BiBit, dat de verificatie en afhandeling van online betalingen voor een groot aantal online winkels wereldwijd verzorgt, dichtte het lek op aanwijzig van hacker Robin. Robin, die niet met zijn achternaam in de publiciteit wil, had BiBit maandagavond over het veiligheidslek geïnformeerd. De hacker was erachter gekomen hoe je bij de site Medicijnen.nl kon zien wie een bestelling had gedaan en wat de inhoud daarvan was. Door in de url met het 'afhandeladres' van BiBit het eindgetal te verhogen of te verlagen, was het mogelijk om door bestellingen van anderen te 'browsen'. "Deze gegevens kunnen voor sommige partijen erg waardevol zijn", meent Robin. "Op de BiBit-pagina wordt het medicijngebruik en adresgegevens van bepaalde personen getoond." Volgens Pedro Deserrano, chief operating officer van BiBit, zijn de gegevens van anderen echter alleen maar zichtbaar bij 'test-transacties en fake-orders'. "Orders die worden afgebroken, blijven in het systeem hangen." Robin: "Het probleem doet zich inderdaad alleen voor bij niet afgehandelde transacties."

Dichtgetimmerd

Hoewel Deserrano het probleem 'een puur theoretisch geval' noemt, neemt BiBit het privacylek wel serieus. "De pagina van Medicijnen.nl bevatte personalia en dat vinden we natuurlijk niet goed. Daarom hebben we het probleem nu ook opgelost. Het systeem is nu dichtgetimmerd." BiBit gaat ook contact opnemen met Medicijnen.nl. "De verkoper bepaalt hoe de pagina met gegevens eruit ziet. Andere merchants geven veel minder informatie vrij", aldus Deserrano. "Het probleem deed zich voor bij alle sites die gebruikmaken van BiBit", stelt Robin echter. "Bij Medicijnen.nl kun je natuurlijk heel veel en heel gevoelige informatie achterhalen, maar ook bij andere sites kun je informatie opvragen. Daar staat bijvoorbeeld het bestelbedrag en het nummer waarmee je iemands order kunt volgen. Met behulp van dat nummer kun je bij veel online winkels weer achterhalen wat voor bestelling iemand heeft gedaan."