Brist i e-butikker åbner for betalings-svindel

Et mere end syv år gammelt sikkerhedshul gør det muligt at snyde med prisen i en lang række net-butikker. Bristen betyder, at kunden kan ændre på prisen.

Af Send e-mail Rune Pedersen
Anbefal Tip en ven Print Udskriv
Sponsoreret af:


Publiceret d. 14. september 2006 kl. 09.24 | Antal kommentarer (6)
 
ANNONCE:
Et mere end syv år gammelt hul i sikkerheden hos en lang række web-butikker gør det muligt at snyde med prisen med få klik med musen og et par tastetryk.

I flere tilfælde kan snyderen oven i købet få leveret en kvittering på varens rigtige beløb og med et ændret bestillingstidspunkt, som kan gøre det sværere at opklare bedrageriet.

Problemet skyldes grundlæggende, at en del web-butikker ikke har låst alle kodefelter, hvor eksempelvis priser, rabat- og valutakoder er skrevet.

Men også manglende kontrol og automatisk godkendelse af ordrer spiller ind.

Henrik Stenmann fra it-firmaet IIH Copenhagen, der arbejder med at optimere websider, vurderer, at problemet med åbne felter forekommer hos mellem 20 og 25 procent af alle webbutikker i verden.

- Vi har testet problemet både i ind- og udland, men det er klart, at vi har været forsigtige med at eksperimentere alt for meget, fordi det rent faktisk er ulovligt, siger Henrik Stenmann.

Derfor har Henrik Stenmann heller ikke gennemført nogen handler fuldt ud.

Alligevel vurderer han, at mange webbutikker efter al overvejende sandsynlighed kan blive snydt, hvis butikken samtidig er sløset med ordrekontrollen.

Udbredt problem
Computerworld har overværet, hvordan det eksempelvis i netbutikken hos radioforretningen Hi-Fi Klubben var muligt at ændre i de åbne felter og få godkendt prisen på et fladskærms-tv, så butikssystemet i stedet for at bede om 24.990 kroner bad om at trække i alt 25 kroner på dankortet.

Alligevel garanterer Jacob Malmgaard, som er butikschef for Hi-Fi Klubbens webshop, at der er styr på sikkerheden.

Hi-Fi Klubbens system kontrollerer nemlig prisen en ekstra gang i forhold til webshoppens back end priser.

Derfor kan kunden godt ændre prisen i de åbne felter, men ændringen bliver fanget automatisk i systemet, forklarer Jacob Malmgaard.

Derudover har Hi-Fi Klubbens webshop så forholdsvis få ordrer om dagen, at det stadig er til at overskue ordrelisten. Derfor ville et manipuleret beløb blive opdaget, selv hvis systemet ikke havde regnet beløbet efter.

- Men jeg kan forestille mig, at det ville være svært at fange svindelen, hvis det drejede sig om tusindvis af ordrer på eksempelvis mobiltelefoner og tilbehør, siger Jacob Malmgaard.

Nemt at snyde
Ifølge Henrik Stenmann fra IIH Copenhagen kan kunderne snyde web-butikkerne enten med et simpelt add-on i Firefox eller ved at gemme websiderne lokalt på computeren og foretage ændringerne herfra.

Herefter godkender de almindelige eksterne betalings-systemer i mange tilfælde de manipulerede data i forbindelse med betalingstransaktionen, og webshoppen gennemfører herefter handelen, forklarer Henrik Stenmann.

Problemet med åbne felter stammer helt tilbage fra før årtusindskiftet og burde være et problem, som folk har styr på.

Uprofessionel kodning
- Jeg vil tro, at problemet er stort. Det er en af de hurtige måder at tabe en masse penge på, siger Ole Svenningsen, som er formand for Dansk IT-Sikkerhedsforum.

Ifølge Ole Svenningsen skyldes muligheden for snyd også, at butikkerne stoler på kunden.

Det betyder, at de ikke holder de oplysninger, som sendes frem til folks browser, op mod en tabel på bagsiden af butikken.

- Du er død, hvis ikke du kontrollerer, om transaktionen er ændret i forhold til det, som du sendte ud. Det er uprofessionelt og ubetænksomt, at man skriver så dårlig kode, mener Ole Svenningsen.

Et anden problem er ifølge formanden, at rygtet vil løbe som en steppebrand, når først kunderne finder ud af, at man kan snyde.

- Hvis først kunderne kan se, at det her virker, så går der jo kun et øjeblik, før det ligger på en eller anden weblog, siger Ole Svenningsen.

Butikker vælger sikkerhedshullet
Foreningen FDIH (The Danish eBusiness Association) har omkring 200 af de omkring 4.300 danske e-butikker som medlemmer.

Og her mener direktør Morten Kamper hverken, at problemet er særligt udbredt eller rammer ret mange.

Men han forklarer samtidig, at nogle butikker ønsker at bevare muligheden for at redigere de åbne felter, fordi det gør det nemmere at opdatere priserne i butikken løbende.

Derfor har de ikke lukket det gamle sikkerhedshul. Imidlertid øger det risikoen for, at butikken ikke længere lever op til PBS' og kreditkortselskabernes regler, fortæller Morten Kamper.

- Jeg har bedt om en redegørelse for, hvordan man kan teste, at det ikke kan ske hos en selv. Og så vil vi overveje, om det er noget, som vi skal informere om, siger Morten Kamper.

Når det gamle sikkerhedshul stadig eksisterer, skyldes det, at leverandørvirksomhederne ikke har tiden til at analysere de fejlmeldinger, som de får ind fra kunderne. Der skal varer over disken, og derfor er der ikke tid til produktforædling.

Det mener Preben Andersen, som er direktør i sikkerheds-organisationen, DK-Cert

Skaber tvivl hos kunder
- Websites er jo lavet af mennesker. Og mennesker må erkende, at de laver fejl. Derfor må de få testet deres produkt af en ekstern partner. Man kan jo tabe sit image på otte sekunder hvis man har et site med fejl i, siger Preben Andersen.

Selv om det er e-butikkerne, som risikerer at blive snydt på grund af de åbne felter, vedrører problemet både kunder og web-butikkerne, siger Preben Andersen.

- Det giver tvivl hos kunderne, hvis de læser om den slags problemer. Så afholder de sig jo fra at gå ud i den slags forretninger en anden gang, siger Preben Andersen.



Alle artikler om:

Kommentarer - Debatoversigt


Jeg undre mig over problemstillingen?
6 indlæg

Hvordan kan man som udvikler finde på at lægge disse værdier direkte i "åbne" felter i klient-delen så tilbagesendes og herefter gå ud fra at disse aldrig vil blive manipuleret med?

Hvis man bygger et bestillingssystem, bør man da foretage opbygningen af "ordren" på server-siden? Er dette ikke elementær viden for alle os systemudviklere?

Man kan så benytte ID'er til linier i ordren eller ID'er til varene, men da ikke prisen?

Ved at bevare beregninger og priser mv. på serveren og blot lave udtræk ud fra disse, vil man ikke umiddelbart kunne manipulerer med indholdet som det nævnes i artiklen.

Jeg ryster på hovedet og tænker - ok, vi tænker nok ikke alle ens, når vi designer og udvikler applikationer...

Undre mig...

14. september 2006 kl. 13.27
Anmeld Besvar
Bent 0. Jensen
#1, " Hvordan kan man som udvikler finde på at lægge disse værdier direkte i "åbne" felter i klient-delen så tilbagesendes og herefter gå ud fra at disse aldrig vil blive manipuleret med?"

Det er intet problem at gøre denne antagelse hvis man er udvikler.

Hvis man derimod er *seriøs* udvikler, vil man aldrig gøre denne antagelse.

14. september 2006 kl. 13.33
Anmeld Besvar

Jack Lee
#2, jeg er interesseret i at høre hvad der menes med "åbne felter" i artiklen, og om der findes online artikler der går dybere ind i emnet. :)

14. september 2006 kl. 15.14
Anmeld Besvar

Arne Vajhøj
#1,

Det er utroligt hvad der en gang imellem slipper ud af
kode. Det er menneskeligt at fejle. Og specielt hvis
udviklerne arbejder 14 timers arbejds dage op til en deadline.
Og hvis code review og QA er en by i rusland, så kan det gå
rent galt.

Som et kuriosum kan jeg nævne at jeg engang arbejdede
med en bestemt applikation, hvor vi efter en ny release
fik masser af fejl rapporter om at den ikke virkede. Alle
os IT folk prøvede og den virkede perfekt. Efter lang tid
blev det konstateret, at problemet kun ramte brugere
hvor password=brugernavn. Derfor var der ingen af os IT
folk som kune genskabe problemet. Hvordan man koder et
program således at password=brugernavn giver en funktions
fejl senere ved jeg stadig ikke. Men moralen er at der
releases software med de mest utrolige fejl.

Hvis man vil undgå den slags fejl så er der 3 ting som skal til:
process, process og process.

14. september 2006 kl. 16.00
Anmeld Besvar

Allan S. Hansen
#3, Som jeg læser "åbne felter", så er det blot almindelige input="text" felter der benyttes til visning af kritiske data (pris, valutakode m.m.) og at dette så vil blive læst ved en tilbagesendelse af formular til serveren.

Hvordan det nogen sinde kan blive bedømt som et "sikkerhedshul" frem for en programmerings bøf/fejl, det kan jeg så ikke helt se, da det er den tiltænkte funktionalitet til sådanne felter.

Burde sådanne fejl forekomme, nej - men hvis man har erfaring med kodening, så ved man også at fejl der ikke burde kunne forekomme, rent faktisk kan forkomme ofte. Det kræver blot et øjebliks uopmærksomhed, hvorefter man kan "kigge sig blind" på problemet.

14. september 2006 kl. 16.38
Anmeld Besvar

Jacob Andersen
#5, Menes nok nærmere input="hidden" eller querystring parametre.

Men har også svært ved at se hvordan man kan beskrive det som "sikkerhedshullet". Og så med dato. Måske der først kom dårlige programmøre til for 7 år siden :)

14. september 2006 kl. 17.58
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Forsiden lige nu

Stopur tikker for Asger Jensby efter bank-ultimatum
Senest torsdag eftermiddag skal JMI Invest aflevere en overlevelsesplan til FIH Erhvervsbank, der menes at have et trecifret millionbeløb i klemme.
3. december 2008 kl. 15.58 | læs »

Microsoft udgiver Vista SP2 beta
Beta-versionen af Windows Vista SP2 kan nu downloades. Det er dog kun de professionelle, der bør hente denne version.
3. december 2008 kl. 14.56 | læs »

IT Factory: I hvilken retning peger pilen?
Jensby blev forsøgt kuppet ud af IT Factory og fjernede masser af ringbind fra Stein Baggers hemmelige kontor, inden politiet kom. Få et overblik over skandalen.
3. december 2008 kl. 15.23 | læs »

KMD-salg: Farvel til Kommunedata uden fest
ComputerViews: I al stilhed begravede de danske kommuner i går deres ejerskab af den største danskejede it-arbejdsplads.
3. december 2008 kl. 14.00 | læs »


Chip-mastodonten Intel raser over EU-anklager
Intel hævder, at EU's monopol-undersøgelse af virksomheden er diskriminerende og partisk, og at man ikke får lov til at forsvare sig mod anklagerne.
3. december 2008 kl. 15.42 | læs »



Baggers svenske forbindelser paf over skandale
De svenskere, der samarbejdede med Stein Bagger og IT Factory, kan være krumtap i bedragerisagen. Selv skriver de dog i en mail til Computerworld, at de er "overraskede" over IT Factory-sagen.
3. december 2008 kl. 14.28 | læs »



Nokia vil gøre e-mail på mobilen lettere
Nokias nye Messaging-platform vil gøre e-mail på mobilen interessant for masserne, mener det finske selskab.
3. december 2008 kl. 13.39 | læs »



IT Factorys storhed og fald - få hele historien her
Computerworld har i den seneste måned gennemgået IT Factorys komplicerede forhold dokument for dokument. Nu er IT Factory færdig. Få overblikket over sagen her.
(12) | 1. december 2008 kl. 15.58 | læs »



KMD solgt til kapitalfond
Opdateret: KL meddeler, at KMD netop er blevet solgt. Pris og vilkår er 'gode', mener KL-formand, Erik Fabrin.
2. december 2008 kl. 08.07 | læs »



Datatab hos Facebook vækker bekymring
Den sociale netværks-gigant Facebook har mistet en del data på brugernes indstillinger. Uskydigt tab, men meget bekymrende, mener sikkerhedsmand.
(2) | 3. december 2008 kl. 13.13 | læs »




Mest læste i går
Alle nyheder »
Mest læste lige nu
Alle nyheder »



E-mail-adresse:
Adgangskode:
Husk mig

Seneste blogindlægAbonnér
Seneste debat
 
 
Jobworld
VB.NET udvikler med solid erfaring
Bloom ApS
Experienced SAP FI/CO Consultant - Accenture
Elan IT ReSource A/S
ERP-ansvarlig, Esbjerg
Skandinavisk Computer Rekruttering
Shape our vision of the IT future
LEGO System A/S
Jobworld »

 
Whitepapers
Læs fem grunde til ikke længere at stole på din tape-backup
Som it-chef ønsker man at gøre det muligt for sine brugere selv at hente deres tabte filer frem...
Kampen mod Internettets trusler- En samlet tilgang til web-sikkerhed
Intet står stille i cyberspace. Lige siden Internettets fødsel, har Internettet været under en...
Evolution from FTP to Secure File Transfer
This paper will discuss how secure, reliable and manageable file transfer solutions can help your...
Alle whitepapers »