Programmeerfout idealm 'eenvoudig op te lossen'

Vorige week waarschuwden de banken achter iDeal voor een fraudegevoelig lek dat kan voorkomen op de orderbevestiging van een online aankoop. Het frauderisico werd geconstateerd in de betaalmodule 'idealm' voor OsCommerce. De website van OsCommerce meldt dat het om een programmeerfout gaat die 'eenvoudig is op te lossen'

'De bewuste module maakt geen gebruik van de standaard functionaliteit van OsCommerce en voorziet hierdoor in een mogelijkheid het bedrag te manipuleren voordat dit bedrag naar de iDeal-server wordt verstuurd.' Dit is op te lossen door in plaats van een zogenaamde form-variabele ($_POST) het bestaande $order object te gebruiken. Er is inmiddels een patch voorhanden, zo valt te lezen op de site. Deze wijziging voorkomt dat bedragen kunnen worden aangepast.

Een webwinkelier werd onlangs opgelicht doordat de orderbevestiging niet op een beveiligde pagina stond. Volgens woordvoerder Loes Romeijnders van Currence, de merkeigenaar van iDeal, was er wel degelijk sprake van fraude, maar heeft de desbetreffende webwinkel geen schade geleden. Romeijnders meldt dat de webwinkelier de fraude op tijd ontdekte, in tegenstelling tot wat eerder gemeld werd.

Webwinkeliers die iDeal gebruiken zouden inmiddels door hun bank via een e-mail op de hoogte zijn gesteld van de programmeerfout in de idealm-module. Volgens OsCommerce is de e-mail van de banken niet heel duidelijk. 'Deze module is geen onderdeel van de standaard OsCommerce distributie maar is een zogenaamde 'contributie', een module door derden geschreven', licht OsCommerce daarom toe op de eigen site. 'De module wordt inmiddels niet meer via oscommerce.nl beschikbaar gesteld, maar is op diverse andere websites, waaronder oscommerce.com, nog wel verkrijgbaar.'