Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in opensourcemodule voor iDeal-betaling blootgelegd

Door , 84 reacties, bron: Oscommerce

De e-commerce-helpdesk van iDeal waarschuwt webwinkels die gebruikmaken van het oscommerce-platform voor een lek in de iDeal-betaalmodule. Mogelijk lopen ook betaalmodules in andere webwinkelsoftware het risico op misbruik.

iDeal oscommerce logo'sDe helpdesk van iDeal heeft zijn klanten per e-mail op de hoogte gebracht van het probleem. Door het geconstateerde lek kan een consument tijdens het orderproces op een oscommerce-webwinkel het te betalen bedrag manipuleren. De fraude is mogelijk door een fout in de opensourcemodule 'idealm', een module die door anderen is geschreven; het iDeal-platform zelf is onaangetast.

Voorafgaand aan een iDeal-transactie krijgt een klant die elektronisch wil betalen een nieuw venster te zien waarin het af te rekenen bedrag wordt getoond, en om bevestiging wordt gevraagd. Een onbekende is er in geslaagd om een parameter waarmee dit venster wordt aangeroepen, aan te passen. Dezelfde parameter wordt ook gebruikt om na de bevestiging de iDeal-transactie richting de bank door te geven. Het webwinkelplatform controleert niet of het gemanipuleerde bedrag gelijk is aan het in de orderdatabase opgeslagen bedrag.

De helpdesk van iDeal spreekt van een ernstig lek in de idealm-betaalmodule, omdat de parameters die gebruikt worden bij het aanroepen van het iDeal-bevestigingsscherm voor de eindgebruiker niet zichtbaar mogen zijn. Om misbruik van het lek te voorkomen wordt aangeraden om de betaalmodule te controleren en zo nodig aan te passen of te vervangen. Ook zouden winkeliers moeten controleren of het betaalde bedrag overeenkomt met de orderdatabase, voordat tot levering wordt overgegaan. Bij eventuele fraude wordt aangeraden om aangifte te doen bij justitie. Op de website van oscommerce staat een mogelijke oplossing voor het probleem met de iDeal-module.

Door Dimitri Reijerman

Redacteur

10-08-2007 • 15:47

84 Linkedin Google+

Bron: Oscommerce

Reacties (84)

Wijzig sortering
Dit is net als die 0 euro artikelen die soms voorkomen in webshops, je moet altijd blijven controleren of alles klopt.
Het is wel een lek, maar als je die uitbuit weten ze hier gelukkig meteen wie schuldig is vanwege de rekening nummer. Daarom niet echt een aantrekkelijk manier om het uit te buiten.
Het lijkt mij daarom ook sterk dat webwinkels hier in trappen. Tis toch niet meer dan logisch dat je eerst de betaling controlleerd voordat er tot verzending overgegaan word. Ze moeten het immers toch al controlleren met vooruit betalingen.
het handige aan iDeal tegenover gewone bankoverschrijving was juist dat alles automatisch/sneller kon.
de webshop krijgt meteen te zien of er betaald is in hun systeem.
en dan kijken ze aan het eind van de maand eens of ze genoeg geld op de rekening hebben staan, of dat ze wat missen.
missen ze iets dan gaan ze er vast wel achteraan ja, maar ze zullen echt niet iedere order weer handmatig controleren alvorens het af te ronden.
Bij iDeal krijg je over het algemeen, buiten de client om, een bevestiging van betaling binnen zeer korte termijn op een geheime URL met geheime code op je website. Dit was iig het geval toen ik een webshop moest programmeren met Buckaroo (iDeal, machtiging en CC betalingsprovider). Daarnaast is er bij dit soort systemen een online omgeving waarin je betalingen kunt bekijken. Je hoeft niet tot het eind van de maand te wachten om te weten of je belazerd bent, er zijn genoeg methodes om erachter te komen of je klant het bedrag veranderd heeft.
ja, ik kan ook al mijn overschrijvingen zo in zien, maar het feit is dat dit bij de meeste webshops geen continue proces is. ze controleren gewoon eens om de zoveel $tijdseenheid of de boekhouding overeenkomt met de bankrekening.
dat is niet standaard hoor.
Bij ons hebben we één prijs en één product.

De bestelmodule zet het bedrag vast aan de hand van het aantal en geeft dat zo door aan ideal en paypal. Bij de terugmelding van betaling staat in de webshop alles op "betaald" en rolt met een druk op de knop een adressticker en paklijstje eruit.

Op zn vroegst zouden we dit zien als het bankafschrift binnenkomt.
Dan is de vraag of jouw bevestigingspagina ook beveiligingslekken heeft, zoals een URL .../ideal?bedrag=18,35, of een <input type="hidden" name="bedrag" value="18,35" />

Vast niet. Je moet zorgen dat deze gegevens nooit door de gebruiker kunnen worden aangepast, dus intern in de code afhandelen aan de hand van de in de database/sessie opgeslagen artikelen, en niet een response die je terug krijgt van een bevestigingspagina.

Ik ben helemaal voor Open Source, maar hier heb je toch weer een goed voorbeeld van een niet zorgvuldige of misschien zelfs onbekwame ontwikkelaar. En sowieso een falend testbeleid bij de osCommerce organisatie.
ideal geeft een transactie id terug aan de bevestigingspagina waarmee je verplicht de transactie status bij de ideal server moet opvragen. Lijkt me sterk dat iemand op die locatie nog kan frauderen.
We hadden inderdaad al een mailtje vandaag dat het fout ging. Wat me op viel is dat er meermaals heel expliciet werd gemeld dat het niet aan iDeal, maar aan de module van OsCommerce
Logisch toch. Ze willen (terecht) niet dat het op hen afstraalt.
Lijkt me niet meer dan logisch dat zo'n kritiek stukje informatie goed doorgegeven wordt. Niet alleen omdat de webwinkels hier zelf de dupe van kunnen worden (en dat het dus niet een 'scamlek' of zo is die de klant benadeelt), maar ook omdat zij zelf actie moeten ondernemen, en niet op een update-mailtje van iDeal gaan zitten wachten (want daar ligt het probleem niet).
Ja uiteraard, maar het werd wel _heel_ vaak _heel_ expliciet gezegd.
iDeal geeft als advies om het betaalde bedrag te controleren. Dit is in het iDeal protocol echter niet mogelijk, omdat je deze informatie niet terug krijgt van iDeal. Hier kunnen ze nog wel wat verbeteren om fraude te voorkomen.

[Reactie gewijzigd door MisterBlue op 10 augustus 2007 20:15]

aan de andere kant, bij contant betalen aan de kassa moeten ook beide partijen altijd goed opletten/controleren. en dat gaat ook wel eens fout aldanniet bewust
dus eigenlijk niets nieuws op de wereld.

wel zaak dat het aangepast moet worden uiteraard.

just my 2(=0) cents


edit//
@graey

dat zou zo zijn in een ideale wereld, helaas blijft iedereen verantwoordelijk voor zijn eigen zaken. zeker bij zogenaamde automatische transacties.
ik heb laatst ook iets via ideal betaald maar ook meteen online de afschrijfing gecontroleerd. en ik weet zeker dat ik daar niet de enige in ben.

[Reactie gewijzigd door Chuckylee op 10 augustus 2007 16:27]

Mee oneens, het voordeel van een internetwinkel moet (onder andere) juist zijn dat die controle niet nodig is, dat dat automatisch gebeurd...
ach word het alleen maar veiliger ;)
goed dat dit soort exploit mensen bestaan eigenlijk.

[Reactie gewijzigd door stewie op 10 augustus 2007 16:15]

wat ik dus bedoelde,is dat je als consument dus niks hoef te weten?ik bedoel het is ook een risico voor de betaalende klant lijkt me zo,of begrijp ik het verkeerd
Nee, voor de klant is het geen risico. Als je gewoon betaalt gaat alles gewoon goed en veilig. Het punt zit hem er in tussen het doorsturen van de informatie van oscommerce naar de ideal portaal, daar tussen kan je als je klant dus variabelen veranderen, waaronder de prijs...
Wij kregen vandaag ook de mail, ging de baas vragen wie van ons fraude had gepleegt :').
Het is niet erg dat het totaal bedrag via de browser loopt. Als er maar een checksum test op zit. Zoals dat bij Buckaroo en vele andere werkt.
Als de checksum niet overeenkomt met de checksum van alle velden gaat het niet werken.
Dat is dan ook de reden waarom ik na een iDEAL-betaling als webshop niet alleen kijk of er betaald is maar ook voor welk bedrag ;) Niet genoeg betaald? Dan komt de order ook niet op 'betaald' te staan. Op die manier zorg je er altijd voor dat eventuele datamanipulatie aan de inputkant, op welke manier dan ook, wordt gecheckt zonder dat de klant er wat aan kan doen.
volgende bericht:
Onverwachts is het aantal iDeal transacties onder tweakers toegenomen.
Vreemd genoeg zijn het allemaal transacties met grote bedragen >:)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*