Namen, adressen, telefoonnummers, wachtwoorden: privacygevoelige informatie van 727.000 klanten in 14 landen liggen op straat door een datalek bij Foodora. Uit een analyse van Scattered Secrets zijn de gegevens van zo’n 50.000 Nederlanders gelekt. Het gaat om klanten die tussen 2015 en 2016 gebruik maakten van de diensten van de maaltijdbezorger. Moederbedrijf Delivery Hero bevestigt het datalek tegenover Data Breach Today.
Thuisbezorgd.nl, TakeAway, Deliveroo, UberEats: in ons land zijn een groot aantal maaltijdbezorgers actief. Tot 2018 bood Foodora zijn maaltijdbezorgdiensten aan in Nederland. Dat jaar besloot moederbedrijf Delivery Hero om de stekker uit de dienst te trekken, omdat ze er niet in slaagde om een koper voor de Nederlandse tak te vinden. Het bedrijf had enkele tienduizenden klanten.
Nu komt naar buiten dat er een groot datalek heeft plaatsgevonden bij Foodora. De gegevens die gelekt zijn gaan terug tot 2016. Wereldwijd gaat het om 727.000 accounts in 14 landen. Naast (gebruikers)namen en wachtwoorden zijn ook adressen en telefoonnummers buitgemaakt door hackers. Ook de bestelgeschiedenis ligt op straat, inclusief locatiegegevens en notities die klanten bij hun bestelling plaatsten.
De hack vond naar verluidt al in 2019 plaats. De database met de buitgemaakte gegevens werd sinds 19 mei op diverse hackerfora aangeboden. De oudste gegevens stammen uit augustus 2015, de jongste gegevens gaan terug tot april 2016. De database bevat per land twee type SQL-files. De een heeft het label CustomerAddress.sql, de ander Customers.sql. Voor ons land gaat het om 37,8 MB aan data.
Rickey Gevers van Scattered Secrets, een organisatie die gehackte databases onderzoekt, vertelt tegenover BNR Nieuwsradio dat de gegevens van zijn collega Iwan Verrips zijn gelekt. Hij waarschuwt dat als de gegevens in de verkeerde handen belandt, ze gebruikt kunnen worden voor phishing, identiteitsfraude en andere vormen van oplichting.
Volgens Gevers zijn bij 22.000 Nederlanders de wachtwoorden gehasht met bcrypt. Door deze beveiligingsmaatregel zijn deze gegevens heel lastig te kraken. “Toevallig zijn wij daar heel goed in”, zegt hij tegenover BNR Nieuwsradio. Zijn organisatie is naar eigen zeggen in staat om 20 tot 30 procent van deze wachtwoorden te kraken. Dat zijn de wachtwoorden die gelekt zijn.
De kleine cybercrimineel kan met de gehashte wachtwoorden volgens Gevers niet veel mee. Het kost namelijk “tienduizenden euro’s” om wachtwoorden met deze beveiliging te kraken. “Overheden of serieuze partijen kunnen dat wel”, zo waarschuwt hij. Hij schat in dat het risico niet direct heel groot is voor slachtoffers.
