PlusAchtergrond

Handel in gestolen accounts deelscooters: ‘Met rijbewijs en betaalgegevens’

Accounts van Felyx-deelscooters worden gehackt en online verhandeld. Voor nog geen twintig euro worden de accounts aangeboden, inclusief rijbewijs en betaalgegevens van een ander.

De groene deelscooters zijn inmiddels een bekend gezicht in Amsterdam.Beeld Hollandse Hoogte / ANP

‘Koop nu je Felyx Scooter Account bij mij en geniet van gratis scooter rijden! Alle accounts die ik verkoop hebben rijbewijs + betaalgegevens gekoppeld,’ staat er bovenaan het bericht op chatdienst Telegram. Het bericht werd verzonden in verschillende chatgroepen en bereikt honderden mensen.

Gebruikers van de elektrische groene deelscooters vullen normaliter voor gebruik eerst hun betaalgegevens in en valideren hun rijbewijs via het verificatiesysteem van de Felyx-app. Juist die geverifieerde accounts worden doorverkocht. Een koper kan vervolgens kosteloos en zonder rijbewijs een scooter huren en rijden.

Vorige week nog pakte de politie tijdens een controle een scooterrijder op die was ingelogd op het account van een ander. De politie had al een vermoeden dat er zonder rijbewijs wordt gereden op de Felyx-scooters in het centrum van Amsterdam op gehackte accounts van nietsvermoedende huurders, schreef verkeersagent Jeroen Heuts op Twitter.

Hoeveel mensen zo’n account ook daadwerkelijk kopen is nog niet bekend. De politie weet dat het gebeurt, maar precieze aantallen zijn er niet. “Het hacken van accounts wordt niet bij ons geregistreerd,” laat een woordvoerder van de politie weten.

Felyx-accounts worden aangeboden via chat-app Telegram.Beeld Het Parool

Dezelfde wachtwoorden

Volgens beveiligingsexpert Rickey Gevers neemt dit soort cybercrime in rap tempo toe. “Mensen denken dat hacken iets heel moeilijks is, maar het is een van de makkelijkste en meest voorkomende manieren van cybercrime.” Vaak worden dit soort accounts gehackt door middel van het zogenoemde credential stuffing: het verzamelen van inloggegevens en vervolgens checken of ze nog werken. 

Die logingegevens komen ‘op straat’ te liggen bij datalekken. Vorig jaar nog was er een groot lek bij de stamboomsite MyHeritage. Daarbij werden er circa 92 miljoen mailadressen en versleutelde wachtwoorden gestolen. Gevers: “Cybercriminelen gaan vervolgens proberen met diezelfde inloggegevens op een andere site in te loggen. Als dat lukt, kunnen ze die doorverkopen.”

En dat gaat te gemakkelijk, vindt Gevers. “Mensen gebruiken nog altijd dezelfde wachtwoorden voor verschillende websites. Dan ben je vatbaar voor dit soort hacks.”

Gevers startte om leken te helpen daarom ScatteredSecrets.com op. Consumenten kunnen daar kosteloos hun mailadres invoeren en kijken welke wachtwoorden er van hen rondzwerven. “Van een op de twee mensen die bij ons inlogt, zijn er wachtwoorden bekend. Dat is heel erg veel.”

Maatregelen Felyx

Maarten Poot, medeoprichter van Felyx, laat weten dat het bedrijf op de hoogte is van het fenomeen. Volgens hem wordt er slechts incidenteel ingelogd op het account van een ander. “Bij een inlogpoging en zodra een scooter wordt gereserveerd, wordt een e-mail gestuurd naar de accounthouder. We roepen iedereen op om direct te bellen met onze klantenservice wanneer onverwachts een dergelijk bericht binnenkomt.” 

Ook is het bedrijf bezig met ‘technische ingrepen om te verhinderen dat criminelen kunnen inloggen op andermans account’. “Vanaf volgende week komt daar tweestapsverificatie bij,” aldus Poot. Dat verplicht gebruikers op twee manieren in te loggen voor ze gebruik kunnen maken van de deelscooter.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden