Et mere end syv år gammelt hul i sikkerheden hos en lang række web-butikker gør det muligt at snyde med prisen med få klik med musen og et par tastetryk.
I flere tilfælde kan snyderen oven i købet få leveret en kvittering på varens rigtige beløb og med et ændret bestillingstidspunkt, som kan gøre det sværere at opklare bedrageriet.
Problemet skyldes grundlæggende, at en del web-butikker ikke har låst alle kodefelter, hvor eksempelvis priser, rabat- og valutakoder er skrevet.
Men også manglende kontrol og automatisk godkendelse af ordrer spiller ind.
Henrik Stenmann fra it-firmaet IIH Copenhagen, der arbejder med at optimere websider, vurderer, at problemet med åbne felter forekommer hos mellem 20 og 25 procent af alle webbutikker i verden.
- Vi har testet problemet både i ind- og udland, men det er klart, at vi har været forsigtige med at eksperimentere alt for meget, fordi det rent faktisk er ulovligt, siger Henrik Stenmann.
Derfor har Henrik Stenmann heller ikke gennemført nogen handler fuldt ud.
Alligevel vurderer han, at mange webbutikker efter al overvejende sandsynlighed kan blive snydt, hvis butikken samtidig er sløset med ordrekontrollen.
Udbredt problem
Computerworld har overværet, hvordan det eksempelvis i netbutikken hos radioforretningen Hi-Fi Klubben var muligt at ændre i de åbne felter og få godkendt prisen på et fladskærms-tv, så butikssystemet i stedet for at bede om 24.990 kroner bad om at trække i alt 25 kroner på dankortet.
Alligevel garanterer Jacob Malmgaard, som er butikschef for Hi-Fi Klubbens webshop, at der er styr på sikkerheden.
Hi-Fi Klubbens system kontrollerer nemlig prisen en ekstra gang i forhold til webshoppens back end priser.
Derfor kan kunden godt ændre prisen i de åbne felter, men ændringen bliver fanget automatisk i systemet, forklarer Jacob Malmgaard.
Derudover har Hi-Fi Klubbens webshop så forholdsvis få ordrer om dagen, at det stadig er til at overskue ordrelisten. Derfor ville et manipuleret beløb blive opdaget, selv hvis systemet ikke havde regnet beløbet efter.
- Men jeg kan forestille mig, at det ville være svært at fange svindelen, hvis det drejede sig om tusindvis af ordrer på eksempelvis mobiltelefoner og tilbehør, siger Jacob Malmgaard.
Nemt at snyde
Ifølge Henrik Stenmann fra IIH Copenhagen kan kunderne snyde web-butikkerne enten med et simpelt add-on i Firefox eller ved at gemme websiderne lokalt på computeren og foretage ændringerne herfra.
Herefter godkender de almindelige eksterne betalings-systemer i mange tilfælde de manipulerede data i forbindelse med betalingstransaktionen, og webshoppen gennemfører herefter handelen, forklarer Henrik Stenmann.
Problemet med åbne felter stammer helt tilbage fra før årtusindskiftet og burde være et problem, som folk har styr på.
Uprofessionel kodning
- Jeg vil tro, at problemet er stort. Det er en af de hurtige måder at tabe en masse penge på, siger Ole Svenningsen, som er formand for Dansk IT-Sikkerhedsforum.
Ifølge Ole Svenningsen skyldes muligheden for snyd også, at butikkerne stoler på kunden.
Det betyder, at de ikke holder de oplysninger, som sendes frem til folks browser, op mod en tabel på bagsiden af butikken.
- Du er død, hvis ikke du kontrollerer, om transaktionen er ændret i forhold til det, som du sendte ud. Det er uprofessionelt og ubetænksomt, at man skriver så dårlig kode, mener Ole Svenningsen.
Et anden problem er ifølge formanden, at rygtet vil løbe som en steppebrand, når først kunderne finder ud af, at man kan snyde.
- Hvis først kunderne kan se, at det her virker, så går der jo kun et øjeblik, før det ligger på en eller anden weblog, siger Ole Svenningsen.
Butikker vælger sikkerhedshullet
Foreningen FDIH (The Danish eBusiness Association) har omkring 200 af de omkring 4.300 danske e-butikker som medlemmer.
Og her mener direktør Morten Kamper hverken, at problemet er særligt udbredt eller rammer ret mange.
Men han forklarer samtidig, at nogle butikker ønsker at bevare muligheden for at redigere de åbne felter, fordi det gør det nemmere at opdatere priserne i butikken løbende.
Derfor har de ikke lukket det gamle sikkerhedshul. Imidlertid øger det risikoen for, at butikken ikke længere lever op til PBS' og kreditkortselskabernes regler, fortæller Morten Kamper.
- Jeg har bedt om en redegørelse for, hvordan man kan teste, at det ikke kan ske hos en selv. Og så vil vi overveje, om det er noget, som vi skal informere om, siger Morten Kamper.
Når det gamle sikkerhedshul stadig eksisterer, skyldes det, at leverandørvirksomhederne ikke har tiden til at analysere de fejlmeldinger, som de får ind fra kunderne. Der skal varer over disken, og derfor er der ikke tid til produktforædling.
Det mener Preben Andersen, som er direktør i sikkerheds-organisationen, DK-Cert
Skaber tvivl hos kunder
- Websites er jo lavet af mennesker. Og mennesker må erkende, at de laver fejl. Derfor må de få testet deres produkt af en ekstern partner. Man kan jo tabe sit image på otte sekunder hvis man har et site med fejl i, siger Preben Andersen.
Selv om det er e-butikkerne, som risikerer at blive snydt på grund af de åbne felter, vedrører problemet både kunder og web-butikkerne, siger Preben Andersen.
- Det giver tvivl hos kunderne, hvis de læser om den slags problemer. Så afholder de sig jo fra at gå ud i den slags forretninger en anden gang, siger Preben Andersen.
