DEVENTER/SNEEK - De rechtbank Noord-Holland heeft drie mannen (23, 23 en 22 jaar) veroordeeld voor diefstal van vouchers/tegoedbonnen in december 2018 tot en met maart 2019. Deze tegoedbonnen hebben ze besteld op een website van Albert Heijn, met onrechtmatig verkregen codes van kerstcadeaukaarten. In totaal zijn er meer dan 700 tegoedbonnen verzilverd ter waarde van ongeveer 17.500 euro.


De 22- en 23-jarige mannen uit Deventer en Sneek hebben allebei een voorwaardelijke celstraf gekregen van een maand. De man uit Deventer kreeg ook een taakstraf van 200 uur. De 23-jarige man uit Hengelo, die een kleiner aandeel in het delict had, heeft een taakstraf gekregen van 120 uur waarvan 40 uur voorwaardelijk.


Diefstal

De 22-jarige verdachte werkte bij de Albert Heijn, onderdeel van Ahold Delhaize. In december 2018 kregen alle werknemers een kerstcadeaukaart met een tegoed van 25 euro. Met de (unieke) code op deze cadeaukaarten kon men op de website van de supermarkt vouchers uitkiezen voor verschillende webshops waaronder Bol.com, Zalando, iTunes, Nintendo en ah.nl.


De 22-jarige ontdekte samen met de 23-jarige medeverdachte dat de cadeaukaartcodes te dupliceren waren door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De 22-jarige heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen. Kort daarna ontdekten de twee dat met een brute force attack op het tekstveld van de website, waarbij een programma willekeurige cijfercombinaties probeert, cadeaukaartcodes gevonden konden worden. De supermarkt ontdekte de misbruik en ging het gesprek aan met de 22-jarige verdachte. Die gaf toe de codes onrechtmatig te hebben gebruikt en de supermarkt heeft hem ontslagen.


Als reactie op de brute force attacks, werd de website van de supermarkt verder beveiligd. Er werd onder meer een blokkade ingesteld van IP-adressen die meerdere keren werden gebruikt en er werd een tweestapsverificatie ingevoerd. De twee verdachten gingen vervolgens op zoek naar manieren om deze beveiligingen te omzeilen. Ze hadden ook beschikking over 10.000 verschillende ip-adressen en maakten gebruik van een grote hoeveelheid verschillende simkaarten. Het grootste deel van de simkaarten werd geleverd door de andere 23-jarige verdachte. De drie verdachten wilden de buit onderling verdelen.


Oordeel rechtbank

Bij de behandeling van de strafzaken had de rechtbank de vraag aan de orde gesteld of er sprake geweest van computervredebreuk, ofwel hacken. Dat achtte de rechtbank niet bewezen. Er was niet binnengedrongen op de servers.


De rechtbank vindt wel bewezen dat de verdachten zich schuldig hebben gemaakt aan diefstal door met onrechtmatig verkregen codes van kerstcadeaukaarten op een website van Albert Heijn vouchers/tegoedbonnen te bestellen. In totaal zijn er meer dan 700 vouchers verzilverd ter waarde van ongeveer 17.500 euro. De website waarop de vouchers konden worden verkregen, moest meermaals offline worden gehaald. Werknemers konden daardoor niet of later hun kerstcadeau verzilveren. Zelfs nadat de website beter was beveiligd, omzeilden de verdachten de beveiligingsmaatregelen op bijzonder geraffineerde wijze en verzilverden ze in korte tijd veel vouchers.

Strafmaat

De rechtbank oordeelt dat voor de 22- en 23-jarige verdachten een (deels) onvoorwaardelijke celstraf van enkele maanden passend is. Omdat de redelijke termijn is overschreden, wordt dit verminderd naar een voorwaardelijke celstraf van een maand en, bij de 22-jarige verdachte, daarnaast een taakstraf van 200 uur.

De 23-jarige verdachte uit Sneek had een training gevolgd van 300 tot 400 uur gericht op ethisch hacken. Hij zet zich er nu voor in dat organisaties de kwetsbaarheden van hun systemen beter leren kennen.


De andere 23-jarige is slechts een korte periode betrokken geweest bij het plegen van de feiten, maar liet wel een buitengewone gretigheid zien om zoveel mogelijk geld te verdienen. De rechtbank legt hem een taakstraf op van 120 uur waarvan 40 uur voorwaardelijk.