Hack plaatsgevonden via Sumup - Persoonlijke financiën, studie en loopbaan

maandag 3 februari 2025 10:44

Acties:

0 Henk 'm!

Topicstarter

Helaas heeft er recent bij een bevriende stichting een hack plaatsgevonden via Sumup.
De rekening was standaard zo ingesteld dat op het einde van de week het geld automatisch naar een NL-zakelijke rekening van een NL bank werd gestuurd. So far so good.
Het is nog niet duidelijk of Sumup het volgende geinitieerd heeft of de hacker, maar Sumup biedt ook een Business account aan met een Ierse IBAN zodat het geld niet automatisch einde week naar de NL rek gaat maar daar wordt vastgehouden tot verdere instructies.
Nadat deze rekening binnen Sumup is geopend hebben de hackers toegeslagen door steeds geld te vesturen naar NL-se Paypal accounts en een Amerikaanse webhoster, maar ook naar Ierse IBAN accounts. 2FA stond niet aan, en na 3 weken is de hack ondekt en gedicht. (lees rekeningen etc geblokkeerd).
Vanuit Sumup is er weinig tot geen feedback/actie, er is een zaak geopend maar dit leid tot weinig concreets (we zijn nu ongeveer 6 weken verder).
Ontvreemd bedrag kent 6 getallen, dus geen kleine zaak lijkt mij, Aangifte is gedaan bij politie, echter geen verdere actie vanuit hen.

Sumup heeft wat voorwaarden veranderd rond tijdstip hack maar voor reeds bestaande klanten gelden de oude nog tot feb 2025 en er lijkt zo snel geen relatie tot het openen van de zogehete Business Account binnen Sumup.

Hebben andere hier soort gelijke ervaringen? Wellicht aanwijzingen welke actie(s) te ondernemen?

Alvast grote dank!

maandag 3 februari 2025 10:49

Acties:

+7 Henk 'm!

XelaRetak

menn0 schreef op maandag 3 februari 2025 @ 10:44:
Helaas heeft er recent bij een bevriende stichting een hack plaatsgevonden via Sumup.
De rekening was standaard zo ingesteld dat op het einde van de week het geld automatisch naar een NL-zakelijke rekening van een NL bank werd gestuurd. So far so good.
Het is nog niet duidelijk of Sumup het volgende geinitieerd heeft of de hacker, maar Sumup biedt ook een Business account aan met een Ierse IBAN zodat het geld niet automatisch einde week naar de NL rek gaat maar daar wordt vastgehouden tot verdere instructies.
Nadat deze rekening binnen Sumup is geopend hebben de hackers toegeslagen door steeds geld te vesturen naar NL-se Paypal accounts en een Amerikaanse webhoster, maar ook naar Ierse IBAN accounts. 2FA stond niet aan, en na 3 weken is de hack ondekt en gedicht. (lees rekeningen etc geblokkeerd).
Vanuit Sumup is er weinig tot geen feedback/actie, er is een zaak geopend maar dit leid tot weinig concreets (we zijn nu ongeveer 6 weken verder).
Ontvreemd bedrag kent 6 getallen, dus geen kleine zaak lijkt mij, Aangifte is gedaan bij politie, echter geen verdere actie vanuit hen.

Sumup heeft wat voorwaarden veranderd rond tijdstip hack maar voor reeds bestaande klanten gelden de oude nog tot feb 2025 en er lijkt zo snel geen relatie tot het openen van de zogehete Business Account binnen Sumup.

Hebben andere hier soort gelijke ervaringen? Wellicht aanwijzingen welke actie(s) te ondernemen?

Alvast grote dank!

Lijkt me goed dit af te splitsen tot een apart topic, want het heeft in het huidige topic niets te zoeken en krijgt waarschijnlijk ook minder aandacht.

wbt 6 cijfers in een paar weken via Sumup, en dan geen 2FA aan hebben staan, zou ik beginnen met de bedrijfs veiligheidsprocessen eens bijzonder grondig door te nemen.

maandag 3 februari 2025 11:32

Acties:

0 Henk 'm!

ZieMaar!

Moderator General Chat

Afgesplitst naar een eigen topic

maandag 3 februari 2025 12:34

Acties:

+3 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Met welke voorwaarden zijn jullie akkoord gegaan? De Amerikaanse https://www.sumup.com/en-us/terms/ en https://www.sumup.com/en-us/terms/us-sumup-kiosk/ zijn zacht gezegd niet in jullie voordeel. Maar ik neem aan dat het gaat om https://www.sumup.com/nl-...5-s-NLSPJAN25-s-NLSPJAN25

Bij dat soort bedragen wil je sowieso een jurist inhuren voor advies en om de dienstverlener aansprakelijk te stellen. Of dat een Ierse of Nederlandse moet zijn: ik vermoed dat eerste (je hebt getekend voor dat de zaak voor een Ierse rechter wordt gebracht en bij B2B is er contractvrijheid, ik denk niet dat dit een onrechtmatig beding is maar ben geen expert).

Dat er wel MFA mogelijk is maar het niet in gebruik was is daarbij in jullie nadeel. Zoek op of Sumup jullie ooit heeft gewezen op het belang er van. Ik geef je weinig kans als zij kunnen bewijzen dat ze dat gedaan hebben. Dan zullen ze het nu vast op nalatigheid gooien. Dan kan je misschien nog reageren met dat ze het vanuit hun zorgplicht hadden moeten verplichten.

Waar ik 'jullie' schrijf bedoel ik natuurlijk de stichting. Dit leest makkelijker.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 3 februari 2025 12:40

Acties:

+1 Henk 'm!

boyette

F_J_K schreef op maandag 3 februari 2025 @ 12:34:
Met welke voorwaarden zijn jullie akkoord gegaan? De Amerikaanse https://www.sumup.com/en-us/terms/ en https://www.sumup.com/en-us/terms/us-sumup-kiosk/ zijn zacht gezegd niet in jullie voordeel. Maar ik neem aan dat het gaat om https://www.sumup.com/nl-...5-s-NLSPJAN25-s-NLSPJAN25

Bij dat soort bedragen wil je sowieso een jurist inhuren voor advies en om de dienstverlener aansprakelijk te stellen. Of dat een Ierse of Nederlandse moet zijn: ik vermoed dat eerste (je hebt getekend voor dat de zaak voor een Ierse rechter wordt gebracht en bij B2B is er contractvrijheid, ik denk niet dat dit een onrechtmatig beding is maar ben geen expert).

Dat er wel MFA mogelijk is maar het niet in gebruik was is daarbij in jullie nadeel. Zoek op of Sumup jullie ooit heeft gewezen op het belang er van. Ik geef je weinig kans als zij kunnen bewijzen dat ze dat gedaan hebben. Dan zullen ze het nu vast op nalatigheid gooien. Dan kan je misschien nog reageren met dat ze het vanuit hun zorgplicht hadden moeten verplichten.

Waar ik 'jullie' schrijf bedoel ik natuurlijk de stichting. Dit leest makkelijker.

sumup is ook geen bank
dus wat dat betreft heb je hele andere rechten

@menn0 wat duidt er precies op een hack?
Waren er meerdere mensen op de hoogte waren van het wachtwoord?
wat sluit die mensen uit?

[ Voor 5% gewijzigd door boyette op 03-02-2025 12:43 ]

maandag 3 februari 2025 13:12

Acties:

0 Henk 'm!

menn0

Topicstarter

Sumup heeft zoals ik nu gezien heb 2 mogelijkheden voor de opgesomde tegoeden;

1. Dit wordt standaard einde week overgemaakt naar IBAN X
2. Dit blijft bij Sumup op een Ierse rekening. Dat zal een partner bank zijn van Sumup dat zag ik zo snel niet

Dit account was altijd zo ingesteld dat de gelden einde week overgemaakt werden naar deze zakelijke NL-se IBAN. Dat ging goed tot half dec vorig jaar.

Toen is er zonder medeweten van de eigenaar het volgende gedaan;

1. Er is een Sumup / Ierse zogeheten Business Account geopend. Dit kan klaarblijkelijk zonder verificatie van de eigenaar van het account (kom ik nog even op terug)
2. Vanuit die account binnen het Sumup realm is er vervolgens in stappen van meestal EUR 500 of iets minder geld weggesluisd naar voornamelijk Paypal accounts, vooral NL-se.

Wat is de hack?
De hack is dus dat er toegang is verkregen tot het account, hoe is vooralsnog onduidelijk en of dit uberhaupt gedaan is via een breach van bijvoorbeeld email is ook onduidelijk. In die zin lijkt me dat ook stap 1 om goed te gaan begrijpen wat hier nou precies gebeurd is, feiten zijn zoals boven beschreven, de methodiek van uitbetalen is gewijzigd van automatisch overmaken naar NL zakelijk account naar in-house Business Account, en vervolgens zijn de daar geaccumuleerde tegoeden naar Paypal accounts uitbetaald.

De hackers hadden blijkbaar die wijziging in het uitbetalingsprofiel gebruikt om er voor te zorgen dat de tegoeden daar accumuleerden, het had denk ik ook zonder gekunt maar dan zouden ze toegang hebben gehad tot (veel) minder tegoeden omdat die reeds automatisch werden overgemaakt naar een zakelijk NL account.

Waarom en hoe Sumup deze uitbetalingsmanier heeft kunnen wijzigen zonder dit eerst te verifieren met de eigenaar is onduidelijk. Ik zoek dan ook wat tech savy gebruikers om iets beter te begrijp wat hier heeft kunnen gebeuren. Voor de duidelijkheid ben ik niet degene die dit overkomen is maar probeer iemand hierin bij te staan en te bezien wat mogelijke vervolgstappen kunnen zijn. Voor nu wordt Sumup niet meer gebruikt.

maandag 3 februari 2025 13:23

Acties:

+1 Henk 'm!

oohh

Zijn er meerdere mensen die toegang hebben tot het Sumup account? Wie heeft er toegang tot het e-mailadres dat aan Sumup gelinkt is? Zou het ook iemand binnen de stichting zelf kunnen zijn?

maandag 3 februari 2025 13:29

Acties:

0 Henk 'm!

menn0

Topicstarter

F_J_K schreef op maandag 3 februari 2025 @ 12:34:
Met welke voorwaarden zijn jullie akkoord gegaan? De Amerikaanse https://www.sumup.com/en-us/terms/ en https://www.sumup.com/en-us/terms/us-sumup-kiosk/ zijn zacht gezegd niet in jullie voordeel. Maar ik neem aan dat het gaat om https://www.sumup.com/nl-...5-s-NLSPJAN25-s-NLSPJAN25

Bij dat soort bedragen wil je sowieso een jurist inhuren voor advies en om de dienstverlener aansprakelijk te stellen. Of dat een Ierse of Nederlandse moet zijn: ik vermoed dat eerste (je hebt getekend voor dat de zaak voor een Ierse rechter wordt gebracht en bij B2B is er contractvrijheid, ik denk niet dat dit een onrechtmatig beding is maar ben geen expert).

Dat er wel MFA mogelijk is maar het niet in gebruik was is daarbij in jullie nadeel. Zoek op of Sumup jullie ooit heeft gewezen op het belang er van. Ik geef je weinig kans als zij kunnen bewijzen dat ze dat gedaan hebben. Dan zullen ze het nu vast op nalatigheid gooien. Dan kan je misschien nog reageren met dat ze het vanuit hun zorgplicht hadden moeten verplichten.

Waar ik 'jullie' schrijf bedoel ik natuurlijk de stichting. Dit leest makkelijker.

Dank voor je reactie. Uiteraard zal een jurist van toepassing zijn mochten we niet veel wijzer worden in de komende weken. Overigens is procederen in het buitenland zeker geen optie voor het bedrag waar het hier om gaat. Niet weinig maar gelukkig ook niet zo veel. De Ierse ombudsman zou een beter alternatief zijn, maar vooralsnog ga ik er vanuit dat Sumup samen met de stichting kijkt wat er precies is gebeurd, en vooralsnog dus in hetzelfde team zittten.

En inderdaad is MFA natuurlijk een punt, en is de zorgplicht B2B een stuk zwakker, en op zich begrijp ik dat prima. Echter is het idd niet heel moeilijk te argumenteren dat je MFA als financiele instelling gewoon verplicht moet stellen, voor ons tweakers allemaal helder, voor stichtingen in de culturele sector vaak ver van hun ben show, Dan helpt plicht een stuk beter dan optioneel.

Ik zal wat verder in de voorwaarden duiken, bij mijn weten zijn dit de NL-se voor bestaande klanten die nog tot feb 2025 van kracht zijn.

maandag 3 februari 2025 13:35

Acties:

0 Henk 'm!

menn0

Topicstarter

oohh schreef op maandag 3 februari 2025 @ 13:23:
Zijn er meerdere mensen die toegang hebben tot het Sumup account? Wie heeft er toegang tot het e-mailadres dat aan Sumup gelinkt is? Zou het ook iemand binnen de stichting zelf kunnen zijn?

Wat ik zo snel zie, is dat je op een terminal met de app, dus laten we zeggen een telefoon of tablet het artikel moet aanslaan. Er is dus inherent toegang tot de app. En ja er zijn medewerkers met die toegang. Het verhaal van de stichting tot nu toe is, dat SumUp het beleid wijzigde in decemeber en dat zij die Business Account geopened hebben.
Mocht dat zo zijn, dan ligt het waarschijnlijk meer in die hoek, maar uiteraard sluiten we niets uit op dit moment. Over het algemeen is het zo dat medewerkers geen tijd hebben om al deze stappen uit te voeren maar goed. Ik neem aan dat zelfs als zijn het device in handen hebben niet het huidige wachtwoord kunnen zien, en dus makkelijker later dat op hun gemak konden doen.
Waarschijnlijk zeggen meerdere stichtingen dit, maar goed, toch gezegd.... de vrijwilligers die bij de instelling werken zijn in ieder geval verrrr van je usual suspects aangaande diefstal en fraude. Maar goed, I get it, you never know!

maandag 3 februari 2025 13:42

Acties:

+1 Henk 'm!

FredvZ

menn0 schreef op maandag 3 februari 2025 @ 13:35:
Wat ik zo snel zie, is dat je op een terminal met de app, dus laten we zeggen een telefoon of tablet het artikel moet aanslaan. Er is dus inherent toegang tot de app. En ja er zijn medewerkers met die toegang.

Allemaal met hetzelfde account? Sumup biedt de mogelijkheid om per kassamedewerker een account aan te maken met beperkte rechten.

Het verhaal van de stichting tot nu toe is, dat SumUp het beleid wijzigde in december en dat zij die Business Account geopened hebben.

Ik gebruik ook Sumup en heb helemaal geen beleidswijziging voorbij zien komen in december.
Zou het kunnen zijn dat iemand op een link van een phising mail heeft geklikt?

De keuze voor een bedrijfsrekening lijkt bij mijn account helemaal vrijwillig te zijn.

Spel en typfouten voorbehouden

maandag 3 februari 2025 14:20

Acties:

0 Henk 'm!

One-eye864

FredvZ schreef op maandag 3 februari 2025 @ 13:42:
[...]

Ik gebruik ook Sumup en heb helemaal geen beleidswijziging voorbij zien komen in december.
Zou het kunnen zijn dat iemand op een link van een phising mail heeft geklikt?

Hier even op inhakend heb ik de laatste weken regelmatig spammails binnengekregen om mijn gegevens bij Sumup te valideren. Daarnaast denk ik dat sommige spammails ook gingen over aangepaste voorwaarden. Ik zou dit dus ook zeker niet uitsluiten als optie!

maandag 3 februari 2025 14:25

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

De voorwaarden voor / na december 2024 staan zo op de site dus dat zal vast kloppen: https://www.sumup.com/nl-nl/juridische-informatie

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 6 februari 2025 12:52

Acties:

0 Henk 'm!

menn0

Topicstarter

10 DEC is de volgende email verstuurd vanuit; "no-reply@crm.sumup.com"

Beste ????????,

SumUp heeft een aantal geweldige nieuwe manieren geïntroduceerd om het
voor u gemakkelijker te maken om uw geld te ontvangen en te beheren. We
streven ernaar ons beleid zo duidelijk en begrijpelijk mogelijk te
maken.

Daarom hebben we onze Algemene voorwaarden en onze Betalingsvoorwaarden
bijgewerkt. Vanaf 10-2-2025 worden ze van kracht.

Dit zijn de nieuwe functies:

Met Tap to Pay van SumUp kunt u nu betalingen via uw telefoon
accepteren en hebt u geen pinapparaat meer nodig.

Met de Bedrijfsrekening van SumUp, nu ingesteld als standaardrekening,
krijgt u sneller toegang tot uw uitbetalingen.

Subrekeningen creëren op uw Bedrijfsrekening van SumUp.

We zijn voortdurend bezig deze diensten wereldwijd uit te breiden.
Daarom zijn sommige diensten of functies mogelijk nog niet beschikbaar
in uw land. Ga naar de website van SumUp voor uw locatie voor een
actuele lijst met producten en diensten die momenteel beschikbaar zijn.

Hier is dus wel degelijk (tenzij valse email zou zijn) te zien dat Sumup, een zeer belangrijke wijziging heeft toegepast, eenzijdig.

Herkenbaar?

donderdag 6 februari 2025 13:03

Acties:

0 Henk 'm!

dutchgio

Geen linkje in de mail, geen noodzaak tot snelle actie. Dat lijkt mij niet direct een phishing mail.

vrijdag 7 februari 2025 21:16

Acties:

0 Henk 'm!

FredvZ

menn0 schreef op donderdag 6 februari 2025 @ 12:52:
Herkenbaar?

Dat mailtje was bij mij al in de prullenbak beland

Blijkbaar dus exact hetzelfde mailtje ontvangen. Echter is er niks veranderd aan de uitbetalingsinstellingen, ik moet nog steeds handmatig overschakelen naar een bedrijfsrekening mocht ik daar gebruik van willen maken.

Spel en typfouten voorbehouden

zondag 9 februari 2025 11:14

Acties:

0 Henk 'm!

menn0

Topicstarter

Bij deze klant is deze wijziging wel effectief gemaakt, en 2 dagen later is een phishing mail ontvangen. Er is nu heel langzaam iets meer tractie bij Sumup.
Of de phising email 2 dagen later feitelijk een rol speelt, lijkt onwaarschijnlijk de eigenaar meent die ook gelijk getrashed te hebben. Die was overigens vrij duidelijk phising.

woensdag 19 maart 2025 15:33

Acties:

+3 Henk 'm!

qtpie

Ik ben benieuwd hoe dit is verlopen, want bij een vriend van mij is hetzelfde gebeurd. Kleine stichting, 0 technische of financiële kennis, laten zich daardoor graag ontzorgen door sumup. De hacker heeft de methode van uitbetaling aangepast richting meerdere PayPal-accounts en buitenlandse rekeningen met allemaal overboekingen van €999. Resultaat na twee maanden: €10.000 schade.

Ik vind het schokkend dat Sumup als financiële dienstverlener zijn klanten niet beter beschermt.
- Geen 2fa verplichting.
- Geen extra controle bij de zeer onregelmatig voorkomende en fraudegevoelige handeling van het aanpassen van de uitbetalingwijze.
- Geen of zeer slechte fraudedetectie: uitbetalen naar meerdere PayPal-accounts en buitenlandse rekeningen.

Doet me sterk denken aan de casus van Bunq onlangs, die zijn na in eerste instantie weigeren ook overgegaan op vergoeding aan de klanten.

woensdag 19 maart 2025 16:15

Acties:

+3 Henk 'm!

toolkist

qtpie schreef op woensdag 19 maart 2025 @ 15:33:

Ik vind het schokkend dat Sumup als financiële dienstverlener zijn klanten niet beter beschermt.
- Geen 2fa verplichting.
- Geen extra controle bij de zeer onregelmatig voorkomende en fraudegevoelige handeling van het aanpassen van de uitbetalingwijze.
- Geen of zeer slechte fraudedetectie: uitbetalen naar meerdere PayPal-accounts en buitenlandse rekeningen.

Ik vind het schokkend dat men zaken doet met een partij zonder 2fa in te (kunnen?) stellen en op zn minst apart dat men maar zo incidenteel naar een bankrekening kijkt

woensdag 19 maart 2025 16:22

Acties:

0 Henk 'm!

NiGeLaToR

Ik ga dit met interesse lezen - vooral ook hoe men dit gaat oplossen en wat de ingang en methode van de hack blijkt te zijn. In de tussentijd hoop ik maar op een goede afloop.

Listen & subscribe to my Life as a Journey Podcast

woensdag 19 maart 2025 16:29

Acties:

+1 Henk 'm!

sjroorda

Ik haak even aan bij dit topic, omdat wij voor de vereniging ook SumUp gebruiken. Dit is wel een trigger om even goed naar de instellingen te kijken.

Wat ik op z'n minst zou verwachten van SumUp, en je hebt hier m.i. ook het volste recht op, is dat ze jou precies vertellen op welke data/tijdstippen welke wijzigingen zijn gedaan vanuit welke accounts. Dat ze geen IP-adressen en zo geven kan met privacy te maken hebben, maar druk ze in elk geval op het hard om niets te verwijderen zolang deze casus niet opgelost is.

Wat me trouwens wel opvalt: het gaat om een bedrag van "6 getallen" (minimaal een ton dus), maar verderop schrijf je "Overigens is procederen in het buitenland zeker geen optie voor het bedrag waar het hier om gaat. Niet weinig maar gelukkig ook niet zo veel."

Nu is 'veel' en 'weinig' altijd relatief, maar deze opmerking verbaast me wel

. Of zitten 2 van die 6 getallen áchter de komma?

woensdag 19 maart 2025 17:16

Acties:

0 Henk 'm!

NiGeLaToR

@sjroorda heb een kleine speurtocht online gedaan maar tis geen typisch sumup probleem en ik vind nog geen uitgebreide sumup-klachten stromen.

Tis dus even aan TS om terug te komen met wat toelichting - althans, zou ik enorm waarderen

Listen & subscribe to my Life as a Journey Podcast

woensdag 19 maart 2025 17:58

Acties:

0 Henk 'm!

Qwerty-273

Meukposter

***** ***

Je zal toch echt eerst vanuit Sumup duidelijkheid moeten krijgen wie, wanneer en vanwaar de wijzigingen heeft aangebracht. En wie, wanneer, en vanwaar de uitbetalingen heeft aangevraagd/doorgevoerd.

Is dat via de app zelf gegaan of het webportaal, via het hoofdaccount of eventuele sub accounts. Is er eventueel een virtuele kaart aangemaakt waarmee makkelijker betaald kan worden (ipv dat je de betalingen elke keer via het webportaal/app moet doen). Of heeft iemand de kaart details uit de app gehaald en opgeschreven (dat kan zowel een medewerker/vrijwilliger geweest zijn als een extern persoon die toevallig even toegang had tot het apparaat/app) waarna de betalingen puur op basis van de kaart details zijn gegaan en er dus geen interactie is met de Sumup kant?

Of heb je zelf de Sumup kaart ergens gebruikt om mee te betalen, en is die derde partij gehackt en liggen de opgeslagen kaart details op straat? Of heb je die kaart details op een frauduleuze site zelf ingegeven.

(oh, is het wachtwoord van het Sumup account uniek, en wordt het niet voor alle systemen gebruikt binnen de organisatie. Een generiek wachtwoord als "Organisatie-2025" komt nog steeds voor bij enkelen)

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

woensdag 19 maart 2025 20:04

Acties:

+1 Henk 'm!

qtpie

Het gaat hier om een klein buurthuisje wat draait op grotendeels oudere vrijwilligers. Als je alleen maar de schuld daar gaat leggen hou je in Nederland geen buurthuis of verenigingsleven meer over. Sumup is juist op dit soort plekken gericht die zich geen pinapparaat van een grote partij kunnen veroorloven. Feit is gewoon dat Sumup dit makkelijk had kunnen voorkomen door deze mensen meer tegen zichzelf in bescherming te nemen. 2fa verplicht, en en een extra check vooraf of een alarm achteraf bij rare fratsen als uitbetalen naar 10 verschillende paypals en een buitenlandse rekening. Waarom zou je zo'n enorme edgecase zomaar toestaan t.o.v. het risico wat het inhoudt?

woensdag 19 maart 2025 20:15

Acties:

+4 Henk 'm!

wodkabuikje

Ik gebruik sumup om pinbetalingen te ontvangen als iemand langs komt om iets te kopen. Ik zie de betalingen steeds binnen komen op de rekening dus geen reden om daadwerkelijk in te loggen op sumup zelf.

Eerder vandaag even gedaan na het lezen van dit topic.

Ik kreeg direct een mail dat er een inlogpoging was vanaf een nieuw apparaat (nieuwe provider dus nieuw ip).

En had blijkbaar wel 2FA ingesteld want kreeg een code op mijn email om in te loggen.

Die 6 cijfers lijkt mij overdreven en, zoals hierboven al gezegd, vermoed ik xxxx,xx.

Als dat niet zo is dan heeft iedereen lopen slapen bij dat soort bedragen.

niet iedereen heeft een bierbuikje

donderdag 20 maart 2025 07:09

Acties:

+1 Henk 'm!

NiGeLaToR

@qtpie ken je de situatie van @menn0 dan?
Ts is al even niet langs geweest.

Ben het qua ‘zorgplicht’ niet met je oneens, alleen je lijkt meer te weten dan wij dus tis lastig daarop in te haken. 6-cijfers aan geld bij je payment provider laten staan vind ik persoonlijk ook geen handige keus van de penningmeester.

Listen & subscribe to my Life as a Journey Podcast

donderdag 20 maart 2025 09:59

Acties:

0 Henk 'm!

menn0

Topicstarter

NiGeLaToR schreef op donderdag 20 maart 2025 @ 07:09:
@qtpie ken je de situatie van @menn0 dan?
Ts is al even niet langs geweest.

Ben het qua ‘zorgplicht’ niet met je oneens, alleen je lijkt meer te weten dan wij dus tis lastig daarop in te haken. 6-cijfers aan geld bij je payment provider laten staan vind ik persoonlijk ook geen handige keus van de penningmeester.

Wellicht ben ik niet duidelijk geweest, het stond allemaal zo ingesteld dat het juist elke vrijdag overgeschreven werd naar de zakelijke rekening van de stichting. Dus dat is in lijn met jouw mening.

Sumup heeft dit eenzijdig veranderd door zonder impliciete of expliciete toestemming de klant op het product over te zetten waarbij de klant in 1x een zakelijke rekening van Sumup kreeg. Binnen het tijdsbestek van een aantal weken is dat bedrag daar opgelopen en heeft de fraude plaats gevonden. De fraude kon niet plaatsvinden zonder het hebben van de Sumup bedrijfsrekening, immers er was toen geen enkele vrijheid iets met het geld te doen noch liep het saldo op. Het saldo wat maximaal 7 dagen opliep was verder niet toegangkelijk en werd dus 1x per week overgeschreven naar de zakelijke rekening van de stichting.

donderdag 20 maart 2025 10:08

Acties:

0 Henk 'm!

NiGeLaToR

@menn0 dat klinkt niet goed inderdaad. Vraag is dan hoe de fraude heeft plaats kunnen vinden met/of zonder een handeling vanuit de stichting. Denk het uiteindelijk een aansprakelijkheidsvraagstuk wordt?

Loopt deze casus dus nog of is er zicht op een oplossing oid?

Listen & subscribe to my Life as a Journey Podcast

donderdag 20 maart 2025 10:36

Acties:

0 Henk 'm!

qtpie

menn0 schreef op donderdag 20 maart 2025 @ 09:59:
[...]

Wellicht ben ik niet duidelijk geweest, het stond allemaal zo ingesteld dat het juist elke vrijdag overgeschreven werd naar de zakelijke rekening van de stichting. Dus dat is in lijn met jouw mening.

Sumup heeft dit eenzijdig veranderd door zonder impliciete of expliciete toestemming de klant op het product over te zetten waarbij de klant in 1x een zakelijke rekening van Sumup kreeg. Binnen het tijdsbestek van een aantal weken is dat bedrag daar opgelopen en heeft de fraude plaats gevonden. De fraude kon niet plaatsvinden zonder het hebben van de Sumup bedrijfsrekening, immers er was toen geen enkele vrijheid iets met het geld te doen noch liep het saldo op. Het saldo wat maximaal 7 dagen opliep was verder niet toegangkelijk en werd dus 1x per week overgeschreven naar de zakelijke rekening van de stichting.

Bij ons exact dezelfde situatie. Behalve dat het mij niet lijkt dat Sumup de wijzigingen heeft gedaan maar de hacker.

donderdag 20 maart 2025 11:36

Acties:

0 Henk 'm!

menn0

Topicstarter

NiGeLaToR schreef op donderdag 20 maart 2025 @ 10:08:
@menn0 dat klinkt niet goed inderdaad. Vraag is dan hoe de fraude heeft plaats kunnen vinden met/of zonder een handeling vanuit de stichting. Denk het uiteindelijk een aansprakelijkheidsvraagstuk wordt?

Loopt deze casus dus nog of is er zicht op een oplossing oid?

Er is nu zeer recent een antwoord gekomen van Sumup, in het kort:

1. De stichting wordt verweten dat zij MFA niet aan had staan
2. Er is een MFA code naar het telefoonnummer gestuurd voor het aanmaken van een bedrijfsrekening (nu stelt Sumup, aanmaken is gebeurd door de hacker), en via dit bericht had de klant moeten vermoeden dat er iets mis was.
3. Vanaf de melding vanuit de stichting aan Sumup dat er iets falicant mis is gegaan, wordt de schade nu vergoed (10% van de schade.

Punt 1 hebben we het hier al eerder over gehad, ja MFA is zeer slim om aan te zetten echter nooit verplicht geweest vanuit Sumup. We kunnen hier heel lang over discusseren, maar als dit een essentieeel security component is, dan moet dit gewoon een vereiste zijn. Dat doen heel veel aanbieders van online diensten dan ook, en vaak voor zaken die minder cruciaal zijn dan een bankrekening
2. Dit begrijp ik niet zo goed, hier suggereren ze dat een hacker de rekening heeft aangevraagd, en via een MFA code. TEn eerste hebben ze eerder gecommuniceerd dat zij dit volledig op eigen initiatief hebben gedaan ten tweede zeggen ze nu dat MFA wel aan stond, ten derde suggereren ze nu dat de hacker toegang had tot de MFA code op de telefoon? Met andere woorden toegang tot het toestel?
3. Geen commentaar verder

maandag 24 maart 2025 08:51

Acties:

+1 Henk 'm!

sjroorda

Bedoelen ze met #2 niet dat er een bevestiging is gestuurd naar dit telefoonnummer? Dat is wat anders dan MFA. Je geeft bovendien niet aan dat dit bericht niet ontvangen is.

En #3 snap ik niet helemaal: er is iets "faliekant misgegaan" en "dus" wordt er 10% vergoed? Als het "misgaan" aan de kant van de stichting is geweest is het raar dat SumUp toch nog 10% vergoedt; als het misgaan aan de kant van SumUp is geweest, dan is het weer raar dat er niet 100% wordt vergoed.

maandag 24 maart 2025 08:55

Acties:

0 Henk 'm!

NiGeLaToR

@menn0 als je van mening bent dat SumUp hier gefaald heeft en onvoldoende heeft gedaan is een klacht bij Kifid wellicht een optie.

Ik blijf ook met wat vragen zitten, maar zie vooralsnog geen reden om te vermoeden dat SumUp enorm gefaald heeft. Dat is ook geen rode draad bij ervaringen van anderen online.

Wel learnings:

- 2FA aanzetten is een must en zou eigenlijk verplicht moeten zijn
- geld laten staan is niet handig, bank geeft je volgens mij meer zekerheden bij diefstal

Heb op onze verenigingsomgeving allerlei limieten staan en bijv 2 persoon goedkeuring op transacties. 1 iemand of 1 accound kan de bankrekening niet plunderen. Maar dat helpt niet als het op de tussenrekening van SumUp blijft hangen.

Listen & subscribe to my Life as a Journey Podcast

maandag 24 maart 2025 08:58

Acties:

+1 Henk 'm!

One-eye864

sjroorda schreef op maandag 24 maart 2025 @ 08:51:
En #3 snap ik niet helemaal: er is iets "faliekant misgegaan" en "dus" wordt er 10% vergoed? Als het "misgaan" aan de kant van de stichting is geweest is het raar dat SumUp toch nog 10% vergoedt; als het misgaan aan de kant van SumUp is geweest, dan is het weer raar dat er niet 100% wordt vergoed.

Ik lees dit als: Vanaf het moment dat er melding is gemaakt bij SumUp wordt de schade vergoed. Dit is ongeveer 10% van de volledige schade (kortom de andere 90% van de schade is ontstaan voor de melding bij SumUp).

maandag 24 maart 2025 09:07

Acties:

0 Henk 'm!

NiGeLaToR

@Arnoud Engelfriet wellicht is dit een cases voor jou - ongeacht het technische vraagstuk vraag ik mij af of de pin-service dienstverlener hier wel aan de zorgplicht voor financiele dienstverleners heeft voldaan.

Dat de vereniging de bal heeft laten vallen kunnen we oordelen, maar vind het ook vreemd dat je zoveel geld achter alleen een account kunt laten zweven anno nu.

Listen & subscribe to my Life as a Journey Podcast

maandag 24 maart 2025 09:34

Acties:

+1 Henk 'm!

lordgandalf

Wat ik lees in het mailtje dat hierboven werd gedeeld over de nieuwe voorwaarden staat gewoon:

Met de Bedrijfsrekening van SumUp, nu ingesteld als standaardrekening,
krijgt u sneller toegang tot uw uitbetalingen.

Dus klinkt als de bedrijfsrekening word nu ingesteld als standaard rekenig.

Dus lijkt me dat dat automagisch is gebeurd. En dat iemand op een spam linkje heeft geklikt en de gegevens van de rekening door heeft gegeven.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

maandag 24 maart 2025 11:06

Acties:

+1 Henk 'm!

menn0

Topicstarter

NiGeLaToR schreef op maandag 24 maart 2025 @ 08:55:
@menn0 als je van mening bent dat SumUp hier gefaald heeft en onvoldoende heeft gedaan is een klacht bij Kifid wellicht een optie.

Ik blijf ook met wat vragen zitten, maar zie vooralsnog geen reden om te vermoeden dat SumUp enorm gefaald heeft. Dat is ook geen rode draad bij ervaringen van anderen online.

Wel learnings:

- 2FA aanzetten is een must en zou eigenlijk verplicht moeten zijn
- geld laten staan is niet handig, bank geeft je volgens mij meer zekerheden bij diefstal

Heb op onze verenigingsomgeving allerlei limieten staan en bijv 2 persoon goedkeuring op transacties. 1 iemand of 1 accound kan de bankrekening niet plunderen. Maar dat helpt niet als het op de tussenrekening van SumUp blijft hangen.

De zakenlijke rekening die zoals per mail door Sumup is gecommuniceerd is door hen geopened, en betreft een Ierse bankrekening. Een rekening met IBAN etc en die moet voldoen aan EU wet en regelgeving. Ik kan niet genoeg benadrukken dat het nooit een wens is geweest van de stichting om a. Een rekening bij Sumup te openen b. daar geld te laten staan. Het was door de stichting zo ingesteld dat elke vrijdag deze gelden werden overgemaakt naar een NL zakelijke bankrekening.

Ik zal Kifid zeker benaderen als die klachten van Ierse ondernemingen in behandeling nemen! Voor nu ligt de focus nog op het vast stellen wat hier nu precies is gebeurd. Sumup is daar zeker niet voortvarend in, we zijn inmiddels maanden onderweg.

maandag 26 mei 2025 00:32

Acties:

+3 Henk 'm!

RikVdB

Beste Tweakers,

ik ga jullie bijdragen nog eens goed doornemen maar wil alvast iets meegeven uit onze ervaring. Mijn echtgenote heeft een eenpersoonsbedrijf en gebruikt SumUp voor de PINbetalingen die ze ontvangt. Een hacker heeft op haar account ingelogd en de betalingsfrrequentie gewijzigd. Of hij ook een SumUp bedrijfsrekening geopend heeft is me nog niet duidelijk, dat ga ik nog na. Uiteindelijk heeft hij op één dag in twee betalingen een bedrag van meer dan € 1.400,- naar een VPay en een Maestro rekening overgemaakt.

SumUp heeft twee uur na de inlog (vanaf een vreemd, nog nooit eerder gebruikt apparaat, vanuit een stad 200 kilometer verderop,) een mail naar mijn echtgenote gestuurd, waar met zoveel woorden in staat dat er ongebruikelijke activiteit op haar account is waargenomen. Ongelofelijk is daarbij, dat SumUp geen expliciete actie vraagt om de legitimiteit van de vreemde inlog te bevestigen of te ontkennen: "Als u dit was, hoeft u niets te doen"???. Met andere woorden: lees je als accounthouder die mail niet of niet op tijd, dan kan iemand anders gewoon zijn gang gaan op je account. SumUp vermeldt dat ze een gecertificeerde bankinstelling zijn; daar hoort volgens mij een veel zwaarder beveiligingsprotocol bij, met minimaal de eis van een expliciete reactie van de accounthouder. Mijn echtgenote kreeg vanaf de ingebruikname van haar account zo veel reclame-mail van SumUp èn valse mail uit naam van SumUp, dat ze de waarschuwingsmail niet heeft opgemerkt en dus niet heeft gereageerd.

Inmiddels loopt er een aansprakelijkheidsstelling bij SumUp, en een aangifte bij de politie. Wat mooi is: de naam van de hacker is in de betalingsgegevens verschenen. Dat betekent dat de politie ook de tenaamstelling van de bankrekeningen kan opvragen. Fingers crossed.

maandag 26 mei 2025 00:55

Acties:

+2 Henk 'm!

FooLsKi

Prutz0r 4 Life

RikVdB schreef op maandag 26 mei 2025 @ 00:32:

[...]

Inmiddels loopt er een aansprakelijkheidsstelling bij SumUp, en een aangifte bij de politie. Wat mooi is: de naam van de hacker is in de betalingsgegevens verschenen. Dat betekent dat de politie ook de tenaamstelling van de bankrekeningen kan opvragen. Fingers crossed.

Die naam zal vast niet van de 'hacker' zijn maar van een katvanger.
Desalniettemin hoop ik dat ze 'm pakken en dat je echtgenote haar geld terug krijgt zonder al teveel gedoe.

Hoezo, ik zit je raar aan te kijken? Zo kijk ik altijd! Slijpen is niet nodig, ik prefereer de botte bijl.

maandag 26 mei 2025 05:46

Acties:

+1 Henk 'm!

jack2

Mijn echtgenote kreeg vanaf de ingebruikname van haar account zo veel reclame-mail van SumUp èn valse mail uit naam van SumUp, dat ze de waarschuwingsmail niet heeft opgemerkt en dus niet heeft gereageerd.

Bij mij kwam onderstaande valse mail van "SumUp" in de spambox terecht. De geadverteerde phishing site is inmiddels uit de lucht gehaald maar draaide nog toen de mail binnen kwam. Als je echtgenote dit soort mails onder ogen krijgt is er iets niet goed met haar spamfilter. Waardoor ze misschien wel haar inloggegevens heeft prijs gegeven op zo'n phishing site.

Nieuwe Betalingsoptie - Ontvang Uw Betaling Binnen 2 Uur!
We hebben geweldig nieuws voor u! Om u meer flexibiliteit te bieden, kunt u er nu voor kiezen om uw betaling binnen 2 uur te ontvangen. Dit betekent snellere toegang tot het geld dat u heeft verdiend, wanneer u het nodig heeft.

Wat moet u doen?
Klik eenvoudig op de onderstaande knop om een snelle uitbetaling aan te vragen:

Uitbetalingen binnen 2 uur activeren
Deze nieuwe optie is nu beschikbaar voor alle SumUp-klanten. Na activatie kan het tot 48 uur duren voordat de optie beschikbaar is. We hopen dat deze functie u meer gemak biedt, zodat u sneller toegang heeft tot uw verdiensten.

maandag 26 mei 2025 10:24

Acties:

0 Henk 'm!

stftweaker

voor in de toekomst, wellicht dat je via een payment service provider zoals mollie je pin betalingen wil doen. Direct betalingen ontvangen per pin mogelijk

met enkel je telefoon(iphone)
Geen rare fratsen en gezeur.

How are you doing?

maandag 26 mei 2025 11:17

Acties:

0 Henk 'm!

NiGeLaToR

stftweaker schreef op maandag 26 mei 2025 @ 10:24:
voor in de toekomst, wellicht dat je via een payment service provider zoals mollie je pin betalingen wil doen. Direct betalingen ontvangen per pin mogelijk met enkel je telefoon(iphone)
Geen rare fratsen en gezeur.

SumUp is in principe net zoiets als Mollie - alleen praktischer & zover ik na kan gaan goedkoper, zeker voor kleine gebruikers.

Ik ben erg benieuwd of er bij bovenstaande situaties vooral sprake is van phishing of credential leaking of daadwerkelijk een 'hack'. Mollie zou net zo goed doelwit zijn, vraag is alleen of 2FA en andere bescherming niet belangrijker zou moeten zijn voor SumUp.

Listen & subscribe to my Life as a Journey Podcast

maandag 26 mei 2025 20:11

Acties:

0 Henk 'm!

Wally2002

menn0 schreef op maandag 24 maart 2025 @ 11:06:
[...]

Ik zal Kifid zeker benaderen als die klachten van Ierse ondernemingen in behandeling nemen! Voor nu ligt de focus nog op het vast stellen wat hier nu precies is gebeurd. Sumup is daar zeker niet voortvarend in, we zijn inmiddels maanden onderweg.

Het is inmiddels 2 maanden na je laatste bericht.
Is er al duidelijkheid wat er nu precies is gebeurd?

Pagina: 1

Reageer