Ideal, de online betaalmethode waaraan onder meer de Postbank, ING,Rabobank en ABN Amro deelnemen, kan misbruikt worden in combinatie metOscommerce-platformen. Dat heeft de e-commerce servicedesk van Ideal per e-mail aan klantenlaten weten. De bank benadrukt dat het risico zich niet voordoet in deIdeal-omgeving zelf, maar in de betaalmodule Ideal vanwebwinkelplatform Oscommerce. Volgens Ideal is het echter mogelijk dat ‘ook andere betaalmodules binnen andere webwinkelplatformen hetzelfde risico hebben’.
Ideal-gebruikerszien voorafgaand aan een Ideal-betaling een scherm met eenorderbevestiging. Een kwaadwillende consument is erin geslaagd deparameter waarmee dit bevestigingsscherm wordt opgebouwd, te wijzigen.Dezelfde parameter wordt gebruikt bij het de betalingsopdracht vanIdeal aan de bank, waardoor het te betalen bedrag zowel in hetorderbevestigingsscherm als in de banktransactie werd gewijzigd.
Volgens de e-commerce servicedesk is er bij het geconstateerde incidentsprake van een ‘onvolkomenheid in de betaalmodule’ omdat de parametersdie bij een betaalverzoek gebruikt worden, niet vanuit de browsertoegankelijk mogen zijn.
De consument die de Ideal-betaling misbruikt heeft, heeft dit in deomgeving van de webwinkel gedaan, niet in de Ideal-module. Hetgewijzigde orderbedrag werd hierbij niet door het webwinkelplatformgecontroleerd waardoor een lager bedrag kon worden overgemaakt.
"De feitelijke Ideal-betaling en de terugmelding aan de webwinkel zijnvolledig vrij van risico", zo meldt Ideal in de e-mail aan klanten.Webwinkels wordt aangeraden om de betaalmodule te controleren en hetbetaalde bedrag te controleren alvorens tot levering van een productover te gaan. Bij geconstateerde fraude raadt de servicedesk aan omaangifte te doen bij justitie.
Programmeerfout
Matthijs van der Vegte van Oscommerce Nederland betreurt dat de indrukontstaat dat het probleem in het Oscommerce-platform schuilt. "De in demodule gemaakte programmeerfout is het probleem, niet hetOscommerce-platform zelf". Volgens Van der Vegte bestaat dieprogrammeerfout uit het ‘klakkeloos vertrouwen van een$_POST-variabele’.
Van der Vegte zegt bovendien dat hij ‘oprecht betreurt’ dat Ideal nieteerst contact heeft opgenomen met de auteur van de gewraakte module,’of zelfs maar met Oscommerce om op die manier een oplossing klaar tehebben alvorens dit bericht verstuurd werd’. "De eenvoudige oplossinghad in dat geval met het e-mailbericht meegestuurd kunnen worden. Nu iser onnodig veel paniek ontstaan bij Ideal-acceptanten die deze moduleal dan niet gebruiken", aldus Van der Vegte.
Overigens verklaart Van der Vegte dat de gewraakte module inmiddelsniet meer door Oscommerce aangeboden wordt. "Ideal meldt ten onrechtedat Oscommerce Nederland verantwoordelijk is voor de verspreiding vande bewuste module", aldus Van der Vegte.
Bron: Webwereld
willy4it 