Dat heeft de e-commerce servicedesk van Ideal per e-mail aan klanten laten weten. De bank benadrukt dat het risico zich niet voordoet in de Ideal-omgeving zelf, maar in de betaalmodule Idealm van webwinkelplatform Oscommerce. Volgens Ideal is het echter mogelijk dat 'ook andere betaalmodules binnen andere webwinkelplatformen hetzelfde risico hebben'.

Ideal-gebruikers zien voorafgaand aan een Ideal-betaling een scherm met een orderbevestiging. Een kwaadwillende consument is erin geslaagd de parameter waarmee dit bevestigingsscherm wordt opgebouwd, te wijzigen. Dezelfde parameter wordt gebruikt bij het de betalingsopdracht van Ideal aan de bank, waardoor het te betalen bedrag zowel in het orderbevestigingsscherm als in de banktransactie werd gewijzigd.

Volgens de e-commerce servicedesk is er bij het geconstateerde incident sprake van een 'onvolkomenheid in de betaalmodule' omdat de parameters die bij een betaalverzoek gebruikt worden, niet vanuit de browser toegankelijk mogen zijn.

De consument die de Ideal-betaling misbruikt heeft, heeft dit in de omgeving van de webwinkel gedaan, niet in de Ideal-module. Het gewijzigde orderbedrag werd hierbij niet door het webwinkelplatform gecontroleerd waardoor een lager bedrag kon worden overgemaakt.

"De feitelijke Ideal-betaling en de terugmelding aan de webwinkel zijn volledig vrij van risico", zo meldt Ideal in de e-mail aan klanten. Webwinkels wordt aangeraden om de betaalmodule te controleren en het betaalde bedrag te controleren alvorens tot levering van een product over te gaan. Bij geconstateerde fraude raadt de servicedesk aan om aangifte te doen bij justitie.

Programmeerfout

Matthijs van der Vegte van Oscommerce Nederland betreurt dat de indruk ontstaat dat het probleem in het Oscommerce-platform schuilt. "De in de module gemaakte programmeerfout is het probleem, niet het Oscommerce-platform zelf". Volgens Van der Vegte bestaat die programmeerfout uit het 'klakkeloos vertrouwen van een $_POST-variabele'.

Van der Vegte zegt bovendien dat hij 'oprecht betreurt' dat Ideal niet eerst contact heeft opgenomen met de auteur van de gewraakte module, 'of zelfs maar met Oscommerce om op die manier een oplossing klaar te hebben alvorens dit bericht verstuurd werd'. "De eenvoudige oplossing had in dat geval met het e-mailbericht meegestuurd kunnen worden. Nu is er onnodig veel panierk onstaan bij Ideal-acceptanten die deze module al dan niet gebruiken", aldus Van der Vegte.

Overigens verklaart Van der Vegte dat de gewraakte module inmiddels niet meer door Oscommerce aangeboden wordt. "Ideal meldt ten onrechte dat Oscommerce Nederland verantwoordelijk is voor de verspreiding van de bewuste module", aldus Van der Vegte.