Fout op site Neckermann zet klantpagina's open

Source: WWW.NU.NL

AMSTERDAM - Door een fout op de website van postorderbedrijf Neckermann is het mogelijk om op naam van een ander bestellingen te plaatsen. Dat ontdekte een lezer van NU.nl. Het gaat om een fout in de gepersonaliseerde versie van de webwinkel. Ingelogde gebruikers die bijvoorbeeld een link naar een product aan een kennis mailen, stellen daarmee hun account open voor de ontvanger: als de kennis op de link klikt, is hij automatisch ingelogd onder de account van de afzender.
Die heeft dan toegang tot het digitale winkelwagentje van de ingelogde klant, en kan daar allerlei gegevens wijzigen, bestellingen plaatsen of juist annuleren. Dergelijke kwetsbaarheden, waarbij de inloggegevens in versleutelde vorm in de link worden verwerkt, staan bekend als 'session fixation', en komen op websites regelmatig voor. Onlangs bleek datingsite Lexa vatbaar voor een vergelijkbaar lek. Neckermann kon niet onmiddellijk reageren.