Tags:
iDEAL is een elektronische betaalwijze die gebruik maakt van de bestaande internetbankier-mogelijkheden. Een klant wordt vanuit de webwinkel naar de iDEAL server gestuurd en krijgt daarna de vertrouwde internet omgeving van de bank te zien. Vervolgens verloopt de betaling zoals men gewend is bij 'normaal' internetbankieren. De status van de betaling wordt onzichtbaar teruggekoppeld naar de webwinkel. Een bijzonder veilige en goedkope manier van betalen.
Toch ging het mis.
De diverse banken stuurden vandaag een waarschuwing per e-mail naar de bij hen aangesloten iDEAL acceptanten. Een osCommerce module, genaamd idealm, blijkt een beveiligingslek te hebben dat kan worden misbruikt. Een bezoeker kan de waarde van het bestelbedrag manipuleren, nog voor deze gegevens naar iDEAL wordt gestuurd.
Hierdoor ontvangt de bank een lager bedrag. Dit bedrag wordt voldaan en vervolgens meldt de bank keurig aan de winkelier dat de bestelling betaald is.
Indien de winkelier nalaat het ontvangen bedrag te controleren met het eigenlijke bestelbedrag en uitlevert is de fraude een feit.
Oud kunstje
Deze truuk is uiteraard zo oud als webformulieren zelf, maar het misbruik binnen een iDEAL module was nog niet eerder ontdekt. De auteurs van de idealm module hebben verzuimd de bestaande osCommerce functionaliteit te gebruiken. In plaats van het niet manipuleerbare $order object gebruiken zij de waarde van een ongecontroleerde $_POST variabele. En dat maakt manipulatie kinderlijk eenvoudig.
Er is niet meer nodig dan de bewuste pagina, in dit geval checkout_confirmation.php, lokaal op te slaan. Vervolgens dienen de waardes, bijvoorbeeld de totaalprijs van de bestelling, aangepast te worden en dient deze aangepaste pagina alsnog naar de website verstuurd te worden. Uiteraard werkt dit alleen wanneer de betreffende gegevens niet nogmaals worden gecontroleerd, al dan niet manueel.
De getroffen winkelier is een aktief lid op het osCommerce forum.
In een reactie laat hij weten met zijn winkel probleemloos 1200 transacties te hebben afgerond. Dit is de eerste keer dat er fraude is gepleegd, iets dat onmiddellijk werd opgemerkt.
Verwarring
De berichtgeving in de e-mail die de banken hebben verstuurd is helaas onduidelijk, zeker voor niet technisch onderlegde mensen. De module (idealm) wordt wel genoemd maar later in de mail wordt ten onrechte de suggestie gewekt dat het hier standaard osCommerce functionaliteit betreft. Ook wordt melding gemaakt van osCommerce Nederland als zijnde de distributeur van de module. osCommerce Nederland bood de module inderdaad aan maar is niet de auteur van de module, noch de enige aanbieder of distributeur. De module is, net als osCommerce zelf, vrij verkrijgbaar. Er zijn meerdere sites die deze, en andere soortgelijke modules aanbieden.
Uit reacties op het osCommerce forum blijkt dat er grote verwarring heerst onder de acceptanten over wat nu de kwetsbaarheid is. Is het iDEAL, osCommerce of een module?
Gemiste kans
Wat dat betreft is de 'service gedachte' die als motivatie voor de e-mail wordt genoemd, zeker mislukt te noemen.
Zoals te lezen op Webwereld is het bijzonder jammer dat iDEAL niet eerst heeft overlegd met ofwel de auteur of met osCommerce om zo de eenvoudige oplossing direct mee te kunnen sturen met de e-mail. Dan waren veel acceptanten minder in paniek geraakt en hadden zij direct de middelen om te controleren of zij kwetsbaar waren, en zoja, dit te verhelpen.
De berichtgeving, die uiteraard ook door de mainstream media wordt overgenomen, is nu onnodig schadelijk voor osCommerce maar zeker ook voor iDEAL zelf. iDEAL is een uitstekende en veilige betaalmethode, osCommerce is een uitstekende en veilige e-commerce oplossing.
De idealm module is onbetrouwbaar, maar fraude kan alleen plaatsvinden wanneer een winkelier nalaat zijn ontvangen bedrag te controleren met het eigenlijke bedrag op de bestelling.
Neemt niet weg dat acceptanten die osCommerce (of een variant) met de idealm module gebruiken de aanpassing moeten maken om verder leed te voorkomen.
*knip*
Goedemorgen, ziet er prima uit, 1 opmerking, de website *knip* verkoopt producten die niet via een internet webshop verkocht mogen worden, sterker nog, hier worden *knipperdeknip* producten, productnamen en gerigistreerde merken gebruikt waardoor u, en/of de eigenaar van de website in overtreding zijn. Ik zou het op prijs stellen wanneer u deze website asap van het web verwijdert.
Vertrouwende u hiermee naar behoren te hebben geinformeerd.
Met vriendelijke groet
Bob Marinus
Ehm...?
Geachte heer Marinus,
Als (mede)auteur van osCommerce (gratis beschikbaar gestelde webwinkel software) ben ik uiteraard niet in overtreding noch aansprakelijk wanneer iemand deze software inzet op een wijze die uw belangen schaadt.
Het zal daarom vast effectiever zijn wanneer u de eigenaar van de bewuste website sommeert de gewraakte producten te verwijderen.
Mochten zij geen contact formulier hebben of niet reageren een kleine tip: zoek eens het WHOIS record op van de genoemde domeinnaam.
Daar staat degene die eigenaar is van de URL met volledige NAW gegevens. Hetgeen overigens niet per definitie wil zeggen dat deze persoon ook verantwoordelijk is voor de webwinkel, maar het is een begin in de goede richting.
Succes,
Matthijs
Ideal veilig?
IDEAL IDEAAL?
Ik ben een vaste klant op het Internet. Voor boeken, dvd?s, computerspulletjes en DJ-gadgets. Elke week komen er weer nieuwe webwinkels bij. Meestal zijn de websites alleen maar mooi vormgegeven etalages waar achter een hobbyist schuil gaat die vanuit zijn garage in de avonduren wat bij wil verdienen. Vaak gaat die hobbyist pas na de gesloten order bestellen bij zijn leverancier. Dat hebben wij hem of haar geleerd in de boeken over supply chain management en e-fulfilment? met lange levertijden als resultaat of zelfs helemaal geen levering.
Wat die hobbyist wel slim doet is jou alvast laten betalen. Onderzoek laat zien dat consumenten dat veilig willen doen. De consument kan bij ongeveer driekwart van de Nederlandse webwinkels met iDEAL betalen, het online betaalmiddel van de Nederlandse banken. Met iDEAL kun je vertrouwd, veilig en gemakkelijk jouw online aankopen afrekenen. Althans dat zegt de website? Er zijn nu 6.500 webwinkels bij iDEAL aangesloten. Klaarblijkelijk kan iedere hobbyisbt zich zo maar aansluiten.
iDeal is voor de consument inderdaad gemakkelijk. Maar ik heb nu wee keer meegemaakt dat ik geen product kreeg, wel betaald had en een hoop gezeur om dat geld weer terug te krijgen (en zelfs nog moet terugkrijgen). Dat vertrouwde iDEAL-logo is dan een cover-up voor ?geautoriseerde? flessentrekkerij. iDEAL zelf meldt in haar kleine lettertjes: Wanneer u een klacht heeft over de bestelling zelf, bijvoorbeeld over de levering van de bestelling, kunt u contact opnemen met de webwinkelier waar u de bestelling heeft geplaatst en proberen hier samen uit te komen.
Ik vind iDEAL dus niet vertrouwd en niet veilig is! Hier ligt echt een uitdaging voor experts in de logistieke, juridische en de financi묥 wereld om daarvoor slimme oplossingen te bedenken. Koppel bijvoorbeeld de tracking en tracing informatie van de transporteur aan de betaling, regel een verhaalmogelijkheid als de leverancier op de vastgelegde leverdatum niet levert of zorg voor een klachtenprocedure. Zo moeilijk kan dat toch niet zijn.
Walther Ploos van Amstel
Re: Ideal veilig?
Walther,
Dank voor je reactie.
Ik ben het deels met je eens maar ik denk dat een van de belangrijkste aspecten van iDEAL betalingen is dat er een controle heeft plaatsgevonden voor iemand je geld kan en mag accepteren.
Om een iDEAL contract af te kunnen sluiten moet je wel degelijk over een KvK en een zakelijke bankrekening beschikken; iets dat nu juist veel zolderkamer amateurs en oplichters niet direct hebben.
Het terugkrijgen van je geld is misschien niet gemakkelijk; het is echter wel mogelijk. En dat is toch een geruststelling voor veel mensen.
Daarnaast is iDEAL ook veilig vanuit acceptanten oogpunt. De betaling is gegarandeerd en direct. Iets dat bijvoorbeeld bij de creditcards verre van het geval is.
Wat betreft je suggesties om e.e.a. te koppelen; dat is nu juist extreem lastig.
Veel winkeliers en transporteurs hebben geen (technische) mogelijkheid of zelfs behoefte te koppelen. Dergelijke koppelingen vereisen infrastructuur, onderhoud, personeel etc. En ook niet geheel onbelangrijk, niemand neemt graag de volledige eindverantwoording (met financiele consequenties) binnen een proces waar diverse partijen kunnen falen. Denk bijvoorbeeld aan diefstal bij transporteur etc.
Matthijs
Geen koppeling met logistiek graag
Ook niet helemaal onbelangrijk:
Je bent internet klant onder andere omdat je goedkoop wilt winkelen.
Allerlei koppelingen zoals tracking en tracing maken het in ieder geval duurder voor alle winkels.
Nu al moet je rekening houden met de kosten van kvk, zakelik bankieren, ideal, verpakkingsheffing, stichting repro recht en zo kan ik wel even doorgaan.
En last nut not least: als je als klant zekerheid wilt, dan kun je altijd naar een reguliere winkel. Maar als daar een product verkocht wordt wat niet in orde blijkt, moet je ook maar hopen dat de afhandeling lekker gaat. Dat is ook lang niet altijd zo.
Wellicht heeft de door jou zo ondergewaardeerde hobbyist die het erbij doet wel minder marge nodig omdat zijn ziekte kosten en pensioen al door zijn reguliere baan betaald wordt. En hij heeft geen dure verkoopruimte nodig van een woekerende project ontwikkelaar. En dus voldoet hij wel aan jou vraag: goedkoop leveren.
En die hobbyist heeft geen marketing budget, en zit niet te wachten op negatieve vermelding bij bv tweakers. Dus het is maar de vraag of die hobbyist slechter presteert dan een grote club met veel bureaucratische rompslomp.
Nieuw commentaar posten