondanks dat jij dat doet, het merendeel dat natuurlijk niet doet.

Maar goed bezig!

[Reactie gewijzigd door Quintiemero op 24 december 2024 14:10]

Ruw ER @Quintiemero • 24 december 2024 14:13

Jaa had het beter kunnen formuleren, bedoelde de mensen hier op tweakers, niet iedereen in het algemeen, want daarvan weet ik het antwoord al ja 😉

Quintiemero @Ruw ER • 24 december 2024 15:31

Haha vertel mijn vriendin de gekke mailadressen die icloud voor me maakt. Wel ongemakkelijk toen ik dat laatst aan de telefoon moest opnoemen

bwerg @Ruw ER • 24 december 2024 16:16

Daar bovenop vermijd ik bij fysieke winkels überhaupt het invullen van al dat soort gegevens. Gewoon betalen, en klaar. Maar nee, je moet tegenwoordig met twee dozijn aan klantenkaarten, member-accounts, premium-cards en andere ongein rondlopen. Dan maar geen korting, al wordt mijn klantervaring er bij het mislopen van kortingen niet beter op.

"Wat is uw postcode" vroeg de dame achter de kassa mij ooit, uit het niets bij het betalen. Euh, dat gaat jou niks aan? "Oh? Dat moet ik iedereen vragen". Ja, vast wel.

[Reactie gewijzigd door bwerg op 24 december 2024 16:18]

Frame164 @bwerg • 24 december 2024 20:15

De dingen die noemt "moeten" helemaal niet. En postcode vragen mag natuurlijk altijd. Je hoeft het alleen niet te geven.

bwerg @Frame164 • 24 december 2024 20:59

Maar die korting waarmee geadverteerd wordt krijg je dan helaas niet.

"Nu, 3 voor de prijs van twee! Oh, wacht, je wil geen tracking? Nee, dan betaal jij als enige de volle prijs."

William_H @bwerg • 24 december 2024 17:01

"Wat is uw postcode" vroeg de dame achter de kassa mij ooit, uit het niets bij het betalen. Euh, dat gaat jou niks aan? "Oh? Dat moet ik iedereen vragen". Ja, vast wel.

Dat vragen ze inderdaad bij de MediaMarkt altijd. Rare vraag zo aan de kassa, maar ik denk dat het voor de folders is. Die worden namelijk op postcode uitgegeven, en als ze weten aar mensen vandaan komen (of niet) dan kun je daar gericht op targetten. MM is dan ook een agressieve marketing dozenschuif fabriek.

xxs @William_H • 24 december 2024 17:39

Daarmee bepalen ze de grootte van hun ‘verzorgingsgebied’. M.a.w. waar moet de volgende Mediamarkt komen om een nog groter gebied te kunnen bestrijken.

Vroeger was het verspreiden de reklamefolder ook nog wel een ding maar die tijd is ingehaald doordat mensen eerder naar een website gaan dan eventueel een folder uit de papierbak te vissen. 😄

DJMaze @bwerg • 25 december 2024 01:19

Ze vragen regelmatig naar mijn postcode.
Dan stel ik een wedervraag zoals "zoek je een match?" of "dat is inderdaad een goede vraag van de BHV'er, aan mensen die buiten bewustzijn op uw winkelvloer lagen."

Online bestellen is ook leuk met namen als: W.A. ter Hoofd, W. Bushmill, Ma Kita, mr. Bob Dobalina, etc.

PvdVen777 @DJMaze • 25 december 2024 08:03

Mr. Bob Dobalina 🤣 dat (her)kennen al die jonge onderbetaalde studentjes bij de MM sowieso niet.

Andros @bwerg • 25 december 2024 16:17

Ze moet het vragen van haar baas, dat klopt. Nergens ben jij verplicht antwoord te geven, van mij krijgen ze die postcode ook niet. Hoe die winkel dat op lost is hun probleem, soms komt er dan een of andere vervelende manager moeilijk doen, sommigen tikken gewoon de postcode van de eigen winkel in. Maar ze mogen het altijd vragen natuurlijk, al zorgt het er wel voor dat ik andere winkels zoek. Hun probleem

Dennisdn @Ruw ER • 24 december 2024 14:32

Afgezien van een uitdaging bij het ophalen van de bestelling op een afhaalpunt: als je niet met crypto betaald en ze je bankrekeningnummer hebben hebben ze toch ook je naam? Vanwaar al dat gedoe dan nog?

Frame164 @Dennisdn • 24 december 2024 20:13

Sommige mensen doen graag interessant. Kijk ook niet raar op als de mensen die op een forum stoere verhalen doen in het werkelijke leven de meest volgzame types zijn die precies doen wat we gevraagd wordt.

ygeffens @Ruw ER • 24 december 2024 14:25

Hoe los je dit dan op?

Je pakje kan niet geleverd worden en dit gaat naar een pickup point.
Daar moet je je ID laten zien en die moet overeenkomen met de naam op het pakje, lijkt me.
Zomaar meegeven op basis van het trackingnummer is niet voldoende toch ?

pascallj

@ygeffens • 24 december 2024 14:51

Ik snap niet waar dit misverstand vandaan komt? De Service points hebben dit zelf ook vaak mis. In elk geval bij PostNL en DHL mag iedereen een 'standaard' onverzekerd pakket afhalen. Je moet alleen een ID tonen, maar dit hoeft qua naam zeker niet overeen te komen. Als dat wel moet, staat het in de tracking email.

Sterker nog, ik bedenk mij nu dat ik ook vaak hoor dat mensen zeggen van nee, maar ik heb wel het ID mee van degene op wiens naam het pakket staat. En dat wordt vaak gewoon geaccepteerd. Dat is nog erger en gewoon fraude.

[Reactie gewijzigd door pascallj op 24 december 2024 14:54]

Emiel1984 @pascallj • 24 december 2024 15:30

Mischien zie ik er dan niet zo betrouwbaar uit maar ik krijg het pakket van me vriendin echt niet mee.
Ik heb dit een aantal keren geprobeerd omdat ik toch bij het postkantoor was.
Maar wellicht ging dit dan niet om een 'standaard' pakket. Het ging in dit geval om een willekeurige online bestelling zonder bijzonderheden.

Tweakwondo @Emiel1984 • 24 december 2024 16:04

Net nog een pakketje opgehaald. geen hoge waarde maar toch. Barcode gescand en kreeg het zo mee. Ook vaak laat ik het bezorgen naar een onbemande afhaal punt met kluisjes. Ook daar scannen en weer verder.

Frame164 @Tweakwondo • 24 december 2024 20:12

Niet voor ieder pakket is een ID nodig. Alleen als de verzender daarom heeft gevraagd. En bij een kluisje identificeer je je met de ontvangen PIN code.

kodak

Datalek
Ransomware
Economie en maatschappij
Nederland

@Frame164 • 27 december 2024 13:23

Een pincode is geen identificatie. Een juiste pincode geeft hooguit vermoeden van authorisatie aan.

Een bedrijf kan niet simpel stellen dat wie een juiste code geeft dus recht op de een poststuk heeft. Post bezorgen gaat bijvoorbeeld om het grondwettelijke briefgeheim en wet over persoonlijke gegevens. En dat begint er al mee dat de naam en adres niet zomaar aan iemand gegeven horen te worden als onduidelijk is of de persoon daar wel recht op heeft. Op een huisadres aanwezig zijn of afleveren is daarbij wel even wat anders dan een willekeirig persoon die toevallig een juiste code heeft de gegevens en inhoud geven. De postwet geeft daarbij ook op verschillende manieren aan dat inhoud van post alleen bedoeld is voor wie er als naam en adres op staat. Het op een andere locatie aan een ander persoon geven in de hoop dat die het dan wel aan de juiste persoon geeft is niet zomaar toegestaan. En de voorwaarden en werkwijze van een postbedrijf of bezorger staan daarbij niet boven de wet. Zonder uitdrukkelijke toestemming het ergens anders af te leveren en aan een ander te overhandigen is het eerder onwettig. De wetten zijn namelijk beschermend naar de personen waar het poststuk om gaat. Dat is ook waarom de juiste naam zeer belangrijk is. Kan de geadresseerde het poststuk niet ontvangen dan hoort het officieel nogmaals aangeboden te worden en anders retour te gaan. Juist om te voorkomen dat een ander persoon de gegevens ontvangt of zelfs van de inhoud kennis neemt. Het is ook niet voor niets dat briefgeheim zelfs in de grondwet is opgenomen. En ook niet zomaar dat bezorging op een verkeerd adres of aan een ander persoon in principe een datalek is.

pascallj

@Emiel1984 • 24 december 2024 15:35

Het is mij nog nooit overkomen, maar laat ze maar naar retail bellen om het uit te zoeken. De punten weten het ook vaak niet namelijk...

kodak

Datalek
Ransomware
Economie en maatschappij
Nederland

@pascallj • 24 december 2024 15:52

Diensten en goederen worden niet op naam geadresseerd omdat het toch niet uit maakt. Het geeft een zeer persoonlijke binding aan. En die is er niet onbelangrijk omdat een dienstverlener of iemand die valse namen op geeft er geen zin in hebben. Het is andersom, de wet stelt op veel verschillende manieren eisen niet zomaar namen te verwerken of verstrekken. Een ander identiteitsbewijs overleggen of een andere nasm hebben geeft niet zomaar recht andermans persoonlijke gegevens te geven of zelfs tonen.

pascallj

@kodak • 24 december 2024 16:01

Sorry maar ik begrijp hier niet zo veel van. Wat bedoel je nu?

The KOK @ygeffens • 26 december 2024 00:43

Nou mijn huis adres is op die manier gewoon "misbruikt".
Pakket naar een pickup point gestuurd en gewoon opgehaald door iemand die niet betaald had.
Ik kreeg dus wel een bericht (later); of ik even wilde betalen!
Van verschillende aanbieders, dus er lag wel wat brieven van incassoburo's.
Kan dus makelijk wat bestellen onder een andere naam en adres (en zelfs niet betalen) en gewoon ophalen.

mjl @The KOK • 28 december 2024 00:17

Maar dan is er wel een ID gescand, kan een gestolen ID zijn natuurlijk, maar in princiepe moet het ID van de afhaler overeenkomen met de uiterlijke kenmerken van de afhaler zelf, wat op het pakje staat is niet relevant in deze.

Maar op die manier is inderdaad fraude te plegen en dat zal lastig geweest zij om te bewijzen. Werden all pakjes dan direct naar een afhaalpunt gestuurd ipv een bezorg poging? Bij DHL is dat redelijk makkelijk af te vangen inderdaad. bij PostNL is de timing vaak lastig om dat om te zetten.

gaskabouter @Ruw ER • 24 december 2024 16:51

Lijkt me dan lastig aantonen dat iets ook daadwerkelijk je eigendom is als het stuk gaat of gestolen wordt.

andries98 @Ruw ER • 24 december 2024 20:29

Ach, ze koppelen toch allerlei gegevens aan elkaar dus als je bij elk datalek wat verliest (email, rekeningnr, rekening naam, voornaam, achternaam, telefoonnr, adres). Hebben ze snel genoeg alles, als ze weten uit welk lek data wat komt (en welke combi's) is het niet heel moeilijk aan elkaar te koppelen. Dus ja je bent iets veiliger maar nog niet helemaal

Bovendien zijn er ook genoeg datalekken waar je wel het juiste moet invullen (alles rond werk en overheid bijv).
Ik vind het teveel moeite en heb ook al meermaals ID checks bij afhalen (en ook is met niet bezorgen en stuk bezorgen) gehad dus begin er niet aan, maar zou wel goed zijn. Ik probeer dan weer niet op elke willekeurige site accounts aan te maken in de hoop dat gegegevens dan minder snel lekken

Erasmo @Ruw ER • 25 december 2024 00:19

Groenhart is vziw meer gericht op zakelijke klanten daar ligt het wat anders.

Chrisjuh_15 @Ruw ER • 24 december 2024 14:22

Good for you!

dr86 @Ruw ER • 24 december 2024 21:10

Zakelijke klanten? En als particulier krijg ik mijn pakketje niet mee bij een afhaalpunt als er Sarah op staat en er en man bij de balie staat…

[Reactie gewijzigd door dr86 op 24 december 2024 21:11]

jepper333 @Ruw ER • 25 december 2024 09:17

ik doe dit zelf ook altijd. Bestel je een pizza willen ze meer weten als bij een hypotheek afsluiten... Verder vind ik 1 primair contact middel ook wel genoeg. Waarom moet men perse mijn telefoon en mail adres?

Dekar @Ruw ER • 25 december 2024 09:53

Deze werkwijze voor online aankopen zou iedereen moeten hanteren!
Je bied een oplossing voor mensen om hun persoonsgegevens te beschermen tegen ransomware hacks, en je krijgt een +0.
Ik verbaas mij altijd over moderaties op deze website. Dit mag van mij een +2 krijgen.

Slux @Ruw ER • 25 december 2024 10:45

Als je zakelijke gebruiker waar deze bouwmarkt zicht op richt moet je wel je echte gegevens achterlaten, denk aan BTW factuur op naam, kortingen, betalen op rekening.

Andros @Ruw ER • 25 december 2024 16:14

Tot de bezorger je niet kan vinden omdat jij valse gegevens opgeeft. Tref je een pakketpunt die gewoon regels volgt en ID controleert dan krijg je je rommel nog niet mee. Wellicht is het beter om de criminelen aan te pakken dan leken de schuld geven van het hebben van normale verwachtingen.

Ruw ER @Andros • 25 december 2024 18:15

Oei je hebt bovenstaande reacties die jou reactie ontkrachten niet gelezen.

Andros @Ruw ER • 25 december 2024 18:44

Ow jawel, lees nog even het puntje "een pakketpunt die gewoon de regels volgt" eens. Zie ook reactie van @andries98 bv

Aschtra 24 december 2024 13:50

Gestolen of vergrendeld?

John Doos @Aschtra • 24 december 2024 13:54

Het is bij ransomware vaak beide.
Kopie data --> " hacker"
Lokale data --> versleuted

" Betaal mij (hacker) nu geld anders openbaren we je gegevens" .

Iets in die richting.

InfiniteSpaze @John Doos • 24 december 2024 14:31

Weet niet of jij het weet maar ik wilde het toch even vragen. Waarom zijn alle gegevens die bedrijven van ons willen hebben niet encrypted? Ik vind het eigenlijk een hele rare gedachte dat de meeste bedrijven ons verplichten om onze emailadressen, namen en telefoonnummers te geven maar wanneer het fout gaat lijkt het wel alsof het gehackte bedrijf hier niet verantwoordelijk voor wordt gehouden. Hoe werkt dit?

dev-random @InfiniteSpaze • 24 december 2024 16:53

Expert hier;

Data kan versleuteld worden "in transit", "in use" en "at rest".

Onversleutelde data "In transit" is al jaren op interne en externe netwerken niet meer goed te praten en in de regel hebben bedrijven met een respectabel budget voor informatiebeveiliging dat aardig op orde.

"At rest" in de vorm van netwerk opslag is tegenwoordig met weinig moeite voorzien van versleuteling. Dit zorgt ervoor dat niemand met de hardeschijven en leesbare data het datacenter uit loopt.

"At rest" vanuit een platform of applicatie perspectief is een heel ander verhaal. Dat zal doorgaans leesbare data zijn, dit is ook het pad dat aanvallers gebruiken. Zelfs moderne applicaties moeten op de duur de data inlezen om te verwerken. Hier valt nog veel te winnen door op platform niveau of op applicatie niveau versleuteling toe te passen i.c.m. een deftige (virtuele) sleutelkluis en goed afgeschermde sleutels zijn veel, maar nog steeds niet alle, routes afgedicht.

Uiteindelijk is er nog versleuteling "in use". Definities variëren van versleutelde databases (hikt tegen platform versleuteling "at rest" aan) tot volwaardig homomorfe versleuteling. Voorlopig is dat laatste onhaalbaar en onbetaalbaar voor 99% van alle workloads.

Wat verantwoording aangaat, en met alle respect naar de auditors, ze komen langs en zetten vinkjes zodra het SAN de schijven versleuteld. Technisch correct en er zit geen leugen in als de vraag was "of data at rest versleuteld is?" Maar je dekt slechts één heel specifiek risico af.
Ondertussen hebben toezichthouders, op basis van deze audits wel een (te?) positief beeld opgedaan en de bestuurders van de organisatie in kwestie zijn zich waarschijnlijk ook van geen kwaad bewust.

De vervolgstappen zijn afhankelijk van de volwassenheid van de organisatie, het budget en of ze instaat is een strategische risicobereidheid te vertalen naar operationele processen.

Mocht je trouwens ooit iemand tegenkomen die zegt dat ze een risicobereidheid van 0 hebben, hard lachen en weglopen. Dat is zoiets als de snelheid van het licht evenaren.

[Reactie gewijzigd door dev-random op 25 december 2024 22:50]

Theone098 @dev-random • 24 december 2024 21:34

Helemaal goed. De laatste alinea zou ik iets anders verwoorden.

Risico’s zijn altijd aanwezig dus geen risico(bereidheid of risk appetite in Engels) bestaat niet of is onbetaalbaar.
Daarom is er (rest) risico acceptatie.

kimborntobewild @dev-random • 25 december 2024 22:45

Dat is zoiets als de snelheid van het licht.

Ik neem aan dat je zoiets als dit bedoelde:
"Dat is zoiets als de snelheid van het licht kunnen halen met een ruimtevaartuig."

L01 @InfiniteSpaze • 24 december 2024 15:46

Encryptie is niet magic fairy dust wat je of je data heen sprenkelt en je data automatisch veilig maakt.
Een goed key management systeem is bijvoorbeeld essentieel om je data veilig te houden.
Vaak wordt er wel voor gekozen om verbindingen te versleutelen en wachtwoorden te hashen, maar data in rest wordt over het algemeen niet versleuteld omdat het simpelweg geen veiligheid toe voegt als iedereen een sleutel nodig heeft om deze data te lezen.

Frame164 @L01 • 24 december 2024 20:18

Natuurlijk biedt encrypted data at rest wel meer veiligheid. En je kunt prima iedereen die geautoriseerd is om bepaalde data te gebruiken een key geven. Zolang die key maar niet door anderen kan worden gebruikt.

jmvdkolk @Frame164 • 24 december 2024 21:58

Data at rest encrypten beschermt niet tegen lezen van de data via software waarin de keys zitten, of wel? Data at rest encrypten beschermt natuurlijk wel, maar niet in situaties van ransomware aanvallen.

Darksequence @InfiniteSpaze • 24 december 2024 14:35

Ik ben geen expert maar ik vermoed dat de data ook encrypted wordt opgeslagen. Maja je moet die data natuurlijk wel in kunnen zien om je klanten te bedienen of te helpen, dus er zullen accounts zijn die deze data in kunnen zien. Als je toegang krijgt tot zo'n account kun je de data dus ook unencrypted ophalen.

jeroen79 @John Doos • 24 december 2024 14:42

" Betaal mij (hacker) nu geld anders openbaren we je gegevens" .
En dat dan naar het bedrijf en de klant om wie het gaat.

En je kan de data ook nog gebruiken voor andere oplichtingen.
Of daarvoor doorverkopen.

SunnieNL

@John Doos • 24 december 2024 17:04

Steeds vaker gebeurd dat 2de niet meer. Encryptie wordt namelijk vrij snel opgemerkt, terwijl data doorsluizen dagen, weken, maanden kan doorgaan. Uiteindelijk levert het hetzelfde bedrag op.
Ransomware kan daardoor ook nog eens eenvoudiger worden geschreven, er kan minder misgaan in encryptie en decryptie. Daarom wordt steeds vaker gekozen voor kopie data voor langere tijd en dan je een bericht sturen dat je een probleem hebt als je niet betaald.

wildhagen

Nederland
Economie en maatschappij
Ransomware
Datalek

@Aschtra • 24 december 2024 13:54

Dat staat letterlijk in de tekst:

De keten zegt in een mail aan klanten, die door Tweakers is ingezien, dat er zakelijke e-mailadressen en kopieën van facturen zijn buitgemaakt.

Gestolen dus.

Als het om ransomware gaat hoeft het niet alleen vergrendeld te zijn.

Tegenwoordig gebruikt ransomware namelijk steeds vaker de 'double extortion'-aanpak: niet alleen wordt de data vergrendeld (te ontgrendelen na betalen losgeld), maar steeds vaker wordt data ook buitgemaakt. Waarna de ransomware-groepering dreigt om die data alsnog publiek beschikbaar te maken. Tenzij je betaalt, uiteraard.

Hoewel betalen nog altijd geen garantie is dat niet alsnog gepubliceerd wordt, want ook dat komt genoeg voor.

CAPSLOCK2000

Nederland
Datalek
Economie en maatschappij
Ransomware

@wildhagen • 24 december 2024 14:32

Tegenwoordig gebruikt ransomware namelijk steeds vaker de 'double extortion'-aanpak: niet alleen wordt de data vergrendeld (te ontgrendelen na betalen losgeld), maar steeds vaker wordt data ook buitgemaakt.

Hoewel betalen nog altijd geen garantie is dat niet alsnog gepubliceerd wordt, want ook dat komt genoeg voor.

Daarnaast gebeurt het dat ze tegelijkertijd de klanten ook onder druk zetten om daar ook nog een keer geld op te halen. Daarom is het belangrijk dat het bedrijf waar de data gestolen is dit zo snel mogelijk bekend maakt zodat die klanten a) weten wat er aan de hand is, b) weten dat ze er niet alleen voor staan en c) weten dat betalen voor geheim houding van de diefstal geen zin heeft, het is al bekend. De keerzijde is dat die klanten nu ook druk gaan uitoefenen op het bedrijf om de boeven te betalen zodat hun data niet wordt gepubliceerd.

Toch denk ik dat het beter is want dan kunnen we een open discussie hebben over de juist prijs van data... en de beveiliging daarvan. Als het allemaal in het geheim gebeurt dan lijkt het net alsof beveiliging gratis, perfect én overbodig is want je hoort of ziet niks van incidenten tot je zelf in het geheim wordt afgeperst.

Bor Coördinator Frontpage Admins / FP Powermod

Ransomware

@CAPSLOCK2000 • 24 december 2024 17:08

Daarnaast gebeurt het dat ze tegelijkertijd de klanten ook onder druk zetten om daar ook nog een keer geld op te halen.

Dit gebeurt inderdaad maar met name wanneer de buitgemaakte informatie de klanten chantabel maakt. Denk bv aan een website voor dating met bepaalde voorkeuren, dating voor gebonden mensen, medische informatie over bepaalde aandoeningen etx. Het is zeker geen standaard aanpak en to be honest ook niet iets wat ik met een dataset van een bouwmarkt verwacht.

[Reactie gewijzigd door Bor op 24 december 2024 17:10]

Het.Draakje @wildhagen • 24 december 2024 19:57

Volgens mij heb je het volgende artikel gemist:

review: Ransomware: waarom data nog versleutelen als je het alleen maar hoeft...

Waarom zou je nog versleutelen als je ook gewoon af kunt persen?

Koldur @Aschtra • 24 december 2024 13:54

Er staat gestolen, dus lijkt mij gestolen

Vergrendeld wordt geïmpliceerd door het feit dat het om ransomware gaat.

badboyqxy @Aschtra • 24 december 2024 13:54

Meeste ramsomsoftware vergrendeld je data, maar kopiert deze ook. Alleen na betaling wordt die verwijdert

Blokker_1999

Economie en maatschappij
Ransomware
Datalek
Nederland

@Aschtra • 24 december 2024 14:24

Wanneer er gesproken wordt over ransomware dan is er sowieso data vergrendeld, anders spreken we simpelweg over hackers die data hebben gestolen. En ja, al enkele jaren voert men dan de dubbel uit van zowel diefstal als versleuteling om extra druk te zetten. Al zijn er ondertussen groepen die het vergrendellen van data dan alweer niet meer doen.

frankhan 24 december 2024 14:17

Ik kreeg vrijwel direct ee mail van Groenhart met een verklaring en dat het al opgelost was door een back-up. Nu afwachten of er veel schade is.

raymondw @frankhan • 24 december 2024 14:42

Bestel er met regelmaat wat, maar tot nu toe geen bericht gehad.
Ben wel afgemeld voor alle vormen van commerciële communicatie.

Rembert @frankhan • 24 december 2024 15:00

Deze email ook ontvangen terwijl ik geen commerciële communicatie van ze ontvang. Ik gebruik een uniek wachtwoord voor ze. Buiten mijn adres, btw en kvk nummer stond er volgens mij niet veel van mij in hun systeem op de order-historie na. Nou, die mogen de hackers hebben.

Even op Groenhart-site gekeken om mijn wachtwoord te resetten maar die blijkt nog offline.

SunnieNL

@frankhan • 24 december 2024 17:11

Een backup lost een dataleak niet op en...
Een backup zorgt er ook niet voor dat je niet weer geraakt wordt. Ze zijn al binnen. Dan moet er echt wel iets meer gebeuren dan een backup terugzetten anders worden ze morgen weer getroffen door dezelfde of een andere groep. Grote kans dat er ergens een backdoor open staat die dicht moet.

Stap 1 is vinden van de oorrzaak, kijken of ze niet verder gekomen zijn dan de oorzaak, maatregelen nemen als ze verder zijn gekomen, dan backups terug van alle systemen die geraakt zijn (als dat kan) of ze opnieuw van af baremetal opbouwen, dan zorgen dat dat gat van de oorzaak dicht komt te zitten.

Als ze alleen aangeven dat het opgelost is met een backup terug zetten zou ik ze niet op hun blauwe ogen vertrouwen.

[Reactie gewijzigd door SunnieNL op 24 december 2024 17:11]

Ersus @SunnieNL • 25 december 2024 13:01

Meestal komt een hacker gewoon door de voordeur via een interne medewerker die per ongeluk onwetend een link of bestand opent.
Van backdoor is dan eigenlijk geen sprake.

SunnieNL

@Ersus • 25 december 2024 20:45

Het eerste wat ze doen is een backdoor installeren.
En de voordeur wordt vaak gevoed door een probleem (zoals niet patchen)

DhrRob 24 december 2024 13:54

Oei, dat is geen fijne timing voor de betrokkenen die het mogen oplossen. Hopelijk valt het mee.

barrybaksteen @DhrRob • 24 december 2024 15:47

Dit wordt vaak bewust gedaan vlak voor een (lang) weekend of feestdagen, met als reden dat de bezetting op de it afdelingen vaak laag is.
Hierdoor hebben de kwaadwillenden meer tijd voor de daad.

MzKzM73 24 december 2024 14:50

Ben d'r wel klant maar heb geen on-line account. Sta vast wel in hun systeem want heb wel een klantenpas maar heb (nog) geen mail gehad. Ik krijg normaal gesproken wel de nieuwsbrief dus mijn email is bekend. Komende tijd maar even in de gaten houden.

willemb2 24 december 2024 15:12

Ook de mail ontvangen. Negen jaar geleden dat ik iets online besteld heb maar later wel een paar keer in een filiaal wat gekocht. Gisteren (23 dec) was de site gewoon bereikbaar, maar mijn oude wachtwoord werkte niet meer.

denneke1280 25 december 2024 00:56

Ik geef al jaren pietje puk op. Zonder telefoonnummer en als het zonder adres kon dat ook nog het liefst. Maar ja waar blijven dan de pakjes. Om nou regelmatig naar een dhl punt te rijden is ook wat. Voor de mail gebruik ik simpel login. Super fijn

MrMarcie @denneke1280 • 25 december 2024 18:01

Ik gebruik voor elk bedrijf een apart emailadres (forwarder). Heb ondertussen wel een paar honderd forwarders maar werkt goed en kan ik in mijn Thunderbird ook scheiden met filters.

Canaria 24 december 2024 14:26

Als dit diefstal is, is illegaal downloaden van boeken/muziek/video/software dat ook.
De gegevens zijn er nog, er is alleen een kopie gemaakt.

De ransomewareaanvallers dan wel downloaders van onrechtmatig verkregen gegevens zouden nooit hebben betaald voor al die persoonsgegevens en adressen. Dus er is geen schade, aldus de 'populaire' mening van veel Tweakers.

litebyte @Canaria • 24 december 2024 15:09

Het is geen ontvreemding, maar wel diefstal. snap je het verschil?

gaskabouter @Canaria • 24 december 2024 16:54

Je geeft jezelf al antwoord door te zeggen dat het illegaal is.
Daarnaast gaat het er niet om of de data waarde vertegenwoordigen. Het is gewoon computervredenbreuk en afpersing

Azenomei @Canaria • 24 december 2024 19:11

Mijn mening ook. Ik geef ook mijn gegevens niet aan winkels trouwens. Pakketten komen ook gewoon aan met een wegwerp email, valse naam en 0600000000 als telefoon nummer.

Op dit item kan niet meer gereageerd worden.

Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: