Drie mannen uit Deventer, Sneek en Hengelo veroordeeld voor de diefstal van tegoedbonnen van Albert Heijn. Dat gebeurde van december 2018 tot en met maart 2019. Ze bestelden vouchers op een website van Albert Heijn, met verdonkeremaande codes van kerstcadeaukaarten.
In totaal zijn er meer dan 700 tegoedbonnen verzilverd ter waarde van ongeveer 17.500 euro. De 22- en 23-jarige mannen uit Deventer en Sneek kregen allebei een voorwaardelijke celstraf van een maand; de man uit Overijssel kreeg daar nog een taakstraf van 200 uur bovenop. De 23-jarige man uit Hengelo, die een kleiner aandeel in het delict had heeft een taakstraf van 120 uur gekregen, waarvan 40 uur voorwaardelijk.
Werknemer
De jongste van het trio werkte bij de Albert Heijn toen in december 2018 alle werknemers een kerstcadeaukaart met een tegoed van 25 euro kregen. Met de (unieke) code op deze kaarten kon men op de website van de supermarkt vouchers uitkiezen voor verschillende webshops waaronder Bol.com, Zalando, iTunes, Nintendo en AH. Hij ontdekte samen met de man uit Sneek dat de codes te dupliceren waren door op hezelfde moment dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo meerdere vouchers tegelijk te verkrijgen.
Ontslagen
Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De Deventenaar kocht van twee collega’s cadeaukaarten over om dit te kunnen doen. Kort daarna ontdekten de twee dat met een zogenoemde brute force attack op het tekstveld van de website, waarbij een programma willekeurige cijfercombinaties probeert, codes ook gevonden konden worden. De supermarkt ontdekte de truc ook en ontsloeg het brein erachter.
En weer door…
Als reactie op de brute force attacks werd de website van AH verder beveiligd met onder meer een blokkade van de IP-adressen die meerdere keren werden gebruikt en de invoering van een tweestapsverificatie. De twee verdachten gingen vervolgens op zoek naar manieren om de beveiligingen te omzeilen. Ze hadden daarbij beschikking over 10.000 IP-adressen en maakten gebruik van een groot aantal simkaarten. Het grootste deel van de simkaarten werd geleverd door de tweede 23-jarige verdachte. De drie wilden de buit onderling verdelen.
Diefstal bewezen
Bij de behandeling van de strafzaken stelde de rechtbank de vraag aan de orde of er sprake geweest van was computervredebreuk, ofwel hacken. Dat achtte de rechtbank niet bewezen: er was niet binnengedrongen op de servers. De rechtbank vindt wel bewezen dat de verdachten zich schuldig hebben gemaakt aan diefstal door met de onrechtmatig verkregen codes vouchers te bestellen. De website waarop de vouchers konden worden verkregen moest meermaals offline worden gehaald, waardoor andere medewerkers hun kerstcadeau niet of pas later konden verzilveren.
Ethisch hacken
Dat de twee hoofdverdachten niet daadwerkelijk achter de tralies belanden komt omdat de feiten al zo lang geleden geepleegd zijn. Dat leidde tot een strafvermindering. De man uit Sneek heeft inmiddels een training gevolgd gericht op ethisch hacken. Hij zet zich er nu voor in dat organisaties de kwetsbaarheden van hun systemen beter leren kennen.
