Fraudegevoeligheid van QR-codes Werchter al jaren bekend

Een festivalbandje van TW CLassic 2023 © Inti De Ceukelaire
Pieterjan Van Leemputten

De ontdekking dat je iemands krediet op een festivalbandje van Werchter kan inkijken en overdragen is niet nieuw. Weezevent, bedrijf achter de technologie, weet al sinds 2017 van het probleem maar lijkt niet van plan dat aan te passen.

Deze week toonde ethisch hacker Inti De Ceukelaire aan dat het relatief eenvoudig is om met de QR-code op het festivalbandje van Werchter Boutique en TW Classic iemands bestellingen te bekijken, maar dat je dan ook resterend krediet kan overschrijven naar je eigen bankrekening als de gebruiker geen online account heeft waar dat bandje aan gekoppeld is.

Live Nation reageerde toen dat het geen weet heeft van fraudegevallen en waarschuwt sindsdien dat festivalgangers beter geen foto’s van hun QR-code op sociale media delen.

Maar het probleem is wel degelijk bekend, hetzij niet op een festival van Live Nation. In 2017 al ontdekte Der Spiegel dat dat op de Duitse editie van Lollapalooza vrijwel een identieke situatie mogelijk was. Leverancier van die technologie was het Belgische PlayPass, sinds 2020 opgegaan in het Franse Weezevent. Hetzelfde bedrijf dat die oplossing aan TW Classic, Werchter Boutique en Rock Werchter levert.

De inhoud op deze pagina wordt momenteel geblokkeerd om jouw cookie-keuzes te respecteren. Klik hier om jouw cookie-voorkeuren aan te passen en de inhoud te bekijken.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."

Der Spiegel kon destijds van verschillende bemachtigde QR-codes bedragen van tientallen euros laten overschrijven naar hun eigen rekening. Nadien sloot Lollapalooza die optie en moest wie te laat zijn geld terugvroeg de organisatie zelf contacteren.

Weezevent: ‘Fraude is onmogelijk’ (maar dat klopt niet)

Data News nam contact op met Weezevents om te vragen waarom het, zes jaar na het incident in Duitsland, haar procedures of technologie niet heeft aangepast. We vroegen ook of het van plan was om dat alsnog te doen nu het probleem ook in België bekend is.

Telefonisch gaf Weezevent niet thuis. Ook David De Wever, destijds CEO van PlayPass en managing director Weezevent Belgium, was telefonisch niet bereikbaar voor commentaar (update: onderaan dit artikel reageert De Wever alsnog). Per mail kregen we wel een reactie van Pierre-Henri Deballon, medeoprichter en CEO van het nieuwe bedrijf Weezevent, maar die reactie bevat feitelijke onjuistheden.

‘Er is nooit diefstal vastgesteld na miljarden transacties… Deze fraude is onmogelijk (of stom, als je het zo wil noemen) omdat om het geld over te schrijven, je je bankrekeningnummer moet geven (dus we weten wie de ‘dief’ is). Sorry maar hier ga je de Pullitzer [sic] niet mee winnen ;-))))’ Aldus Deballon in een schriftelijke reactie aan Data News.

Deballon verdraait hier echter de waarheid. Der Spiegel kon in 2017 al geld overschrijven dus dat er nooit zulke dingen zijn vastgesteld is feitelijk onjuist.

Ook over de bankrekening klopt de redenering niet echt. Ja, de identiteit achter een Europese bankrekening is te achterhalen. Maar de afgelopen 15 jaar gebruiken internetoplichters vaak zogenaamde money mules. Mensen die zich laten overtuigen (of oplichten) om hun bankrekening ter beschikking te stellen van criminelen, om dat geld dan snel af te halen of door te sturen. Vaak worden deze mensen zelf wel opgepakt en veroordeeld, maar de grote daders niet. Dat overschrijven naar een bankrekening de ‘dief’ identificeerbaar maakt, is dus een fabeltje als die dief het wat handiger aanpakt. Die techniek is al jaren bekend bij de politie, ook in ons land.

Rock Werchter: registreren, of geld op festivalbandje blijft kwetsbaar

We wezen Deballon op die denkfout, maar kregen nog geen reactie. Er lijkt alvast geen intentie om de procedures van Weezevent aan te passen. Dat wil ook zeggen dat er nog steeds kan gefraudeerd worden met geld op je festivalbandje van Rock Werchter, dat volgende week doorgaat. In een bijkomende reactie (onderaan dit artikel) na publicatie van dit artikel nuanceert Weezevent wel dat het niet op grote schaal kan.

Het is sterk aangeraden om geen foto’s van de QR-code of de lettercode op de achterkant te delen. Maar let er ook op als iemand foto’s neemt waar die code op kan staan. Ethisch hacker Inti De Ceukelaire schreef deze week nog op zijn blog dat de beste beveiliging is om een account bij Rock Werchter aan te maken en je code daaraan te linken. Dan kan het geld niet naar een ander rekeningnummer worden overgedragen.

Data News vroeg ook Live Nation, de organisator achter de festivals in Werchter en klant bij Weezevent, om een reactie. De festivalorganisator zegt niet op de hoogte te zijn van de vaststelling uit 2017. Het zegt wel dat PlayPass/Weezevent haar degelijkheid op meerdere internationale festivals heeft bewezen, maar het heeft de nieuwe info wel overgemaakt en meer uitleg gevraagd.

Update 12 uur:

David De Wever, hoofd van Weezevent in België, nuanceert dat er wel degelijk systemen zijn om grootschalig misbruik te beperken. ‘Het aantal dubbele bankrekeningen wordt wel gedetecteerd. Als iemand hetzelfde rekeningnummer opgeeft voor 3 of meer festivalbandjes, dan wordt dat intern aangeduid en zal onze support dat verder opvolgen en die mensen contacteren.’

Omdat die terugbetaling pas enkele dagen na het festival mogelijk is, en er gemiddeld een week zit tussen die aanvraag en de terugstorting, is er ook tijd voor die analyse. De Wever erkent dat het mogelijk is, maar benadrukt dat op grote schaal frauderen niet mogelijk is. ‘Het gemiddeld bedrag hierop ligt onder de tien euro. En als je een account hebt aangemaakt dan wordt het bedrag via dezelfde transactie teruggestort.’

Tot slot benadrukt De Wever ook dat krediet overdragen door iemands QR-code te registreren en een ‘verloren’ bandje te melden ook lastiger is dan het lijkt. Zo moet je doorgaans ook een aankoopbewijs kunnen tonen. ‘Zelfs als je daar in slaagt, gaat de originele eigenaar bij de volgende bestelling merken dat hun bandje niet meer geldig is en komen ze zelf naar de support boot. Nadien gaat aan een drankstand ook snel duidelijk worden wanneer het een dief is die iets bestelt.’

Update 12.15 uur:
De laatste paragraaf van het origineel artikel is aangevuld met de reactie van festivalorganisator Livenation.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content