Webwinkeliers die de light versie van iDeal gebruiken kunnen betaalbevestigingen ontvangen van klanten die niet hebben afgerekend. Dat is al lang bekend, zegt iDeal-beheerder Currence over een bericht daarover op Webwereld. 'Er zijn nul van dit soort fraudegevallen bij ons bekend.'
Volgens Bob Goulooze van Currence weten gebruikers van iDeal’s instapversie dat ze niet blind moeten varen op een betaalbevestiging, waar houders van grote iDeal-accounts dat wel kunnen doen. Ook omdat fraudeurs al snel in de gaten lopen zou Webwereld met het artikel 'Webshops op te lichten door gat in iDeal' een fictief probleem beschrijven.
Broncode
Op webforum Digitalplace.nl verscheen deze week een tutorial waarin wordt beschreven hoe het mogelijk is om zonder te betalen artikelen te bestellen bij webwinkels die iDeal light gebruiken. In de broncode van de betaalpagina is een verwijzing te vinden naar de url die de betaalbevestiging aan de klant toont en een mail naar de verkoper stuurt. Deze pagina kan worden aangeroepen, waardoor onterecht de indruk kan worden gewekt dat een betaling is verricht.
Hand op het hart
Goulooze zegt dat verkopers erop worden gewezen en dat ze ook zelf wel weten dat ze moeten checken of bedragen wel echt zijn bijgeschreven, bijvoorbeeld via het dashboard van iDeal: 'Ik kan met de hand op het hart zeggen dat zich nooit een webwinkelier bij ons heeft gemeld die slachtoffer is geworden van het zogenaamde "gat" in iDeal. Nul komma nul komma nul', zet de woordvoerder zijn uitspraak kracht bij.
Zelfwerkzaamheid
De instapversie van iDeal zou duurder uitvallen als Currence de vermeende zwakke plek zou dichten en dat is volgens Goulooze precies wat verkopers met enkele weborders per dag niet willen. ‘De light variant is eenvoudig te implementeren en goedkoop, maar vereist enige zelfwerkzaamheid van de verkopers.’
Niet bij ABN Amro
Overigens doet de geschetste situatie zich niet voor bij merchants die zaken doen met ABN Amro, omdat de goedkope iDeal-variant van die bank überhaupt niet voorziet in een betaalbevestiging.
"De instapversie van iDeal zou duurder uitvallen als Currence de vermeende zwakke plek zou dichten en dat is volgens Goulooze precies wat verkopers met enkele weborders per dag niet willen."
Je moet wel durven om zoiets te beweren. Een eenvoudige HMAC (cryptografische ondertekening) van het bericht op basis van een gedeelde sleutel is de standaard manier om dit te voorkomen en zou al voldoende zijn. Dit hoeft niks te kosten en dat het niet in iDeal light zit is m.i. een ontwerpfout.
Er is hier inderdaad sprake van een basis ontwerpfout. Ik denk echter dat dit probleem niet uniek is voor iDeal, maar geldt voor elke betaalmethode of -provider die werkt met aan vaste succes-url en dus geen te controleren code in de url teruggeeft.
Ik heb geprobeert de url van de pagina waarvandaan iDeal weer naar de winkel schakelt 'te vangen' als referral url, maar die is leeg als je met iDeal werkt. Dus dat kan ook al niet.
Wat wel zou werken is hetzelfde doen als iDeal, van de kassa pagina schakelen naar een onzichtbare processing pagina op de eigen winkelsite en bij terugkomst terug laten komen op een andere onzichtbare processing page die dan uiteindelijk doorschakelt naar de succes pagina.
Is wel omslachtig en veel shopscripts zullen dat niet zonder meer in zich hebben. Dan lijkt het makkelijker om iDeal Advanced te gaan gebruiken met HTTPS. Dat heeft immers ook weer andere voordelen.