menu

Weer gaten in checkout webwinkels gevonden

Gaten in checkout webwinkelsEen aantal veiligheidsspecialisten hebben gaten gevonden in de wijze waarop grote webwinkels de checkout van PayPal, Amazon en Google hebben geïmplementeerd. Met deze gaten zijn ze in staat geweest om producten gratis of tegen enorme kortingen te bestellen. 

De onderzoekers, werkzaam bij de Universiteit van Indiana en Microsoft Research, geven aan dat ze DVDs en opladers konden kopen en zelf de korting konden invoeren. Bij latere testen konden ze ook gratis bestellen, of het duurste artikel van de webwinkel kopen voor de prijs van een enorm goedkoop product. De fouten waren bij verschillende grote webwinkels en kwamen zowel bij PayPal als bij de checkout van Amazon en Google voor. Bron: CNN.com

Problemen met name in communicatie
De fouten zitten vooral in de wijze waarop alle software met elkaar communiceert. In theorie zijn de processen rond het betalen via bijvoorbeeld PayPal of Google checkout dus wel veilig, maar als een betalingsprovider de communicatie van de webwinkel, naar de checkout, niet helemaal waterdicht timmert, zijn er in dit proces wel gaten te vinden. Zelfs bij enkele grote webwinkels. Vergelijk het met een kind dat snoep wil. Als de vader en moeder niet beiden exact identiek reageren is de kans groot dat het kind vervolgens een manier vindt waarmee hij het snoep wel krijgt. Zo geeft de woordvoerder van de onderzoekers aan.

Veiligheidsonderzoekers zijn geen hackers
Misbruik is er van de gaten niet gemaakt. Het onderzoek had vooral tot doel om de veiligheid gewoon te testen. Er is direct vooraf samengewerkt met een advocatenkantoor die toezicht hield op het hele proces en alle fouten zijn bij de webwinkels en de ontwikkelaars van PayPal, Google en Amazon gemeld.

Studenten bestelden eerder bijna gratis in Nederland
Ook in Nederland zijn dit soort zaken wel eens voorgekomen. Eind 2009 kwam aan het licht dat honderden studenten maandenlang bijna gratis pizza’s konden bestellen via de website Justeat.nl. Er bleek een fout in de website te zitten waardoor je eenvoudig de prijs kon manipuleren net voordat de betaalprocedure bij een externe partij in gang werd gezet.

Tags

Reacties