Fout op site Neckermann zet klantpagina's open

AMSTERDAM - Door een fout op de website van postorderbedrijf Neckermann is het mogelijk om op naam van een ander bestellingen te plaatsen. Dat ontdekte een lezer van NU.nl.
Het gaat om een fout in de gepersonaliseerde versie van de webwinkel. Ingelogde gebruikers die bijvoorbeeld een link naar een product aan een kennis mailen, stellen daarmee hun account open voor de ontvanger: als de kennis op de link klikt, is hij automatisch ingelogd onder de account van de afzender.
Die heeft dan toegang tot het digitale winkelwagentje van de ingelogde klant, en kan daar allerlei gegevens wijzigen, bestellingen plaatsen of juist annuleren.
Volgens Webwereld is het - eenmaal onder andermans account ingelogd - eenvoudig om het wachtwoord van de gebruiker te achterhalen. Dat staat open en bloot in de broncode van de webpagina.
Dergelijke kwetsbaarheden, waarbij de inloggegevens in versleutelde vorm in de link worden verwerkt, staan bekend als 'session fixation', en komen op websites regelmatig voor. Onlangs bleek datingsite Lexa vatbaar voor een vergelijkbaar lek.
Neckermann erkent het probleem. De gepersonaliseerde webwinkel Mijn Neckermann is voorlopig gesloten, en gaat pas weer open als de fout is opgelost, laat een woordvoerder weten.
(Bron)