De Nederlandse cashback-app Scoupy heeft twee miljoen gebruikers gewaarschuwd voor een datalek nadat criminelen toegang tot systemen van het bedrijf wisten te krijgen. Daarbij zijn persoonsgegevens zoals naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum, kassabonnen en versleuteld wachtwoord en versleuteld bankrekeningnummer (IBAN) buitgemaakt.

"Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen", zo laat Scoupy in een e-mail aan getroffen gebruikers weten. Gebruikers worden gewaarschuwd om alert te zijn op phishingaanvallen. "Het kan zijn dat er contact met je wordt opgenomen via buitgemaakte contactgegevens om te proberen je op te lichten. Iemand kan zich bijvoorbeeld voordoen als een bankmedewerker en proberen om pincodes en/of wachtwoorden te verzamelen of je te verleiden om op een link te klikken."

Hoe de aanvallers precies toegang wisten te krijgen is niet bekendgemaakt. Scoupy zegt dat het op basis van gedane bevindingen bezig is de systeembeveiliging verder aan te scherpen. "Dat zullen we de komende tijd blijven doen. Daardoor kan het voorkomen dat de beschikbaarheid van de app en de website minder is dan je gewend bent. Onze oprechte excuses voor eventueel ongemak dat je als gevolg hiervan ondervindt."

In een FAQ over de aanval stelt Scoupy dat gebruikers mogelijk niet meteen hun wachtwoord kunnen wijzigen doordat het platform niet continu bereikbaar is. "Wij werken er hard aan om dit zo snel mogelijk te verhelpen. Wij houden je via deze weg op de hoogte."

Via Scoupy kunnen gebruikers meedoen aan cashbackacties bij supermarkten. Gebruikers maken met de app een foto van hun kassabon en krijgen dan het geld terug van een actieproduct. Het bedrijf heeft naar eigen zeggen meer dan twee miljoen gebruikers.