Lek laat postorderklanten gratis online shoppen
Gepubliceerd: Maandag 11 september 2006
Auteur: Evan Schaafsma
Door een lek in de website van het Duitse postorderbedrijf Quelle konden kwaadwillenden wekenlang ordergegevens aanpassen en zo gratis producten bestellen.
Het ANP meldt dat men voor het gratis vullen van de digitale winkelwagen geen hacker hoefde te zijn, maar enige inventiviteit was wel vereist.
De problemen zijn veroorzaakt door een koppeling tussen de Quelle-website en het intranet van de webwinkel. Klanten die hun wachtwoord vergeten zijn, kunnen inloggen op de site met hun naam, adres en geboortedatum. Door het lek konden mensen die hier de gegevens van een Quelle-winkeleigenaar invulden, automatisch in het intranet van de winkel terechtkomen.
Op het intranet stonden de gegevens van online geplaatste bestellingen. Deze gegevens konden ook gewijzigd worden. Kwaadwillenden die toegang kregen tot het intranet konden zo door het afleveradres van een bestelling te veranderen, een product ontvangen waarvoor de echte klant betaald had.
Quelle heeft de koppeling tussen de website en het intranet inmiddels verwijderd, maar het lek heeft zeker een aantal weken bestaan, zo meldt het ANP op basis van Duitse media. Het postorderbedrijf heeft aangifte gedaan tegen de mensen die op deze manier kosteloos producten hebben ontvangen. Ook liet Quelle weten dat klanten die vergeefs op hun bestelling hebben gewacht door het lek geen schade zullen lijden.
